🥇VMware NSX לקטנטנים. חלק 6. הגדרת VPN

חלק ראשון. אֲקָדֵמַאִי
חלק שני. הגדרת כללי חומת אש וכללי NAT
חלק שלישי. הגדרת DHCP
חלק רביעי. הגדרת ניתוב
חלק חמישי. הקמת מאזן עומסים

היום אנחנו הולכים להסתכל על אפשרויות תצורת ה-VPN ש-NSX Edge מציעה לנו.

באופן כללי, אנו יכולים לחלק את טכנולוגיות VPN לשני סוגים מרכזיים:

VPN מאתר לאתר. השימוש הנפוץ ביותר ב-IPSec הוא יצירת מנהרה מאובטחת, למשל, בין רשת משרדית ראשית לרשת באתר מרוחק או בענן.
VPN גישה מרחוק. משמש לחיבור משתמשים בודדים לרשתות פרטיות ארגוניות באמצעות תוכנת לקוח VPN.

NSX Edge מאפשר לנו להשתמש בשתי האפשרויות.
נערוך תצורה באמצעות ספסל בדיקה עם שני NSX Edge, שרת לינוקס עם דמון מותקן רקטון ומחשב נייד של Windows לבדיקת VPN של גישה מרחוק.

IPsec

בממשק vCloud Director, עבור לקטע ניהול ובחר ב-vDC. בלשונית Edge Gateways, בחר את ה-Edge שאנחנו צריכים, לחץ לחיצה ימנית ובחר Edge Gateway Services.
בממשק NSX Edge, עבור ללשונית VPN-IPsec VPN, ולאחר מכן לקטע IPsec VPN Sites ולחץ על + כדי להוסיף אתר חדש.
מלא את השדות הנדרשים:
- מופעל – מפעיל את האתר המרוחק.
- PFS - מבטיח שכל מפתח קריפטוגרפי חדש אינו משויך למפתח קודם כלשהו.
- מזהה מקומי ונקודת קצה מקומיתt היא הכתובת החיצונית של ה-NSX Edge.
- רשת משנה מקומיתs - רשתות מקומיות שישתמשו ב-IPsec VPN.
- מזהה עמית ונקודת קצה עמית - כתובת האתר המרוחק.
- רשתות משנה של עמיתים - רשתות שישתמשו ב-IPsec VPN בצד המרוחק.
- אלגוריתם הצפנה - אלגוריתם הצפנת מנהרה.
- אימות - כיצד נאמת את העמית. אתה יכול להשתמש במפתח משותף מראש או בתעודה.
- מפתח משותף מראש - ציין את המפתח שישמש לאימות וחייב להתאים משני הצדדים.
- קבוצת דיפי הלמן - אלגוריתם החלפת מפתחות.
לאחר מילוי השדות הנדרשים, לחץ על שמור.
סיימתי.
לאחר הוספת האתר, עבור ללשונית מצב הפעלה והפעל את שירות IPsec.
לאחר החלת ההגדרות, עבור אל הכרטיסייה סטטיסטיקה -> IPsec VPN ובדוק את מצב המנהרה. אנחנו רואים שהמנהרה עלתה.
בדוק את מצב המנהרה ממסוף השער של Edge:
- show service ipsec - בדוק את מצב השירות.
- show service ipsec site - מידע על מצב האתר ופרמטרים של משא ומתן.
- הצג שירות ipsec sa - בדוק את סטטוס איגוד האבטחה (SA).

בדיקת קישוריות עם אתר מרוחק:

root@racoon:~# ifconfig eth0:1 | grep inet
        inet 10.255.255.1  netmask 255.255.255.0  broadcast 0.0.0.0

root@racoon:~# ping -c1 -I 10.255.255.1 192.168.0.10 
PING 192.168.0.10 (192.168.0.10) from 10.255.255.1 : 56(84) bytes of data.
64 bytes from 192.168.0.10: icmp_seq=1 ttl=63 time=59.9 ms

--- 192.168.0.10 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 59.941/59.941/59.941/0.000 ms

קבצי תצורה ופקודות נוספות לאבחון משרת לינוקס מרוחק:

root@racoon:~# cat /etc/racoon/racoon.conf 

log debug;
path pre_shared_key "/etc/racoon/psk.txt";
path certificate "/etc/racoon/certs";

listen {
  isakmp 80.211.43.73 [500];
   strict_address;
}

remote 185.148.83.16 {
        exchange_mode main,aggressive;
        proposal {
                 encryption_algorithm aes256;
                 hash_algorithm sha1;
                 authentication_method pre_shared_key;
                 dh_group modp1536;
         }
         generate_policy on;
}
 
sainfo address 10.255.255.0/24 any address 192.168.0.0/24 any {
         encryption_algorithm aes256;
         authentication_algorithm hmac_sha1;
         compression_algorithm deflate;
}

===

root@racoon:~# cat /etc/racoon/psk.txt
185.148.83.16 testkey

===

root@racoon:~# cat /etc/ipsec-tools.conf 
#!/usr/sbin/setkey -f

flush;
spdflush;

spdadd 192.168.0.0/24 10.255.255.0/24 any -P in ipsec
      esp/tunnel/185.148.83.16-80.211.43.73/require;

spdadd 10.255.255.0/24 192.168.0.0/24 any -P out ipsec
      esp/tunnel/80.211.43.73-185.148.83.16/require;

===


root@racoon:~# racoonctl show-sa isakmp
Destination            Cookies                           Created
185.148.83.16.500      2088977aceb1b512:a4c470cb8f9d57e9 2019-05-22 13:46:13 

===

root@racoon:~# racoonctl show-sa esp
80.211.43.73 185.148.83.16 
        esp mode=tunnel spi=1646662778(0x6226147a) reqid=0(0x00000000)
        E: aes-cbc  00064df4 454d14bc 9444b428 00e2296e c7bb1e03 06937597 1e522ce0 641e704d
        A: hmac-sha1  aa9e7cd7 51653621 67b3b2e9 64818de5 df848792
        seq=0x00000000 replay=4 flags=0x00000000 state=mature 
        created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
        diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
        last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
        current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
        allocated: 860  hard: 0 soft: 0
        sadb_seq=1 pid=7739 refcnt=0
185.148.83.16 80.211.43.73 
        esp mode=tunnel spi=88535449(0x0546f199) reqid=0(0x00000000)
        E: aes-cbc  c812505a 9c30515e 9edc8c4a b3393125 ade4c320 9bde04f0 94e7ba9d 28e61044
        A: hmac-sha1  cd9d6f6e 06dbcd6d da4d14f8 6d1a6239 38589878
        seq=0x00000000 replay=4 flags=0x00000000 state=mature 
        created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
        diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
        last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
        current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
        allocated: 860  hard: 0 soft: 0
        sadb_seq=0 pid=7739 refcnt=0

הכל מוכן, IPsec VPN מאתר לאתר פועל.
בדוגמה זו, השתמשנו ב-PSK עבור אימות עמיתים, אך אימות תעודה אפשרי גם. לשם כך, עבור ללשונית Global Configuration, הפעל אימות אישור ובחר את האישור עצמו.

בנוסף, בהגדרות האתר תצטרך לשנות את שיטת האימות.

אני מציין שמספר מנהרות ה-IPsec תלוי בגודל ה-Edge Gateway הפרוס (קרא על כך ב- מאמר ראשון).

SSL VPN

SSL VPN-Plus היא אחת מאפשרויות ה-VPN של גישה מרחוק. זה מאפשר למשתמשים מרוחקים בודדים להתחבר בצורה מאובטחת לרשתות פרטיות מאחורי NSX Edge Gateway. מנהרה מוצפנת במקרה של SSL VPN-plus נוצרת בין הלקוח (Windows, Linux, Mac) ו-NSX Edge.

בואו נתחיל להגדיר. בלוח הבקרה של שירות Edge Gateway, עבור אל הכרטיסייה SSL VPN-Plus ולאחר מכן אל הגדרות שרת. אנו בוחרים את הכתובת והיציאה שבה השרת יקשיב לחיבורים נכנסים, מאפשרים רישום ובוחרים את אלגוריתמי ההצפנה הדרושים.

כאן תוכל גם לשנות את האישור שהשרת ישתמש בו.
לאחר שהכל מוכן, הפעל את השרת ואל תשכח לשמור את ההגדרות.
לאחר מכן, עלינו להגדיר מאגר כתובות שננפיק ללקוחות עם החיבור. רשת זו נפרדת מכל תת רשת קיימת בסביבת ה-NSX שלך ואין צורך להגדיר אותה במכשירים אחרים ברשתות הפיזיות, למעט המסלולים המצביעים עליה.
עבור ללשונית IP Pools ולחץ על +.
בחר כתובות, מסכת רשת משנה ושער. כאן תוכל גם לשנות את ההגדרות עבור שרתי DNS ו-WINS.
הבריכה שנוצרה.
כעת נוסיף את הרשתות שאליהן תהיה גישה למשתמשים המתחברים ל-VPN. עבור אל הכרטיסייה רשתות פרטיות ולחץ על +.
אנו ממלאים:
- רשת - רשת מקומית שאליה תהיה גישה למשתמשים מרוחקים.
- שלח תנועה, יש לו שתי אפשרויות:
  - מעל המנהרה - שלח תעבורה לרשת דרך המנהרה,
  - עוקף מנהרה - שלח תנועה לרשת ישירות עוקף את המנהרה.
- הפעל אופטימיזציה של TCP - בדוק אם בחרת באפשרות מעבר למנהרה. כאשר אופטימיזציה מופעלת, אתה יכול לציין את מספרי היציאה שעבורם ברצונך לייעל את התעבורה. התנועה עבור היציאות הנותרות ברשת המסוימת לא תעבור אופטימיזציה. אם לא צוינו מספרי יציאות, התעבורה עבור כל היציאות עוברת אופטימיזציה. קרא עוד על תכונה זו כאן.
לאחר מכן, עבור ללשונית אימות ולחץ על +. לצורך אימות, נשתמש בשרת מקומי ב-NSX Edge עצמו.
כאן נוכל לבחור מדיניות ליצירת סיסמאות חדשות ולהגדיר אפשרויות לחסימת חשבונות משתמש (לדוגמה, מספר הניסיונות החוזרים אם הסיסמה הוזנה בצורה שגויה).
מכיוון שאנו משתמשים באימות מקומי, עלינו ליצור משתמשים.
בנוסף לדברים בסיסיים כמו שם וסיסמה, כאן אפשר למשל לאסור על המשתמש לשנות את הסיסמה או להיפך, לאלץ אותו להחליף את הסיסמה בפעם הבאה שהוא מתחבר.
לאחר הוספת כל המשתמשים הדרושים, עבור ללשונית חבילות התקנה, לחץ על + וצור את המתקין עצמו, אותו יוריד עובד מרוחק להתקנה.
הקש על +. בחר את הכתובת והיציאה של השרת שאליו הלקוח יתחבר, ואת הפלטפורמות שעבורן ברצונך להפיק את חבילת ההתקנה.

למטה בחלון זה, אתה יכול לציין את הגדרות הלקוח עבור Windows. בחר:
- התחל לקוח בכניסה - לקוח ה-VPN יתווסף לאתחול במחשב המרוחק;
- יצירת סמל שולחן העבודה - יצור סמל לקוח VPN בשולחן העבודה;
- אימות אישור שרת אבטחה - יאמת את אישור השרת עם החיבור.
  הגדרת השרת הושלמה.
כעת הבה נוריד את חבילת ההתקנה שיצרנו בשלב האחרון למחשב מרוחק. בעת הגדרת השרת, ציינו את הכתובת החיצונית שלו (185.148.83.16) והיציאה (445). בכתובת הזו אנחנו צריכים להיכנס לדפדפן אינטרנט. במקרה שלי זה כן 185.148.83.16: 445.
בחלון ההרשאה, עליך להזין את אישורי המשתמש שיצרנו קודם לכן.
לאחר אישור, אנו רואים רשימה של חבילות התקנה שנוצרו הזמינות להורדה. יצרנו רק אחד - נוריד אותו.
אנו לוחצים על הקישור, ההורדה של הלקוח מתחילה.
פרק את הארכיון שהורדת והפעל את תוכנית ההתקנה.
לאחר ההתקנה, הפעל את הלקוח, בחלון ההרשאה, לחץ על התחברות.
בחלון אימות האישור, בחר כן.
אנו מכניסים את האישורים של המשתמש שנוצר בעבר ורואים שהחיבור הושלם בהצלחה.
אנו בודקים את הסטטיסטיקה של לקוח ה-VPN במחשב המקומי.
בשורת הפקודה של Windows (ipconfig / all), אנו רואים שהופיע מתאם וירטואלי נוסף ויש קישוריות לרשת המרוחקת, הכל עובד:
ולבסוף, בדוק ממסוף Edge Gateway.

L2 VPN

L2VPN יהיה צורך כאשר אתה צריך לשלב כמה גיאוגרפית
רשתות מבוזרות לתחום שידור אחד.

זה יכול להיות שימושי, למשל, בעת העברת מכונה וירטואלית: כאשר VM עובר לאזור גיאוגרפי אחר, המכונה תשמור על הגדרות כתובת ה-IP שלה ולא תאבד את הקישוריות עם מכונות אחרות הנמצאות באותו תחום L2 איתה.

בסביבת הבדיקה שלנו, נחבר שני אתרים זה לזה, נקרא להם A ו-B בהתאמה. יש לנו שני NSXs ושתי רשתות מנותבות שנוצרו באופן זהה המחוברות ל-Edges שונים. למכונה A יש את הכתובת 10.10.10.250/24, למכונה B יש את הכתובת 10.10.10.2/24.

ב-vCloud Director, עבור ללשונית Administration, עבור אל ה-VDC שאנו צריכים, עבור ללשונית Org VDC Networks והוסף שתי רשתות חדשות.
בחר את סוג הרשת המנותבת ואגד את הרשת הזו ל-NSX שלנו. שמנו את תיבת הסימון צור כממשק משנה.
כתוצאה מכך, עלינו לקבל שתי רשתות. בדוגמה שלנו, הם נקראים רשת-a ורשת-b עם אותן הגדרות שער ואותה מסיכה.
כעת נעבור להגדרות של ה-NSX הראשון. זה יהיה ה-NSX אליו מחוברת רשת A. היא תפעל כשרת.
נחזור לממשק NSx Edge / עבור ללשונית VPN -> L2VPN. אנו מפעילים את L2VPN, בוחרים את מצב הפעולה של השרת, בהגדרות ה-Global Server אנו מציינים את כתובת ה-IP החיצונית של NSX בה תקשיב היציאה למנהרה. כברירת מחדל, השקע ייפתח ביציאה 443, אך ניתן לשנות זאת. אל תשכח לבחור את הגדרות ההצפנה עבור המנהרה העתידית.
עבור לכרטיסייה אתרי שרת והוסף עמית.
אנו מפעילים את העמית, מגדירים את השם, התיאור, במידת הצורך, מגדירים את שם המשתמש והסיסמה. נזדקק לנתונים אלו מאוחר יותר בעת הגדרת אתר הלקוח.
ב-Egress Optimization Gateway Address אנו מגדירים את כתובת השער. זה הכרחי כדי שלא תהיה התנגשות בין כתובות IP, מכיוון שלשער הרשתות שלנו יש אותה כתובת. לאחר מכן לחץ על כפתור בחר ממשקי משנה.
כאן נבחר את ממשק המשנה הרצוי. אנחנו שומרים את ההגדרות.
אנו רואים כי אתר הלקוח החדש שנוצר הופיע בהגדרות.
כעת נעבור להגדרת NSX מצד הלקוח.
אנחנו עוברים לצד NSX B, עוברים ל-VPN -> L2VPN, מפעילים L2VPN, מגדירים את מצב L2VPN למצב לקוח. בלשונית Client Global, הגדר את הכתובת והיציאה של NSX A, שציינו קודם לכן בתור Listening IP ו-Port בצד השרת. כמו כן, יש צורך להגדיר את אותן הגדרות הצפנה כך שהן יהיו עקביות כאשר המנהרה מורמת.

אנו גוללים למטה, בוחרים את ממשק המשנה שדרכו תיבנה המנהרה עבור L2VPN.
ב-Egress Optimization Gateway Address אנו מגדירים את כתובת השער. הגדר מזהה משתמש וסיסמה. אנו בוחרים את ממשק המשנה ואל נשכח לשמור את ההגדרות.
בעצם, זה הכל. ההגדרות של צד הלקוח והשרת כמעט זהות, למעט כמה ניואנסים.
כעת אנו יכולים לראות שהמנהרה שלנו עבדה על ידי מעבר אל סטטיסטיקה -> L2VPN בכל NSX.
אם נלך כעת לקונסולה של Edge Gateway כלשהו, נראה על כל אחד מהם בטבלת arp את הכתובות של שני ה-VMs.

זה הכל לגבי VPN ב- NSX Edge. תשאל אם משהו לא ברור. זהו גם החלק האחרון בסדרת מאמרים על עבודה עם NSX Edge. אנו מקווים שהם עזרו 🙂

מקור: www.habr.com

VMware NSX לקטנטנים. חלק 6: הגדרת VPN

IPsec

SSL VPN

L2 VPN

הוספת תגובה ביטול תגובה