VMware NSX ji bo piçûkan. Beş 6: Sazkirina VPN

Beşê yekê. danasînê
Part du. Veavakirina Firewall û qaîdeyên NAT
Beşa sêyem. Veavakirina DHCP
Beş çar. Sazkirina rêgezê
Beşa pêncan. Sazkirina balansek barkirinê

Îro em ê li vebijarkên veavakirina VPN-ê ku NSX Edge pêşkêşî me dike, binihêrin.

Bi gelemperî, em dikarin teknolojiyên VPN li du celebên sereke dabeş bikin:

• Malper-to-malper VPN. Bikaranîna herî gelemperî ya IPSec afirandina tunelek ewledar e, mînakî, di navbera tora nivîsgeha sereke û torgilokek li cîhek dûr an di ewr de.
• Remote Access VPN. Ji bo girêdana bikarhênerên kesane bi torên taybet ên pargîdanî re bi karanîna nermalava xerîdar VPN ve tê bikar anîn.

NSX Edge destûrê dide me ku em herdu vebijarkan bikar bînin.
Em ê bi du NSX Edge, serverek Linux-ê bi daemonek sazkirî re, bi karanîna doşek ceribandinê mîheng bikin. racon û laptopek Windows-ê ji bo ceribandina Remote Access VPN.

IPsec

1. Di navbeynkariya Derhênerê vCloud de, biçin beşa Rêvebiriyê û vDC hilbijêrin. Li ser tabloya Edge Gateways, Edge ya ku em hewce ne hilbijêrin, rast-klîk bikin û Karûbarên Edge Gateway hilbijêrin.
   
2. Di pêwendiya NSX Edge de, biçin tabloya VPN-IPsec VPN, dûv re biçin beşa Malperên IPsec VPN û + bikirtînin da ku malperek nû lê zêde bikin.

   

3. Zeviyên pêwîst dagirin:
   • Vekirî - malpera dûr çalak dike.
   • PFS - piştrast dike ku her mifteya krîptografî ya nû bi tu mifteyek berê re têkildar nabe.
   • Nasnameya herêmî û xala dawî ya herêmît navnîşana derveyî ya NSX Edge ye.
   • subnet herêmîs - torên herêmî yên ku dê IPsec VPN bikar bînin.
   • Peer ID û Peer Endpoint - navnîşana malpera dûr.
   • Subnets peer - torên ku dê IPsec VPN-ê li milê dûr bikar bînin.
   • Algorîtmaya şîfrekirinê - algorîtmaya şîfrekirina tunelê.

   
   

   • Piştrastkirina - em ê çawa peer rast bikin. Hûn dikarin Mifteyek Pre-Shared an sertîfîkayek bikar bînin.
   • Mifteya Pêş-Parvekirî - mifteya ku dê ji bo pejirandinê were bikar anîn diyar bike û divê li her du aliyan li hev bike.
   • Koma Diffie Hellman - algorîtmaya danûstandina mifteyê.

   Piştî dagirtina qadên pêwîst, bikirtînin Keep.

   

4. Çêbû.

   

5. Piştî lê zêdekirina malperê, biçin tabloya Rewşa Çalakkirinê û Karûbarê IPsec çalak bikin.

   

6. Piştî ku mîheng têne sepandin, biçin Statîstîk -> tabloya IPsec VPN û rewşa tunelê kontrol bikin. Em dibînin ku tunel rabûye.

   

7. Rewşa tunelê ji konsolê deriyê Edge kontrol bikin:
   • karûbarê ipsec nîşan bide - rewşa karûbarê kontrol bikin.

     

   • karûbarê nîşan bide malpera ipsec - Agahdariya li ser rewşa malperê û pîvanên danûstandinê.

     

   • karûbarê ipsec sa nîşan bide - statûya Komeleya Ewlekariyê (SA) kontrol bikin.

     

8. Kontrolkirina girêdana bi malperek dûr:

   root@racoon:~# ifconfig eth0:1 | grep inet
           inet 10.255.255.1  netmask 255.255.255.0  broadcast 0.0.0.0
   
   root@racoon:~# ping -c1 -I 10.255.255.1 192.168.0.10 
   PING 192.168.0.10 (192.168.0.10) from 10.255.255.1 : 56(84) bytes of data.
   64 bytes from 192.168.0.10: icmp_seq=1 ttl=63 time=59.9 ms
   
   --- 192.168.0.10 ping statistics ---
   1 packets transmitted, 1 received, 0% packet loss, time 0ms
   rtt min/avg/max/mdev = 59.941/59.941/59.941/0.000 ms
   

   Pelên veavakirinê û emrên din ên ji bo tespîtkirina ji serverek Linux-ya dûr:

   root@racoon:~# cat /etc/racoon/racoon.conf 
   
   log debug;
   path pre_shared_key "/etc/racoon/psk.txt";
   path certificate "/etc/racoon/certs";
   
   listen {
     isakmp 80.211.43.73 [500];
      strict_address;
   }
   
   remote 185.148.83.16 {
           exchange_mode main,aggressive;
           proposal {
                    encryption_algorithm aes256;
                    hash_algorithm sha1;
                    authentication_method pre_shared_key;
                    dh_group modp1536;
            }
            generate_policy on;
   }
    
   sainfo address 10.255.255.0/24 any address 192.168.0.0/24 any {
            encryption_algorithm aes256;
            authentication_algorithm hmac_sha1;
            compression_algorithm deflate;
   }
   
   ===
   
   root@racoon:~# cat /etc/racoon/psk.txt
   185.148.83.16 testkey
   
   ===
   
   root@racoon:~# cat /etc/ipsec-tools.conf 
   #!/usr/sbin/setkey -f
   
   flush;
   spdflush;
   
   spdadd 192.168.0.0/24 10.255.255.0/24 any -P in ipsec
         esp/tunnel/185.148.83.16-80.211.43.73/require;
   
   spdadd 10.255.255.0/24 192.168.0.0/24 any -P out ipsec
         esp/tunnel/80.211.43.73-185.148.83.16/require;
   
   ===
   
   
   root@racoon:~# racoonctl show-sa isakmp
   Destination            Cookies                           Created
   185.148.83.16.500      2088977aceb1b512:a4c470cb8f9d57e9 2019-05-22 13:46:13 
   
   ===
   
   root@racoon:~# racoonctl show-sa esp
   80.211.43.73 185.148.83.16 
           esp mode=tunnel spi=1646662778(0x6226147a) reqid=0(0x00000000)
           E: aes-cbc  00064df4 454d14bc 9444b428 00e2296e c7bb1e03 06937597 1e522ce0 641e704d
           A: hmac-sha1  aa9e7cd7 51653621 67b3b2e9 64818de5 df848792
           seq=0x00000000 replay=4 flags=0x00000000 state=mature 
           created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
           diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
           last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
           current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
           allocated: 860  hard: 0 soft: 0
           sadb_seq=1 pid=7739 refcnt=0
   185.148.83.16 80.211.43.73 
           esp mode=tunnel spi=88535449(0x0546f199) reqid=0(0x00000000)
           E: aes-cbc  c812505a 9c30515e 9edc8c4a b3393125 ade4c320 9bde04f0 94e7ba9d 28e61044
           A: hmac-sha1  cd9d6f6e 06dbcd6d da4d14f8 6d1a6239 38589878
           seq=0x00000000 replay=4 flags=0x00000000 state=mature 
           created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
           diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
           last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
           current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
           allocated: 860  hard: 0 soft: 0
           sadb_seq=0 pid=7739 refcnt=0

9. Her tişt amade ye, malpera-to-malper IPsec VPN-ê ye û dixebite.

   Di vê nimûneyê de, me PSK ji bo pejirandina peer bikar anî, lê piştrastkirina sertîfîkayê jî gengaz e. Ji bo kirina vê yekê, biçin tabloya Veavakirina Gerdûnî, verastkirina sertîfîkayê çalak bikin û sertîfîkayê bixwe hilbijêrin.

   Digel vê yekê, di mîhengên malperê de, hûn ê hewce bikin ku rêbaza pejirandinê biguhezînin.

   
   
   
   
   Ez bala xwe didim ku hejmara tunelên IPsec bi mezinahiya Edge Gateway ve girêdayî ye (li ser vê yekê di me de bixwînin gotara yekem).

   

SSL VPN

SSL VPN-Plus yek ji vebijarkên Remote Access VPN ye. Ew dihêle ku bikarhênerên dûr ên kesane bi ewlehî bi torên taybet ên li pişt Gateway NSX Edge ve girêdayî bin. Di mijara SSL VPN-plus de tunelek şîfrekirî di navbera xerîdar (Windows, Linux, Mac) û NSX Edge de tê saz kirin.

1. Ka em dest bi sazkirinê bikin. Di panela kontrolê ya karûbarê Edge Gateway de, biçin tabloya SSL VPN-Plus, paşê biçin Mîhengên Server. Em navnîşan û porta ku server dê li ser girêdanên hatinê guhdarî bike hilbijêrin, têketinê çalak bikin û algorîtmayên şîfrekirinê yên pêwîst hilbijêrin.

   
   
   Li vir hûn dikarin sertîfîkaya ku dê server bikar bîne jî biguherînin.

   

2. Piştî ku her tişt amade ye, serverê vekin û ji bîr nekin ku mîhengan hilînin.

   

3. Dûv re, pêdivî ye ku em hewzek navnîşanan saz bikin ku em ê li ser girêdanê ji xerîdaran re bişînin. Ev tor ji her subneta heyî ya li hawîrdora weya NSX-ê veqetandî ye û ne hewce ye ku li ser amûrên din ên li ser torên laşî were mîheng kirin, ji xeynî rêyên ku jê re destnîşan dikin.

   Herin tabloya IP Pools û bikirtînin +.

   

4. Navnîşan, maskeya subnet û dergehê hilbijêrin. Li vir hûn dikarin mîhengên serverên DNS û WINS jî biguherînin.

   

5. Hewza encam.

   

6. Naha em toreyên ku bikarhênerên ku bi VPN-ê ve girêdayî ne dê bigihîjin wan zêde bikin. Herin tabloya Tora Taybet û bikirtînin +.

   

7. Em dagirin:
   • Tora - torgilokek herêmî ya ku dê bikarhênerên dûr bigihîjin.
   • Trafîkê bişînin, du vebijarkên wê hene:
     - li ser tunelê - bi riya tunelê re trafîkê bişînin torê,
     - tûnela derbazkirinê - rasterast bi derbasbûna tunelê re trafîkê bişîne torê.
   • Optimîzasyona TCP-ê çalak bikin - kontrol bikin ka we vebijarka ser tunelê hilbijart. Dema ku optimîzasyon were çalak kirin, hûn dikarin hejmarên portê yên ku hûn dixwazin seyrûseferê xweştir bikin diyar bikin. Trafîka ji bo benderên mayî yên li ser wê torê taybetî nayê xweşbîn kirin. Ger hejmarên portê neyên diyar kirin, seyrûsefera ji bo hemî portan xweşbîn e. Di derbarê vê taybetmendiyê de bêtir bixwînin vir.

   

8. Dûv re, biçin tabloya Nasnameyê û bikirtînin +. Ji bo verastkirinê, em ê serverek herêmî li ser NSX Edge bixwe bikar bînin.

   

9. Li vir em dikarin polîtîkayên ji bo afirandina şîfreyên nû hilbijêrin û vebijarkên ji bo astengkirina hesabên bikarhêneran mîheng bikin (mînak, heke şîfre bi xeletî were nivîsandin hejmara dubareyan).

   
   
   

10. Ji ber ku em pejirandina herêmî bikar tînin, divê em bikarhêneran biafirînin.

    

11. Ji bilî tiştên bingehîn ên wekî nav û şîfre, li vir hûn dikarin, wek nimûne, bikarhêner ji guheztina şîfreyê qedexe bikin an berevajî vê yekê, wî neçar bikin ku gava din têkeve şîfreyê biguhere.

    

12. Piştî ku hemî bikarhênerên pêwîst hatin zêdekirin, biçin tabloya Pakêtên Sazkirinê, bikirtînin + û sazkerê xwe biafirînin, ku dê ji hêla karmendek dûr ve ji bo sazkirinê were dakêşandin.

    

13. Çape +. Navnîşan û porta serverê ya ku dê xerîdar pê ve girêbide, û platformên ku hûn dixwazin pakêta sazkirinê biafirînin hilbijêrin.

    
    
    Li jêr di vê pencereyê de, hûn dikarin mîhengên xerîdar ji bo Windows-ê diyar bikin. Helbijartin:

    • di têketinê de xerîdar dest pê bikin - dê xerîdar VPN li ser makîneya dûr dest pê bike;
    • îkonek sermaseyê biafirîne - dê îkonek xerîdar VPN li ser sermaseyê biafirîne;
    • Verastkirina sertîfîkaya ewlehiyê ya serverê - dê sertîfîkaya serverê piştî girêdanê rast bike.
      Sazkirina serverê qediya.

    

14. Naha em pakêta sazkirinê ya ku me di gava paşîn de çêkiriye dakêşin PC-ya dûr. Dema sazkirina serverê, me navnîşana wê ya derveyî (185.148.83.16) û porta (445) diyar kir. Li ser vê navnîşanê ye ku divê em di gerokek webê de biçin. Di doza min de ew e 185.148.83.16: 445.

    Di pencereya destûrnameyê de, divê hûn pêbaweriyên bikarhêner ên ku me berê afirandine têkevin.

    

15. Piştî destûrnameyê, em navnîşek pakêtên sazkirinê yên çêkirî yên ji bo dakêşanê hene dibînin. Me tenê yek çêkir - em ê dakêşin.

    

16. Em li ser zencîrê bikirtînin, dakêşana xerîdar dest pê dike.

    

17. Arşîva dakêşandî vekin û sazkerê bimeşînin.

    

18. Piştî sazkirinê, xerîdar dest pê bikin, di pencereya destûrnameyê de, bikirtînin Têketinê.

    

19. Di pencereya verastkirina sertîfîkayê de, Erê hilbijêrin.

    

20. Em pêbaweriyên bikarhênerê ku berê hatî afirandin têkevin û dibînin ku girêdan bi serfirazî qediya.

    
    
    

21. Em statîstîkên xerîdar VPN li ser komputera herêmî kontrol dikin.

    
    
    

22. Di rêzika fermanê ya Windows-ê de (ipconfig / all), em dibînin ku adapterek virtual ya zêde xuya bûye û pêwendiya tora dûr heye, her tişt dixebite:

    
    
    

23. Û di dawiyê de, ji konsolê Edge Gateway kontrol bikin.

    

L2 VPN

L2VPN dê hewce be dema ku hûn hewce ne ku gelek erdnîgarî bi hev re bikin
torên li yek domainê weşanê belav kirin.

Ev dikare bikêrhatî be, wek nimûne, dema koçkirina makîneyek virtual: dema ku VM berbi herêmek din a erdnîgarî ve diçe, makîne dê mîhengên navnîşana IP-ya xwe biparêze û dê pêwendiya bi makîneyên din ên ku di heman domaina L2-ê de ne winda bike.

Di hawîrdora xweya ceribandinê de, em ê du malperan bi hev ve girêbidin, em ê bi rêzdarî ji wan re bibêjin A û B. Du NSX û du torên rêgezkirî yên ku bi heman rengî hatine afirandin hene ku bi Kevirên cûda ve girêdayî ne. Makîneya A navnîşana 10.10.10.250/24 heye, Makîneya B navnîşana 10.10.10.2/24 heye.

1. Di Derhênerê vCloud de, biçin tabloya Rêvebiriyê, biçin VDC-ya ku em hewce ne, biçin tabloya Torên Org VDC û du torên nû lê zêde bikin.

   

2. Cureya tora rêvekirî hilbijêrin û vê torê bi NSX-a me ve girêdin. Em qutiya kontrolê biafirînin wekî binnavberê danîn.

   

3. Wekî encamek, divê em du toran bistînin. Di mînaka me de, ji wan re tora-a û tora-b bi heman mîhengên dergehê û heman maskê têne gotin.

   
   
   

4. Naha em biçin mîhengên NSX-a yekem. Ev dê bibe NSX-a ku Tora A pê ve girêdayî ye. Ew ê wekî serverek tevbigere.

   Em vedigerin pêwendiya NSx Edge / Herin tabloya VPN -> L2VPN. Em L2VPN vedikin, moda xebitandina Serverê hilbijêrin, di mîhengên Server Global de em navnîşana IP-ya NSX-a derveyî ya ku porta tunelê lê guhdarî dike destnîşan dikin. Bi xwerû, soket dê li porta 443 vebe, lê ev dikare were guheztin. Ji bîr nekin ku hûn mîhengên şîfrekirinê ji bo tunela pêşerojê hilbijêrin.

   

5. Herin tabloya Malperên Serverê û hevalek lê zêde bikin.

   

6. Em peer vedikin, nav, danasîn destnîşan dikin, ger hewce be, navê bikarhêner û şîfreyê destnîşan dikin. Em ê paşê dema ku malpera xerîdar saz bikin ev dane hewce ne.

   Di Egress Optimization Gateway Address de em navnîşana dergehê destnîşan dikin. Ev pêdivî ye ku ji bo navnîşanên IP-ê nakokî nebe, ji ber ku deriyê torên me heman navnîşan e. Dûv re li ser bişkoka BIJÊN BIJÊN BIJÊN BIJÎNÊ bikirtînin.

   

7. Li vir em subinterfaceya xwestinê hilbijêrin. Em mîhengan xilas dikin.

   

8. Em dibînin ku malpera xerîdar a nû hatî afirandin di mîhengan de xuya bûye.

   

9. Naha em biçin mîhengkirina NSX-ê ji hêla xerîdar ve.

   Em diçin NSX aliyê B, diçin VPN -> L2VPN, L2VPN çalak bikin, moda L2VPN li moda xerîdar bicîh bikin. Li ser tabloya Client Global, navnîşan û porta NSX A, ya ku me berê wekî IP-ya guhdarîkirinê û portê li ser milê serverê destnîşan kir, bicîh bikin. Di heman demê de pêdivî ye ku meriv heman mîhengên şîfrekirinê bicîh bike da ku gava tunel bilind bibe hevgirtî bin.

   
   
   Em li jêr digerînin, jêr-navbera ku dê tunela ji bo L2VPN were çêkirin hilbijêrin.
   Di Egress Optimization Gateway Address de em navnîşana dergehê destnîşan dikin. Nasnameya bikarhêner û şîfreyê saz bikin. Em subinterface hilbijêrin û ji bîr nekin ku mîhengan hilînin.

   

10. Bi rastî, ev hemû. Mîhengên milê xerîdar û serverê hema hema yek in, ji bilî çend nuwazeyan.
11. Naha em dikarin bibînin ku tunela me bi çûna Statistics -> L2VPN li ser her NSX-ê xebitî.

    

12. Ger em naha biçin konsolê her Gatewayek Edge, em ê li ser her yek ji wan di tabloya arp de navnîşanên her du VM-an bibînin.

    

Ew hemî li ser VPN-ê li ser NSX Edge ye. Bipirsin ka tiştek ne diyar e. Di heman demê de ew beşa paşîn a rêze gotarên li ser xebata bi NSX Edge re ye. Em hêvî dikin ku ew arîkar bûn 🙂

Source: www.habr.com