Кичинекейлер үчүн VMware NSX. 6-бөлүк: VPN орнотуу

Биринчи бөлүк. киришүү
Экинчи бөлүм. Firewall жана NAT эрежелерин конфигурациялоо
Үчүнчү бөлүк. DHCP конфигурацияланууда
Төртүнчү бөлүк. Маршрутизация орнотуу
Бешинчи бөлүк. Жүктөө балансын орнотуу

Бүгүн биз NSX Edge бизге сунуш кылган VPN конфигурациясынын варианттарын карап чыгабыз.

Жалпысынан биз VPN технологияларын эки негизги түргө бөлсөк болот:

• Сайттан сайтка VPN. IPSecтин эң кеңири колдонулушу коопсуз туннелди түзүү, мисалы, негизги кеңсе тармагы менен алыскы сайттагы же булуттагы тармактын ортосунда.
• Алыстан мүмкүндүк алуу VPN. VPN кардар программасын колдонуу менен жеке колдонуучуларды корпоративдик жеке тармактарга туташтыруу үчүн колдонулат.

NSX Edge экөөнү тең колдонууга мүмкүнчүлүк берет.
Биз эки NSX Edge, орнотулган демону бар Linux сервери бар сыноо стенди аркылуу конфигурациялайбыз ракон жана Remote Access VPN текшерүү үчүн Windows ноутбук.

IPsec

1. vCloud Директорунун интерфейсинде Администрация бөлүмүнө өтүп, vDCди тандаңыз. Edge Gateways өтмөгүндө бизге керектүү Edgeди тандап, оң баскычты чыкылдатып, Edge Gateway кызматтарын тандаңыз.
   
2. NSX Edge интерфейсинде VPN-IPsec VPN өтмөгүнө, андан кийин IPsec VPN сайттары бөлүмүнө өтүп, жаңы сайт кошуу үчүн + баскычын басыңыз.

   

3. Керектүү талааларды толтуруңуз:
   • иштетилген – алыскы сайтты иштетет.
   • PFS – ар бир жаңы криптографиялык ачкыч мурунку ачкыч менен байланышпаганын камсыздайт.
   • Local ID жана Local Endpointt NSX Edge тышкы дареги.
   • Жергиликтүү ички тармакs - IPsec VPN колдоно турган жергиликтүү тармактар.
   • Peer ID жана Peer Endpoint – алыскы сайттын дареги.
   • Теңдеш субсеталар – алыскы тарапта IPsec VPN колдоно турган тармактар.
   • Шифрлөө алгоритми – туннель шифрлөө алгоритми.

   
   

   • тастыктоо - биз теңтушту кантип ырастайбыз. Сиз алдын ала бөлүшүлгөн ачкычты же сертификатты колдоно аласыз.
   • Алдын-ала бөлүшүлгөн ачкыч - аутентификация үчүн колдонула турган жана эки тараптан тең дал келүүгө тийиш болгон ачкычты көрсөтүңүз.
   • Diffie Hellman Group – ачкыч алмашуу алгоритми.

   Керектүү талааларды толтургандан кийин, Сактоо баскычын чыкылдатыңыз.

   

4. Кереги жок.

   

5. Сайтты кошкондон кийин, Активдөө Статусу өтмөгүнө өтүп, IPsec кызматын жандырыңыз.

   

6. Орнотуулар колдонулгандан кийин, Статистика -> IPsec VPN өтмөгүнө өтүп, туннелдин абалын текшериңиз. Туннелдин көтөрүлгөнүн көрүп жатабыз.

   

7. Edge шлюз консолунан туннелдин абалын текшериңиз:
   • Show service ipsec - кызматтын абалын текшерүү.

     

   • көрсөтүү кызматы ipsec сайты - Сайттын абалы жана сүйлөшүүлөрдүн параметрлери жөнүндө маалымат.

     

   • көрсөтүү кызматы ipsec sa - Коопсуздук Ассоциациясынын (SA) абалын текшерүү.

     

8. Алыскы сайт менен байланышты текшерүү:

   root@racoon:~# ifconfig eth0:1 | grep inet
           inet 10.255.255.1  netmask 255.255.255.0  broadcast 0.0.0.0
   
   root@racoon:~# ping -c1 -I 10.255.255.1 192.168.0.10 
   PING 192.168.0.10 (192.168.0.10) from 10.255.255.1 : 56(84) bytes of data.
   64 bytes from 192.168.0.10: icmp_seq=1 ttl=63 time=59.9 ms
   
   --- 192.168.0.10 ping statistics ---
   1 packets transmitted, 1 received, 0% packet loss, time 0ms
   rtt min/avg/max/mdev = 59.941/59.941/59.941/0.000 ms
   

   Алыскы Linux серверинен диагностикалоо үчүн конфигурация файлдары жана кошумча буйруктар:

   root@racoon:~# cat /etc/racoon/racoon.conf 
   
   log debug;
   path pre_shared_key "/etc/racoon/psk.txt";
   path certificate "/etc/racoon/certs";
   
   listen {
     isakmp 80.211.43.73 [500];
      strict_address;
   }
   
   remote 185.148.83.16 {
           exchange_mode main,aggressive;
           proposal {
                    encryption_algorithm aes256;
                    hash_algorithm sha1;
                    authentication_method pre_shared_key;
                    dh_group modp1536;
            }
            generate_policy on;
   }
    
   sainfo address 10.255.255.0/24 any address 192.168.0.0/24 any {
            encryption_algorithm aes256;
            authentication_algorithm hmac_sha1;
            compression_algorithm deflate;
   }
   
   ===
   
   root@racoon:~# cat /etc/racoon/psk.txt
   185.148.83.16 testkey
   
   ===
   
   root@racoon:~# cat /etc/ipsec-tools.conf 
   #!/usr/sbin/setkey -f
   
   flush;
   spdflush;
   
   spdadd 192.168.0.0/24 10.255.255.0/24 any -P in ipsec
         esp/tunnel/185.148.83.16-80.211.43.73/require;
   
   spdadd 10.255.255.0/24 192.168.0.0/24 any -P out ipsec
         esp/tunnel/80.211.43.73-185.148.83.16/require;
   
   ===
   
   
   root@racoon:~# racoonctl show-sa isakmp
   Destination            Cookies                           Created
   185.148.83.16.500      2088977aceb1b512:a4c470cb8f9d57e9 2019-05-22 13:46:13 
   
   ===
   
   root@racoon:~# racoonctl show-sa esp
   80.211.43.73 185.148.83.16 
           esp mode=tunnel spi=1646662778(0x6226147a) reqid=0(0x00000000)
           E: aes-cbc  00064df4 454d14bc 9444b428 00e2296e c7bb1e03 06937597 1e522ce0 641e704d
           A: hmac-sha1  aa9e7cd7 51653621 67b3b2e9 64818de5 df848792
           seq=0x00000000 replay=4 flags=0x00000000 state=mature 
           created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
           diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
           last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
           current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
           allocated: 860  hard: 0 soft: 0
           sadb_seq=1 pid=7739 refcnt=0
   185.148.83.16 80.211.43.73 
           esp mode=tunnel spi=88535449(0x0546f199) reqid=0(0x00000000)
           E: aes-cbc  c812505a 9c30515e 9edc8c4a b3393125 ade4c320 9bde04f0 94e7ba9d 28e61044
           A: hmac-sha1  cd9d6f6e 06dbcd6d da4d14f8 6d1a6239 38589878
           seq=0x00000000 replay=4 flags=0x00000000 state=mature 
           created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
           diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
           last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
           current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
           allocated: 860  hard: 0 soft: 0
           sadb_seq=0 pid=7739 refcnt=0

9. Баары даяр, сайттан сайтка IPsec VPN иштеп жатат.

   Бул мисалда биз PSKди теңдештин аутентификациясы үчүн колдондук, бирок сертификаттын аутентификациясы да мүмкүн. Бул үчүн, Глобалдык конфигурация өтмөгүнө өтүп, сертификаттын аутентификациясын иштетиңиз жана сертификаттын өзүн тандаңыз.

   Мындан тышкары, сайттын жөндөөлөрүндө, аутентификация ыкмасын өзгөртүү керек болот.

   
   
   
   
   Мен IPsec туннелдеринин саны орнотулган Edge Gateway өлчөмүнөн көз каранды экенин белгилеймин (бул тууралуу биздин бөлүмдөн окуңуз биринчи макала).

   

SSL VPN

SSL VPN-Plus Remote Access VPN варианттарынын бири болуп саналат. Бул жеке алыскы колдонуучуларга NSX Edge Gateway артындагы жеке тармактарга коопсуз туташуу мүмкүнчүлүгүн берет. SSL VPN-плюс учурда шифрленген туннель кардар (Windows, Linux, Mac) жана NSX Edge ортосунда түзүлгөн.

1. Жөндөөнү баштайлы. Edge Gateway кызматынын башкаруу панелинен SSL VPN-Plus өтмөгүнө, андан кийин Сервер орнотууларына өтүңүз. Биз сервер кирүүчү байланыштарды уга турган даректи жана портту тандайбыз, журналга жазылууну иштетебиз жана керектүү шифрлөө алгоритмдерин тандайбыз.

   
   
   Бул жерден сиз сервер колдоно турган сертификатты да өзгөртө аласыз.

   

2. Баары даяр болгондон кийин, серверди күйгүзүп, орнотууларды сактоону унутпаңыз.

   

3. Андан кийин, биз туташкандан кийин кардарларга бере турган даректер пулун түзүшүбүз керек. Бул тармак сиздин NSX чөйрөңүздөгү бардык ички тармактан өзүнчө жана аны көрсөткөн маршруттардан башка физикалык тармактардагы башка түзмөктөрдө конфигурациялануунун кереги жок.

   IP бассейндер өтмөгүнө өтүп, + басыңыз.

   

4. Даректерди, ички тармак маскасын жана шлюзду тандаңыз. Бул жерден сиз DNS жана WINS серверлеринин орнотууларын да өзгөртө аласыз.

   

5. Натыйжада бассейн.

   

6. Эми VPNге туташкан колдонуучулар кире ала турган тармактарды кошолу. Жеке тармактар ​​өтмөгүнө өтүп, + басыңыз.

   

7. Биз толтурабыз:
   • Тармак - алыскы колдонуучулар кире ала турган жергиликтүү тармак.
   • Трафик жөнөтүү, анын эки варианты бар:
     - туннель аркылуу - трафикти туннел аркылуу жөнөтүү,
     — туннелди айланып өтүү — трафикти туннелди айланып өтүп тармакка жөнөтүү.
   • TCP оптималдаштырууну иштетүү - туннелдин үстүнөн тандоону тандаганыңызды текшериңиз. Оптималдаштыруу иштетилгенде, сиз трафикти оптималдаштырууну каалаган порт номерлерин көрсөтө аласыз. Ошол тармактагы калган порттор үчүн трафик оптималдаштырылбайт. Эгерде порт номерлери көрсөтүлбөсө, бардык порттор үчүн трафик оптималдаштырылат. Бул өзгөчөлүк жөнүндө көбүрөөк окуңуз бул жерде.

   

8. Андан кийин, Аутентификация өтмөгүнө өтүп, + басыңыз. Аутентификация үчүн биз NSX Edgeтин өзүндө жергиликтүү серверди колдонобуз.

   

9. Бул жерден биз жаңы сырсөздөрдү түзүү саясаттарын тандап, колдонуучу аккаунттарын бөгөттөө опцияларын конфигурациялай алабыз (мисалы, эгер сырсөз туура эмес киргизилсе, кайталап аракет кылуулардын саны).

   
   
   

10. Биз жергиликтүү аутентификацияны колдонуп жаткандыктан, колдонуучуларды түзүшүбүз керек.

    

11. Аты жана сырсөз сыяктуу негизги нерселерден тышкары, бул жерде, мисалы, колдонуучуга сырсөздү өзгөртүүгө тыюу сала аласыз же, тескерисинче, кийинки жолу киргенде аны паролду өзгөртүүгө мажбурлай аласыз.

    

12. Бардык керектүү колдонуучулар кошулгандан кийин, Орнотуу топтомдору өтмөгүнө өтүп, + чыкылдатыңыз жана орнотуу үчүн алыскы кызматкер тарабынан жүктөлгөн орнотуучунун өзүн түзүңүз.

    

13. + басыңыз. Кардар туташа турган сервердин дарегин жана портун жана орнотуу пакетин түзгүңүз келген платформаларды тандаңыз.

    
    
    Төмөндө бул терезеде сиз Windows үчүн кардар орнотууларын көрсөтө аласыз. Тандоо:

    • кирүүдө кардарды баштоо – VPN кардары алыскы машинада ишке киргизүүгө кошулат;
    • рабочий сөлөкөтүн түзүү - иш тактасында VPN кардар сөлөкөтүн түзөт;
    • сервердин коопсуздук тастыктамасын текшерүү - туташканда сервер сертификатын текшерет.
      Серверди орнотуу аяктады.

    

14. Эми биз акыркы кадамда түзүлгөн орнотуу топтомун алыскы компьютерге жүктөп алалы. Серверди орнотууда анын тышкы дарегин (185.148.83.16) жана портун (445) көрсөттүк. Дал ушул даректе биз веб браузерге киришибиз керек. Менин учурда ал 185.148.83.16: 445.

    Авторизация терезесинде сиз мурда биз түзгөн колдонуучунун эсептик дайындарын киргизишиңиз керек.

    

15. Авторизациядан кийин биз жүктөп алуу үчүн түзүлгөн орнотуу пакеттеринин тизмесин көрөбүз. Биз бир гана түздүк - биз аны жүктөп алабыз.

    

16. Биз шилтемени басабыз, кардарды жүктөө башталат.

    

17. Жүктөлгөн архивди таңгактан чыгарып, орнотуучуну иштетиңиз.

    

18. Орнотуудан кийин, кардарды ишке киргизиңиз, авторизация терезесинде Кирүү баскычын басыңыз.

    

19. Сертификатты текшерүү терезесинде Ооба тандаңыз.

    

20. Биз мурда түзүлгөн колдонуучунун эсептик дайындарын киргизип, байланыш ийгиликтүү аяктаганын көрөбүз.

    
    
    

21. Жергиликтүү компьютерден VPN кардарынын статистикасын текшеребиз.

    
    
    

22. Windows буйрук сабында (ipconfig / бардыгы) биз кошумча виртуалдык адаптер пайда болгонун жана алыскы тармакка туташуу бар экенин көрөбүз, баары иштейт:

    
    
    

23. Акыр-аягы, Edge Gateway консолунан текшериңиз.

    

L2 VPN

L2VPN бир нече географиялык жактан бириктирүү керек болгондо керек болот
тармактарды бир доменге бөлүштүрөт.

Бул, мисалы, виртуалдык машинаны көчүрүү учурунда пайдалуу болушу мүмкүн: VM башка географиялык аймакка көчкөндө, машина өзүнүн IP дарек орнотууларын сактап калат жана аны менен бир эле L2 доменинде жайгашкан башка машиналар менен байланышты жоготпойт.

Сыноо чөйрөбүздө биз эки сайтты бири-бирине туташтырабыз, аларды A жана B деп атайбыз.Бизде эки NSX жана ар кандай Edges менен туташтырылган эки бирдей түзүлгөн маршруттук тармактар ​​бар. А машинасынын дареги 10.10.10.250/24, В машинасынын дареги 10.10.10.2/24.

1. vCloud Директорунда, Администрация өтмөгүнө өтүп, бизге керектүү VDCге өтүңүз, Org VDC Networks кошумча барагына өтүп, эки жаңы тармакты кошуңуз.

   

2. Багытталган тармактын түрүн тандап, бул тармакты биздин NSX менен байланыштырыңыз. Биз субинтерфейс катары түзүү кутучасын койдук.

   

3. Натыйжада биз эки тармакты алышыбыз керек. Биздин мисалда, алар бирдей шлюз орнотуулары жана бирдей маска менен network-a жана network-b деп аталат.

   
   
   

4. Эми биринчи NSX орнотууларына баралы. Бул тармак А туташтырылган NSX болот. Ал сервердин милдетин аткарат.

   Биз NSx Edge интерфейсине кайтып келебиз / VPN өтмөгүнө өтүңүз -> L2VPN. Биз L2VPN күйгүзөбүз, Сервердин иштөө режимин тандайбыз, Server Global орнотууларында туннелдин порту уга турган тышкы NSX IP дарегин көрсөтөбүз. Демейки боюнча, розетка 443-портто ачылат, бирок аны өзгөртүүгө болот. Келечектеги туннел үчүн шифрлөө орнотууларын тандоону унутпаңыз.

   

5. Сервер сайттары өтмөгүнө өтүп, курдашты кошуңуз.

   

6. Биз теңтушту күйгүзөбүз, атын, сыпаттамасын орнотобуз, керек болсо колдонуучу атын жана паролду орнотобуз. Бул маалымат бизге кийинчерээк кардар сайтын орнотууда керек болот.

   Чыгууну оптималдаштыруу шлюз дарегинде биз шлюз дарегин койдук. Бул IP даректеринин конфликти болбошу үчүн зарыл, анткени биздин тармактардын шлюзу бир эле дарекке ээ. Андан кийин SELECT SUB-INTERFACES баскычын чыкылдатыңыз.

   

7. Бул жерде биз каалаган субинтерфейсти тандайбыз. Биз орнотууларды сактайбыз.

   

8. Биз жаңы түзүлгөн кардар сайты орнотуулар пайда болгонун көрүп жатабыз.

   

9. Эми NSXти кардар тараптан конфигурациялоого өтөлү.

   Биз NSX B тарапка барабыз, VPN -> L2VPN өтүңүз, L2VPN иштетиңиз, L2VPN режимин кардар режимине орнотуңуз. Клиенттин глобалдык өтмөгүндө NSX A дарегин жана портун орнотуңуз, биз буга чейин сервер тарабында угуу IP жана порт деп белгилегенбиз. Ошондой эле туннель көтөрүлгөндө ырааттуу болушу үчүн, ошол эле шифрлөө орнотууларын коюу керек.

   
   
   Биз ылдый жылдырып, L2VPN туннели курула турган субинтерфейсти тандаңыз.
   Чыгууну оптималдаштыруу шлюз дарегинде биз шлюз дарегин койдук. Колдонуучунун идентификаторун жана сырсөзүн коюңуз. Биз субинтерфейсти тандайбыз жана орнотууларды сактоону унутпаңыз.

   

10. Чындыгында, баары ушунда. Кардар менен сервердин жөндөөлөрү бир нече нюанстарды эске албаганда, дээрлик бирдей.
11. Эми биздин туннелибиздин Статистика -> L2VPN каалаган NSXге өтүү менен иштегенин көрө алабыз.

    

12. Эгерде биз азыр каалаган Edge Gateway консолуна барсак, алардын ар биринде arp таблицада эки VMнин даректерин көрөбүз.

    

Мунун баары NSX Edgeдеги VPN жөнүндө. Бир нерсе түшүнүксүз болсо, сураңыз. Бул ошондой эле NSX Edge менен иштөө боюнча бир катар макалалардын акыркы бөлүгү. Алар пайдалуу болду деп үмүттөнөбүз 🙂

Source: www.habr.com