Бүгүн биз NSX Edge бизге сунуш кылган VPN конфигурациясынын варианттарын карап чыгабыз.
Жалпысынан биз VPN технологияларын эки негизги түргө бөлсөк болот:
Сайттан сайтка VPN. IPSecтин эң кеңири колдонулушу коопсуз туннелди түзүү, мисалы, негизги кеңсе тармагы менен алыскы сайттагы же булуттагы тармактын ортосунда.
Алыстан мүмкүндүк алуу VPN. VPN кардар программасын колдонуу менен жеке колдонуучуларды корпоративдик жеке тармактарга туташтыруу үчүн колдонулат.
NSX Edge экөөнү тең колдонууга мүмкүнчүлүк берет.
Биз эки NSX Edge, орнотулган демону бар Linux сервери бар сыноо стенди аркылуу конфигурациялайбыз ракон жана Remote Access VPN текшерүү үчүн Windows ноутбук.
IPsec
vCloud Директорунун интерфейсинде Администрация бөлүмүнө өтүп, vDCди тандаңыз. Edge Gateways өтмөгүндө бизге керектүү Edgeди тандап, оң баскычты чыкылдатып, Edge Gateway кызматтарын тандаңыз.
NSX Edge интерфейсинде VPN-IPsec VPN өтмөгүнө, андан кийин IPsec VPN сайттары бөлүмүнө өтүп, жаңы сайт кошуу үчүн + баскычын басыңыз.
Керектүү талааларды толтуруңуз:
иштетилген – алыскы сайтты иштетет.
PFS – ар бир жаңы криптографиялык ачкыч мурунку ачкыч менен байланышпаганын камсыздайт.
Local ID жана Local Endpointt NSX Edge тышкы дареги.
Жергиликтүү ички тармакs - IPsec VPN колдоно турган жергиликтүү тармактар.
Peer ID жана Peer Endpoint – алыскы сайттын дареги.
Теңдеш субсеталар – алыскы тарапта IPsec VPN колдоно турган тармактар.
Шифрлөө алгоритми – туннель шифрлөө алгоритми.
тастыктоо - биз теңтушту кантип ырастайбыз. Сиз алдын ала бөлүшүлгөн ачкычты же сертификатты колдоно аласыз.
Алдын-ала бөлүшүлгөн ачкыч - аутентификация үчүн колдонула турган жана эки тараптан тең дал келүүгө тийиш болгон ачкычты көрсөтүңүз.
Diffie Hellman Group – ачкыч алмашуу алгоритми.
Керектүү талааларды толтургандан кийин, Сактоо баскычын чыкылдатыңыз.
Кереги жок.
Сайтты кошкондон кийин, Активдөө Статусу өтмөгүнө өтүп, IPsec кызматын жандырыңыз.
Орнотуулар колдонулгандан кийин, Статистика -> IPsec VPN өтмөгүнө өтүп, туннелдин абалын текшериңиз. Туннелдин көтөрүлгөнүн көрүп жатабыз.
Edge шлюз консолунан туннелдин абалын текшериңиз:
Show service ipsec - кызматтын абалын текшерүү.
көрсөтүү кызматы ipsec сайты - Сайттын абалы жана сүйлөшүүлөрдүн параметрлери жөнүндө маалымат.
көрсөтүү кызматы ipsec sa - Коопсуздук Ассоциациясынын (SA) абалын текшерүү.
Алыскы сайт менен байланышты текшерүү:
root@racoon:~# ifconfig eth0:1 | grep inet
inet 10.255.255.1 netmask 255.255.255.0 broadcast 0.0.0.0
root@racoon:~# ping -c1 -I 10.255.255.1 192.168.0.10
PING 192.168.0.10 (192.168.0.10) from 10.255.255.1 : 56(84) bytes of data.
64 bytes from 192.168.0.10: icmp_seq=1 ttl=63 time=59.9 ms
--- 192.168.0.10 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 59.941/59.941/59.941/0.000 ms
Алыскы Linux серверинен диагностикалоо үчүн конфигурация файлдары жана кошумча буйруктар:
Бул мисалда биз PSKди теңдештин аутентификациясы үчүн колдондук, бирок сертификаттын аутентификациясы да мүмкүн. Бул үчүн, Глобалдык конфигурация өтмөгүнө өтүп, сертификаттын аутентификациясын иштетиңиз жана сертификаттын өзүн тандаңыз.
Мындан тышкары, сайттын жөндөөлөрүндө, аутентификация ыкмасын өзгөртүү керек болот.
Мен IPsec туннелдеринин саны орнотулган Edge Gateway өлчөмүнөн көз каранды экенин белгилеймин (бул тууралуу биздин бөлүмдөн окуңуз биринчи макала).
SSL VPN
SSL VPN-Plus Remote Access VPN варианттарынын бири болуп саналат. Бул жеке алыскы колдонуучуларга NSX Edge Gateway артындагы жеке тармактарга коопсуз туташуу мүмкүнчүлүгүн берет. SSL VPN-плюс учурда шифрленген туннель кардар (Windows, Linux, Mac) жана NSX Edge ортосунда түзүлгөн.
Жөндөөнү баштайлы. Edge Gateway кызматынын башкаруу панелинен SSL VPN-Plus өтмөгүнө, андан кийин Сервер орнотууларына өтүңүз. Биз сервер кирүүчү байланыштарды уга турган даректи жана портту тандайбыз, журналга жазылууну иштетебиз жана керектүү шифрлөө алгоритмдерин тандайбыз.
Бул жерден сиз сервер колдоно турган сертификатты да өзгөртө аласыз.
Баары даяр болгондон кийин, серверди күйгүзүп, орнотууларды сактоону унутпаңыз.
Андан кийин, биз туташкандан кийин кардарларга бере турган даректер пулун түзүшүбүз керек. Бул тармак сиздин NSX чөйрөңүздөгү бардык ички тармактан өзүнчө жана аны көрсөткөн маршруттардан башка физикалык тармактардагы башка түзмөктөрдө конфигурациялануунун кереги жок.
IP бассейндер өтмөгүнө өтүп, + басыңыз.
Даректерди, ички тармак маскасын жана шлюзду тандаңыз. Бул жерден сиз DNS жана WINS серверлеринин орнотууларын да өзгөртө аласыз.
Натыйжада бассейн.
Эми VPNге туташкан колдонуучулар кире ала турган тармактарды кошолу. Жеке тармактар өтмөгүнө өтүп, + басыңыз.
Биз толтурабыз:
Тармак - алыскы колдонуучулар кире ала турган жергиликтүү тармак.
Трафик жөнөтүү, анын эки варианты бар:
- туннель аркылуу - трафикти туннел аркылуу жөнөтүү,
— туннелди айланып өтүү — трафикти туннелди айланып өтүп тармакка жөнөтүү.
TCP оптималдаштырууну иштетүү - туннелдин үстүнөн тандоону тандаганыңызды текшериңиз. Оптималдаштыруу иштетилгенде, сиз трафикти оптималдаштырууну каалаган порт номерлерин көрсөтө аласыз. Ошол тармактагы калган порттор үчүн трафик оптималдаштырылбайт. Эгерде порт номерлери көрсөтүлбөсө, бардык порттор үчүн трафик оптималдаштырылат. Бул өзгөчөлүк жөнүндө көбүрөөк окуңуз бул жерде.
Андан кийин, Аутентификация өтмөгүнө өтүп, + басыңыз. Аутентификация үчүн биз NSX Edgeтин өзүндө жергиликтүү серверди колдонобуз.
Бул жерден биз жаңы сырсөздөрдү түзүү саясаттарын тандап, колдонуучу аккаунттарын бөгөттөө опцияларын конфигурациялай алабыз (мисалы, эгер сырсөз туура эмес киргизилсе, кайталап аракет кылуулардын саны).
Биз жергиликтүү аутентификацияны колдонуп жаткандыктан, колдонуучуларды түзүшүбүз керек.
Аты жана сырсөз сыяктуу негизги нерселерден тышкары, бул жерде, мисалы, колдонуучуга сырсөздү өзгөртүүгө тыюу сала аласыз же, тескерисинче, кийинки жолу киргенде аны паролду өзгөртүүгө мажбурлай аласыз.
Бардык керектүү колдонуучулар кошулгандан кийин, Орнотуу топтомдору өтмөгүнө өтүп, + чыкылдатыңыз жана орнотуу үчүн алыскы кызматкер тарабынан жүктөлгөн орнотуучунун өзүн түзүңүз.
+ басыңыз. Кардар туташа турган сервердин дарегин жана портун жана орнотуу пакетин түзгүңүз келген платформаларды тандаңыз.
Төмөндө бул терезеде сиз Windows үчүн кардар орнотууларын көрсөтө аласыз. Тандоо:
кирүүдө кардарды баштоо – VPN кардары алыскы машинада ишке киргизүүгө кошулат;
рабочий сөлөкөтүн түзүү - иш тактасында VPN кардар сөлөкөтүн түзөт;
сервердин коопсуздук тастыктамасын текшерүү - туташканда сервер сертификатын текшерет.
Серверди орнотуу аяктады.
Эми биз акыркы кадамда түзүлгөн орнотуу топтомун алыскы компьютерге жүктөп алалы. Серверди орнотууда анын тышкы дарегин (185.148.83.16) жана портун (445) көрсөттүк. Дал ушул даректе биз веб браузерге киришибиз керек. Менин учурда ал 185.148.83.16: 445.
Авторизация терезесинде сиз мурда биз түзгөн колдонуучунун эсептик дайындарын киргизишиңиз керек.
Авторизациядан кийин биз жүктөп алуу үчүн түзүлгөн орнотуу пакеттеринин тизмесин көрөбүз. Биз бир гана түздүк - биз аны жүктөп алабыз.
Биз шилтемени басабыз, кардарды жүктөө башталат.
Жүктөлгөн архивди таңгактан чыгарып, орнотуучуну иштетиңиз.
Орнотуудан кийин, кардарды ишке киргизиңиз, авторизация терезесинде Кирүү баскычын басыңыз.
Сертификатты текшерүү терезесинде Ооба тандаңыз.
Биз мурда түзүлгөн колдонуучунун эсептик дайындарын киргизип, байланыш ийгиликтүү аяктаганын көрөбүз.
Жергиликтүү компьютерден VPN кардарынын статистикасын текшеребиз.
Windows буйрук сабында (ipconfig / бардыгы) биз кошумча виртуалдык адаптер пайда болгонун жана алыскы тармакка туташуу бар экенин көрөбүз, баары иштейт:
Акыр-аягы, Edge Gateway консолунан текшериңиз.
L2 VPN
L2VPN бир нече географиялык жактан бириктирүү керек болгондо керек болот
тармактарды бир доменге бөлүштүрөт.
Бул, мисалы, виртуалдык машинаны көчүрүү учурунда пайдалуу болушу мүмкүн: VM башка географиялык аймакка көчкөндө, машина өзүнүн IP дарек орнотууларын сактап калат жана аны менен бир эле L2 доменинде жайгашкан башка машиналар менен байланышты жоготпойт.
Сыноо чөйрөбүздө биз эки сайтты бири-бирине туташтырабыз, аларды A жана B деп атайбыз.Бизде эки NSX жана ар кандай Edges менен туташтырылган эки бирдей түзүлгөн маршруттук тармактар бар. А машинасынын дареги 10.10.10.250/24, В машинасынын дареги 10.10.10.2/24.
vCloud Директорунда, Администрация өтмөгүнө өтүп, бизге керектүү VDCге өтүңүз, Org VDC Networks кошумча барагына өтүп, эки жаңы тармакты кошуңуз.
Багытталган тармактын түрүн тандап, бул тармакты биздин NSX менен байланыштырыңыз. Биз субинтерфейс катары түзүү кутучасын койдук.
Натыйжада биз эки тармакты алышыбыз керек. Биздин мисалда, алар бирдей шлюз орнотуулары жана бирдей маска менен network-a жана network-b деп аталат.
Эми биринчи NSX орнотууларына баралы. Бул тармак А туташтырылган NSX болот. Ал сервердин милдетин аткарат.
Биз NSx Edge интерфейсине кайтып келебиз / VPN өтмөгүнө өтүңүз -> L2VPN. Биз L2VPN күйгүзөбүз, Сервердин иштөө режимин тандайбыз, Server Global орнотууларында туннелдин порту уга турган тышкы NSX IP дарегин көрсөтөбүз. Демейки боюнча, розетка 443-портто ачылат, бирок аны өзгөртүүгө болот. Келечектеги туннел үчүн шифрлөө орнотууларын тандоону унутпаңыз.
Сервер сайттары өтмөгүнө өтүп, курдашты кошуңуз.
Биз теңтушту күйгүзөбүз, атын, сыпаттамасын орнотобуз, керек болсо колдонуучу атын жана паролду орнотобуз. Бул маалымат бизге кийинчерээк кардар сайтын орнотууда керек болот.
Чыгууну оптималдаштыруу шлюз дарегинде биз шлюз дарегин койдук. Бул IP даректеринин конфликти болбошу үчүн зарыл, анткени биздин тармактардын шлюзу бир эле дарекке ээ. Андан кийин SELECT SUB-INTERFACES баскычын чыкылдатыңыз.
Бул жерде биз каалаган субинтерфейсти тандайбыз. Биз орнотууларды сактайбыз.
Биз жаңы түзүлгөн кардар сайты орнотуулар пайда болгонун көрүп жатабыз.
Эми NSXти кардар тараптан конфигурациялоого өтөлү.
Биз NSX B тарапка барабыз, VPN -> L2VPN өтүңүз, L2VPN иштетиңиз, L2VPN режимин кардар режимине орнотуңуз. Клиенттин глобалдык өтмөгүндө NSX A дарегин жана портун орнотуңуз, биз буга чейин сервер тарабында угуу IP жана порт деп белгилегенбиз. Ошондой эле туннель көтөрүлгөндө ырааттуу болушу үчүн, ошол эле шифрлөө орнотууларын коюу керек.
Биз ылдый жылдырып, L2VPN туннели курула турган субинтерфейсти тандаңыз.
Чыгууну оптималдаштыруу шлюз дарегинде биз шлюз дарегин койдук. Колдонуучунун идентификаторун жана сырсөзүн коюңуз. Биз субинтерфейсти тандайбыз жана орнотууларды сактоону унутпаңыз.
Чындыгында, баары ушунда. Кардар менен сервердин жөндөөлөрү бир нече нюанстарды эске албаганда, дээрлик бирдей.
Эми биздин туннелибиздин Статистика -> L2VPN каалаган NSXге өтүү менен иштегенин көрө алабыз.
Эгерде биз азыр каалаган Edge Gateway консолуна барсак, алардын ар биринде arp таблицада эки VMнин даректерин көрөбүз.
Мунун баары NSX Edgeдеги VPN жөнүндө. Бир нерсе түшүнүксүз болсо, сураңыз. Бул ошондой эле NSX Edge менен иштөө боюнча бир катар макалалардын акыркы бөлүгү. Алар пайдалуу болду деп үмүттөнөбүз 🙂