🥇VMware NSX kanggo bocah cilik. Part 6. VPN persiyapan

Bagean siji. pambuka
Bagian loro. Konfigurasi Firewall lan Aturan NAT
Bagian telu. Konfigurasi DHCP
Bagian papat. Persiyapan rute
Bagean kaping lima. Nyetel imbangan beban

Dina iki kita bakal nliti opsi konfigurasi VPN sing ditawakake NSX Edge.

Umumé, kita bisa mbagi teknologi VPN dadi rong jinis utama:

VPN situs-situs. Panggunaan IPSec sing paling umum yaiku nggawe trowongan sing aman, contone, ing antarane jaringan kantor utama lan jaringan ing situs sing adoh utawa ing awan.
Akses Remote VPN. Digunakake kanggo nyambungake pangguna individu menyang jaringan pribadi perusahaan nggunakake piranti lunak klien VPN.

NSX Edge ngidini kita nggunakake opsi loro kasebut.
Kita bakal ngatur nggunakake bench test karo loro NSX Edge, server Linux karo daemon diinstal rakun lan laptop Windows kanggo nyoba Remote Access VPN.

IPsec

Ing antarmuka vCloud Director, pindhah menyang bagean Administrasi lan pilih vDC. Ing tab Edge Gateways, pilih Edge sing kita butuhake, klik-tengen banjur pilih Edge Gateway Services.
Ing antarmuka NSX Edge, pindhah menyang tab VPN-IPsec VPN, banjur menyang bagean IPsec VPN Sites lan klik + kanggo nambah situs anyar.
Isi kolom sing dibutuhake:
- aktif – ngaktifake situs remot.
- PFS - mesthekake yen saben kunci kriptografi anyar ora ana gandhengane karo kunci sadurunge.
- ID Lokal lan Titik Akhir Lokalt iku alamat njaba NSX Edge.
- Subnet lokals - jaringan lokal sing bakal nggunakake IPsec VPN.
- Peer ID lan Peer Endpoint – alamat situs remot.
- Subnet peer – jaringan sing bakal nggunakake IPsec VPN ing sisih remot.
- Algoritma Enkripsi - algoritma enkripsi trowongan.
- bukti asli - carane kita bakal keasliane peer. Sampeyan bisa nggunakake Pre-Shared Key utawa sertifikat.
- Tombol Pra-Enggo bareng - nemtokake tombol sing bakal digunakake kanggo bukti asli lan kudu cocog ing loro-lorone.
- Grup Diffie Hellman - algoritma pertukaran kunci.
Sawise ngisi kolom sing dibutuhake, klik Simpen.
Rampung.
Sawise nambahake situs kasebut, pindhah menyang tab Status Aktivasi lan aktifake Layanan IPsec.
Sawise setelan diterapake, pindhah menyang tab Statistik -> IPsec VPN lan priksa status trowongan. Kita weruh yen trowongan wis munggah.
Priksa status trowongan saka console gateway Edge:
- nuduhake layanan ipsec - mriksa status layanan.
- nuduhake layanan situs ipsec - Informasi babagan negara situs lan paramèter rembugan.
- nuduhake layanan ipsec sa - mriksa status Association Keamanan (SA).

Priksa konektivitas karo situs remot:

root@racoon:~# ifconfig eth0:1 | grep inet
        inet 10.255.255.1  netmask 255.255.255.0  broadcast 0.0.0.0

root@racoon:~# ping -c1 -I 10.255.255.1 192.168.0.10 
PING 192.168.0.10 (192.168.0.10) from 10.255.255.1 : 56(84) bytes of data.
64 bytes from 192.168.0.10: icmp_seq=1 ttl=63 time=59.9 ms

--- 192.168.0.10 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 59.941/59.941/59.941/0.000 ms

File konfigurasi lan printah tambahan kanggo diagnostik saka server Linux remot:

root@racoon:~# cat /etc/racoon/racoon.conf 

log debug;
path pre_shared_key "/etc/racoon/psk.txt";
path certificate "/etc/racoon/certs";

listen {
  isakmp 80.211.43.73 [500];
   strict_address;
}

remote 185.148.83.16 {
        exchange_mode main,aggressive;
        proposal {
                 encryption_algorithm aes256;
                 hash_algorithm sha1;
                 authentication_method pre_shared_key;
                 dh_group modp1536;
         }
         generate_policy on;
}
 
sainfo address 10.255.255.0/24 any address 192.168.0.0/24 any {
         encryption_algorithm aes256;
         authentication_algorithm hmac_sha1;
         compression_algorithm deflate;
}

===

root@racoon:~# cat /etc/racoon/psk.txt
185.148.83.16 testkey

===

root@racoon:~# cat /etc/ipsec-tools.conf 
#!/usr/sbin/setkey -f

flush;
spdflush;

spdadd 192.168.0.0/24 10.255.255.0/24 any -P in ipsec
      esp/tunnel/185.148.83.16-80.211.43.73/require;

spdadd 10.255.255.0/24 192.168.0.0/24 any -P out ipsec
      esp/tunnel/80.211.43.73-185.148.83.16/require;

===


root@racoon:~# racoonctl show-sa isakmp
Destination            Cookies                           Created
185.148.83.16.500      2088977aceb1b512:a4c470cb8f9d57e9 2019-05-22 13:46:13 

===

root@racoon:~# racoonctl show-sa esp
80.211.43.73 185.148.83.16 
        esp mode=tunnel spi=1646662778(0x6226147a) reqid=0(0x00000000)
        E: aes-cbc  00064df4 454d14bc 9444b428 00e2296e c7bb1e03 06937597 1e522ce0 641e704d
        A: hmac-sha1  aa9e7cd7 51653621 67b3b2e9 64818de5 df848792
        seq=0x00000000 replay=4 flags=0x00000000 state=mature 
        created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
        diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
        last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
        current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
        allocated: 860  hard: 0 soft: 0
        sadb_seq=1 pid=7739 refcnt=0
185.148.83.16 80.211.43.73 
        esp mode=tunnel spi=88535449(0x0546f199) reqid=0(0x00000000)
        E: aes-cbc  c812505a 9c30515e 9edc8c4a b3393125 ade4c320 9bde04f0 94e7ba9d 28e61044
        A: hmac-sha1  cd9d6f6e 06dbcd6d da4d14f8 6d1a6239 38589878
        seq=0x00000000 replay=4 flags=0x00000000 state=mature 
        created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
        diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
        last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
        current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
        allocated: 860  hard: 0 soft: 0
        sadb_seq=0 pid=7739 refcnt=0

Kabeh wis siyap, IPsec VPN situs-situs wis aktif.
Ing conto iki, kita nggunakake PSK kanggo otentikasi peer, nanging otentikasi sertifikat uga bisa. Kanggo nindakake iki, pindhah menyang tab Konfigurasi Global, aktifake otentikasi sertifikat lan pilih sertifikat kasebut dhewe.

Kajaba iku, ing setelan situs, sampeyan kudu ngganti cara otentikasi.

Aku nyathet yen jumlah terowongan IPsec gumantung saka ukuran Edge Gateway sing disebarake (waca babagan iki ing kita artikel pisanan).

SSL VPN

SSL VPN-Plus minangka salah sawijining opsi VPN Akses Jauh. Iki ngidini pangguna remot individu kanthi aman nyambung menyang jaringan pribadi ing mburi NSX Edge Gateway. Trowongan sing dienkripsi ing kasus SSL VPN-plus ditetepake ing antarane klien (Windows, Linux, Mac) lan NSX Edge.

Ayo dadi miwiti nyetel. Ing panel kontrol layanan Edge Gateway, pindhah menyang tab SSL VPN-Plus, banjur menyang Setelan Server. Kita milih alamat lan port sing server bakal ngrungokake sambungan sing mlebu, ngaktifake logging lan pilih algoritma enkripsi sing dibutuhake.

Ing kene sampeyan uga bisa ngganti sertifikat sing bakal digunakake server.
Sawise kabeh wis siyap, uripake server lan aja lali nyimpen setelan kasebut.
Sabanjure, kita kudu nyiyapake blumbang alamat sing bakal ditanggepi kanggo klien nalika disambungake. Jaringan iki kapisah saka subnet sing ana ing lingkungan NSX lan ora perlu dikonfigurasi ing piranti liyane ing jaringan fisik, kajaba rute sing ngarahake.
Pindhah menyang tab Pools IP banjur klik +.
Pilih alamat, subnet mask lan gateway. Ing kene sampeyan uga bisa ngganti setelan kanggo server DNS lan WINS.
Kolam asil.
Saiki ayo tambahake jaringan sing bisa diakses pangguna menyang VPN. Pindhah menyang tab Jaringan Pribadi banjur klik +.
Kita ngisi:
- Jaringan - jaringan lokal sing bisa diakses pangguna remot.
- Kirim lalu lintas, ana rong pilihan:
  - liwat trowongan - ngirim lalu lintas menyang jaringan liwat trowongan,
  — bypass trowongan — ngirim lalu lintas menyang jaringan langsung ngliwati trowongan.
- Aktifake Optimasi TCP - priksa manawa sampeyan milih opsi liwat trowongan. Nalika optimasi diaktifake, sampeyan bisa nemtokake nomer port sing pengin ngoptimalake lalu lintas. Lalu lintas kanggo port sing isih ana ing jaringan tartamtu kasebut ora bakal dioptimalake. Yen ora ana nomer port sing ditemtokake, lalu lintas kanggo kabeh port dioptimalake. Waca liyane babagan fitur iki kene.
Sabanjure, pindhah menyang tab Authentication banjur klik +. Kanggo otentikasi, kita bakal nggunakake server lokal ing NSX Edge dhewe.
Ing kene kita bisa milih kabijakan kanggo nggawe tembung sandhi anyar lan ngatur pilihan kanggo mblokir akun pangguna (contone, jumlah nyoba maneh yen tembung sandhi salah diketik).
Amarga kita nggunakake otentikasi lokal, kita kudu nggawe pangguna.
Saliyane bab dhasar kaya jeneng lan sandhi, ing kene sampeyan bisa, contone, nglarang pangguna ngganti tembung sandhi utawa, kosok balene, meksa dheweke ngganti tembung sandhi ing wektu sabanjure dheweke mlebu.
Sawise kabeh pangguna sing dibutuhake wis ditambahake, pindhah menyang tab Paket Instalasi, klik + lan nggawe installer dhewe, sing bakal diundhuh dening karyawan remot kanggo instalasi.
Tekan +. Pilih alamat lan port server sing bakal disambungake klien, lan platform sing pengin nggawe paket instalasi.

Ing ngisor jendela iki, sampeyan bisa nemtokake setelan klien kanggo Windows. Pilih:
- miwiti klien ing logon - klien VPN bakal ditambahake kanggo wiwitan ing mesin remot;
- nggawe lambang desktop - bakal nggawe lambang klien VPN ing desktop;
- validasi sertifikat keamanan server - bakal ngesyahke sertifikat server nalika sambungan.
  Persiyapan server wis rampung.
Saiki ayo ndownload paket instalasi sing digawe ing langkah pungkasan menyang PC remot. Nalika nyetel server, kita nemtokake alamat eksternal (185.148.83.16) lan port (445). Ing alamat iki kita kudu pindhah menyang browser web. Ing kasusku iku 185.148.83.16: 445.
Ing jendhela wewenang, sampeyan kudu ngetik kredensial pangguna sing digawe sadurunge.
Sawise wewenang, kita ndeleng dhaptar paket instalasi sing digawe sing kasedhiya kanggo didownload. Kita wis nggawe mung siji - kita bakal ngundhuh.
Kita klik link, download klien diwiwiti.
Mbukak arsip sing diundhuh lan mbukak installer.
Sawise instalasi, bukak klien, ing jendela wewenang, klik Login.
Ing jendhela verifikasi sertifikat, pilih Ya.
Kita ngetik kredensial kanggo pangguna sing wis digawe sadurunge lan ndeleng manawa sambungan wis rampung kanthi sukses.
Kita mriksa statistik klien VPN ing komputer lokal.
Ing baris printah Windows (ipconfig / kabeh), kita ndeleng manawa adaptor virtual tambahan wis muncul lan ana panyambungan menyang jaringan remot, kabeh bisa digunakake:
Lan pungkasanipun, mriksa saka console Edge Gateway.

L2 VPN

L2VPN bakal dibutuhake nalika sampeyan kudu nggabungake sawetara sacara geografis
nyebarake jaringan menyang siji domain siaran.

Iki bisa migunani, contone, nalika migrasi mesin virtual: nalika VM pindhah menyang wilayah geografis liyane, mesin bakal nahan setelan alamat IP lan ora bakal kelangan panyambungan karo mesin liyane dumunung ing domain L2 padha karo.

Ing lingkungan test kita, kita bakal nyambung loro situs kanggo saben liyane, kita bakal nelpon mung A lan B. Kita duwe loro NSXs lan loro identik digawe jaringan routed ditempelake ing Edges beda. Mesin A duwe alamat 10.10.10.250/24, Mesin B duwe alamat 10.10.10.2/24.

Ing Direktur vCloud, pindhah menyang tab Administrasi, pindhah menyang VDC sing kita butuhake, pindhah menyang tab Org VDC Networks lan tambahake rong jaringan anyar.
Pilih jinis jaringan rute lan ikatan jaringan iki menyang NSX kita. Kita sijine kothak centhang Gawe minangka subinterface.
Akibaté, kita kudu entuk rong jaringan. Ing conto kita, padha disebut jaringan-a lan jaringan-b karo setelan gateway padha lan topeng padha.
Saiki ayo pindhah menyang setelan NSX pisanan. Iki bakal dadi NSX sing disambungake karo Jaringan A. Iku bakal dadi server.
Kita bali menyang antarmuka NSx Edge / Pindhah menyang tab VPN -> L2VPN. Ngaktifake L2VPN, pilih mode operasi Server, ing setelan Global Server kita nemtokake alamat IP NSX eksternal sing bakal dirungokake port kanggo trowongan. Kanthi gawan, soket bakal mbukak ing port 443, nanging iki bisa diganti. Aja lali kanggo milih setelan enkripsi kanggo trowongan mangsa.
Pindhah menyang tab Situs Server lan tambahake kanca.
Kita nguripake peer, nyetel jeneng, gambaran, yen perlu, nyetel jeneng pangguna lan sandhi. Kita bakal mbutuhake data iki mengko nalika nyetel situs klien.
Ing Egress Optimization Gateway Address kita nyetel alamat gateway. Iki perlu supaya ora ana konflik alamat IP, amarga gateway jaringan kita duwe alamat sing padha. Banjur klik tombol PILIH SUB-INTERFACES.
Ing kene kita milih subinterface sing dikarepake. Kita nyimpen setelan.
Kita weruh yen situs klien sing mentas digawe wis katon ing setelan.
Saiki ayo pindhah menyang konfigurasi NSX saka sisih klien.
Kita pindhah menyang NSX sisih B, pindhah menyang VPN -> L2VPN, aktifake L2VPN, setel mode L2VPN menyang mode klien. Ing tab Global Klien, setel alamat lan port NSX A, sing wis ditemtokake sadurunge minangka Listening IP lan Port ing sisih server. Sampeyan uga perlu kanggo nyetel setelan enkripsi padha supaya padha konsisten nalika trowongan wungu.

Kita gulung ing ngisor iki, pilih subinterface sing bakal dibangun trowongan kanggo L2VPN.
Ing Egress Optimization Gateway Address kita nyetel alamat gateway. Setel pangguna-id lan sandhi. Kita milih subinterface lan aja lali nyimpen setelan kasebut.
Bener, iku kabeh. Setelan sisih klien lan server meh padha, kajaba sawetara nuansa.
Saiki kita bisa ndeleng manawa trowongan kita wis digunakake kanthi pindhah menyang Statistik -> L2VPN ing NSX apa wae.
Yen kita saiki menyang console sembarang Edge Gateway, kita bakal weruh ing saben wong ing Tabel arp alamat loro VMs.

Iku kabeh babagan VPN ing NSX Edge. Takon yen ana sing ora jelas. Iki uga minangka bagean pungkasan saka seri artikel babagan nggarap NSX Edge. Kulo pengen padha mbiyantu 🙂

Source: www.habr.com

VMware NSX kanggo bocah cilik. Bagean 6: Persiyapan VPN

IPsec

SSL VPN

L2 VPN

Add a comment Отменить ответ