🥇VMware NSX pašiem mazākajiem. 6. daļa. VPN iestatīšana

Pirmā daļa. ievada
Otrā daļa. Ugunsmūra un NAT noteikumu konfigurēšana
Trešā daļa. DHCP konfigurēšana
Ceturtā daļa. Maršrutēšanas iestatīšana
Piektā daļa. Slodzes balansētāja iestatīšana

Šodien mēs apskatīsim VPN konfigurācijas opcijas, kuras mums piedāvā NSX Edge.

Kopumā VPN tehnoloģijas var iedalīt divos galvenajos veidos:

Vietņu VPN. Visbiežāk izmanto IPSec, lai izveidotu drošu tuneli, piemēram, starp galveno biroja tīklu un tīklu attālā vietā vai mākonī.
Attālās piekļuves VPN. Izmanto, lai savienotu atsevišķus lietotājus ar korporatīvajiem privātajiem tīkliem, izmantojot VPN klienta programmatūru.

NSX Edge ļauj mums izmantot abas iespējas.
Mēs konfigurēsim, izmantojot testa stendu ar diviem NSX Edge, Linux serveri ar instalētu dēmonu jenots un Windows klēpjdators, lai pārbaudītu attālās piekļuves VPN.

IPsec

VCloud Director saskarnē dodieties uz sadaļu Administrēšana un atlasiet vDC. Cilnē Edge Gateways atlasiet vajadzīgo Edge, ar peles labo pogu noklikšķiniet un atlasiet Edge Gateway Services.
NSX Edge saskarnē atveriet cilni VPN-IPsec VPN, pēc tam uz sadaļu IPsec VPN vietnes un noklikšķiniet uz +, lai pievienotu jaunu vietni.
Aizpildiet obligātos laukus:
- Enabled – aktivizē attālo vietni.
- PFS – nodrošina, ka katra jaunā kriptogrāfiskā atslēga nav saistīta ar nevienu iepriekšējo atslēgu.
- Vietējais ID un vietējais galapunktst ir NSX Edge ārējā adrese.
- Vietējais apakštīklss - vietējie tīkli, kas izmantos IPsec VPN.
- Vienādranga ID un vienādranga galapunkts - attālās vietnes adrese.
- Vienādranga apakštīkli - tīkli, kas izmantos IPsec VPN attālajā pusē.
- Šifrēšanas algoritms – tuneļa šifrēšanas algoritms.
- Autentifikācija - kā mēs autentificēsim līdzinieku. Varat izmantot iepriekš koplietotu atslēgu vai sertifikātu.
- Iepriekš koplietota atslēga - norādiet atslēgu, kas tiks izmantota autentifikācijai, un tai ir jāsakrīt abās pusēs.
- Difija Helmana grupa - atslēgu apmaiņas algoritms.
Pēc nepieciešamo lauku aizpildīšanas noklikšķiniet uz Saglabāt.
Gatavs.
Pēc vietnes pievienošanas dodieties uz cilni Aktivizācijas statuss un aktivizējiet IPsec pakalpojumu.
Kad iestatījumi ir piemēroti, dodieties uz cilni Statistika -> IPsec VPN un pārbaudiet tuneļa statusu. Mēs redzam, ka tunelis ir pacēlies.
Pārbaudiet tuneļa statusu Edge vārtejas konsolē:
- parādīt pakalpojumu ipsec - pārbaudiet pakalpojuma statusu.
- show service ipsec vietne — informācija par vietnes stāvokli un sarunātiem parametriem.
- parādīt pakalpojumu ipsec sa - pārbaudiet drošības asociācijas (SA) statusu.

Savienojuma pārbaude ar attālo vietni:

root@racoon:~# ifconfig eth0:1 | grep inet
        inet 10.255.255.1  netmask 255.255.255.0  broadcast 0.0.0.0

root@racoon:~# ping -c1 -I 10.255.255.1 192.168.0.10 
PING 192.168.0.10 (192.168.0.10) from 10.255.255.1 : 56(84) bytes of data.
64 bytes from 192.168.0.10: icmp_seq=1 ttl=63 time=59.9 ms

--- 192.168.0.10 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 59.941/59.941/59.941/0.000 ms

Konfigurācijas faili un papildu komandas diagnostikai no attālā Linux servera:

root@racoon:~# cat /etc/racoon/racoon.conf 

log debug;
path pre_shared_key "/etc/racoon/psk.txt";
path certificate "/etc/racoon/certs";

listen {
  isakmp 80.211.43.73 [500];
   strict_address;
}

remote 185.148.83.16 {
        exchange_mode main,aggressive;
        proposal {
                 encryption_algorithm aes256;
                 hash_algorithm sha1;
                 authentication_method pre_shared_key;
                 dh_group modp1536;
         }
         generate_policy on;
}
 
sainfo address 10.255.255.0/24 any address 192.168.0.0/24 any {
         encryption_algorithm aes256;
         authentication_algorithm hmac_sha1;
         compression_algorithm deflate;
}

===

root@racoon:~# cat /etc/racoon/psk.txt
185.148.83.16 testkey

===

root@racoon:~# cat /etc/ipsec-tools.conf 
#!/usr/sbin/setkey -f

flush;
spdflush;

spdadd 192.168.0.0/24 10.255.255.0/24 any -P in ipsec
      esp/tunnel/185.148.83.16-80.211.43.73/require;

spdadd 10.255.255.0/24 192.168.0.0/24 any -P out ipsec
      esp/tunnel/80.211.43.73-185.148.83.16/require;

===


root@racoon:~# racoonctl show-sa isakmp
Destination            Cookies                           Created
185.148.83.16.500      2088977aceb1b512:a4c470cb8f9d57e9 2019-05-22 13:46:13 

===

root@racoon:~# racoonctl show-sa esp
80.211.43.73 185.148.83.16 
        esp mode=tunnel spi=1646662778(0x6226147a) reqid=0(0x00000000)
        E: aes-cbc  00064df4 454d14bc 9444b428 00e2296e c7bb1e03 06937597 1e522ce0 641e704d
        A: hmac-sha1  aa9e7cd7 51653621 67b3b2e9 64818de5 df848792
        seq=0x00000000 replay=4 flags=0x00000000 state=mature 
        created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
        diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
        last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
        current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
        allocated: 860  hard: 0 soft: 0
        sadb_seq=1 pid=7739 refcnt=0
185.148.83.16 80.211.43.73 
        esp mode=tunnel spi=88535449(0x0546f199) reqid=0(0x00000000)
        E: aes-cbc  c812505a 9c30515e 9edc8c4a b3393125 ade4c320 9bde04f0 94e7ba9d 28e61044
        A: hmac-sha1  cd9d6f6e 06dbcd6d da4d14f8 6d1a6239 38589878
        seq=0x00000000 replay=4 flags=0x00000000 state=mature 
        created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
        diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
        last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
        current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
        allocated: 860  hard: 0 soft: 0
        sadb_seq=0 pid=7739 refcnt=0

Viss ir gatavs, vietņu IPsec VPN ir izveidots un darbojas.
Šajā piemērā vienādranga autentifikācijai izmantojām PSK, taču ir iespējama arī sertifikātu autentifikācija. Lai to izdarītu, atveriet cilni Globālā konfigurācija, iespējojiet sertifikāta autentifikāciju un atlasiet pašu sertifikātu.

Turklāt vietnes iestatījumos jums būs jāmaina autentifikācijas metode.

Es atzīmēju, ka IPsec tuneļu skaits ir atkarīgs no izvietotās Edge Gateway lieluma (par to lasiet mūsu pirmais raksts).

SSL VPN

SSL VPN-Plus ir viena no attālās piekļuves VPN opcijām. Tas ļauj atsevišķiem attāliem lietotājiem droši izveidot savienojumu ar privātajiem tīkliem aiz NSX Edge Gateway. SSL VPN-plus gadījumā starp klientu (Windows, Linux, Mac) un NSX Edge tiek izveidots šifrēts tunelis.

Sāksim iestatīšanu. Edge Gateway pakalpojuma vadības panelī atveriet cilni SSL VPN-Plus un pēc tam uz Servera iestatījumi. Mēs izvēlamies adresi un portu, kurā serveris uzklausīs ienākošos savienojumus, iespējojam reģistrēšanu un atlasām nepieciešamos šifrēšanas algoritmus.

Šeit jūs varat arī mainīt sertifikātu, ko serveris izmantos.
Kad viss ir gatavs, ieslēdziet serveri un neaizmirstiet saglabāt iestatījumus.
Tālāk mums ir jāiestata adrešu kopums, ko izsniegsim klientiem savienojuma laikā. Šis tīkls ir nošķirts no jebkura esošā apakštīkla jūsu NSX vidē, un tas nav jākonfigurē citās fizisko tīklu ierīcēs, izņemot maršrutus, kas uz to norāda.
Dodieties uz cilni IP baseini un noklikšķiniet uz +.
Atlasiet adreses, apakštīkla masku un vārteju. Šeit varat arī mainīt DNS un WINS serveru iestatījumus.
Iegūtais baseins.
Tagad pievienosim tīklus, kuriem būs piekļuve lietotājiem, kuri izveidos savienojumu ar VPN. Dodieties uz cilni Privātie tīkli un noklikšķiniet uz +.
Mēs aizpildām:
- Tīkls - lokālais tīkls, kuram būs piekļuve attāliem lietotājiem.
- Sūtīt trafiku, tai ir divas iespējas:
  - pa tuneli - nosūtīt trafiku uz tīklu caur tuneli,
  — apiet tuneli — sūtīt satiksmi uz tīklu, tieši apejot tuneli.
- Iespējot TCP optimizāciju — pārbaudiet, vai izvēlējāties opciju pār tuneli. Kad optimizācija ir iespējota, varat norādīt portu numurus, kuriem vēlaties optimizēt trafiku. Pārējo portu satiksme konkrētajā tīklā netiks optimizēta. Ja nav norādīti portu numuri, tiek optimizēta trafika visiem portiem. Lasiet vairāk par šo funkciju šeit.
Pēc tam dodieties uz cilni Autentifikācija un noklikšķiniet uz +. Autentifikācijai mēs izmantosim vietējo serveri pašā NSX Edge.
Šeit mēs varam atlasīt politikas jaunu paroļu ģenerēšanai un konfigurēt lietotāju kontu bloķēšanas opcijas (piemēram, atkārtotu mēģinājumu skaitu, ja parole ir ievadīta nepareizi).
Tā kā mēs izmantojam vietējo autentifikāciju, mums ir jāizveido lietotāji.
Papildus pamata lietām, piemēram, vārdam un parolei, šeit varat, piemēram, aizliegt lietotājam mainīt paroli vai, gluži pretēji, piespiest viņu mainīt paroli nākamajā pieteikšanās reizē.
Kad visi nepieciešamie lietotāji ir pievienoti, dodieties uz cilni Instalācijas pakotnes, noklikšķiniet uz + un izveidojiet pašu instalētāju, kuru instalēšanai lejupielādēs attālais darbinieks.
Nospiediet +. Atlasiet tā servera adresi un portu, ar kuru klients izveidos savienojumu, un platformas, kurām vēlaties ģenerēt instalācijas pakotni.

Tālāk šajā logā varat norādīt Windows klienta iestatījumus. Izvēlieties:
- start klientu piesakoties – VPN klients tiks pievienots startēšanai attālajā datorā;
- izveidot darbvirsmas ikonu - uz darbvirsmas izveidos VPN klienta ikonu;
- servera drošības sertifikāta validācija — savienojuma laikā apstiprinās servera sertifikātu.
  Servera iestatīšana ir pabeigta.
Tagad lejupielādēsim instalācijas pakotni, ko izveidojām pēdējā darbībā, attālajā datorā. Uzstādot serveri, mēs norādījām tā ārējo adresi (185.148.83.16) un portu (445). Tieši šajā adresē mums jāiet tīmekļa pārlūkprogrammā. Manā gadījumā tā ir 185.148.83.16: 445.
Autorizācijas logā jāievada iepriekš izveidotie lietotāja akreditācijas dati.
Pēc autorizācijas tiek parādīts lejupielādēto instalācijas pakotņu saraksts. Mēs esam izveidojuši tikai vienu - mēs to lejupielādēsim.
Mēs noklikšķinām uz saites, sākas klienta lejupielāde.
Izpakojiet lejupielādēto arhīvu un palaidiet instalēšanas programmu.
Pēc instalēšanas palaidiet klientu, autorizācijas logā noklikšķiniet uz Pieteikties.
Sertifikāta verifikācijas logā atlasiet Jā.
Mēs ievadām iepriekš izveidotā lietotāja akreditācijas datus un redzam, ka savienojums ir veiksmīgi pabeigts.
Mēs pārbaudām VPN klienta statistiku vietējā datorā.
Windows komandrindā (ipconfig / all) mēs redzam, ka ir parādījies papildu virtuālais adapteris un ir savienojums ar attālo tīklu, viss darbojas:
Visbeidzot, pārbaudiet no Edge Gateway konsoles.

L2 VPN

L2VPN būs nepieciešams, ja jums vajadzēs apvienot vairākus ģeogrāfiski
sadalīti tīkli vienā apraides domēnā.

Tas var būt noderīgi, piemēram, migrējot virtuālo mašīnu: kad virtuālā mašīna pārceļas uz citu ģeogrāfisko apgabalu, iekārta saglabās savus IP adrešu iestatījumus un nezaudēs savienojumu ar citām iekārtām, kas atrodas tajā pašā L2 domēnā.

Mūsu testa vidē mēs savienosim divas vietnes, attiecīgi sauksim tās par A un B. Mums ir divi NSX un divi identiski izveidoti maršrutēti tīkli, kas pievienoti dažādām Edge. Mašīnas A adrese ir 10.10.10.250/24, mašīnas B adrese ir 10.10.10.2/24.

Programmā vCloud Director atveriet cilni Administrēšana, dodieties uz vajadzīgo VDC, dodieties uz cilni Org VDC Networks un pievienojiet divus jaunus tīklus.
Atlasiet maršrutētā tīkla veidu un saistiet šo tīklu ar mūsu NSX. Mēs atzīmējam izvēles rūtiņu Izveidot kā apakšinterfeisu.
Rezultātā mums vajadzētu iegūt divus tīklus. Mūsu piemērā tos sauc par tīklu-a un tīklu-b ar vienādiem vārtejas iestatījumiem un vienu un to pašu masku.
Tagad pāriesim pie pirmā NSX iestatījumiem. Šis būs NSX, kuram ir pievienots tīkls A. Tas darbosies kā serveris.
Mēs atgriežamies pie NSx Edge saskarnes / dodieties uz cilni VPN -> L2VPN. Mēs ieslēdzam L2VPN, atlasām servera darbības režīmu, servera globālajos iestatījumos norādām ārējo NSX IP adresi, kurā klausīsies tuneļa ports. Pēc noklusējuma ligzda tiks atvērta 443. portā, taču to var mainīt. Neaizmirstiet izvēlēties šifrēšanas iestatījumus nākotnes tunelim.
Dodieties uz cilni Servera vietnes un pievienojiet līdzinieku.
Ieslēdzam peer, iestatām nosaukumu, aprakstu, ja nepieciešams, iestatām lietotājvārdu un paroli. Šie dati mums būs nepieciešami vēlāk, iestatot klienta vietni.
Sadaļā Egress Optimization Gateway Address mēs iestatām vārtejas adresi. Tas ir nepieciešams, lai nerastos IP adrešu konflikti, jo mūsu tīklu vārtejai ir tāda pati adrese. Pēc tam noklikšķiniet uz pogas ATLASĪT APAKŠSAISTES.
Šeit mēs izvēlamies vajadzīgo apakšinterfeisu. Mēs saglabājam iestatījumus.
Redzam, ka iestatījumos ir parādījusies jaunizveidotā klienta vietne.
Tagad pāriesim pie NSX konfigurēšanas no klienta puses.
Mēs ejam uz NSX pusi B, dodieties uz VPN -> L2VPN, iespējojiet L2VPN, iestatiet L2VPN režīmu uz klienta režīmu. Cilnē Client Global iestatiet NSX A adresi un portu, ko iepriekš norādījām kā klausīšanās IP un portu servera pusē. Ir arī jāiestata tie paši šifrēšanas iestatījumi, lai tie būtu konsekventi, kad tunelis tiek pacelts.

Mēs ritinām zemāk, atlasiet apakšinterfeisu, caur kuru tiks izveidots L2VPN tunelis.
Sadaļā Egress Optimization Gateway Address mēs iestatām vārtejas adresi. Iestatiet lietotāja ID un paroli. Mēs izvēlamies apakšinterfeisu un neaizmirstiet saglabāt iestatījumus.
Patiesībā tas arī viss. Klienta un servera puses iestatījumi ir gandrīz identiski, izņemot dažas nianses.
Tagad mēs varam redzēt, ka mūsu tunelis ir darbojies, jebkurā NSX dodoties uz Statistika -> L2VPN.
Ja tagad dosimies uz jebkura Edge Gateway konsoli, arp tabulā mēs redzēsim katra no tām abu virtuālo mašīnu adreses.

Tas viss attiecas uz VPN NSX Edge. Jautājiet, ja kaut kas nav skaidrs. Tā ir arī pēdējā daļa rakstu sērijai par darbu ar NSX Edge. Mēs ceram, ka tie bija noderīgi 🙂

Avots: www.habr.com

VMware NSX mazajiem. 6. daļa: VPN iestatīšana

IPsec

SSL VPN

L2 VPN

Pievieno komentāru Atcelt atbildi