Бүгін біз NSX Edge ұсынатын VPN конфигурациясының опцияларын қарастырамыз.
Жалпы VPN технологияларын екі негізгі түрге бөлуге болады:
- Сайттан сайтқа VPN. IPSec-тің ең кең тараған қолданылуы қауіпсіз туннель жасау болып табылады, мысалы, негізгі кеңсе желісі мен қашықтағы тораптағы немесе бұлттағы желі арасында.
- Қашықтан қол жеткізу VPN. VPN клиенттік бағдарламалық құралы арқылы жеке пайдаланушыларды корпоративтік жеке желілерге қосу үшін пайдаланылады.
NSX Edge бізге екі опцияны да пайдалануға мүмкіндік береді.
Біз екі NSX Edge, орнатылған демоны бар Linux сервері бар сынақ үстелін пайдаланып конфигурациялаймыз және қашықтан қол жеткізу VPN мүмкіндігін тексеру үшін Windows ноутбугі.
IPsec
- vCloud Director интерфейсінде Әкімшілік бөліміне өтіп, vDC таңдаңыз. Edge Gateways қойындысында бізге қажет Edge таңдаңыз, тінтуірдің оң жақ түймешігімен басып, Edge Gateway Services тармағын таңдаңыз.
- NSX Edge интерфейсінде VPN-IPsec VPN қойындысына, одан кейін IPsec VPN сайттары бөліміне өтіп, жаңа сайт қосу үшін + түймесін басыңыз.
- Қажетті өрістерді толтырыңыз:
- Қосылған – қашықтағы сайтты белсендіреді.
- PFS – әрбір жаңа криптографиялық кілттің алдыңғы кілтпен байланыспауын қамтамасыз етеді.
- Жергілікті идентификатор және жергілікті соңғы нүктеt – NSX Edge сыртқы мекенжайы.
- Жергілікті ішкі желіs - IPsec VPN пайдаланатын жергілікті желілер.
- Peer ID және Peer Endpoint – қашықтағы сайттың мекенжайы.
- Бірдей ішкі желілер – қашықтағы жағында IPsec VPN пайдаланатын желілер.
- Шифрлау алгоритмі – туннельді шифрлау алгоритмі.
- Аутентификация - біз құрдастың аутентификациясын қалай жасаймыз. Алдын ала ортақ кілтті немесе сертификатты пайдалануға болады.
- Алдын ала бөлісілген кілт - аутентификация үшін пайдаланылатын кілтті көрсетіңіз және екі жағынан да сәйкес келуі керек.
- Диффи Хеллман тобы – кілт алмасу алгоритмі.
Қажетті өрістерді толтырғаннан кейін «Сақтау» түймесін басыңыз.
- Аяқталды.
- Сайтты қосқаннан кейін Белсендіру күйі қойындысына өтіп, IPsec қызметін іске қосыңыз.
- Параметрлер қолданылғаннан кейін Статистика -> IPsec VPN қойындысына өтіп, туннель күйін тексеріңіз. Туннельдің көтерілгенін көріп отырмыз.
- Edge шлюз консолінен туннель күйін тексеріңіз:
- ipsec қызметін көрсету - қызметтің күйін тексеру.
- ipsec сайтын көрсету - Сайттың күйі және келісілген параметрлер туралы ақпарат.
- ipsec sa қызметін көрсету - Қауіпсіздік қауымдастығының (SA) күйін тексеру.
- ipsec қызметін көрсету - қызметтің күйін тексеру.
- Қашықтағы сайтпен қосылымды тексеру:
root@racoon:~# ifconfig eth0:1 | grep inet inet 10.255.255.1 netmask 255.255.255.0 broadcast 0.0.0.0 root@racoon:~# ping -c1 -I 10.255.255.1 192.168.0.10 PING 192.168.0.10 (192.168.0.10) from 10.255.255.1 : 56(84) bytes of data. 64 bytes from 192.168.0.10: icmp_seq=1 ttl=63 time=59.9 ms --- 192.168.0.10 ping statistics --- 1 packets transmitted, 1 received, 0% packet loss, time 0ms rtt min/avg/max/mdev = 59.941/59.941/59.941/0.000 msҚашықтағы Linux серверінен диагностикалау үшін конфигурация файлдары және қосымша пәрмендер:
root@racoon:~# cat /etc/racoon/racoon.conf log debug; path pre_shared_key "/etc/racoon/psk.txt"; path certificate "/etc/racoon/certs"; listen { isakmp 80.211.43.73 [500]; strict_address; } remote 185.148.83.16 { exchange_mode main,aggressive; proposal { encryption_algorithm aes256; hash_algorithm sha1; authentication_method pre_shared_key; dh_group modp1536; } generate_policy on; } sainfo address 10.255.255.0/24 any address 192.168.0.0/24 any { encryption_algorithm aes256; authentication_algorithm hmac_sha1; compression_algorithm deflate; } === root@racoon:~# cat /etc/racoon/psk.txt 185.148.83.16 testkey === root@racoon:~# cat /etc/ipsec-tools.conf #!/usr/sbin/setkey -f flush; spdflush; spdadd 192.168.0.0/24 10.255.255.0/24 any -P in ipsec esp/tunnel/185.148.83.16-80.211.43.73/require; spdadd 10.255.255.0/24 192.168.0.0/24 any -P out ipsec esp/tunnel/80.211.43.73-185.148.83.16/require; === root@racoon:~# racoonctl show-sa isakmp Destination Cookies Created 185.148.83.16.500 2088977aceb1b512:a4c470cb8f9d57e9 2019-05-22 13:46:13 === root@racoon:~# racoonctl show-sa esp 80.211.43.73 185.148.83.16 esp mode=tunnel spi=1646662778(0x6226147a) reqid=0(0x00000000) E: aes-cbc 00064df4 454d14bc 9444b428 00e2296e c7bb1e03 06937597 1e522ce0 641e704d A: hmac-sha1 aa9e7cd7 51653621 67b3b2e9 64818de5 df848792 seq=0x00000000 replay=4 flags=0x00000000 state=mature created: May 22 13:46:13 2019 current: May 22 14:07:43 2019 diff: 1290(s) hard: 3600(s) soft: 2880(s) last: May 22 13:46:13 2019 hard: 0(s) soft: 0(s) current: 72240(bytes) hard: 0(bytes) soft: 0(bytes) allocated: 860 hard: 0 soft: 0 sadb_seq=1 pid=7739 refcnt=0 185.148.83.16 80.211.43.73 esp mode=tunnel spi=88535449(0x0546f199) reqid=0(0x00000000) E: aes-cbc c812505a 9c30515e 9edc8c4a b3393125 ade4c320 9bde04f0 94e7ba9d 28e61044 A: hmac-sha1 cd9d6f6e 06dbcd6d da4d14f8 6d1a6239 38589878 seq=0x00000000 replay=4 flags=0x00000000 state=mature created: May 22 13:46:13 2019 current: May 22 14:07:43 2019 diff: 1290(s) hard: 3600(s) soft: 2880(s) last: May 22 13:46:13 2019 hard: 0(s) soft: 0(s) current: 72240(bytes) hard: 0(bytes) soft: 0(bytes) allocated: 860 hard: 0 soft: 0 sadb_seq=0 pid=7739 refcnt=0 - Барлығы дайын, сайттан сайтқа IPsec VPN қосулы және жұмыс істейді.
Бұл мысалда біз PSK теңдік аутентификациясы үшін пайдаландық, бірақ сертификаттың аутентификациясы да мүмкін. Мұны істеу үшін Жаһандық конфигурация қойындысына өтіп, сертификаттың аутентификациясын қосыңыз және сертификаттың өзін таңдаңыз.
Сонымен қатар, сайт параметрлерінде аутентификация әдісін өзгерту қажет болады.
IPsec туннельдерінің саны орналастырылған Edge Gateway өлшеміне байланысты екенін ескертемін (бұл туралы біздің мақалада оқыңыз. ).
SSL VPN
SSL VPN-Plus қашықтан қол жеткізу VPN опцияларының бірі болып табылады. Ол жеке қашықтағы пайдаланушыларға NSX Edge Gateway артындағы жеке желілерге қауіпсіз қосылуға мүмкіндік береді. SSL VPN-плюс жағдайында шифрланған туннель клиент (Windows, Linux, Mac) және NSX Edge арасында орнатылады.
- Реттеуді бастайық. Edge Gateway қызметінің басқару тақтасында SSL VPN-Plus қойындысына, одан кейін Сервер параметрлері тармағына өтіңіз. Біз сервер кіріс қосылымдарды тыңдайтын мекен-жай мен портты таңдаймыз, тіркеуді қосамыз және қажетті шифрлау алгоритмдерін таңдаймыз.
Мұнда сервер пайдаланатын сертификатты да өзгертуге болады. - Барлығы дайын болғаннан кейін серверді қосыңыз және параметрлерді сақтауды ұмытпаңыз.
- Әрі қарай, біз қосылған кезде клиенттерге беретін мекенжайлар пулын орнатуымыз керек. Бұл желі NSX ортаңыздағы кез келген бар ішкі желіден бөлек және оны көрсететін маршруттарды қоспағанда, физикалық желілердегі басқа құрылғыларда конфигурациялаудың қажеті жоқ.
IP пулдары қойындысына өтіп, + түймесін басыңыз.
- Мекенжайларды, ішкі желі маскасын және шлюзді таңдаңыз. Мұнда DNS және WINS серверлерінің параметрлерін де өзгертуге болады.
- Алынған бассейн.
- Енді VPN желісіне қосылатын пайдаланушылар қол жеткізе алатын желілерді қосамыз. Жеке желілер қойындысына өтіп, + түймесін басыңыз.
- Біз толтырамыз:
- Желі – қашықтағы пайдаланушылар қол жеткізе алатын жергілікті желі.
- Трафик жіберу, оның екі нұсқасы бар:
- туннель арқылы - трафикті туннель арқылы желіге жіберу,
— туннельді айналып өту — трафикті тікелей туннельді айналып өтетін желіге жіберу. - TCP оңтайландыруын қосу - туннель арқылы опцияны таңдағаныңызды тексеріңіз. Оңтайландыру қосулы кезде, трафикті оңтайландырғыңыз келетін порт нөмірлерін көрсетуге болады. Белгілі бір желідегі қалған порттар үшін трафик оңтайландырылмайды. Порт нөмірлері көрсетілмесе, барлық порттар үшін трафик оңтайландырылған. Бұл мүмкіндік туралы толығырақ оқыңыз .
- Әрі қарай, Аутентификация қойындысына өтіп, + түймесін басыңыз. Аутентификация үшін біз NSX Edge ішіндегі жергілікті серверді қолданамыз.
- Мұнда біз жаңа құпия сөздерді генерациялау саясатын таңдай аламыз және пайдаланушы тіркелгілерін бұғаттау опцияларын конфигурациялай аламыз (мысалы, егер құпия сөз дұрыс енгізілмесе, қайталау әрекеттерінің саны).
- Біз жергілікті аутентификацияны пайдаланып жатқандықтан, пайдаланушыларды жасауымыз керек.
- Пайдаланушы аты мен құпия сөз сияқты негізгі нәрселерден басқа, мұнда, мысалы, пайдаланушының құпия сөзді өзгертуіне жол бермеуге немесе, керісінше, келесі рет кірген кезде оны парольді өзгертуге мәжбүрлеуге болады.
- Барлық қажетті пайдаланушылар қосылғаннан кейін Орнату бумалары қойындысына өтіп, + түймесін басып, орнату үшін қашықтағы қызметкер жүктеп алатын орнатушының өзін жасаңыз.
- + түймесін басыңыз. Клиент қосылатын сервердің мекенжайы мен портын және орнату бумасын жасағыңыз келетін платформаларды таңдаңыз.
Төменде осы терезеде Windows үшін клиент параметрлерін көрсетуге болады. Таңдау:- жүйеге кіру кезінде клиентті іске қосу – VPN клиенті қашықтағы компьютерде іске қосуға қосылады;
- жұмыс үстелінің белгішесін жасау - жұмыс үстелінде VPN клиентінің белгішесін жасайды;
- сервер қауіпсіздік сертификатын тексеру - қосылу кезінде сервер сертификатын растайды.
Серверді орнату аяқталды.
- Енді қашықтағы компьютерге соңғы қадамда жасаған орнату бумасын жүктеп алайық. Серверді орнату кезінде оның сыртқы мекенжайын (185.148.83.16) және портты (445) көрсеттік. Дәл осы мекенжай бойынша біз веб-шолғышқа өтуіміз керек. Менің жағдайда солай : 445.
Авторизация терезесінде біз бұрын жасаған пайдаланушы тіркелгі деректерін енгізу керек.
- Авторизациядан кейін жүктеп алуға болатын жасалған орнату бумаларының тізімін көреміз. Біз тек біреуін жасадық - біз оны жүктеп аламыз.
- Біз сілтемені басамыз, клиентті жүктеу басталады.
- Жүктелген мұрағатты орауыштан шығарып, орнатушыны іске қосыңыз.
- Орнатқаннан кейін клиентті іске қосыңыз, авторизация терезесінде «Кіру» түймесін басыңыз.
- Куәлікті тексеру терезесінде Иә опциясын таңдаңыз.
- Біз бұрын жасалған пайдаланушының тіркелгі деректерін енгіземіз және қосылым сәтті аяқталғанын көреміз.
- Біз жергілікті компьютерде VPN клиентінің статистикасын тексереміз.
- Windows пәрмен жолында (ipconfig / барлығы) біз қосымша виртуалды адаптердің пайда болғанын және қашықтағы желіге қосылу мүмкіндігі бар екенін көреміз, бәрі жұмыс істейді:
- Соңында Edge Gateway консолінен тексеріңіз.
L2 VPN
L2VPN бірнеше географиялық біріктіру қажет болғанда қажет болады
бір таратылатын доменге бөлінген желілер.
Бұл, мысалы, виртуалды машинаны көшіру кезінде пайдалы болуы мүмкін: VM басқа географиялық аймаққа ауысқанда, құрылғы IP мекенжайының параметрлерін сақтайды және онымен бір L2 доменінде орналасқан басқа машиналармен қосылымды жоғалтпайды.
Сынақ ортамызда біз екі сайтты бір-біріне қосамыз, оларды сәйкесінше A және B деп атаймыз.Бізде екі NSX және әртүрлі Edges-ге бекітілген екі бірдей құрылған маршрутталған желі бар. А машинасының мекенжайы 10.10.10.250/24, В машинасының мекенжайы 10.10.10.2/24.
- vCloud Director бағдарламасында Әкімшілік қойындысына өтіңіз, бізге қажет VDC желісіне өтіңіз, Org VDC желілері қойындысына өтіп, екі жаңа желі қосыңыз.
- Бағытталған желі түрін таңдап, осы желіні NSX-ке байланыстырыңыз. Біз ішкі интерфейс ретінде жасау құсбелгісін қоямыз.
- Нәтижесінде біз екі желіні алуымыз керек. Біздің мысалда олар бірдей шлюз параметрлері және бірдей маскасы бар network-a және network-b деп аталады.
- Енді бірінші NSX параметрлеріне көшейік. Бұл A желісі қосылған NSX болады.Ол сервер ретінде әрекет етеді.
Біз NSx Edge интерфейсіне ораламыз / VPN қойындысына өтіңіз -> L2VPN. Біз L2VPN қосамыз, Сервердің жұмыс режимін таңдаймыз, Сервердің ғаламдық параметрлерінде туннель порты тыңдайтын сыртқы NSX IP мекенжайын көрсетеміз. Әдепкі бойынша, ұяшық 443 портында ашылады, бірақ оны өзгертуге болады. Болашақ туннель үшін шифрлау параметрлерін таңдауды ұмытпаңыз.
- Сервер сайттары қойындысына өтіп, теңді қосыңыз.
- Біз теңдестікті қосамыз, атын, сипаттамасын орнатамыз, қажет болса, пайдаланушы аты мен құпия сөзді орнатамыз. Бұл деректер бізге кейінірек клиент сайтын орнату кезінде қажет болады.
Egress Optimization Gateway Address бөлімінде шлюз мекенжайын орнатамыз. Бұл IP мекенжайларының қайшылықтары болмауы үшін қажет, өйткені біздің желілердің шлюзі бір мекенжайға ие. Одан кейін ТАҢДАУ КІШІ ИНТЕРФЕЙСТЕР түймесін басыңыз.
- Мұнда біз қажетті ішкі интерфейсті таңдаймыз. Біз параметрлерді сақтаймыз.
- Параметрлерде жаңадан құрылған клиент сайтының пайда болғанын көреміз.
- Енді клиент тарапынан NSX конфигурациялауға көшейік.
Біз NSX B жағына барамыз, VPN -> L2VPN тармағына өтіңіз, L2VPN қосыңыз, L2VPN режимін клиент режиміне орнатыңыз. Клиенттің жаһандық қойындысында сервер жағында IP тыңдау және порт ретінде біз бұрын көрсеткен NSX A мекенжайы мен портын орнатыңыз. Сондай-ақ, туннель көтерілген кезде біркелкі болуы үшін бірдей шифрлау параметрлерін орнату қажет.
Біз төменде айналдырамыз, L2VPN туннелі салынатын ішкі интерфейсті таңдаңыз.
Egress Optimization Gateway Address бөлімінде шлюз мекенжайын орнатамыз. Пайдаланушы идентификаторы мен құпия сөзді орнатыңыз. Біз ішкі интерфейсті таңдаймыз және параметрлерді сақтауды ұмытпаңыз. - Шындығында, бәрі осы. Клиент пен сервер жағының параметрлері бірнеше нюанстарды қоспағанда, дерлік бірдей.
- Енді кез келген NSX жүйесінде Статистика -> L2VPN тармағына өту арқылы біздің туннель жұмыс істегенін көреміз.
- Егер біз қазір кез келген Edge Gateway консоліне баратын болсақ, олардың әрқайсысында arp кестесінде екі VM мекенжайларын көреміз.
Мұның бәрі NSX Edge-дегі VPN туралы. Бірдеңе түсініксіз болса, сұраңыз. Бұл сонымен қатар NSX Edge-пен жұмыс істеу туралы мақалалар сериясының соңғы бөлігі. Олар пайдалы болды деп үміттенеміз 🙂
Ақпарат көзі: www.habr.com