어린이를 위한 VMware NSX. 6부: VPN 설정

1 부. 입문
두 번째 부분. 방화벽 및 NAT 규칙 구성
XNUMX부. DHCP 구성
XNUMX부. 라우팅 설정
XNUMX부. 로드 밸런서 설정

오늘은 NSX Edge가 제공하는 VPN 구성 옵션을 살펴보겠습니다.

일반적으로 VPN 기술을 두 가지 주요 유형으로 나눌 수 있습니다.

• 사이트 간 VPN. IPSec의 가장 일반적인 용도는 예를 들어 본사 네트워크와 원격 사이트 또는 클라우드의 네트워크 사이에 보안 터널을 만드는 것입니다.
• 원격 액세스 VPN. VPN 클라이언트 소프트웨어를 사용하여 개별 사용자를 기업 사설망에 연결하는 데 사용됩니다.

NSX Edge를 사용하면 두 옵션을 모두 사용할 수 있습니다.
데몬이 설치된 Linux 서버인 두 개의 NSX Edge가 있는 테스트 벤치를 사용하여 구성합니다. 미국 너구리 원격 액세스 VPN을 테스트하기 위한 Windows 노트북.

IPsec

1. vCloud Director 인터페이스에서 관리 섹션으로 이동하고 vDC를 선택합니다. Edge Gateways 탭에서 필요한 Edge를 선택하고 마우스 오른쪽 버튼을 클릭한 다음 Edge Gateway Services를 선택합니다.
   
2. NSX Edge 인터페이스에서 VPN-IPsec VPN 탭으로 이동한 다음 IPsec VPN 사이트 섹션으로 이동하고 +를 클릭하여 새 사이트를 추가합니다.

   

3. 필수 필드를 작성하십시오.
   • 사용 – 원격 사이트를 활성화합니다.
   • PFS – 각각의 새 암호화 키가 이전 키와 연결되지 않도록 합니다.
   • 로컬 ID 및 로컬 끝점t는 NSX Edge의 외부 주소입니다.
   • 로컬 서브넷s - IPsec VPN을 사용할 로컬 네트워크.
   • 피어 ID 및 피어 끝점 – 원격 사이트의 주소.
   • 피어 서브넷 – 원격 측에서 IPsec VPN을 사용할 네트워크.
   • 암호화 알고리즘 – 터널 암호화 알고리즘.

   
   

   • 인증 - 피어를 인증하는 방법. 사전 공유 키 또는 인증서를 사용할 수 있습니다.
   • 사전 공유 키 - 인증에 사용될 키를 지정하고 양쪽에서 일치해야 합니다.
   • 디피 헬만 그룹 – 키 교환 알고리즘.

   필수 필드를 채운 후 Keep을 클릭합니다.

   

4. 완료.

   

5. 사이트를 추가한 후 활성화 상태 탭으로 이동하여 IPsec 서비스를 활성화합니다.

   

6. 설정이 적용된 후 통계 -> IPsec VPN 탭으로 이동하여 터널 상태를 확인합니다. 터널이 올라간 것을 볼 수 있습니다.

   

7. Edge 게이트웨이 콘솔에서 터널 상태를 확인합니다.
   • show service ipsec - 서비스 상태를 확인합니다.

     

   • show service ipsec site - 사이트 상태 및 협상된 매개변수에 대한 정보입니다.

     

   • show service ipsec sa - 보안 연결(SA)의 상태를 확인합니다.

     

8. 원격 사이트와의 연결 확인:

   root@racoon:~# ifconfig eth0:1 | grep inet
           inet 10.255.255.1  netmask 255.255.255.0  broadcast 0.0.0.0
   
   root@racoon:~# ping -c1 -I 10.255.255.1 192.168.0.10 
   PING 192.168.0.10 (192.168.0.10) from 10.255.255.1 : 56(84) bytes of data.
   64 bytes from 192.168.0.10: icmp_seq=1 ttl=63 time=59.9 ms
   
   --- 192.168.0.10 ping statistics ---
   1 packets transmitted, 1 received, 0% packet loss, time 0ms
   rtt min/avg/max/mdev = 59.941/59.941/59.941/0.000 ms
   

   원격 Linux 서버에서 진단을 위한 구성 파일 및 추가 명령:

   root@racoon:~# cat /etc/racoon/racoon.conf 
   
   log debug;
   path pre_shared_key "/etc/racoon/psk.txt";
   path certificate "/etc/racoon/certs";
   
   listen {
     isakmp 80.211.43.73 [500];
      strict_address;
   }
   
   remote 185.148.83.16 {
           exchange_mode main,aggressive;
           proposal {
                    encryption_algorithm aes256;
                    hash_algorithm sha1;
                    authentication_method pre_shared_key;
                    dh_group modp1536;
            }
            generate_policy on;
   }
    
   sainfo address 10.255.255.0/24 any address 192.168.0.0/24 any {
            encryption_algorithm aes256;
            authentication_algorithm hmac_sha1;
            compression_algorithm deflate;
   }
   
   ===
   
   root@racoon:~# cat /etc/racoon/psk.txt
   185.148.83.16 testkey
   
   ===
   
   root@racoon:~# cat /etc/ipsec-tools.conf 
   #!/usr/sbin/setkey -f
   
   flush;
   spdflush;
   
   spdadd 192.168.0.0/24 10.255.255.0/24 any -P in ipsec
         esp/tunnel/185.148.83.16-80.211.43.73/require;
   
   spdadd 10.255.255.0/24 192.168.0.0/24 any -P out ipsec
         esp/tunnel/80.211.43.73-185.148.83.16/require;
   
   ===
   
   
   root@racoon:~# racoonctl show-sa isakmp
   Destination            Cookies                           Created
   185.148.83.16.500      2088977aceb1b512:a4c470cb8f9d57e9 2019-05-22 13:46:13 
   
   ===
   
   root@racoon:~# racoonctl show-sa esp
   80.211.43.73 185.148.83.16 
           esp mode=tunnel spi=1646662778(0x6226147a) reqid=0(0x00000000)
           E: aes-cbc  00064df4 454d14bc 9444b428 00e2296e c7bb1e03 06937597 1e522ce0 641e704d
           A: hmac-sha1  aa9e7cd7 51653621 67b3b2e9 64818de5 df848792
           seq=0x00000000 replay=4 flags=0x00000000 state=mature 
           created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
           diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
           last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
           current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
           allocated: 860  hard: 0 soft: 0
           sadb_seq=1 pid=7739 refcnt=0
   185.148.83.16 80.211.43.73 
           esp mode=tunnel spi=88535449(0x0546f199) reqid=0(0x00000000)
           E: aes-cbc  c812505a 9c30515e 9edc8c4a b3393125 ade4c320 9bde04f0 94e7ba9d 28e61044
           A: hmac-sha1  cd9d6f6e 06dbcd6d da4d14f8 6d1a6239 38589878
           seq=0x00000000 replay=4 flags=0x00000000 state=mature 
           created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
           diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
           last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
           current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
           allocated: 860  hard: 0 soft: 0
           sadb_seq=0 pid=7739 refcnt=0

9. 모든 것이 준비되었으며 사이트 간 IPsec VPN이 실행 중입니다.

   이 예에서는 피어 인증에 PSK를 사용했지만 인증서 인증도 가능합니다. 이렇게 하려면 전역 구성 탭으로 이동하여 인증서 인증을 활성화하고 인증서 자체를 선택합니다.

   또한 사이트 설정에서 인증 방법을 변경해야 합니다.

   
   
   
   
   IPsec 터널의 수는 배포된 Edge Gateway의 크기에 따라 다릅니다. 첫 번째 기사).

   

SSL VPN

SSL VPN-Plus는 원격 액세스 VPN 옵션 중 하나입니다. 이를 통해 개별 원격 사용자는 NSX Edge 게이트웨이 뒤의 개인 네트워크에 안전하게 연결할 수 있습니다. SSL VPN-plus의 경우 암호화된 터널은 클라이언트(Windows, Linux, Mac)와 NSX Edge 간에 설정됩니다.

1. 설정을 시작하겠습니다. Edge Gateway 서비스 제어판에서 SSL VPN-Plus 탭으로 이동한 다음 서버 설정으로 이동합니다. 서버가 들어오는 연결을 수신할 주소와 포트를 선택하고 로깅을 활성화하고 필요한 암호화 알고리즘을 선택합니다.

   
   
   여기에서 서버가 사용할 인증서를 변경할 수도 있습니다.

   

2. 모든 것이 준비되면 서버를 켜고 설정을 저장하는 것을 잊지 마십시오.

   

3. 다음으로 연결 시 클라이언트에 발급할 주소 풀을 설정해야 합니다. 이 네트워크는 NSX 환경의 기존 서브넷과 별개이며 이를 가리키는 경로를 제외하고 물리적 네트워크의 다른 디바이스에서 구성할 필요가 없습니다.

   IP 풀 탭으로 이동하고 +를 클릭합니다.

   

4. 주소, 서브넷 마스크 및 게이트웨이를 선택합니다. 여기에서 DNS 및 WINS 서버에 대한 설정도 변경할 수 있습니다.

   

5. 결과 풀입니다.

   

6. 이제 VPN에 연결하는 사용자가 액세스할 수 있는 네트워크를 추가하겠습니다. 개인 네트워크 탭으로 이동하고 +를 클릭합니다.

   

7. 우리는 다음을 채웁니다:
   • 네트워크 - 원격 사용자가 액세스할 수 있는 로컬 네트워크입니다.
   • 트래픽을 보내면 두 가지 옵션이 있습니다.
     - over tunnel - 터널을 통해 트래픽을 네트워크로 전송,
     — 우회 터널 - 터널을 직접 우회하여 네트워크로 트래픽을 보냅니다.
   • TCP 최적화 활성화 - 터널을 통해 옵션을 선택했는지 확인하십시오. 최적화가 활성화되면 트래픽을 최적화하려는 포트 번호를 지정할 수 있습니다. 해당 특정 네트워크의 나머지 포트에 대한 트래픽은 최적화되지 않습니다. 포트 번호를 지정하지 않으면 모든 포트의 트래픽이 최적화됩니다. 이 기능에 대해 자세히 알아보기 여기에.

   

8. 그런 다음 인증 탭으로 이동하여 +를 클릭합니다. 인증을 위해 NSX Edge 자체의 로컬 서버를 사용합니다.

   

9. 여기에서 새 비밀번호 생성 정책을 선택하고 사용자 계정 차단 옵션을 구성할 수 있습니다(예: 비밀번호가 잘못 입력된 경우 재시도 횟수).

   
   
   

10. 로컬 인증을 사용하고 있으므로 사용자를 생성해야 합니다.

    

11. 이름 및 암호와 같은 기본 사항 외에도 여기에서 예를 들어 사용자가 암호를 변경하지 못하도록 금지하거나 반대로 다음에 로그인할 때 암호를 변경하도록 강제할 수 있습니다.

    

12. 필요한 모든 사용자를 추가한 후 설치 패키지 탭으로 이동하여 +를 클릭하고 원격 직원이 설치를 위해 다운로드할 설치 프로그램을 생성합니다.

    

13. +를 누릅니다. 클라이언트가 연결할 서버의 주소 및 포트와 설치 패키지를 생성할 플랫폼을 선택하십시오.

    
    
    이 창 아래에서 Windows용 클라이언트 설정을 지정할 수 있습니다. 선택하다:

    • 로그온 시 클라이언트 시작 – VPN 클라이언트가 원격 시스템에서 시작에 추가됩니다.
    • 데스크탑 아이콘 생성 - 데스크탑에 VPN 클라이언트 아이콘을 생성합니다.
    • 서버 보안 인증서 유효성 검사 - 연결 시 서버 인증서의 유효성을 검사합니다.
      서버 설정이 완료되었습니다.

    

14. 이제 마지막 단계에서 생성한 설치 패키지를 원격 PC에 다운로드해 보겠습니다. 서버를 설정할 때 외부 주소(185.148.83.16)와 포트(445)를 지정했습니다. 이 주소에서 웹 브라우저로 이동해야 합니다. 제 경우에는 185.148.83.16: 445.

    인증 창에서 이전에 생성한 사용자 자격 증명을 입력해야 합니다.

    

15. 승인 후 다운로드할 수 있는 생성된 설치 패키지 목록이 표시됩니다. 우리는 하나만 만들었습니다. 다운로드합니다.

    

16. 링크를 클릭하면 클라이언트 다운로드가 시작됩니다.

    

17. 다운로드한 아카이브의 압축을 풀고 설치 프로그램을 실행합니다.

    

18. 설치 후 클라이언트를 실행하고 인증 창에서 로그인을 클릭합니다.

    

19. 인증서 확인 창에서 예를 선택합니다.

    

20. 이전에 만든 사용자의 자격 증명을 입력하고 연결이 성공적으로 완료되었는지 확인합니다.

    
    
    

21. 로컬 컴퓨터에서 VPN 클라이언트의 통계를 확인합니다.

    
    
    

22. Windows 명령줄(ipconfig / all)에서 추가 가상 어댑터가 나타나고 원격 네트워크에 대한 연결이 있음을 확인하고 모든 것이 작동합니다.

    
    
    

23. 마지막으로 Edge Gateway 콘솔에서 확인합니다.

    

L2 VPN

지리적으로 여러 개를 결합해야 하는 경우 L2VPN이 필요합니다.
분산 네트워크를 하나의 브로드캐스트 도메인으로

이는 예를 들어 가상 머신을 마이그레이션할 때 유용할 수 있습니다. VM이 다른 지리적 영역으로 이동할 때 머신은 IP 주소 지정 설정을 유지하고 동일한 L2 도메인에 있는 다른 머신과의 연결을 잃지 않습니다.

테스트 환경에서는 두 개의 사이트를 서로 연결하고 각각 A와 B라고 합니다. 두 개의 NSX와 서로 다른 Edge에 연결된 두 개의 동일하게 생성된 라우팅된 네트워크가 있습니다. 시스템 A의 주소는 10.10.10.250/24이고 시스템 B의 주소는 10.10.10.2/24입니다.

1. vCloud Director에서 관리 탭으로 이동하고 필요한 VDC로 이동한 다음 조직 VDC 네트워크 탭으로 이동하고 두 개의 새 네트워크를 추가합니다.

   

2. 라우팅된 네트워크 유형을 선택하고 이 네트워크를 NSX에 바인딩합니다. Create as subinterface 확인란을 선택합니다.

   

3. 결과적으로 우리는 두 개의 네트워크를 얻어야 합니다. 이 예에서는 동일한 게이트웨이 설정과 동일한 마스크를 사용하여 network-a 및 network-b라고 합니다.

   
   
   

4. 이제 첫 번째 NSX의 설정으로 이동하겠습니다. 이는 네트워크 A가 연결된 NSX가 되며 서버 역할을 합니다.

   NSx Edge 인터페이스로 돌아가서 VPN 탭 -> L2VPN으로 이동합니다. L2VPN을 켜고 서버 작동 모드를 선택하고 서버 전역 설정에서 터널의 포트가 수신할 외부 NSX IP 주소를 지정합니다. 기본적으로 소켓은 포트 443에서 열리지만 변경할 수 있습니다. 향후 터널에 대한 암호화 설정을 선택하는 것을 잊지 마십시오.

   

5. Server Sites 탭으로 이동하여 피어를 추가하십시오.

   

6. 피어를 켜고 이름, 설명을 설정하고 필요한 경우 사용자 이름과 비밀번호를 설정합니다. 나중에 클라이언트 사이트를 설정할 때 이 데이터가 필요합니다.

   Egress Optimization Gateway Address에서 게이트웨이 주소를 설정합니다. 이는 네트워크 게이트웨이의 주소가 동일하기 때문에 IP 주소 충돌이 발생하지 않도록 하기 위해 필요합니다. 그런 다음 하위 인터페이스 선택 버튼을 클릭합니다.

   

7. 여기에서 원하는 하위 인터페이스를 선택합니다. 설정을 저장합니다.

   

8. 새로 생성된 클라이언트 사이트가 설정에 나타나는 것을 볼 수 있습니다.

   

9. 이제 클라이언트 측에서 NSX 구성으로 이동하겠습니다.

   NSX 측 B로 이동하고 VPN -> L2VPN으로 이동하여 L2VPN을 활성화하고 L2VPN 모드를 클라이언트 모드로 설정합니다. Client Global 탭에서 이전에 서버 측에서 수신 IP 및 포트로 지정한 NSX A의 주소와 포트를 설정합니다. 또한 터널이 올라갔을 때 일관되도록 동일한 암호화 설정을 지정해야 합니다.

   
   
   아래로 스크롤하여 L2VPN용 터널이 구축될 하위 인터페이스를 선택합니다.
   Egress Optimization Gateway Address에서 게이트웨이 주소를 설정합니다. 사용자 ID와 비밀번호를 설정합니다. 하위 인터페이스를 선택하고 설정을 저장하는 것을 잊지 마십시오.

   

10. 사실 그게 다야. 클라이언트와 서버 측의 설정은 약간의 뉘앙스를 제외하면 거의 동일합니다.
11. 이제 모든 NSX에서 통계 -> L2VPN으로 이동하여 터널이 작동했음을 확인할 수 있습니다.

    

12. 이제 Edge Gateway의 콘솔로 이동하면 arp 테이블의 각 게이트웨이에서 두 VM의 주소를 볼 수 있습니다.

    

이것이 NSX Edge의 VPN에 관한 전부입니다. 불분명한 것이 있으면 물어보십시오. 또한 NSX Edge 작업에 대한 일련의 문서 중 마지막 부분입니다. 도움이 되었기를 바랍니다 🙂

출처 : habr.com