Í dag ætlum við að skoða VPN stillingarvalkostina sem NSX Edge býður okkur.
Almennt séð getum við skipt VPN tækni í tvær lykilgerðir:
- VPN frá síðu til staður. Algengasta notkun IPSec er að búa til örugg göng, til dæmis á milli aðalskrifstofunets og nets á afskekktum stað eða í skýinu.
- Fjaraðgangs VPN. Notað til að tengja einstaka notendur við einkanet fyrirtækja með VPN biðlarahugbúnaðinum.
NSX Edge gerir okkur kleift að nota báða valkostina.
Við munum stilla með því að nota prufubekk með tveimur NSX Edge, Linux netþjóni með uppsettum púka og Windows fartölvu til að prófa Remote Access VPN.
IPSec
- Í vCloud Director viðmótinu, farðu í stjórnunarhlutann og veldu vDC. Á Edge Gateways flipanum, veldu Edge sem við þurfum, hægrismelltu og veldu Edge Gateway Services.
- Í NSX Edge viðmótinu, farðu í VPN-IPsec VPN flipann, síðan í IPsec VPN Sites hlutann og smelltu á + til að bæta við nýrri síðu.
- Fylltu út nauðsynlega reiti:
- Virkt – virkjar ytri síðuna.
- PFS – tryggir að hver nýr dulmálslykill sé ekki tengdur neinum fyrri lykli.
- Staðbundið auðkenni og staðbundið endapunktt er ytra heimilisfang NSX Edge.
- Staðbundið undirnets - staðarnet sem munu nota IPsec VPN.
- Peer ID og Peer Endpoint – heimilisfang ytri síðunnar.
- Jafninga undirnet - netkerfi sem munu nota IPsec VPN á ytri hliðinni.
- Dulkóðunarreiknirit - dulkóðunaralgrím fyrir göng.
- Auðkenning - hvernig við munum auðkenna jafningjann. Þú getur notað fyrirfram deilt lykil eða vottorð.
- Fordeilt lykill - tilgreindu lykilinn sem verður notaður til auðkenningar og verður að passa á báðum hliðum.
- Diffie Hellman Group - reiknirit fyrir lyklaskipti.
Eftir að hafa fyllt út nauðsynlega reiti, smelltu á Halda.
- Gert.
- Eftir að síðunni hefur verið bætt við, farðu í flipann Virkjunarstaða og virkjaðu IPsec þjónustuna.
- Eftir að stillingunum hefur verið beitt, farðu í Tölfræði -> IPsec VPN flipann og athugaðu stöðu ganganna. Við sjáum að göngin hafa risið.
- Athugaðu stöðu ganganna frá Edge gáttarborðinu:
- sýna þjónustu ipsec - athugaðu stöðu þjónustunnar.
- sýna þjónustu ipsec síða - Upplýsingar um stöðu síðunnar og samið færibreytur.
- sýna þjónustu ipsec sa - athugaðu stöðu Öryggisfélagsins (SA).
- sýna þjónustu ipsec - athugaðu stöðu þjónustunnar.
- Athugar tengingu við ytri síðu:
root@racoon:~# ifconfig eth0:1 | grep inet inet 10.255.255.1 netmask 255.255.255.0 broadcast 0.0.0.0 root@racoon:~# ping -c1 -I 10.255.255.1 192.168.0.10 PING 192.168.0.10 (192.168.0.10) from 10.255.255.1 : 56(84) bytes of data. 64 bytes from 192.168.0.10: icmp_seq=1 ttl=63 time=59.9 ms --- 192.168.0.10 ping statistics --- 1 packets transmitted, 1 received, 0% packet loss, time 0ms rtt min/avg/max/mdev = 59.941/59.941/59.941/0.000 msStillingarskrár og viðbótarskipanir fyrir greiningu frá ytri Linux netþjóni:
root@racoon:~# cat /etc/racoon/racoon.conf log debug; path pre_shared_key "/etc/racoon/psk.txt"; path certificate "/etc/racoon/certs"; listen { isakmp 80.211.43.73 [500]; strict_address; } remote 185.148.83.16 { exchange_mode main,aggressive; proposal { encryption_algorithm aes256; hash_algorithm sha1; authentication_method pre_shared_key; dh_group modp1536; } generate_policy on; } sainfo address 10.255.255.0/24 any address 192.168.0.0/24 any { encryption_algorithm aes256; authentication_algorithm hmac_sha1; compression_algorithm deflate; } === root@racoon:~# cat /etc/racoon/psk.txt 185.148.83.16 testkey === root@racoon:~# cat /etc/ipsec-tools.conf #!/usr/sbin/setkey -f flush; spdflush; spdadd 192.168.0.0/24 10.255.255.0/24 any -P in ipsec esp/tunnel/185.148.83.16-80.211.43.73/require; spdadd 10.255.255.0/24 192.168.0.0/24 any -P out ipsec esp/tunnel/80.211.43.73-185.148.83.16/require; === root@racoon:~# racoonctl show-sa isakmp Destination Cookies Created 185.148.83.16.500 2088977aceb1b512:a4c470cb8f9d57e9 2019-05-22 13:46:13 === root@racoon:~# racoonctl show-sa esp 80.211.43.73 185.148.83.16 esp mode=tunnel spi=1646662778(0x6226147a) reqid=0(0x00000000) E: aes-cbc 00064df4 454d14bc 9444b428 00e2296e c7bb1e03 06937597 1e522ce0 641e704d A: hmac-sha1 aa9e7cd7 51653621 67b3b2e9 64818de5 df848792 seq=0x00000000 replay=4 flags=0x00000000 state=mature created: May 22 13:46:13 2019 current: May 22 14:07:43 2019 diff: 1290(s) hard: 3600(s) soft: 2880(s) last: May 22 13:46:13 2019 hard: 0(s) soft: 0(s) current: 72240(bytes) hard: 0(bytes) soft: 0(bytes) allocated: 860 hard: 0 soft: 0 sadb_seq=1 pid=7739 refcnt=0 185.148.83.16 80.211.43.73 esp mode=tunnel spi=88535449(0x0546f199) reqid=0(0x00000000) E: aes-cbc c812505a 9c30515e 9edc8c4a b3393125 ade4c320 9bde04f0 94e7ba9d 28e61044 A: hmac-sha1 cd9d6f6e 06dbcd6d da4d14f8 6d1a6239 38589878 seq=0x00000000 replay=4 flags=0x00000000 state=mature created: May 22 13:46:13 2019 current: May 22 14:07:43 2019 diff: 1290(s) hard: 3600(s) soft: 2880(s) last: May 22 13:46:13 2019 hard: 0(s) soft: 0(s) current: 72240(bytes) hard: 0(bytes) soft: 0(bytes) allocated: 860 hard: 0 soft: 0 sadb_seq=0 pid=7739 refcnt=0 - Allt er tilbúið, IPsec VPN frá síðu til staðar er í gangi.
Í þessu dæmi notuðum við PSK fyrir jafningja auðkenningu, en vottorðsvottun er líka möguleg. Til að gera þetta, farðu í Global Configuration flipann, virkjaðu vottorðavottun og veldu vottorðið sjálft.
Að auki, í stillingum vefsvæðisins, þarftu að breyta auðkenningaraðferðinni.
Ég tek eftir því að fjöldi IPsec-ganga fer eftir stærð Edge Gateway sem er notaður (lesið um þetta í okkar ).
ssl vpn
SSL VPN-Plus er einn af VPN-valkostunum fyrir fjaraðgang. Það gerir einstökum fjarnotendum kleift að tengjast á öruggan hátt við einkanet á bak við NSX Edge Gateway. Dulkóðuð göng þegar um SSL VPN-plus er að ræða er komið á milli viðskiptavinarins (Windows, Linux, Mac) og NSX Edge.
- Við skulum byrja að setja upp. Í Edge Gateway þjónustustjórnborðinu, farðu í SSL VPN-Plus flipann og síðan í Server Settings. Við veljum heimilisfangið og höfnina þar sem þjónninn mun hlusta á komandi tengingar, virkja skráningu og velja nauðsynlegar dulkóðunaralgrím.
Hér geturðu líka breytt vottorðinu sem þjónninn mun nota. - Eftir að allt er tilbúið skaltu kveikja á netþjóninum og ekki gleyma að vista stillingarnar.
- Næst þurfum við að setja upp hóp af heimilisföngum sem við munum gefa út til viðskiptavina við tengingu. Þetta net er aðskilið frá hvaða undirneti sem fyrir er í NSX umhverfi þínu og þarf ekki að stilla það á öðrum tækjum á líkamlegu netunum, nema fyrir þær leiðir sem vísa á það.
Farðu í IP Pools flipann og smelltu á +.
- Veldu heimilisföng, undirnetmaska og gátt. Hér geturðu líka breytt stillingum fyrir DNS og WINS netþjóna.
- Laugin sem myndast.
- Nú skulum við bæta við netunum sem notendur sem tengjast VPN munu hafa aðgang að. Farðu í Private Networks flipann og smelltu á +.
- Við fyllum út:
- Net - staðbundið net sem fjarnotendur munu hafa aðgang að.
- Sendu umferð, það hefur tvo valkosti:
- yfir göng - senda umferð á netið í gegnum göngin,
— framhjá göng—senda umferð á netið beint framhjá göngunum. - Virkja TCP Optimization - athugaðu hvort þú valdir valkostinn yfir göng. Þegar fínstilling er virkjuð geturðu tilgreint gáttanúmerin sem þú vilt fínstilla umferð fyrir. Umferð fyrir þær hafnir sem eftir eru á því tiltekna neti verður ekki fínstillt. Ef engin gáttarnúmer eru tilgreind er umferð fyrir allar gáttir fínstilltar. Lestu meira um þennan eiginleika .
- Næst skaltu fara í Authentication flipann og smella á +. Til auðkenningar munum við nota staðbundinn netþjón á NSX Edge sjálfum.
- Hér getum við valið reglur til að búa til ný lykilorð og stillt valkosti til að loka á notendareikninga (til dæmis fjölda endurtekinna tilrauna ef lykilorðið er rangt slegið inn).
- Þar sem við erum að nota staðbundna auðkenningu þurfum við að búa til notendur.
- Auk grunnþátta eins og nafns og lykilorðs er hér til dæmis hægt að banna notandanum að breyta lykilorðinu eða öfugt neyða hann til að breyta lykilorðinu næst þegar hann skráir sig inn.
- Eftir að öllum nauðsynlegum notendum hefur verið bætt við, farðu í flipann Uppsetningarpakkar, smelltu á + og búðu til sjálft uppsetningarforritið, sem fjarlægur starfsmaður hleður niður til uppsetningar.
- Ýttu á +. Veldu heimilisfang og höfn netþjónsins sem viðskiptavinurinn mun tengjast og vettvangana sem þú vilt búa til uppsetningarpakkann fyrir.
Hér fyrir neðan í þessum glugga geturðu tilgreint biðlarastillingar fyrir Windows. Veldu:- ræstu viðskiptavin við innskráningu - VPN viðskiptavinurinn verður bætt við ræsingu á ytri vélinni;
- búa til skjáborðstákn - mun búa til VPN biðlaratákn á skjáborðinu;
- Staðfesting öryggisvottorðs netþjóns - mun staðfesta netþjónsvottorðið við tengingu.
Uppsetningu miðlara er lokið.
- Nú skulum við hlaða niður uppsetningarpakkanum sem við bjuggum til í síðasta skrefi á ytri tölvu. Við uppsetningu netþjónsins tilgreindum við ytra heimilisfang hans (185.148.83.16) og gátt (445). Það er á þessu heimilisfangi sem við þurfum að fara í vafra. Í mínu tilfelli er það : 445.
Í heimildarglugganum verður þú að slá inn notendaskilríki sem við bjuggum til áðan.
- Eftir heimild sjáum við lista yfir búna uppsetningarpakka sem hægt er að hlaða niður. Við höfum aðeins búið til einn - við munum hlaða því niður.
- Við smellum á hlekkinn, niðurhal viðskiptavinarins hefst.
- Taktu niður skjalasafnið og keyrðu uppsetningarforritið.
- Eftir uppsetningu, ræstu biðlarann, í heimildarglugganum, smelltu á Innskráning.
- Í staðfestingarglugganum fyrir vottorð skaltu velja Já.
- Við sláum inn skilríki fyrir áður stofnaðan notanda og sjáum að tengingunni var lokið.
- Við athugum tölfræði VPN viðskiptavinarins á staðbundinni tölvu.
- Í Windows skipanalínunni (ipconfig / all), sjáum við að auka sýndarmillistykki hefur birst og það er tenging við ytra netið, allt virkar:
- Og að lokum, athugaðu frá Edge Gateway stjórnborðinu.
L2 VPN
L2VPN verður þörf þegar þú þarft að sameina nokkra landfræðilega
dreift netkerfi í eitt útvarpslén.
Þetta getur verið gagnlegt, til dæmis þegar sýndarvél er flutt: þegar VM færist á annað landfræðilegt svæði mun vélin halda IP-tölustillingum sínum og missa ekki tengingu við aðrar vélar sem eru staðsettar á sama L2 léni með henni.
Í prófunarumhverfinu okkar munum við tengja tvær síður við hvert annað, við köllum þær A og B. Við erum með tvo NSX og tvö samsköpuð beint net tengd mismunandi Edges. Vél A hefur heimilisfangið 10.10.10.250/24, Vél B hefur heimilisfangið 10.10.10.2/24.
- Í vCloud Director, farðu í Administration flipann, farðu í VDC sem við þurfum, farðu í Org VDC Networks flipann og bættu við tveimur nýjum netum.
- Veldu tegund netkerfis sem er beint og bindðu þetta net við NSX okkar. Við setjum gátreitinn Búa til sem undirviðmót.
- Þar af leiðandi ættum við að fá tvö net. Í dæminu okkar eru þau kölluð net-a og net-b með sömu gáttarstillingum og sömu grímu.
- Nú skulum við fara í stillingar fyrsta NSX. Þetta mun vera NSX sem net A er tengt við. Það mun virka sem þjónn.
Við snúum aftur í NSx Edge viðmótið / Farðu á VPN flipann -> L2VPN. Við kveikjum á L2VPN, veljum aðgerðastillingu miðlara, í alþjóðlegum stillingum netþjónsins tilgreinum við ytri NSX IP töluna sem tengið fyrir göngin mun hlusta á. Sjálfgefið er að falsinn opnast á tengi 443, en því er hægt að breyta. Ekki gleyma að velja dulkóðunarstillingar fyrir framtíðargöngin.
- Farðu í flipann Server Sites og bættu við jafningja.
- Við kveikjum á jafningjanum, stillum nafn, lýsingu, ef nauðsyn krefur, stillum notandanafn og lykilorð. Við munum þurfa á þessum gögnum að halda síðar við uppsetningu viðskiptavinasíðunnar.
Í Egress Optimization Gateway Address setjum við heimilisfang gáttarinnar. Þetta er nauðsynlegt svo að ekki komi til árekstra milli IP tölur, vegna þess að gátt netkerfa okkar hefur sama heimilisfang. Smelltu síðan á SELECT SUB-TENFACE hnappinn.
- Hér veljum við viðkomandi undirviðmót. Við vistum stillingarnar.
- Við sjáum að nýstofnaða biðlarasíðan hefur birst í stillingunum.
- Nú skulum við halda áfram að stilla NSX frá viðskiptavininum.
Við förum á NSX hlið B, förum í VPN -> L2VPN, virkjaðu L2VPN, stilltu L2VPN ham á biðlaraham. Á Client Global flipanum skaltu stilla heimilisfang og höfn NSX A, sem við tilgreindum áðan sem Hlustunar IP og Port á miðlarahliðinni. Einnig er nauðsynlegt að stilla sömu dulkóðunarstillingar þannig að þær séu samræmdar þegar göngin eru hækkuð.
Við flettum að neðan, veljum undirviðmótið sem göngin fyrir L2VPN verða byggð í gegnum.
Í Egress Optimization Gateway Address setjum við heimilisfang gáttarinnar. Stilltu notandakenni og lykilorð. Við veljum undirviðmótið og gleymum ekki að vista stillingarnar. - Reyndar, það er allt. Stillingar biðlarans og netþjónsins eru nánast eins, að undanskildum nokkrum blæbrigðum.
- Núna getum við séð að göngin okkar hafa virkað með því að fara í Tölfræði -> L2VPN á hvaða NSX sem er.
- Ef við förum núna í stjórnborðið á hvaða Edge Gateway sem er, munum við sjá á hverjum þeirra í arp töflunni heimilisföng beggja VM.
Þetta snýst allt um VPN á NSX Edge. Spyrðu ef eitthvað er óljóst. Það er líka síðasti hluti af röð greina um að vinna með NSX Edge. Við vonum að þeir hafi verið gagnlegir 🙂
Heimild: www.habr.com