VMware NSX pro parvulis. Part 6: VPN Setup

Pars prima. introductory
Pars secunda. Configurans Firewall et NAT Rules
Pars tertia. Vestibulum DHCP
Pars quarta. profectus setup
Pars quinta. Erexit onus librari

Hodie inspiciamus in VPN optiones conformationis quae NSX Edge nobis offert.

In genere possumus technologias VPN dividere in duas species claves;

• Site-ad-site VPN. Frequentissimus IPSec usus est securum cuniculum creare, exempli gratia, inter retis principalem et retem in situ remoto vel in nube.
• Longinquus Access VPN. Solebant iungi singulos utentes ad retiacula privata ad corporatum programmata clientium VPN utentes.

NSX Edge permittit ut utraque bene utatur.
Configurabimus utentes scamnum test cum duobus NSX Edge, servo Linux cum daemone inaugurato raccoon et in Fenestra laptop ad accessum VPN experiri remotis.

IPsec

1. In vCloud Director interface, vade ad sectionem Administrationis et elige vDC. In Edge Gateways tab, Edge elige nobis opus, dextra click et eligere Edge Gateway Services.
   
2. In NSX Edge interfacies, accede ad VPN-IPsec VPN tab, deinde ad sectionem IPsec VPN Sites et deprime + ut novum locum adde.

   

3. Imple in agris requiratur:
   • enabled - remotum locum operatur.
   • PFS - efficit ut unaquaeque clavis cryptographica nova cum clavibus praecedentibus non coniungatur.
   • Locus ID ac Locus Endpointt oratio externa NSX Edge est.
   • loci subnets — retiacula localia quae IPsec VPN utetur.
   • Pervideas id ac pervideas Endpoint - inscriptio loci remoti.
   • Par Subnets - retiacula quae IPsec VPN in parte remota utetur.
   • Encryption Algorithmus — cuniculi encryption algorithmus.

   
   

   • authenticitate — quomodo parem authenticum reddemus. Pre-Shared Key vel certificatorium uti potes.
   • Pre-Shared Key - clavem denotare quae authenticas adhibebitur et utrinque inserere debet.
   • Diffie Hellman Group - clavis commutationis algorithmus.

   Post impletionem in agris quaesitis preme Keep.

   

4. Fieri.

   

5. His additis locum, ad Status tab activationem et ipsum ac ipsum eu.

   

6. Post uncinis applicatis, ad Statistics -> IPsec VPN tab et cohibe statum cuniculi. Cuniculum surrexisse videmus.

   

7. Reprehendo cuniculum status ab Edge porta consolatorium:
   • exhibe servitium ipsec - status servitii reprehendo.

     

   • exhibe officium ipsec situs - Information de statu situs et parametri tractaverunt.

     

   • exhibe servitium ipsec sa - perscriptio status Consociationis Securitatis (SA).

     

8. Reprehendo connectivity cum remotis locis:

   root@racoon:~# ifconfig eth0:1 | grep inet
           inet 10.255.255.1  netmask 255.255.255.0  broadcast 0.0.0.0
   
   root@racoon:~# ping -c1 -I 10.255.255.1 192.168.0.10 
   PING 192.168.0.10 (192.168.0.10) from 10.255.255.1 : 56(84) bytes of data.
   64 bytes from 192.168.0.10: icmp_seq=1 ttl=63 time=59.9 ms
   
   --- 192.168.0.10 ping statistics ---
   1 packets transmitted, 1 received, 0% packet loss, time 0ms
   rtt min/avg/max/mdev = 59.941/59.941/59.941/0.000 ms
   

   Configurationis imagini et adiectiva mandata diagnostica a servo Linux remota:

   root@racoon:~# cat /etc/racoon/racoon.conf 
   
   log debug;
   path pre_shared_key "/etc/racoon/psk.txt";
   path certificate "/etc/racoon/certs";
   
   listen {
     isakmp 80.211.43.73 [500];
      strict_address;
   }
   
   remote 185.148.83.16 {
           exchange_mode main,aggressive;
           proposal {
                    encryption_algorithm aes256;
                    hash_algorithm sha1;
                    authentication_method pre_shared_key;
                    dh_group modp1536;
            }
            generate_policy on;
   }
    
   sainfo address 10.255.255.0/24 any address 192.168.0.0/24 any {
            encryption_algorithm aes256;
            authentication_algorithm hmac_sha1;
            compression_algorithm deflate;
   }
   
   ===
   
   root@racoon:~# cat /etc/racoon/psk.txt
   185.148.83.16 testkey
   
   ===
   
   root@racoon:~# cat /etc/ipsec-tools.conf 
   #!/usr/sbin/setkey -f
   
   flush;
   spdflush;
   
   spdadd 192.168.0.0/24 10.255.255.0/24 any -P in ipsec
         esp/tunnel/185.148.83.16-80.211.43.73/require;
   
   spdadd 10.255.255.0/24 192.168.0.0/24 any -P out ipsec
         esp/tunnel/80.211.43.73-185.148.83.16/require;
   
   ===
   
   
   root@racoon:~# racoonctl show-sa isakmp
   Destination            Cookies                           Created
   185.148.83.16.500      2088977aceb1b512:a4c470cb8f9d57e9 2019-05-22 13:46:13 
   
   ===
   
   root@racoon:~# racoonctl show-sa esp
   80.211.43.73 185.148.83.16 
           esp mode=tunnel spi=1646662778(0x6226147a) reqid=0(0x00000000)
           E: aes-cbc  00064df4 454d14bc 9444b428 00e2296e c7bb1e03 06937597 1e522ce0 641e704d
           A: hmac-sha1  aa9e7cd7 51653621 67b3b2e9 64818de5 df848792
           seq=0x00000000 replay=4 flags=0x00000000 state=mature 
           created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
           diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
           last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
           current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
           allocated: 860  hard: 0 soft: 0
           sadb_seq=1 pid=7739 refcnt=0
   185.148.83.16 80.211.43.73 
           esp mode=tunnel spi=88535449(0x0546f199) reqid=0(0x00000000)
           E: aes-cbc  c812505a 9c30515e 9edc8c4a b3393125 ade4c320 9bde04f0 94e7ba9d 28e61044
           A: hmac-sha1  cd9d6f6e 06dbcd6d da4d14f8 6d1a6239 38589878
           seq=0x00000000 replay=4 flags=0x00000000 state=mature 
           created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
           diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
           last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
           current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
           allocated: 860  hard: 0 soft: 0
           sadb_seq=0 pid=7739 refcnt=0

9. Omnia parata sunt, situs IPsec VPN sursum est et currit.

   In hoc exemplo PSK ad authenticas pari usi sumus, sed testimonium authenticas quoque fieri potest. Ad hoc fac, vade ad tab Configurationis Global, da authenticas testimonium et libellum ipsum eligere.

   Praeterea in situ obitus authenticas modum mutare debes.

   
   
   
   
   Adnoto numerum cuniculorum IPsec pendere secundum magnitudinem Edge Gateway (de hoc in nostro legitur. primum articulum).

   

SSL vpn

SSL VPN-Plus unus ex optionibus remotis Access VPN. Singulos usores remotos sinit secure coniungere cum reticulis privatis post NSX Edge Gateway. Cuniculum encrypted in casu SSL VPN-plus inter clientem (Fenestra, Linux, Mac) et NSX Edge constat.

1. Incipiamus constituere. In Edge Gateway officium panel imperium, vade ad SSL VPN-Plus tab, deinde ad Occasus Servo. Locum ac portum eligimus in quibus minister auscultabit hospites advenientes, colligationem et encryptionem algorithmorum necessarias eligimus.

   
   
   Hic etiam libellum mutare potes quo servo utetur.

   

2. Postquam omnia parata sunt, in servo converte et occasus servare noli oblivisci.

   

3. Deinde piscinam inscriptionum constituere debemus quae clientibus in connexione exibimus. Reticulum hoc ab aliquo subnet in ambitu tuo NSX separatum est et in aliis machinis in reticulis physicis configurari non oportet, nisi propter vias quae ad eam designantur.

   Ad piscinas IP tab vade et deprime +.

   

4. Inscriptiones selectae, larva et porta subnet. Hic etiam occasus pro DNS ac ministrantibus conciliat mutare potes.

   

5. Stagnum est consequens.

   

6. Nunc reticulas addamus quae connectens utentes cum VPN accessum habebunt. Vade ad Networks tabulata privata et deprime +.

   

7. Implemus:
   • Retiacula - retiacula localis ad quam remoti accessum habebunt usores.
   • Negotiationem mittere, duas optiones habet:
     - super cuniculum - traiectionem mittere ad reticulum per cuniculum;
     - bypass cuniculum-mitte negotiationem ad retia directe bypassing cuniculum.
   • Admitte TCP Optimizationem - perscriptio si optio super cuniculum delegisti. Cum Optimization datur, numerum portum exprimere potes pro quibus negotiatio optimize vis. Negotiatio pro reliquis portibus in retis illius particularibus non optimized. Si nullus portus numeri specificantur, negotiatio omnium portuum optimized est. Read more about this feature hic.

   

8. Deinceps ad tab authenticitatem deprime +. Ad authenticas, servo locali in ipsa NSX Edge utemur.

   

9. Hic consilia eligere possumus ad novas passwords generandas et optiones conformandas ad rationes usoris interclusionis (exempli gratia: numerus retries si tessera perperam ingreditur).

   
   
   

10. Cum authenticas locales adhibemus, users creare necesse est.

    

11. Praeter res fundamentales sicut nomen et tesseram, hic potes, exempli gratia, prohibere usorem ne tesseram mutet vel e converso illum tesseram mutare proximo tempore quo tigna in.

    

12. Omnibus necessariis utentibus additae sunt, vade ad Installation Packages tab, preme + et fac ipsum instrumentum, quod a remoto operario ad institutionem detrahendum erit.

    

13. Press+. Elige electronicam et portum servientis cui client connectet, et suggesta pro quibus institutionem sarcinam generare vis.

    
    
    Sub hac fenestra, clientem occasus pro Fenestra exprimere potes. Elige:

    • satus clientis in logon - clientis VPN addere erit startup in machina remota;
    • iconem desktop creo - creabit VPN iconem clientem in desktop;
    • Servo securitatem certificatorium sanatio - libellum servo connexionem convalidabit.
      Servo habeat completum est.

    

14. Nunc videamus sarcina installationis quod in ultimo gradu ad PC remotum creavimus. Cum servo constituendo, electronica externa eius definivimus (185.148.83.16) et portum (445). In hac inscriptione est necesse ire in navigatro interreti. In causa mea est 185.148.83.16: 445.

    In fenestra auctoritatis usoris documentorum intrare debes quae antea creavimus.

    

15. Post concessionem indicem fasciculorum institutionis conditarum in promptu habebimus. Unam tantum creavimus - eam download faciemus.

    

16. In nexum deprimimus, perceptio clientis incipit.

    

17. Expediunt tabularium downloadum et currunt instrumentum.

    

18. Post institutionem, clientem demitte, fenestra auctoritatis in fenestra, deprime Login.

    

19. In fenestra verificationis libellum, elige Ita.

    

20. Documentorum ad usorem antea creatum ingredimur et nexum feliciter confectum esse videmus.

    
    
    

21. Reprehendimus statistica clientis VPN in computatrum locali.

    
    
    

22. In Fenestra linea imperativa (ipconfig/all), videmus accessionem virtualem adaptorem apparuisse et connectivity remoto retis, omnia opera esse;

    
    
    

23. Et tandem de Edge porta consolamini reprehendo.

    

L2 VPN

L2VPN opus erit cum pluribus locis geographicis componere necesse est
retia distributa in unum iaci dominium.

Hoc utile esse potest, exempli gratia, cum virtualis apparatus migrans: cum a VM ad aliam regionem geographicam movetur, machina sua IP inscriptionis occasus retinebit nec perdet connectivity cum aliis machinis in eodem L2 dominio cum eo sitis.

In ambitu nostro, duos sites inter se coniungemus, eos A et B, respective appellabimus, duos NSXs et duos reticulas fusas numero in marginibus diversis affixas numero creatis. Machina A inscriptione habet 10.10.10.250/24, Machina B inscriptionem habet 10.10.10.2/24.

1. In vCloud Directore, ad tab Administrationem, vade ad VDC quae nobis opus est, ad Org VDC Tabs Networks, et duas reticulas novas adde.

   

2. Genus retis fusum elige et hanc retiaculum ad NSX liga. Ponamus reprehendo crea ut subinterface.

   

3. Quam ob rem duo ligula. In nostro exemplo vocantur retis-a et retis-b eadem portae occasus eademque persona.

   
   
   

4. Nunc eamus ad NSX primae occasus. Hic erit NSX qui Network A adnectitur, ut cultor aget.

   Redimus ad NSx Edge interface / Ite ad VPN tab -> L2VPN. In L2VPN vertimus, modum operandi modum eligendo, in Servo Global uncinis exprimimus externum NSX IP oratio, in qua portus cuniculi audietur. Defalta, nervus in portum 443 aperiet, sed hoc mutari potest. Noli oblivisci ut occasus encryption in futurum cuniculum desumas.

   

5. Ite ad Sites in tab et parem adde.

   

6. Nos in parem convertimus, nomen, descriptionem, si opus est, pone nomen usoris et tesserae. Haec notitia postea opus erit cum situm clientem instituens.

   In Egress Optimization Porta Oratio portam electronicam constituimus. Hoc necessarium est ut nulla oratio IP conflictus sit, quia porta reticulorum nostrorum eadem est oratio. Tum deprime SELECTO SUB INTERFACES deprimendo.

   

7. Hic eligimus optatam subinterfacem. Servamus occasus.

   

8. Videmus situm clientem nuper creatum in uncinis apparuisse.

   

9. Nunc transeamus ad NSX Vestibulum a parte huius.

   Ad NSX latus imus B, accede ad VPN -> L2VPN, da L2VPN, pone modum L2VPN ad modum clientis. In Global tab Client, inscriptionem et portum NSX A constitue, quam ante nominavimus auditionem IP et Portum in parte ministri. Oportet etiam uncinis eandem encryptionem ponere, ut consistant in cuniculo levato.

   
   
   Volumus infra, subinterfacem eligimus, per quam cuniculum L2VPN aedificabitur.
   In Egress Optimization Porta Oratio portam electronicam constituimus. Phasellus et posuere tortor. Subinterface eligimus et occasus servare non obliviscimur.

   

10. Profecto id omne. Loca clientis et servitoris lateris fere eadem sunt, paucis nuances exceptis.
11. Nunc videre possumus nostrum cuniculum operatum eundo ad Statistics -> L2VPN in quolibet NSX.

    

12. Si nunc ad consolatorium alicuius Edge Gateway eamus, singulas in tabula arp videbimus inscriptiones utriusque VMs.

    

Haec omnia de VPN in NSX Edge. Quaere an quid lateat. Est etiam ultima pars seriei articulorum laborantium cum NSX Edge. Speramus utiles erant

Source: www.habr.com