VMware NSX mažiesiems. 6 dalis: VPN sąranka

Pirma dalis. įvadinis
Antra dalis. Užkardos ir NAT taisyklių konfigūravimas
Trečia dalis. DHCP konfigūravimas
Ketvirta dalis. Maršruto nustatymas
Penkta dalis. Krovinio balansavimo įrenginio nustatymas

Šiandien apžvelgsime VPN konfigūracijos parinktis, kurias mums siūlo NSX Edge.

Apskritai VPN technologijas galime suskirstyti į du pagrindinius tipus:

• VPN iš vienos svetainės į kitą. Dažniausiai IPSec naudojamas sukurti saugų tunelį, pavyzdžiui, tarp pagrindinio biuro tinklo ir tinklo atokioje vietoje arba debesyje.
• Nuotolinės prieigos VPN. Naudojamas atskiriems vartotojams prijungti prie įmonės privačių tinklų naudojant VPN kliento programinę įrangą.

NSX Edge leidžia mums naudoti abi parinktis.
Konfigūruosime naudodami bandymų stendą su dviem NSX Edge, Linux serveriu su įdiegtu demonu meškėnas ir „Windows“ nešiojamąjį kompiuterį nuotolinės prieigos VPN testavimui.

IPsec

1. „vCloud Director“ sąsajoje eikite į skyrių „Administravimas“ ir pasirinkite „vDC“. Skirtuke „Edge Gateways“ pasirinkite mums reikalingą „Edge“, dešiniuoju pelės mygtuku spustelėkite ir pasirinkite „Edge Gateway Services“.
   
2. NSX Edge sąsajoje eikite į VPN-IPsec VPN skirtuką, tada į skyrių „IPsec VPN Sites“ ir spustelėkite +, kad pridėtumėte naują svetainę.

   

3. Užpildykite reikiamus laukus:
   • įjungta – suaktyvina nuotolinę svetainę.
   • PFS – užtikrina, kad kiekvienas naujas kriptografinis raktas nebūtų susietas su jokiu ankstesniu raktu.
   • Vietinis ID ir vietinis galutinis taškast yra išorinis NSX Edge adresas.
   • Vietinis potinkliss – vietiniai tinklai, kurie naudos IPsec VPN.
   • Peer ID ir Peer Endpoint – nuotolinės svetainės adresas.
   • Lygiaverčiai potinkliai – tinklai, kurie nuotolinėje pusėje naudos IPsec VPN.
   • Šifravimo algoritmas – tunelinio šifravimo algoritmas.

   
   

   • Atpažinimas - kaip mes autentifikuosime bendraamžį. Galite naudoti iš anksto bendrinamą raktą arba sertifikatą.
   • Raktažodis dalinimuisi - nurodykite raktą, kuris bus naudojamas autentifikavimui ir turi sutapti iš abiejų pusių.
   • Diffie Hellman grupė – raktų keitimo algoritmas.

   Užpildę reikiamus laukus spauskite Laikyti.

   

4. Atlikta.

   

5. Pridėję svetainę, eikite į skirtuką Aktyvinimo būsena ir suaktyvinkite IPsec paslaugą.

   

6. Pritaikę nustatymus eikite į skirtuką Statistika -> IPsec VPN ir patikrinkite tunelio būseną. Matome, kad tunelis pakilo.

   

7. Patikrinkite tunelio būseną „Edge Gateway“ konsolėje:
   • rodyti paslaugą ipsec – patikrinkite paslaugos būseną.

     

   • show service ipsec site – informacija apie svetainės būseną ir sutartus parametrus.

     

   • rodyti paslaugą ipsec sa – patikrinkite saugumo asociacijos (SA) būseną.

     

8. Tikrinamas ryšys su nuotoline svetaine:

   root@racoon:~# ifconfig eth0:1 | grep inet
           inet 10.255.255.1  netmask 255.255.255.0  broadcast 0.0.0.0
   
   root@racoon:~# ping -c1 -I 10.255.255.1 192.168.0.10 
   PING 192.168.0.10 (192.168.0.10) from 10.255.255.1 : 56(84) bytes of data.
   64 bytes from 192.168.0.10: icmp_seq=1 ttl=63 time=59.9 ms
   
   --- 192.168.0.10 ping statistics ---
   1 packets transmitted, 1 received, 0% packet loss, time 0ms
   rtt min/avg/max/mdev = 59.941/59.941/59.941/0.000 ms
   

   Konfigūracijos failai ir papildomos komandos diagnostikai iš nuotolinio Linux serverio:

   root@racoon:~# cat /etc/racoon/racoon.conf 
   
   log debug;
   path pre_shared_key "/etc/racoon/psk.txt";
   path certificate "/etc/racoon/certs";
   
   listen {
     isakmp 80.211.43.73 [500];
      strict_address;
   }
   
   remote 185.148.83.16 {
           exchange_mode main,aggressive;
           proposal {
                    encryption_algorithm aes256;
                    hash_algorithm sha1;
                    authentication_method pre_shared_key;
                    dh_group modp1536;
            }
            generate_policy on;
   }
    
   sainfo address 10.255.255.0/24 any address 192.168.0.0/24 any {
            encryption_algorithm aes256;
            authentication_algorithm hmac_sha1;
            compression_algorithm deflate;
   }
   
   ===
   
   root@racoon:~# cat /etc/racoon/psk.txt
   185.148.83.16 testkey
   
   ===
   
   root@racoon:~# cat /etc/ipsec-tools.conf 
   #!/usr/sbin/setkey -f
   
   flush;
   spdflush;
   
   spdadd 192.168.0.0/24 10.255.255.0/24 any -P in ipsec
         esp/tunnel/185.148.83.16-80.211.43.73/require;
   
   spdadd 10.255.255.0/24 192.168.0.0/24 any -P out ipsec
         esp/tunnel/80.211.43.73-185.148.83.16/require;
   
   ===
   
   
   root@racoon:~# racoonctl show-sa isakmp
   Destination            Cookies                           Created
   185.148.83.16.500      2088977aceb1b512:a4c470cb8f9d57e9 2019-05-22 13:46:13 
   
   ===
   
   root@racoon:~# racoonctl show-sa esp
   80.211.43.73 185.148.83.16 
           esp mode=tunnel spi=1646662778(0x6226147a) reqid=0(0x00000000)
           E: aes-cbc  00064df4 454d14bc 9444b428 00e2296e c7bb1e03 06937597 1e522ce0 641e704d
           A: hmac-sha1  aa9e7cd7 51653621 67b3b2e9 64818de5 df848792
           seq=0x00000000 replay=4 flags=0x00000000 state=mature 
           created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
           diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
           last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
           current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
           allocated: 860  hard: 0 soft: 0
           sadb_seq=1 pid=7739 refcnt=0
   185.148.83.16 80.211.43.73 
           esp mode=tunnel spi=88535449(0x0546f199) reqid=0(0x00000000)
           E: aes-cbc  c812505a 9c30515e 9edc8c4a b3393125 ade4c320 9bde04f0 94e7ba9d 28e61044
           A: hmac-sha1  cd9d6f6e 06dbcd6d da4d14f8 6d1a6239 38589878
           seq=0x00000000 replay=4 flags=0x00000000 state=mature 
           created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
           diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
           last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
           current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
           allocated: 860  hard: 0 soft: 0
           sadb_seq=0 pid=7739 refcnt=0

9. Viskas paruošta, sukurtas ir veikia IPsec VPN tarp svetainių.

   Šiame pavyzdyje mes naudojome PSK tarpusavio autentifikavimui, tačiau galimas ir sertifikato autentifikavimas. Norėdami tai padaryti, eikite į skirtuką Visuotinė konfigūracija, įgalinkite sertifikato autentifikavimą ir pasirinkite patį sertifikatą.

   Be to, svetainės nustatymuose turėsite pakeisti autentifikavimo metodą.

   
   
   
   
   Pastebiu, kad IPsec tunelių skaičius priklauso nuo įdiegto Edge Gateway dydžio (apie tai skaitykite mūsų pirmasis straipsnis).

   

SSL VPN

SSL VPN-Plus yra viena iš nuotolinės prieigos VPN parinkčių. Tai leidžia atskiriems nuotoliniams vartotojams saugiai prisijungti prie privačių tinklų už NSX Edge Gateway. SSL VPN-plus atveju tarp kliento (Windows, Linux, Mac) ir NSX Edge sukuriamas šifruotas tunelis.

1. Pradėkime nustatyti. „Edge Gateway“ paslaugos valdymo skydelyje eikite į skirtuką SSL VPN-Plus, tada į „Serverio nustatymai“. Parenkame adresą ir prievadą, kuriuo serveris klausys įeinančių jungčių, įjungiame registravimą ir pasirenkame reikiamus šifravimo algoritmus.

   
   
   Čia taip pat galite pakeisti sertifikatą, kurį naudos serveris.

   

2. Kai viskas bus paruošta, įjunkite serverį ir nepamirškite išsaugoti nustatymų.

   

3. Tada turime nustatyti adresų rinkinį, kurį išduosime klientams prisijungus. Šis tinklas yra atskirtas nuo bet kurio esamo potinklio jūsų NSX aplinkoje ir jo nereikia konfigūruoti kituose fizinių tinklų įrenginiuose, išskyrus į jį nukreiptus maršrutus.

   Eikite į skirtuką IP telkiniai ir spustelėkite +.

   

4. Pasirinkite adresus, potinklio kaukę ir šliuzą. Čia taip pat galite pakeisti DNS ir WINS serverių nustatymus.

   

5. Gautas baseinas.

   

6. Dabar pridėkime tinklus, prie kurių turės prieigą prie VPN prisijungę vartotojai. Eikite į skirtuką Privatūs tinklai ir spustelėkite +.

   

7. Pildome:
   • Tinklas – vietinis tinklas, prie kurio turės prieigą nuotoliniai vartotojai.
   • Siųsti srautą, yra dvi parinktys:
     - per tunelį - per tunelį siųsti srautą į tinklą,
     — apeiti tunelį – srautą siųsti į tinklą tiesiogiai aplenkiant tunelį.
   • Įgalinti TCP optimizavimą – patikrinkite, ar pasirinkote tunelio parinktį. Kai optimizavimas įjungtas, galite nurodyti prievadų numerius, kurių srautą norite optimizuoti. Likusių to konkretaus tinklo prievadų srautas nebus optimizuotas. Jei prievadų numeriai nenurodyti, visų prievadų srautas optimizuojamas. Skaitykite daugiau apie šią funkciją čia.

   

8. Tada eikite į skirtuką Autentifikavimas ir spustelėkite +. Autentifikavimui naudosime vietinį serverį pačiame NSX Edge.

   

9. Čia galime pasirinkti naujų slaptažodžių generavimo politiką ir konfigūruoti vartotojų abonementų blokavimo parinktis (pavyzdžiui, pakartotinių bandymų skaičių, jei slaptažodis įvestas neteisingai).

   
   
   

10. Kadangi naudojame vietinį autentifikavimą, turime sukurti vartotojus.

    

11. Be pagrindinių dalykų, tokių kaip vardas ir slaptažodis, čia galite, pavyzdžiui, uždrausti vartotojui keisti slaptažodį arba, atvirkščiai, priversti jį pakeisti slaptažodį kitą kartą prisijungus.

    

12. Pridėję visus reikiamus vartotojus, eikite į skirtuką Diegimo paketai, spustelėkite + ir sukurkite pačią diegimo programą, kurią įdiegimui atsisiųs nuotolinis darbuotojas.

    

13. Paspauskite +. Pasirinkite serverio, prie kurio klientas prisijungs, adresą ir prievadą bei platformas, kurioms norite generuoti diegimo paketą.

    
    
    Žemiau šiame lange galite nurodyti „Windows“ kliento nustatymus. Pasirinkite:

    • paleisti klientą prisijungus – VPN klientas bus įtrauktas į paleidimą nuotoliniame kompiuteryje;
    • sukurti darbalaukio piktogramą – darbalaukyje sukurs VPN kliento piktogramą;
    • serverio saugos sertifikato patvirtinimas – prisijungus patvirtins serverio sertifikatą.
      Serverio sąranka baigta.

    

14. Dabar atsisiųskite diegimo paketą, kurį sukūrėme paskutiniame žingsnyje, į nuotolinį kompiuterį. Nustatydami serverį nurodėme jo išorinį adresą (185.148.83.16) ir prievadą (445). Būtent šiuo adresu turime eiti į interneto naršyklę. Mano atveju taip yra 185.148.83.16: 445.

    Autorizacijos lange turite įvesti vartotojo kredencialus, kuriuos sukūrėme anksčiau.

    

15. Po autorizacijos matome sukurtų diegimo paketų, kuriuos galima atsisiųsti, sąrašą. Sukūrėme tik vieną – atsisiųsime.

    

16. Paspaudžiame nuorodą, prasideda kliento atsisiuntimas.

    

17. Išpakuokite atsisiųstą archyvą ir paleiskite diegimo programą.

    

18. Įdiegę paleiskite klientą, autorizacijos lange spustelėkite Prisijungti.

    

19. Sertifikato patvirtinimo lange pasirinkite Taip.

    

20. Įvedame anksčiau sukurto vartotojo kredencialus ir matome, kad ryšys sėkmingai užbaigtas.

    
    
    

21. Vietiniame kompiuteryje tikriname VPN kliento statistiką.

    
    
    

22. „Windows“ komandinėje eilutėje (ipconfig / all) matome, kad atsirado papildomas virtualus adapteris ir yra ryšys su nuotoliniu tinklu, viskas veikia:

    
    
    

23. Ir galiausiai patikrinkite naudodami „Edge Gateway“ konsolę.

    

L2 VPN

L2VPN reikės, kai reikės sujungti kelis geografiškai
paskirstyti tinklai į vieną transliavimo domeną.

Tai gali būti naudinga, pavyzdžiui, perkeliant virtualią mašiną: kai VM persikelia į kitą geografinę sritį, įrenginys išsaugos savo IP adresų nustatymus ir nepraras ryšio su kitais įrenginiais, esančiais tame pačiame L2 domene.

Mūsų testinėje aplinkoje sujungsime dvi svetaines, atitinkamai jas pavadinsime A ir B. Turime du NSX ir du identiškai sukurtus maršrutizuotus tinklus, prijungtus prie skirtingų Edge'ų. Mašinos A adresas yra 10.10.10.250/24, mašinos B adresas yra 10.10.10.2/24.

1. „vCloud Director“ eikite į skirtuką „Administravimas“, eikite į mums reikalingą VDC, eikite į „Org VDC Networks“ skirtuką ir pridėkite du naujus tinklus.

   

2. Pasirinkite nukreipto tinklo tipą ir susiekite šį tinklą su mūsų NSX. Pažymėjome žymimąjį laukelį Sukurti kaip antrinę sąsają.

   

3. Dėl to turėtume gauti du tinklus. Mūsų pavyzdyje jie vadinami tinklais-a ir tinklais-b su tais pačiais šliuzo parametrais ir ta pačia kauke.

   
   
   

4. Dabar pereikime prie pirmojo NSX nustatymų. Tai bus NSX, prie kurio prijungtas tinklas A. Jis veiks kaip serveris.

   Grįžtame į NSx Edge sąsają / Eikite į skirtuką VPN -> L2VPN. Įjungiame L2VPN, pasirenkame Serverio veikimo režimą, Server Global nustatymuose nurodome išorinį NSX IP adresą, kuriame klausys tunelio prievadas. Pagal numatytuosius nustatymus lizdas bus atidarytas 443 prievade, tačiau tai galima pakeisti. Nepamirškite pasirinkti būsimo tunelio šifravimo nustatymų.

   

5. Eikite į skirtuką Serverio svetainės ir pridėkite lygiavertę programą.

   

6. Įjungiame bendraamžį, nustatome pavadinimą, aprašymą, jei reikia, nustatome vartotojo vardą ir slaptažodį. Šių duomenų mums prireiks vėliau nustatant kliento svetainę.

   Skiltyje „Egress Optimization Gateway Address“ nustatome šliuzo adresą. Tai būtina, kad nekiltų IP adresų konflikto, nes mūsų tinklų šliuzai turi tą patį adresą. Tada spustelėkite mygtuką PASIRINKTI SUB-INTERFACES.

   

7. Čia pasirenkame norimą antrinę sąsają. Išsaugome nustatymus.

   

8. Matome, kad nustatymuose atsirado naujai sukurta kliento svetainė.

   

9. Dabar pereikime prie NSX konfigūravimo iš kliento pusės.

   Einame į NSX pusę B, einame į VPN -> L2VPN, įjungiame L2VPN, nustatome L2VPN režimą į kliento režimą. Skirtuke Client Global nustatykite NSX A adresą ir prievadą, kuriuos anksčiau nurodėme kaip klausymo IP ir prievadą serverio pusėje. Taip pat būtina nustatyti tuos pačius šifravimo nustatymus, kad jie būtų nuoseklūs, kai tunelis pakeltas.

   
   
   Slenkame žemiau, pasirenkame antrinę sąsają, per kurią bus nutiestas L2VPN tunelis.
   Skiltyje „Egress Optimization Gateway Address“ nustatome šliuzo adresą. Nustatykite vartotojo ID ir slaptažodį. Pasirenkame antrinę sąsają ir nepamirštame išsaugoti nustatymų.

   

10. Tiesą sakant, tai viskas. Kliento ir serverio pusės nustatymai yra beveik identiški, išskyrus keletą niuansų.
11. Dabar matome, kad mūsų tunelis veikė, bet kuriame NSX eidami į Statistics -> L2VPN.

    

12. Jei dabar eisime į bet kurio „Edge Gateway“ konsolę, ant kiekvieno iš jų arp lentelėje matysime abiejų VM adresus.

    

Tai viskas apie VPN NSX Edge. Klauskite, jei kas neaišku. Tai taip pat paskutinė straipsnių apie darbą su NSX Edge dalis. Tikimės, kad jie buvo naudingi 🙂

Šaltinis: www.habr.com