Hari ini kita akan melihat opsi konfigurasi VPN yang ditawarkan NSX Edge kepada kita.
Secara umum, kami dapat membagi teknologi VPN menjadi dua jenis utama:
VPN situs-ke-situs. Penggunaan IPSec yang paling umum adalah membuat terowongan aman, misalnya, antara jaringan kantor utama dan jaringan di situs jarak jauh atau di cloud.
VPN Akses Jarak Jauh. Digunakan untuk menghubungkan pengguna individu ke jaringan pribadi perusahaan menggunakan perangkat lunak klien VPN.
NSX Edge memungkinkan kita menggunakan kedua opsi tersebut.
Kami akan mengonfigurasi menggunakan bangku uji dengan dua NSX Edge, server Linux dengan daemon yang diinstal racoon dan laptop Windows untuk menguji Remote Access VPN.
IPsec
Di antarmuka vCloud Director, buka bagian Administrasi dan pilih vDC. Pada tab Edge Gateways, pilih Edge yang kita butuhkan, klik kanan dan pilih Edge Gateway Services.
Di antarmuka NSX Edge, buka tab VPN-IPsec VPN, lalu ke bagian Situs VPN IPsec dan klik + untuk menambahkan situs baru.
Isi bidang yang wajib diisi:
Enabled β mengaktifkan situs jarak jauh.
PFS β memastikan bahwa setiap kunci kriptografi baru tidak terkait dengan kunci sebelumnya.
ID Lokal dan Titik Akhir Lokalt adalah alamat eksternal NSX Edge.
Subnet Lokals - jaringan lokal yang akan menggunakan IPsec VPN.
ID rekan dan Titik Akhir rekan β alamat situs jarak jauh.
Subnet rekan β jaringan yang akan menggunakan IPsec VPN di sisi jarak jauh.
Semuanya sudah siap, VPN IPsec situs-ke-situs aktif dan berjalan.
Dalam contoh ini, kami menggunakan PSK untuk autentikasi peer, tetapi autentikasi sertifikat juga dimungkinkan. Untuk melakukan ini, buka tab Konfigurasi Global, aktifkan otentikasi sertifikat dan pilih sertifikat itu sendiri.
Selain itu, dalam pengaturan situs, Anda perlu mengubah metode autentikasi.
Saya perhatikan bahwa jumlah terowongan IPsec bergantung pada ukuran Edge Gateway yang diterapkan (baca tentang ini di artikel pertama).
SSL VPN
SSL VPN-Plus adalah salah satu opsi VPN Akses Jarak Jauh. Ini memungkinkan pengguna jarak jauh individu untuk terhubung dengan aman ke jaringan pribadi di belakang NSX Edge Gateway. Terowongan terenkripsi dalam kasus SSL VPN-plus dibuat antara klien (Windows, Linux, Mac) dan NSX Edge.
Mari kita mulai menyiapkan. Di panel kontrol layanan Edge Gateway, buka tab SSL VPN-Plus, lalu ke Pengaturan Server. Kami memilih alamat dan port tempat server akan mendengarkan koneksi masuk, mengaktifkan logging, dan memilih algoritme enkripsi yang diperlukan.
Di sini Anda juga dapat mengubah sertifikat yang akan digunakan server.
Setelah semuanya siap, hidupkan server dan jangan lupa untuk menyimpan pengaturannya.
Selanjutnya, kita perlu menyiapkan kumpulan alamat yang akan kita berikan kepada klien setelah koneksi. Jaringan ini terpisah dari subnet mana pun yang ada di lingkungan NSX Anda dan tidak perlu dikonfigurasi di perangkat lain di jaringan fisik, kecuali untuk rute yang mengarah ke sana.
Buka tab IP Pools dan klik +.
Pilih alamat, subnet mask, dan gateway. Di sini Anda juga dapat mengubah pengaturan untuk server DNS dan WINS.
Kolam yang dihasilkan.
Sekarang mari kita tambahkan jaringan yang dapat diakses oleh pengguna yang terhubung ke VPN. Buka tab Jaringan Pribadi dan klik +.
Kami mengisi:
Jaringan - jaringan lokal yang dapat diakses oleh pengguna jarak jauh.
Kirim lalu lintas, ini memiliki dua opsi:
- melalui terowongan - mengirim lalu lintas ke jaringan melalui terowongan,
β bypass tunnelβmengirim lalu lintas ke jaringan yang langsung melewati tunnel.
Aktifkan Optimasi TCP - periksa apakah Anda memilih opsi over tunnel. Saat pengoptimalan diaktifkan, Anda dapat menentukan nomor port yang ingin Anda optimalkan lalu lintasnya. Lalu lintas untuk port yang tersisa di jaringan tersebut tidak akan dioptimalkan. Jika tidak ada nomor port yang ditentukan, lalu lintas untuk semua port dioptimalkan. Baca lebih lanjut tentang fitur ini di sini.
Selanjutnya, buka tab Otentikasi dan klik +. Untuk otentikasi, kami akan menggunakan server lokal di NSX Edge itu sendiri.
Di sini kita dapat memilih kebijakan untuk membuat kata sandi baru dan mengonfigurasi opsi untuk memblokir akun pengguna (misalnya, jumlah percobaan ulang jika kata sandi yang dimasukkan salah).
Karena kami menggunakan autentikasi lokal, kami perlu membuat pengguna.
Selain hal-hal dasar seperti nama dan kata sandi, di sini Anda dapat, misalnya, melarang pengguna mengubah kata sandi atau, sebaliknya, memaksanya untuk mengubah kata sandi saat dia masuk lagi.
Setelah semua pengguna yang diperlukan ditambahkan, buka tab Paket Instalasi, klik + dan buat penginstal itu sendiri, yang akan diunduh oleh karyawan jarak jauh untuk penginstalan.
Tekan +. Pilih alamat dan port server tempat klien akan terhubung, dan platform tempat Anda ingin membuat paket instalasi.
Di bawah di jendela ini, Anda dapat menentukan pengaturan klien untuk Windows. Memilih:
mulai klien saat masuk β klien VPN akan ditambahkan ke startup di mesin jarak jauh;
buat ikon desktop - akan membuat ikon klien VPN di desktop;
validasi sertifikat keamanan server - akan memvalidasi sertifikat server saat tersambung.
Pengaturan server selesai.
Sekarang mari unduh paket instalasi yang kita buat pada langkah terakhir ke PC jarak jauh. Saat menyiapkan server, kami menentukan alamat eksternal (185.148.83.16) dan port (445). Di alamat inilah kita perlu masuk ke browser web. Dalam kasus saya itu 185.148.83.16: 445.
Di jendela otorisasi, Anda harus memasukkan kredensial pengguna yang kami buat sebelumnya.
Setelah otorisasi, kami melihat daftar paket instalasi yang dibuat tersedia untuk diunduh. Kami hanya membuat satu - kami akan mengunduhnya.
Kami mengklik tautan, unduhan klien dimulai.
Buka paket arsip yang diunduh dan jalankan penginstal.
Setelah instalasi, luncurkan klien, di jendela otorisasi, klik Login.
Di jendela verifikasi sertifikat, pilih Ya.
Kami memasukkan kredensial untuk pengguna yang dibuat sebelumnya dan melihat bahwa koneksi berhasil diselesaikan.
Kami memeriksa statistik klien VPN di komputer lokal.
Di baris perintah Windows (ipconfig / all), kami melihat bahwa adaptor virtual tambahan telah muncul dan ada konektivitas ke jaringan jarak jauh, semuanya berfungsi:
Dan terakhir, periksa dari konsol Edge Gateway.
VPN L2
L2VPN akan dibutuhkan saat Anda perlu menggabungkan beberapa secara geografis
jaringan terdistribusi ke dalam satu broadcast domain.
Hal ini dapat berguna, misalnya, saat memigrasikan mesin virtual: saat VM berpindah ke area geografis lain, mesin akan mempertahankan pengaturan pengalamatan IP dan tidak akan kehilangan konektivitas dengan mesin lain yang terletak di domain L2 yang sama dengannya.
Di lingkungan pengujian kami, kami akan menghubungkan dua situs satu sama lain, kami akan menyebutnya masing-masing A dan B. Kami memiliki dua NSX dan dua jaringan yang dirutekan secara identik yang terpasang ke Edge yang berbeda. Mesin A beralamat 10.10.10.250/24, Mesin B beralamat 10.10.10.2/24.
Di vCloud Director, buka tab Administration, buka VDC yang kita butuhkan, buka tab Org VDC Networks dan tambahkan dua jaringan baru.
Pilih jenis jaringan yang dialihkan dan ikat jaringan ini ke NSX kami. Kami menempatkan kotak centang Buat sebagai subinterface.
Akibatnya, kita harus mendapatkan dua jaringan. Dalam contoh kami, mereka disebut network-a dan network-b dengan pengaturan gateway yang sama dan mask yang sama.
Sekarang mari kita pergi ke pengaturan NSX pertama. Ini akan menjadi NSX yang terhubung dengan Jaringan A. Ini akan bertindak sebagai server.
Kami kembali ke antarmuka NSx Edge / Buka tab VPN -> L2VPN. Kami menyalakan L2VPN, pilih mode operasi Server, di pengaturan Server Global kami menentukan alamat IP NSX eksternal yang akan didengarkan oleh port untuk terowongan. Secara default, soket akan terbuka pada port 443, tetapi ini dapat diubah. Jangan lupa untuk memilih pengaturan enkripsi untuk terowongan masa depan.
Buka tab Situs Server dan tambahkan rekan.
Nyalakan peer, atur nama, deskripsi, jika perlu, atur nama pengguna dan kata sandi. Kami akan membutuhkan data ini nanti saat menyiapkan situs klien.
Di Alamat Gateway Optimasi Jalan Keluar, kami menetapkan alamat gateway. Ini diperlukan agar tidak ada konflik alamat IP, karena gateway jaringan kami memiliki alamat yang sama. Kemudian klik tombol SELECT SUB-INTERFACES.
Di sini kami memilih subinterface yang diinginkan. Kami menyimpan pengaturan.
Kami melihat bahwa situs klien yang baru dibuat telah muncul di pengaturan.
Sekarang mari beralih ke konfigurasi NSX dari sisi klien.
Kami pergi ke NSX sisi B, pergi ke VPN -> L2VPN, aktifkan L2VPN, setel mode L2VPN ke mode klien. Pada tab Client Global, atur alamat dan port NSX A, yang kami tentukan sebelumnya sebagai Listening IP dan Port di sisi server. Pengaturan enkripsi yang sama juga diperlukan agar konsisten saat terowongan dinaikkan.
Gulir ke bawah, pilih subinterface tempat terowongan untuk L2VPN akan dibangun.
Di Alamat Gateway Optimasi Jalan Keluar, kami menetapkan alamat gateway. Tetapkan ID pengguna dan kata sandi. Kami memilih subinterface dan jangan lupa untuk menyimpan pengaturannya.
Sebenarnya, itu saja. Pengaturan sisi klien dan server hampir identik, dengan pengecualian beberapa nuansa.
Sekarang kita dapat melihat bahwa terowongan kita telah berfungsi dengan membuka Statistik -> L2VPN di NSX apa pun.
Jika sekarang kita pergi ke konsol Edge Gateway mana pun, kita akan melihat masing-masing di tabel arp alamat kedua VM.
Itu semua tentang VPN di NSX Edge. Tanyakan jika ada yang kurang jelas. Ini juga merupakan bagian terakhir dari rangkaian artikel tentang bekerja dengan NSX Edge. Kami harap mereka membantu π