VMware NSX fir déi Kleng. Deel 6: VPN Setup

Een Deel. Aféierung
Zweeten Deel. Firewall an NAT Regelen konfiguréieren
Drëtten Deel. DHCP konfiguréieren
Deel véier. Routing Setup
Deel fënnef. Opstellung vun engem Laaschtbalancer

Haut kucke mir d'VPN Konfiguratiounsoptiounen déi NSX Edge eis bitt.

Allgemeng kënne mir VPN Technologien an zwou Schlësselarten opdeelen:

• Site-zu-Site VPN. Déi heefegst Notzung vun IPSec ass e sécheren Tunnel ze kreéieren, zum Beispill tëscht engem Haaptbüro-Netz an engem Netzwierk op enger Remote Site oder an der Wollek.
• Remote Access VPN. Benotzt fir eenzel Benotzer mat privaten Firmennetzwierker mat der VPN Client Software ze verbannen.

NSX Edge erlaabt eis béid Optiounen ze benotzen.
Mir konfiguréieren mat enger Testbank mat zwee NSX Edge, e Linux Server mat engem installéierten Daemon Wäschbier an e Windows Laptop fir Remote Access VPN ze testen.

IPsec

1. An der vCloud Director Interface, gitt op d'Administratioun Sektioun a wielt de vDC. Op der Edge Gateways Reiter, wielt den Edge dee mir brauchen, klickt mat riets a wielt Edge Gateway Services.
   
2. An der NSX Edge Interface, gitt op d'VPN-IPsec VPN Tab, dann op d'IPsec VPN Sites Sektioun a klickt op + fir en neie Site ze addéieren.

   

3. Fëllt déi erfuerderlech Felder aus:
   • aktivéiert - aktivéiert de Remote Site.
   • PFS - garantéiert datt all neie kryptographesche Schlëssel net mat engem fréiere Schlëssel assoziéiert ass.
   • Lokal ID a Lokal Endpunktt ass déi extern Adress vum NSX Edge.
   • Lokal Subnets - lokal Netzwierker déi IPsec VPN benotzen.
   • Peer ID a Peer Endpoint - Adress vun der Remote Site.
   • Peer Subnets - Netzwierker déi IPsec VPN op der Fernsäit benotzen.
   • Verschlësselung Algorithmus - Tunnel Verschlësselung Algorithmus.

   
   

   • Validatioun - wéi mir de Peer authentifizéieren. Dir kënnt e Pre-Shared Key oder e Certificat benotzen.
   • Pre-gedeelt Schlëssel - spezifizéiert de Schlëssel dee fir d'Authentifikatioun benotzt gëtt a muss op béide Säiten passen.
   • Diffie Hellman Group - Schlësselaustausch Algorithmus.

   Nodeems Dir déi erfuerderlech Felder ausfëllt, klickt op Keep.

   

4. Gemaach.

   

5. Nodeems Dir de Site bäigefüügt hutt, gitt op d'Tab Aktivéierungsstatus an aktivéiert den IPsec Service.

   

6. Nodeems d'Astellunge applizéiert ginn, gitt op d'Statistik -> IPsec VPN Tab a kontrolléiert de Status vum Tunnel. Mir gesinn, datt den Tunnel opgestan ass.

   

7. Préift den Tunnelstatus vun der Edge Gateway Konsol:
   • weisen Service ipsec - kontrolléieren de Status vum Service.

     

   • weisen Service ipsec Site - Informatiounen iwwert den Zoustand vum Site an négociéieren Parameteren.

     

   • weisen Service ipsec sa - kontrolléieren de Status vun der Sécherheet Association (SA).

     

8. Iwwerpréift d'Konnektivitéit mat engem Remote Site:

   root@racoon:~# ifconfig eth0:1 | grep inet
           inet 10.255.255.1  netmask 255.255.255.0  broadcast 0.0.0.0
   
   root@racoon:~# ping -c1 -I 10.255.255.1 192.168.0.10 
   PING 192.168.0.10 (192.168.0.10) from 10.255.255.1 : 56(84) bytes of data.
   64 bytes from 192.168.0.10: icmp_seq=1 ttl=63 time=59.9 ms
   
   --- 192.168.0.10 ping statistics ---
   1 packets transmitted, 1 received, 0% packet loss, time 0ms
   rtt min/avg/max/mdev = 59.941/59.941/59.941/0.000 ms
   

   Konfiguratiounsdateien an zousätzlech Kommandoen fir Diagnostik vun engem Remote Linux Server:

   root@racoon:~# cat /etc/racoon/racoon.conf 
   
   log debug;
   path pre_shared_key "/etc/racoon/psk.txt";
   path certificate "/etc/racoon/certs";
   
   listen {
     isakmp 80.211.43.73 [500];
      strict_address;
   }
   
   remote 185.148.83.16 {
           exchange_mode main,aggressive;
           proposal {
                    encryption_algorithm aes256;
                    hash_algorithm sha1;
                    authentication_method pre_shared_key;
                    dh_group modp1536;
            }
            generate_policy on;
   }
    
   sainfo address 10.255.255.0/24 any address 192.168.0.0/24 any {
            encryption_algorithm aes256;
            authentication_algorithm hmac_sha1;
            compression_algorithm deflate;
   }
   
   ===
   
   root@racoon:~# cat /etc/racoon/psk.txt
   185.148.83.16 testkey
   
   ===
   
   root@racoon:~# cat /etc/ipsec-tools.conf 
   #!/usr/sbin/setkey -f
   
   flush;
   spdflush;
   
   spdadd 192.168.0.0/24 10.255.255.0/24 any -P in ipsec
         esp/tunnel/185.148.83.16-80.211.43.73/require;
   
   spdadd 10.255.255.0/24 192.168.0.0/24 any -P out ipsec
         esp/tunnel/80.211.43.73-185.148.83.16/require;
   
   ===
   
   
   root@racoon:~# racoonctl show-sa isakmp
   Destination            Cookies                           Created
   185.148.83.16.500      2088977aceb1b512:a4c470cb8f9d57e9 2019-05-22 13:46:13 
   
   ===
   
   root@racoon:~# racoonctl show-sa esp
   80.211.43.73 185.148.83.16 
           esp mode=tunnel spi=1646662778(0x6226147a) reqid=0(0x00000000)
           E: aes-cbc  00064df4 454d14bc 9444b428 00e2296e c7bb1e03 06937597 1e522ce0 641e704d
           A: hmac-sha1  aa9e7cd7 51653621 67b3b2e9 64818de5 df848792
           seq=0x00000000 replay=4 flags=0x00000000 state=mature 
           created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
           diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
           last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
           current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
           allocated: 860  hard: 0 soft: 0
           sadb_seq=1 pid=7739 refcnt=0
   185.148.83.16 80.211.43.73 
           esp mode=tunnel spi=88535449(0x0546f199) reqid=0(0x00000000)
           E: aes-cbc  c812505a 9c30515e 9edc8c4a b3393125 ade4c320 9bde04f0 94e7ba9d 28e61044
           A: hmac-sha1  cd9d6f6e 06dbcd6d da4d14f8 6d1a6239 38589878
           seq=0x00000000 replay=4 flags=0x00000000 state=mature 
           created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
           diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
           last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
           current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
           allocated: 860  hard: 0 soft: 0
           sadb_seq=0 pid=7739 refcnt=0

9. Alles ass prett, Site-to-Site IPsec VPN ass op a leeft.

   An dësem Beispill hu mir PSK fir Peer Authentifikatioun benotzt, awer Zertifikat Authentifikatioun ass och méiglech. Fir dëst ze maachen, gitt op d'Global Configuration Tab, aktivéiert d'Zertifikat Authentifikatioun a wielt de Certificat selwer.

   Zousätzlech, an de Site Astellungen, musst Dir d'Authentifikatiounsmethod änneren.

   
   
   
   
   Ech bemierken datt d'Zuel vun den IPsec Tunnel vun der Gréisst vum ofgebauten Edge Gateway hänkt (liest iwwer dëst an eisem éischten Artikel).

   

SSL VPN

SSL VPN-Plus ass eng vun de Remote Access VPN Optiounen. Et erlaabt individuell Remote Benotzer sech sécher mat privaten Netzwierker hannert der NSX Edge Gateway ze verbannen. En verschlësselte Tunnel am Fall vun SSL VPN-plus gëtt tëscht dem Client (Windows, Linux, Mac) an NSX Edge etabléiert.

1. Loosst eis d'Ariichten ufänken. An der Edge Gateway Service Kontrollpanel, gitt op d'SSL VPN-Plus Tab, dann op Server Astellungen. Mir wielt d'Adress an den Hafen op deem de Server fir erakommen Verbindungen lauschtert, aktivéiert de Logbuch a wielt déi néideg Verschlësselungsalgorithmen.

   
   
   Hei kënnt Dir och den Zertifika änneren deen de Server benotzt.

   

2. Nodeems alles fäerdeg ass, schalt de Server un a vergiesst net d'Astellungen ze späicheren.

   

3. Als nächst musse mir e Pool vun Adressen opstellen, déi mir de Cliente bei der Verbindung ausginn. Dëst Netzwierk ass getrennt vun all existent Subnet an Ärem NSX Ëmfeld a brauch net op aneren Apparater op de kierperlechen Netzwierker konfiguréiert ze sinn, ausser fir d'Strecken déi drop weisen.

   Gitt op d'IP Pools Tab a klickt op +.

   

4. Wielt Adressen, Subnet Mask a Paart. Hei kënnt Dir och d'Astellunge fir DNS- a WINS-Server änneren.

   

5. Déi doraus resultéierend Pool.

   

6. Loosst eis elo d'Netzwierker addéieren, op déi Benotzer, déi mam VPN verbannen, Zougang zu hunn. Gitt op de Tab Private Networks a klickt op +.

   

7. Mir fëllen aus:
   • Netz - e lokalt Netz op deen Remote Benotzer Zougang hunn.
   • Schéckt Traffic, et huet zwou Méiglechkeeten:
     - iwwer Tunnel - schéckt Traffic an d'Netz duerch den Tunnel,
     - Bypass Tunnel - schéckt Traffic an d'Netz direkt duerch den Tunnel.
   • Aktivéiert TCP Optimiséierung - kontrolléiert ob Dir d'Iwwertunneloptioun gewielt hutt. Wann d'Optimiséierung aktivéiert ass, kënnt Dir d'Portnummere spezifizéieren, fir déi Dir den Traffic optiméiere wëllt. Traffic fir déi verbleiwen Häfen op deem bestëmmte Reseau gëtt net optimiséiert. Wa keng Portnummere spezifizéiert sinn, gëtt de Traffic fir all Ports optimiséiert. Liest méi iwwer dës Fonktioun hei.

   

8. Als nächst gitt op d'Authentifizéierung Tab a klickt op +. Fir Authentifikatioun benotze mir e lokale Server op der NSX Edge selwer.

   

9. Hei kënne mir Politiken auswielen fir nei Passwuert ze generéieren an Optiounen fir Benotzerkonten ze blockéieren (zum Beispill d'Zuel vun de Widderhuelunge wann d'Passwuert falsch aginn ass).

   
   
   

10. Well mir lokal Authentifikatioun benotzen, musse mir Benotzer erstellen.

    

11. Zousätzlech zu Basissaachen wéi e Numm a Passwuert, hei kënnt Dir zum Beispill de Benotzer verbidden d'Passwuert z'änneren oder, ëmgekéiert, him zwéngen d'Passwuert z'änneren déi nächst Kéier wann hien aloggen.

    

12. Nodeems all déi néideg Benotzer bäigefüügt goufen, gitt op d'Installatiounspakete Tab, klickt op + a erstellt den Installateur selwer, deen vun engem Remote Employé fir d'Installatioun erofgeluede gëtt.

    

13. Dréckt +. Wielt d'Adress an den Hafen vum Server un deen de Client verbënnt, an d'Plattformen fir déi Dir den Installatiounspaket generéiere wëllt.

    
    
    Drënner an dëser Fënster kënnt Dir d'Client Astellunge fir Windows uginn. Wielt:

    • Start Client beim Login - de VPN Client gëtt fir Startup op der Fernmaschinn bäigefüügt;
    • erstellen Desktop Ikon - wäert eng VPN Client Ikon um Desktop erstellen;
    • Server Sécherheetszertifika Validatioun - wäert de Serverzertifika bei der Verbindung validéieren.
      Server Setup ass fäerdeg.

    

14. Loosst eis elo den Installatiounspaket eroflueden, dee mir am leschte Schrëtt erstallt hunn op e Remote PC. Beim Ariichten vum Server hu mir seng extern Adress (185.148.83.16) an den Hafen (445) uginn. Et ass op dëser Adress déi mir an engem Webbrowser musse goen. A mengem Fall ass et 185.148.83.16: 445.

    An der Autorisatiounsfenster musst Dir d'Benotzer Umeldungsinformatiounen aginn, déi mir virdru erstallt hunn.

    

15. No der Autorisatioun gesi mir eng Lëscht vun erstallten Installatiounspakete verfügbar fir erofzelueden. Mir hunn nëmmen een erstallt - mir wäerten et eroflueden.

    

16. Mir klickt op de Link, den Download vum Client fänkt un.

    

17. Auspackt den erofgelueden Archiv a lafen den Installateur.

    

18. No der Installatioun, starten de Client, an der Autorisatiounsfenster klickt Login.

    

19. An der Zertifikatverifikatiounsfenster, wielt Jo.

    

20. Mir gitt d'Umeldungsinformatiounen fir de virdru erstallte Benotzer a gesinn datt d'Verbindung erfollegräich ofgeschloss ass.

    
    
    

21. Mir kontrolléieren d'Statistike vum VPN Client um lokalen Computer.

    
    
    

22. An der Windows Kommandozeil (ipconfig / all) gesi mir datt en zousätzleche virtuelle Adapter erschéngt an et ass eng Konnektivitéit zum Fernnetz, alles funktionnéiert:

    
    
    

23. A schliisslech, kontrolléiert vun der Edge Gateway Konsole.

    

L2 VPN

L2VPN wäert gebraucht ginn wann Dir e puer geographesch kombinéiere musst
verdeelt Netzwierker an engem Broadcast Domain.

Dëst kann nëtzlech sinn, zum Beispill, wann Dir eng virtuell Maschinn migréiert: wann e VM an en anert geographescht Gebitt bewegt, behält d'Maschinn seng IP Adresséierungsastellungen a verléiert keng Konnektivitéit mat anere Maschinnen, déi am selwechte L2-Domain mat him sinn.

An eisem Testëmfeld wäerte mir zwee Site matenee verbannen, mir nennen se respektiv A a B. Mir hunn zwee NSXen an zwee identesch erstallt routed Netzwierker mat verschiddene Kanten verbonnen. Maschinn A huet d'Adress 10.10.10.250/24, Maschinn B huet d'Adress 10.10.10.2/24.

1. Am vCloud Director, gitt op d'Administratioun Tab, gitt op de VDC dee mir brauchen, gitt op d'Org VDC Networks Tab a füügt zwee nei Netzwierker derbäi.

   

2. Wielt de routerten Netzwierktyp a bindt dëst Netzwierk un eis NSX. Mir setzen d'Checkbox Erstellt als Subinterface.

   

3. Als Resultat solle mir zwee Netzwierker kréien. An eisem Beispill gi se Network-a an Network-b genannt mat de selwechte Gateway-Astellungen an déiselwecht Mask.

   
   
   

4. Loosst eis elo op d'Astellunge vun der éischter NSX goen. Dëst wäert den NSX sinn, un deem Network A verbonnen ass. Et handelt als Server.

   Mir ginn zréck op d'NSx Edge Interface / Gitt op de VPN Tab -> L2VPN. Mir schalten L2VPN op, wielt de Server Operatiounsmodus, an de Server Global Astellunge spezifizéiere mir déi extern NSX IP Adress, op där den Hafen fir den Tunnel lauschtert. Par défaut gëtt de Socket um Hafen 443 opgemaach, awer dëst kann geännert ginn. Vergiesst net d'Verschlësselungsastellunge fir den zukünftegen Tunnel ze wielen.

   

5. Gitt op d'Server Sites Tab a füügt e Peer derbäi.

   

6. Mir schalten de Peer un, setzen den Numm, d'Beschreiwung, wann néideg, setzen de Benotzernumm a Passwuert. Mir wäerten dës Donnéeën méi spéit brauchen wann Dir de Client Site Ariichten.

   An der Egress Optimization Gateway Adress setzen mir d'Gateway Adress. Dëst ass néideg fir datt et kee Konflikt vun IP Adressen ass, well de Paart vun eise Netzwierker déi selwecht Adress huet. Da klickt op de SELECT SUB-INTERFACES Knäppchen.

   

7. Hei wielt mir de gewënschte Subinterface. Mir späicheren d'Astellungen.

   

8. Mir gesinn datt déi nei erstallt Client Site an den Astellunge erschéngt.

   

9. Loosst eis elo weidergoen fir NSX vun der Client Säit ze konfiguréieren.

   Mir ginn op NSX Säit B, gitt op VPN -> L2VPN, aktivéiert L2VPN, setzt L2VPN Modus op Client Modus. Op der Client Global Tab, setze d'Adress an den Hafen vun NSX A, déi mir virdru spezifizéiert hunn als Listening IP a Port op der Server Säit. Et ass och néideg déiselwecht Verschlësselungsastellungen ze setzen sou datt se konsequent sinn wann den Tunnel eropgeet.

   
   
   Mir scrollen hei drënner, wielt de Subinterface duerch deen den Tunnel fir L2VPN gebaut gëtt.
   An der Egress Optimization Gateway Adress setzen mir d'Gateway Adress. Setzt Benotzer-ID a Passwuert. Mir wielt de Subinterface a vergiesst net d'Astellungen ze späicheren.

   

10. Eigentlech ass dat alles. D'Astellunge vum Client a Server Säit si bal identesch, mat Ausnam vun e puer Nuancen.
11. Elo kënne mir gesinn datt eisen Tunnel geschafft huet andeems Dir op Statistiken -> L2VPN op all NSX gitt.

    

12. Wa mir elo op d'Konsole vun engem Edge Gateway goen, gesi mir op jiddereng vun hinnen an der Arp Tabelle d'Adresse vu béide VMs.

    

Dat ass alles iwwer VPN op NSX Edge. Frot wann eppes onkloer ass. Et ass och de leschten Deel vun enger Serie vun Artikelen iwwer d'Aarbecht mat NSX Edge. Mir hoffen si waren hëllefräich 🙂

Source: will.com