Šiandien apžvelgsime VPN konfigūracijos parinktis, kurias mums siūlo NSX Edge.
Apskritai VPN technologijas galime suskirstyti į du pagrindinius tipus:
VPN iš vienos svetainės į kitą. Dažniausiai IPSec naudojamas sukurti saugų tunelį, pavyzdžiui, tarp pagrindinio biuro tinklo ir tinklo atokioje vietoje arba debesyje.
Nuotolinės prieigos VPN. Naudojamas atskiriems vartotojams prijungti prie įmonės privačių tinklų naudojant VPN kliento programinę įrangą.
NSX Edge leidžia mums naudoti abi parinktis.
Konfigūruosime naudodami bandymų stendą su dviem NSX Edge, Linux serveriu su įdiegtu demonu meškėnas ir „Windows“ nešiojamąjį kompiuterį nuotolinės prieigos VPN testavimui.
IPsec
„vCloud Director“ sąsajoje eikite į skyrių „Administravimas“ ir pasirinkite „vDC“. Skirtuke „Edge Gateways“ pasirinkite mums reikalingą „Edge“, dešiniuoju pelės mygtuku spustelėkite ir pasirinkite „Edge Gateway Services“.
NSX Edge sąsajoje eikite į VPN-IPsec VPN skirtuką, tada į skyrių „IPsec VPN Sites“ ir spustelėkite +, kad pridėtumėte naują svetainę.
Užpildykite reikiamus laukus:
įjungta – suaktyvina nuotolinę svetainę.
PFS – užtikrina, kad kiekvienas naujas kriptografinis raktas nebūtų susietas su jokiu ankstesniu raktu.
Vietinis ID ir vietinis galutinis taškast yra išorinis NSX Edge adresas.
Vietinis potinkliss – vietiniai tinklai, kurie naudos IPsec VPN.
Peer ID ir Peer Endpoint – nuotolinės svetainės adresas.
Lygiaverčiai potinkliai – tinklai, kurie nuotolinėje pusėje naudos IPsec VPN.
Viskas paruošta, sukurtas ir veikia IPsec VPN tarp svetainių.
Šiame pavyzdyje mes naudojome PSK tarpusavio autentifikavimui, tačiau galimas ir sertifikato autentifikavimas. Norėdami tai padaryti, eikite į skirtuką Visuotinė konfigūracija, įgalinkite sertifikato autentifikavimą ir pasirinkite patį sertifikatą.
Be to, svetainės nustatymuose turėsite pakeisti autentifikavimo metodą.
Pastebiu, kad IPsec tunelių skaičius priklauso nuo įdiegto Edge Gateway dydžio (apie tai skaitykite mūsų pirmasis straipsnis).
SSL VPN
SSL VPN-Plus yra viena iš nuotolinės prieigos VPN parinkčių. Tai leidžia atskiriems nuotoliniams vartotojams saugiai prisijungti prie privačių tinklų už NSX Edge Gateway. SSL VPN-plus atveju tarp kliento (Windows, Linux, Mac) ir NSX Edge sukuriamas šifruotas tunelis.
Pradėkime nustatyti. „Edge Gateway“ paslaugos valdymo skydelyje eikite į skirtuką SSL VPN-Plus, tada į „Serverio nustatymai“. Parenkame adresą ir prievadą, kuriuo serveris klausys įeinančių jungčių, įjungiame registravimą ir pasirenkame reikiamus šifravimo algoritmus.
Čia taip pat galite pakeisti sertifikatą, kurį naudos serveris.
Kai viskas bus paruošta, įjunkite serverį ir nepamirškite išsaugoti nustatymų.
Tada turime nustatyti adresų rinkinį, kurį išduosime klientams prisijungus. Šis tinklas yra atskirtas nuo bet kurio esamo potinklio jūsų NSX aplinkoje ir jo nereikia konfigūruoti kituose fizinių tinklų įrenginiuose, išskyrus į jį nukreiptus maršrutus.
Eikite į skirtuką IP telkiniai ir spustelėkite +.
Pasirinkite adresus, potinklio kaukę ir šliuzą. Čia taip pat galite pakeisti DNS ir WINS serverių nustatymus.
Gautas baseinas.
Dabar pridėkime tinklus, prie kurių turės prieigą prie VPN prisijungę vartotojai. Eikite į skirtuką Privatūs tinklai ir spustelėkite +.
Pildome:
Tinklas – vietinis tinklas, prie kurio turės prieigą nuotoliniai vartotojai.
Siųsti srautą, yra dvi parinktys:
- per tunelį - per tunelį siųsti srautą į tinklą,
— apeiti tunelį – srautą siųsti į tinklą tiesiogiai aplenkiant tunelį.
Įgalinti TCP optimizavimą – patikrinkite, ar pasirinkote tunelio parinktį. Kai optimizavimas įjungtas, galite nurodyti prievadų numerius, kurių srautą norite optimizuoti. Likusių to konkretaus tinklo prievadų srautas nebus optimizuotas. Jei prievadų numeriai nenurodyti, visų prievadų srautas optimizuojamas. Skaitykite daugiau apie šią funkciją čia.
Tada eikite į skirtuką Autentifikavimas ir spustelėkite +. Autentifikavimui naudosime vietinį serverį pačiame NSX Edge.
Čia galime pasirinkti naujų slaptažodžių generavimo politiką ir konfigūruoti vartotojų abonementų blokavimo parinktis (pavyzdžiui, pakartotinių bandymų skaičių, jei slaptažodis įvestas neteisingai).
Kadangi naudojame vietinį autentifikavimą, turime sukurti vartotojus.
Be pagrindinių dalykų, tokių kaip vardas ir slaptažodis, čia galite, pavyzdžiui, uždrausti vartotojui keisti slaptažodį arba, atvirkščiai, priversti jį pakeisti slaptažodį kitą kartą prisijungus.
Pridėję visus reikiamus vartotojus, eikite į skirtuką Diegimo paketai, spustelėkite + ir sukurkite pačią diegimo programą, kurią įdiegimui atsisiųs nuotolinis darbuotojas.
Paspauskite +. Pasirinkite serverio, prie kurio klientas prisijungs, adresą ir prievadą bei platformas, kurioms norite generuoti diegimo paketą.
Žemiau šiame lange galite nurodyti „Windows“ kliento nustatymus. Pasirinkite:
paleisti klientą prisijungus – VPN klientas bus įtrauktas į paleidimą nuotoliniame kompiuteryje;
sukurti darbalaukio piktogramą – darbalaukyje sukurs VPN kliento piktogramą;
Dabar atsisiųskite diegimo paketą, kurį sukūrėme paskutiniame žingsnyje, į nuotolinį kompiuterį. Nustatydami serverį nurodėme jo išorinį adresą (185.148.83.16) ir prievadą (445). Būtent šiuo adresu turime eiti į interneto naršyklę. Mano atveju taip yra 185.148.83.16: 445.
Autorizacijos lange turite įvesti vartotojo kredencialus, kuriuos sukūrėme anksčiau.
Po autorizacijos matome sukurtų diegimo paketų, kuriuos galima atsisiųsti, sąrašą. Sukūrėme tik vieną – atsisiųsime.
Paspaudžiame nuorodą, prasideda kliento atsisiuntimas.
Išpakuokite atsisiųstą archyvą ir paleiskite diegimo programą.
Įdiegę paleiskite klientą, autorizacijos lange spustelėkite Prisijungti.
Sertifikato patvirtinimo lange pasirinkite Taip.
Įvedame anksčiau sukurto vartotojo kredencialus ir matome, kad ryšys sėkmingai užbaigtas.
„Windows“ komandinėje eilutėje (ipconfig / all) matome, kad atsirado papildomas virtualus adapteris ir yra ryšys su nuotoliniu tinklu, viskas veikia:
Ir galiausiai patikrinkite naudodami „Edge Gateway“ konsolę.
L2 VPN
L2VPN reikės, kai reikės sujungti kelis geografiškai
paskirstyti tinklai į vieną transliavimo domeną.
Tai gali būti naudinga, pavyzdžiui, perkeliant virtualią mašiną: kai VM persikelia į kitą geografinę sritį, įrenginys išsaugos savo IP adresų nustatymus ir nepraras ryšio su kitais įrenginiais, esančiais tame pačiame L2 domene.
Mūsų testinėje aplinkoje sujungsime dvi svetaines, atitinkamai jas pavadinsime A ir B. Turime du NSX ir du identiškai sukurtus maršrutizuotus tinklus, prijungtus prie skirtingų Edge'ų. Mašinos A adresas yra 10.10.10.250/24, mašinos B adresas yra 10.10.10.2/24.
„vCloud Director“ eikite į skirtuką „Administravimas“, eikite į mums reikalingą VDC, eikite į „Org VDC Networks“ skirtuką ir pridėkite du naujus tinklus.
Pasirinkite nukreipto tinklo tipą ir susiekite šį tinklą su mūsų NSX. Pažymėjome žymimąjį laukelį Sukurti kaip antrinę sąsają.
Dėl to turėtume gauti du tinklus. Mūsų pavyzdyje jie vadinami tinklais-a ir tinklais-b su tais pačiais šliuzo parametrais ir ta pačia kauke.
Dabar pereikime prie pirmojo NSX nustatymų. Tai bus NSX, prie kurio prijungtas tinklas A. Jis veiks kaip serveris.
Grįžtame į NSx Edge sąsają / Eikite į skirtuką VPN -> L2VPN. Įjungiame L2VPN, pasirenkame Serverio veikimo režimą, Server Global nustatymuose nurodome išorinį NSX IP adresą, kuriame klausys tunelio prievadas. Pagal numatytuosius nustatymus lizdas bus atidarytas 443 prievade, tačiau tai galima pakeisti. Nepamirškite pasirinkti būsimo tunelio šifravimo nustatymų.
Eikite į skirtuką Serverio svetainės ir pridėkite lygiavertę programą.
Įjungiame bendraamžį, nustatome pavadinimą, aprašymą, jei reikia, nustatome vartotojo vardą ir slaptažodį. Šių duomenų mums prireiks vėliau nustatant kliento svetainę.
Skiltyje „Egress Optimization Gateway Address“ nustatome šliuzo adresą. Tai būtina, kad nekiltų IP adresų konflikto, nes mūsų tinklų šliuzai turi tą patį adresą. Tada spustelėkite mygtuką PASIRINKTI SUB-INTERFACES.
Čia pasirenkame norimą antrinę sąsają. Išsaugome nustatymus.
Matome, kad nustatymuose atsirado naujai sukurta kliento svetainė.
Dabar pereikime prie NSX konfigūravimo iš kliento pusės.
Einame į NSX pusę B, einame į VPN -> L2VPN, įjungiame L2VPN, nustatome L2VPN režimą į kliento režimą. Skirtuke Client Global nustatykite NSX A adresą ir prievadą, kuriuos anksčiau nurodėme kaip klausymo IP ir prievadą serverio pusėje. Taip pat būtina nustatyti tuos pačius šifravimo nustatymus, kad jie būtų nuoseklūs, kai tunelis pakeltas.
Slenkame žemiau, pasirenkame antrinę sąsają, per kurią bus nutiestas L2VPN tunelis.
Skiltyje „Egress Optimization Gateway Address“ nustatome šliuzo adresą. Nustatykite vartotojo ID ir slaptažodį. Pasirenkame antrinę sąsają ir nepamirštame išsaugoti nustatymų.
Tiesą sakant, tai viskas. Kliento ir serverio pusės nustatymai yra beveik identiški, išskyrus keletą niuansų.
Dabar matome, kad mūsų tunelis veikė, bet kuriame NSX eidami į Statistics -> L2VPN.
Jei dabar eisime į bet kurio „Edge Gateway“ konsolę, ant kiekvieno iš jų arp lentelėje matysime abiejų VM adresus.
Tai viskas apie VPN NSX Edge. Klauskite, jei kas neaišku. Tai taip pat paskutinė straipsnių apie darbą su NSX Edge dalis. Tikimės, kad jie buvo naudingi 🙂