小さなお子様向けの VMware NSX。 パート 6: VPN のセットアップ

パート1 はじめに
パートXNUMX。 ファイアウォールと NAT ルールの構成
パート XNUMX。 DHCPの設定
パート XNUMX。 ルーティングの設定
パート XNUMX。 ロードバランサーのセットアップ

今日は、NSX Edge が提供する VPN 構成オプションを見ていきます。

一般に、VPN テクノロジーは XNUMX つの主要なタイプに分類できます。

• サイト間 VPN。 IPSec の最も一般的な用途は、たとえば、本社ネットワークとリモート サイトまたはクラウド内のネットワークとの間に安全なトンネルを作成することです。
• リモートアクセスVPN。 VPN クライアント ソフトウェアを使用して、個々のユーザーを企業のプライベート ネットワークに接続するために使用されます。

NSX Edge では、両方のオプションを使用できます。
XNUMX つの NSX Edge、デーモンがインストールされた Linux サーバーを備えたテストベンチを使用して構成します。 アライグマ およびリモート アクセス VPN をテストするための Windows ラップトップ。

IPsec

1. vCloud Director インターフェイスで、[管理] セクションに移動し、vDC を選択します。 [Edge Gateways] タブで、必要な Edge を選択し、右クリックして [Edge Gateway Services] を選択します。
   
2. NSX Edge インターフェイスで、[VPN-IPsec VPN] タブに移動し、[IPsec VPN サイト] セクションに移動して、[+] をクリックして新しいサイトを追加します。

   

3. 必須フィールドに入力します。
   • 使用可能 – リモート サイトをアクティブにします。
   • PFS – 新しい暗号キーが以前のキーに関連付けられていないことを保証します。
   • ローカル ID とローカル エンドポイントt は、NSX Edge の外部アドレスです。
   • ローカルサブネットs - IPsec VPN を使用するローカル ネットワーク。
   • ピア ID とピア エンドポイント – リモート サイトのアドレス。
   • ピアサブネット – リモート側で IPsec VPN を使用するネットワーク。
   • 暗号化アルゴリズム – トンネル暗号化アルゴリズム。

   
   

   • 認証 - ピアを認証する方法。 事前共有キーまたは証明書を使用できます。
   • 事前共有鍵 - 認証に使用され、両側で一致する必要があるキーを指定します。
   • ディフィー・ヘルマン・グループ – 鍵交換アルゴリズム。

   必須フィールドに入力したら、「保持」をクリックします。

   

4. 完了しました。

   

5. サイトを追加した後、「アクティブ化ステータス」タブに移動して、IPsec サービスをアクティブ化します。

   

6. 設定が適用されたら、[統計] -> [IPsec VPN] タブに移動し、トンネルのステータスを確認します。 トンネルが隆起しているのがわかります。

   

7. Edge Gateway コンソールからトンネルのステータスを確認します。
   • show service ipsec - サービスのステータスを確認します。

     

   • show service ipsec site - サイトの状態とネゴシエートされたパラメータに関する情報。

     

   • show service ipsec sa - セキュリティ アソシエーション (SA) のステータスを確認します。

     

8. リモート サイトとの接続を確認しています。

   root@racoon:~# ifconfig eth0:1 | grep inet
           inet 10.255.255.1  netmask 255.255.255.0  broadcast 0.0.0.0
   
   root@racoon:~# ping -c1 -I 10.255.255.1 192.168.0.10 
   PING 192.168.0.10 (192.168.0.10) from 10.255.255.1 : 56(84) bytes of data.
   64 bytes from 192.168.0.10: icmp_seq=1 ttl=63 time=59.9 ms
   
   --- 192.168.0.10 ping statistics ---
   1 packets transmitted, 1 received, 0% packet loss, time 0ms
   rtt min/avg/max/mdev = 59.941/59.941/59.941/0.000 ms
   

   リモート Linux サーバーからの診断用の構成ファイルと追加コマンド:

   root@racoon:~# cat /etc/racoon/racoon.conf 
   
   log debug;
   path pre_shared_key "/etc/racoon/psk.txt";
   path certificate "/etc/racoon/certs";
   
   listen {
     isakmp 80.211.43.73 [500];
      strict_address;
   }
   
   remote 185.148.83.16 {
           exchange_mode main,aggressive;
           proposal {
                    encryption_algorithm aes256;
                    hash_algorithm sha1;
                    authentication_method pre_shared_key;
                    dh_group modp1536;
            }
            generate_policy on;
   }
    
   sainfo address 10.255.255.0/24 any address 192.168.0.0/24 any {
            encryption_algorithm aes256;
            authentication_algorithm hmac_sha1;
            compression_algorithm deflate;
   }
   
   ===
   
   root@racoon:~# cat /etc/racoon/psk.txt
   185.148.83.16 testkey
   
   ===
   
   root@racoon:~# cat /etc/ipsec-tools.conf 
   #!/usr/sbin/setkey -f
   
   flush;
   spdflush;
   
   spdadd 192.168.0.0/24 10.255.255.0/24 any -P in ipsec
         esp/tunnel/185.148.83.16-80.211.43.73/require;
   
   spdadd 10.255.255.0/24 192.168.0.0/24 any -P out ipsec
         esp/tunnel/80.211.43.73-185.148.83.16/require;
   
   ===
   
   
   root@racoon:~# racoonctl show-sa isakmp
   Destination            Cookies                           Created
   185.148.83.16.500      2088977aceb1b512:a4c470cb8f9d57e9 2019-05-22 13:46:13 
   
   ===
   
   root@racoon:~# racoonctl show-sa esp
   80.211.43.73 185.148.83.16 
           esp mode=tunnel spi=1646662778(0x6226147a) reqid=0(0x00000000)
           E: aes-cbc  00064df4 454d14bc 9444b428 00e2296e c7bb1e03 06937597 1e522ce0 641e704d
           A: hmac-sha1  aa9e7cd7 51653621 67b3b2e9 64818de5 df848792
           seq=0x00000000 replay=4 flags=0x00000000 state=mature 
           created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
           diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
           last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
           current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
           allocated: 860  hard: 0 soft: 0
           sadb_seq=1 pid=7739 refcnt=0
   185.148.83.16 80.211.43.73 
           esp mode=tunnel spi=88535449(0x0546f199) reqid=0(0x00000000)
           E: aes-cbc  c812505a 9c30515e 9edc8c4a b3393125 ade4c320 9bde04f0 94e7ba9d 28e61044
           A: hmac-sha1  cd9d6f6e 06dbcd6d da4d14f8 6d1a6239 38589878
           seq=0x00000000 replay=4 flags=0x00000000 state=mature 
           created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
           diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
           last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
           current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
           allocated: 860  hard: 0 soft: 0
           sadb_seq=0 pid=7739 refcnt=0

9. すべての準備が整い、サイト間の IPsec VPN が稼働しています。

   この例ではピア認証に PSK を使用しましたが、証明書認証も可能です。 これを行うには、「グローバル構成」タブに移動し、証明書認証を有効にして、証明書自体を選択します。

   また、サイトの設定で認証方法を変更する必要があります。

   
   
   
   
   IPsec トンネルの数は、デプロイされた Edge Gateway のサイズによって異なることに注意してください (これについては、「 最初の記事).

   

SSL-VPN

SSL VPN-Plus は、リモート アクセス VPN オプションの XNUMX つです。 これにより、個々のリモート ユーザーが NSX Edge Gateway の背後にあるプライベート ネットワークに安全に接続できるようになります。 SSL VPN-plus の場合、暗号化されたトンネルがクライアント (Windows、Linux、Mac) と NSX Edge の間に確立されます。

1. セットアップを始めましょう。 Edge Gateway サービスのコントロール パネルで、[SSL VPN-Plus] タブに移動し、[サーバー設定] に移動します。 サーバーが受信接続をリッスンするアドレスとポートを選択し、ログを有効にして、必要な暗号化アルゴリズムを選択します。

   
   
   ここで、サーバーが使用する証明書を変更することもできます。

   

2. すべての準備が完了したら、サーバーの電源を入れ、設定を保存することを忘れないでください。

   

3. 次に、接続時にクライアントに発行するアドレスのプールを設定する必要があります。 このネットワークは、NSX 環境内の既存のサブネットから分離されており、それを指すルートを除き、物理ネットワーク上の他のデバイスで構成する必要はありません。

   [IP プール] タブに移動し、[+] をクリックします。

   

4. アドレス、サブネットマスク、ゲートウェイを選択します。 ここで、DNS サーバーと WINS サーバーの設定を変更することもできます。

   

5. 結果として得られるプール。

   

6. 次に、VPN に接続するユーザーがアクセスできるネットワークを追加しましょう。 [プライベート ネットワーク] タブに移動し、[+] をクリックします。

   

7. 記入します：
   • ネットワーク - リモート ユーザーがアクセスできるローカル ネットワーク。
   • トラフィックを送信するには、次の XNUMX つのオプションがあります。
     - トンネル経由 - トンネル経由でネットワークにトラフィックを送信します。
     — バイパス トンネル — トンネルを直接バイパスしてトラフィックをネットワークに送信します。
   • TCP 最適化を有効にする - トンネル経由オプションを選択したかどうかを確認します。 最適化が有効な場合、トラフィックを最適化するポート番号を指定できます。 その特定のネットワーク上の残りのポートのトラフィックは最適化されません。 ポート番号を指定しない場合、すべてのポートのトラフィックが最適化されます。 この機能について詳しく読む ここで.

   

8. 次に、「認証」タブに移動し、「+」をクリックします。 認証には、NSX Edge 自体のローカル サーバーを使用します。

   

9. ここでは、新しいパスワードを生成するためのポリシーを選択し、ユーザー アカウントをブロックするためのオプション (パスワードが間違って入力された場合の再試行回数など) を構成できます。

   
   
   

10. ローカル認証を使用しているため、ユーザーを作成する必要があります。

    

11. ここでは、名前やパスワードなどの基本的なものに加えて、たとえばユーザーによるパスワードの変更を禁止したり、逆に次回ログイン時にパスワードの変更を強制したりすることができます。

    

12. 必要なユーザーをすべて追加したら、[インストール パッケージ] タブに移動し、[+] をクリックしてインストーラー自体を作成します。これはリモートの従業員によってインストール用にダウンロードされます。

    

13. +を押します。 クライアントが接続するサーバーのアドレスとポート、およびインストール パッケージを生成するプラットフォームを選択します。

    
    
    このウィンドウの下で、Windows のクライアント設定を指定できます。 選ぶ：

    • ログオン時にクライアントを開始 – VPN クライアントがリモート マシンの起動に追加されます。
    • デスクトップ アイコンの作成 - デスクトップに VPN クライアント アイコンを作成します。
    • サーバー セキュリティ証明書の検証 - 接続時にサーバー証明書を検証します。
      サーバーのセットアップが完了しました。

    

14. 次に、最後の手順で作成したインストール パッケージをリモート PC にダウンロードしましょう。 サーバーをセットアップするときに、その外部アドレス (185.148.83.16) とポート (445) を指定しました。 Web ブラウザでこのアドレスにアクセスする必要があります。 私の場合はそうです 185.148.83.16：445。

    認証ウィンドウでは、前に作成したユーザー認証情報を入力する必要があります。

    

15. 認証後、ダウンロード可能な作成されたインストール パッケージのリストが表示されます。 XNUMX つだけ作成しましたので、それをダウンロードします。

    

16. リンクをクリックすると、クライアントのダウンロードが始まります。

    

17. ダウンロードしたアーカイブを解凍し、インストーラーを実行します。

    

18. インストール後、クライアントを起動し、認証ウィンドウで「ログイン」をクリックします。

    

19. 証明書の検証ウィンドウで [はい] を選択します。

    

20. 以前に作成したユーザーの資格情報を入力すると、接続が正常に完了したことが確認されます。

    
    
    

21. ローカル コンピューター上の VPN クライアントの統計を確認します。

    
    
    

22. Windows コマンド ライン (ipconfig / all) では、追加の仮想アダプターが表示され、リモート ネットワークへの接続があり、すべてが機能していることがわかります。

    
    
    

23. 最後に、Edge Gateway コンソールから確認します。

    

L2 VPN

L2VPN は、地理的に複数を組み合わせる必要がある場合に必要になります。
分散ネットワークを XNUMX つのブロードキャスト ドメインに統合します。

これは、たとえば仮想マシンを移行する場合に役立ちます。VM が別の地理的領域に移動しても、マシンはその IP アドレス設定を保持し、同じ L2 ドメイン内にある他のマシンとの接続を失いません。

このテスト環境では、10.10.10.250 つのサイトを相互に接続し、それぞれ A と B と呼びます。24 つの NSX と、同じように作成された 10.10.10.2 つのルーティングされたネットワークが異なる Edge に接続されています。 マシン A のアドレスは 24/XNUMX、マシン B のアドレスは XNUMX/XNUMX です。

1. vCloud Director で、[管理] タブに移動し、必要な VDC に移動して、[組織 VDC ネットワーク] タブに移動して、XNUMX つの新しいネットワークを追加します。

   

2. ルーティングされたネットワーク タイプを選択し、このネットワークを NSX にバインドします。 [サブインターフェイスとして作成] チェックボックスをオンにします。

   

3. 結果として、XNUMX つのネットワークが得られるはずです。 この例では、それらは同じゲートウェイ設定と同じマスクを持つ network-a と network-b と呼ばれます。

   
   
   

4. それでは、最初の NSX の設定に進みましょう。 これはネットワーク A が接続されている NSX であり、サーバーとして機能します。

   NSx Edge インターフェイスに戻り、[VPN] タブ -> [L2VPN] に移動します。 L2VPN をオンにし、サーバー動作モードを選択し、サーバーのグローバル設定でトンネルのポートがリッスンする外部 NSX IP アドレスを指定します。 デフォルトでは、ソケットはポート 443 で開きますが、これは変更できます。 今後のトンネルの暗号化設定を選択することを忘れないでください。

   

5. [サーバー サイト] タブに移動し、ピアを追加します。

   

6. ピアをオンにし、名前と説明を設定し、必要に応じてユーザー名とパスワードを設定します。 このデータは、後でクライアント サイトを設定するときに必要になります。

   [Egress Optimization Gateway Address] でゲートウェイ アドレスを設定します。 これは、ネットワークのゲートウェイが同じアドレスを持っているため、IP アドレスの競合を避けるために必要です。 次に、「サブインターフェースの選択」ボタンをクリックします。

   

7. ここで、目的のサブインターフェイスを選択します。 設定を保存します。

   

8. 新しく作成されたクライアント サイトが設定に表示されていることがわかります。

   

9. 次に、クライアント側からの NSX の構成に進みます。

   NSX サイド B に移動し、VPN -> L2VPN に移動し、L2VPN を有効にして、L2VPN モードをクライアント モードに設定します。 [クライアント グローバル] タブで、NSX A のアドレスとポートを設定します。これは、サーバー側のリスニング IP とポートとして前に指定しました。 トンネルが確立されたときに一貫性が保たれるように、同じ暗号化設定を設定することも必要です。

   
   
   下にスクロールして、L2VPN のトンネルを構築するサブインターフェイスを選択します。
   [Egress Optimization Gateway Address] でゲートウェイ アドレスを設定します。 ユーザーIDとパスワードを設定します。 サブインターフェースを選択し、忘れずに設定を保存します。

   

10. 実はそれだけです。 クライアント側とサーバー側の設定は、いくつかのニュアンスを除いてほぼ同じです。
11. 任意の NSX で [統計] -> [L2VPN] に移動すると、トンネルが機能していることがわかります。

    

12. ここで、Edge Gateway のコンソールに移動すると、ARP テーブル内の各 Edge Gateway の両方の VM のアドレスが表示されます。

    

NSX Edge 上の VPN については以上です。 不明な点がある場合は質問してください。 これは、NSX Edge の使用に関する一連の記事の最終部分でもあります。 お役に立てば幸いです 🙂

出所： habr.com