Å odien mÄs apskatÄ«sim VPN konfigurÄcijas opcijas, kuras mums piedÄvÄ NSX Edge.
KopumÄ VPN tehnoloÄ£ijas var iedalÄ«t divos galvenajos veidos:
VietÅu VPN. VisbiežÄk izmanto IPSec, lai izveidotu droÅ”u tuneli, piemÄram, starp galveno biroja tÄ«klu un tÄ«klu attÄlÄ vietÄ vai mÄkonÄ«.
AttÄlÄs piekļuves VPN. Izmanto, lai savienotu atseviŔķus lietotÄjus ar korporatÄ«vajiem privÄtajiem tÄ«kliem, izmantojot VPN klienta programmatÅ«ru.
NSX Edge ļauj mums izmantot abas iespÄjas.
MÄs konfigurÄsim, izmantojot testa stendu ar diviem NSX Edge, Linux serveri ar instalÄtu dÄmonu jenots un Windows klÄpjdators, lai pÄrbaudÄ«tu attÄlÄs piekļuves VPN.
IPsec
VCloud Director saskarnÄ dodieties uz sadaļu AdministrÄÅ”ana un atlasiet vDC. CilnÄ Edge Gateways atlasiet vajadzÄ«go Edge, ar peles labo pogu noklikŔķiniet un atlasiet Edge Gateway Services.
NSX Edge saskarnÄ atveriet cilni VPN-IPsec VPN, pÄc tam uz sadaļu IPsec VPN vietnes un noklikŔķiniet uz +, lai pievienotu jaunu vietni.
Aizpildiet obligÄtos laukus:
Enabled ā aktivizÄ attÄlo vietni.
PFS ā nodroÅ”ina, ka katra jaunÄ kriptogrÄfiskÄ atslÄga nav saistÄ«ta ar nevienu iepriekÅ”Äjo atslÄgu.
VietÄjais ID un vietÄjais galapunktst ir NSX Edge ÄrÄjÄ adrese.
VietÄjais apakÅ”tÄ«klss - vietÄjie tÄ«kli, kas izmantos IPsec VPN.
VienÄdranga ID un vienÄdranga galapunkts - attÄlÄs vietnes adrese.
VienÄdranga apakÅ”tÄ«kli - tÄ«kli, kas izmantos IPsec VPN attÄlajÄ pusÄ.
Å ifrÄÅ”anas algoritms ā tuneļa Å”ifrÄÅ”anas algoritms.
AutentifikÄcija - kÄ mÄs autentificÄsim lÄ«dzinieku. Varat izmantot iepriekÅ” koplietotu atslÄgu vai sertifikÄtu.
IepriekÅ” koplietota atslÄga - norÄdiet atslÄgu, kas tiks izmantota autentifikÄcijai, un tai ir jÄsakrÄ«t abÄs pusÄs.
Difija Helmana grupa - atslÄgu apmaiÅas algoritms.
PÄc nepiecieÅ”amo lauku aizpildÄ«Å”anas noklikŔķiniet uz SaglabÄt.
Gatavs.
PÄc vietnes pievienoÅ”anas dodieties uz cilni AktivizÄcijas statuss un aktivizÄjiet IPsec pakalpojumu.
Kad iestatÄ«jumi ir piemÄroti, dodieties uz cilni Statistika -> IPsec VPN un pÄrbaudiet tuneļa statusu. MÄs redzam, ka tunelis ir pacÄlies.
PÄrbaudiet tuneļa statusu Edge vÄrtejas konsolÄ:
parÄdÄ«t pakalpojumu ipsec - pÄrbaudiet pakalpojuma statusu.
show service ipsec vietne ā informÄcija par vietnes stÄvokli un sarunÄtiem parametriem.
parÄdÄ«t pakalpojumu ipsec sa - pÄrbaudiet droŔības asociÄcijas (SA) statusu.
Savienojuma pÄrbaude ar attÄlo vietni:
root@racoon:~# ifconfig eth0:1 | grep inet
inet 10.255.255.1 netmask 255.255.255.0 broadcast 0.0.0.0
root@racoon:~# ping -c1 -I 10.255.255.1 192.168.0.10
PING 192.168.0.10 (192.168.0.10) from 10.255.255.1 : 56(84) bytes of data.
64 bytes from 192.168.0.10: icmp_seq=1 ttl=63 time=59.9 ms
--- 192.168.0.10 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 59.941/59.941/59.941/0.000 ms
KonfigurÄcijas faili un papildu komandas diagnostikai no attÄlÄ Linux servera:
Es atzÄ«mÄju, ka IPsec tuneļu skaits ir atkarÄ«gs no izvietotÄs Edge Gateway lieluma (par to lasiet mÅ«su pirmais raksts).
SSL VPN
SSL VPN-Plus ir viena no attÄlÄs piekļuves VPN opcijÄm. Tas ļauj atseviŔķiem attÄliem lietotÄjiem droÅ”i izveidot savienojumu ar privÄtajiem tÄ«kliem aiz NSX Edge Gateway. SSL VPN-plus gadÄ«jumÄ starp klientu (Windows, Linux, Mac) un NSX Edge tiek izveidots Å”ifrÄts tunelis.
SÄksim iestatÄ«Å”anu. Edge Gateway pakalpojuma vadÄ«bas panelÄ« atveriet cilni SSL VPN-Plus un pÄc tam uz Servera iestatÄ«jumi. MÄs izvÄlamies adresi un portu, kurÄ serveris uzklausÄ«s ienÄkoÅ”os savienojumus, iespÄjojam reÄ£istrÄÅ”anu un atlasÄm nepiecieÅ”amos Å”ifrÄÅ”anas algoritmus.
Å eit jÅ«s varat arÄ« mainÄ«t sertifikÄtu, ko serveris izmantos.
Kad viss ir gatavs, ieslÄdziet serveri un neaizmirstiet saglabÄt iestatÄ«jumus.
TÄlÄk mums ir jÄiestata adreÅ”u kopums, ko izsniegsim klientiem savienojuma laikÄ. Å is tÄ«kls ir noŔķirts no jebkura esoÅ”Ä apakÅ”tÄ«kla jÅ«su NSX vidÄ, un tas nav jÄkonfigurÄ citÄs fizisko tÄ«klu ierÄ«cÄs, izÅemot marÅ”rutus, kas uz to norÄda.
Dodieties uz cilni IP baseini un noklikŔķiniet uz +.
Atlasiet adreses, apakÅ”tÄ«kla masku un vÄrteju. Å eit varat arÄ« mainÄ«t DNS un WINS serveru iestatÄ«jumus.
Iegūtais baseins.
Tagad pievienosim tÄ«klus, kuriem bÅ«s piekļuve lietotÄjiem, kuri izveidos savienojumu ar VPN. Dodieties uz cilni PrivÄtie tÄ«kli un noklikŔķiniet uz +.
MÄs aizpildÄm:
TÄ«kls - lokÄlais tÄ«kls, kuram bÅ«s piekļuve attÄliem lietotÄjiem.
SÅ«tÄ«t trafiku, tai ir divas iespÄjas:
- pa tuneli - nosūtīt trafiku uz tīklu caur tuneli,
ā apiet tuneli ā sÅ«tÄ«t satiksmi uz tÄ«klu, tieÅ”i apejot tuneli.
IespÄjot TCP optimizÄciju ā pÄrbaudiet, vai izvÄlÄjÄties opciju pÄr tuneli. Kad optimizÄcija ir iespÄjota, varat norÄdÄ«t portu numurus, kuriem vÄlaties optimizÄt trafiku. PÄrÄjo portu satiksme konkrÄtajÄ tÄ«klÄ netiks optimizÄta. Ja nav norÄdÄ«ti portu numuri, tiek optimizÄta trafika visiem portiem. Lasiet vairÄk par Å”o funkciju Å”eit.
PÄc tam dodieties uz cilni AutentifikÄcija un noklikŔķiniet uz +. AutentifikÄcijai mÄs izmantosim vietÄjo serveri paÅ”Ä NSX Edge.
Å eit mÄs varam atlasÄ«t politikas jaunu paroļu Ä£enerÄÅ”anai un konfigurÄt lietotÄju kontu bloÄ·ÄÅ”anas opcijas (piemÄram, atkÄrtotu mÄÄ£inÄjumu skaitu, ja parole ir ievadÄ«ta nepareizi).
TÄ kÄ mÄs izmantojam vietÄjo autentifikÄciju, mums ir jÄizveido lietotÄji.
Papildus pamata lietÄm, piemÄram, vÄrdam un parolei, Å”eit varat, piemÄram, aizliegt lietotÄjam mainÄ«t paroli vai, gluži pretÄji, piespiest viÅu mainÄ«t paroli nÄkamajÄ pieteikÅ”anÄs reizÄ.
Kad visi nepiecieÅ”amie lietotÄji ir pievienoti, dodieties uz cilni InstalÄcijas pakotnes, noklikŔķiniet uz + un izveidojiet paÅ”u instalÄtÄju, kuru instalÄÅ”anai lejupielÄdÄs attÄlais darbinieks.
Nospiediet +. Atlasiet tÄ servera adresi un portu, ar kuru klients izveidos savienojumu, un platformas, kurÄm vÄlaties Ä£enerÄt instalÄcijas pakotni.
TÄlÄk Å”ajÄ logÄ varat norÄdÄ«t Windows klienta iestatÄ«jumus. IzvÄlieties:
start klientu piesakoties ā VPN klients tiks pievienots startÄÅ”anai attÄlajÄ datorÄ;
izveidot darbvirsmas ikonu - uz darbvirsmas izveidos VPN klienta ikonu;
Windows komandrindÄ (ipconfig / all) mÄs redzam, ka ir parÄdÄ«jies papildu virtuÄlais adapteris un ir savienojums ar attÄlo tÄ«klu, viss darbojas:
Tas var bÅ«t noderÄ«gi, piemÄram, migrÄjot virtuÄlo maŔīnu: kad virtuÄlÄ maŔīna pÄrceļas uz citu Ä£eogrÄfisko apgabalu, iekÄrta saglabÄs savus IP adreÅ”u iestatÄ«jumus un nezaudÄs savienojumu ar citÄm iekÄrtÄm, kas atrodas tajÄ paÅ”Ä L2 domÄnÄ.
MÅ«su testa vidÄ mÄs savienosim divas vietnes, attiecÄ«gi sauksim tÄs par A un B. Mums ir divi NSX un divi identiski izveidoti marÅ”rutÄti tÄ«kli, kas pievienoti dažÄdÄm Edge. MaŔīnas A adrese ir 10.10.10.250/24, maŔīnas B adrese ir 10.10.10.2/24.
ProgrammÄ vCloud Director atveriet cilni AdministrÄÅ”ana, dodieties uz vajadzÄ«go VDC, dodieties uz cilni Org VDC Networks un pievienojiet divus jaunus tÄ«klus.
Atlasiet marÅ”rutÄtÄ tÄ«kla veidu un saistiet Å”o tÄ«klu ar mÅ«su NSX. MÄs atzÄ«mÄjam izvÄles rÅ«tiÅu Izveidot kÄ apakÅ”interfeisu.
RezultÄtÄ mums vajadzÄtu iegÅ«t divus tÄ«klus. MÅ«su piemÄrÄ tos sauc par tÄ«klu-a un tÄ«klu-b ar vienÄdiem vÄrtejas iestatÄ«jumiem un vienu un to paÅ”u masku.
Tagad pÄriesim pie pirmÄ NSX iestatÄ«jumiem. Å is bÅ«s NSX, kuram ir pievienots tÄ«kls A. Tas darbosies kÄ serveris.
MÄs atgriežamies pie NSx Edge saskarnes / dodieties uz cilni VPN -> L2VPN. MÄs ieslÄdzam L2VPN, atlasÄm servera darbÄ«bas režīmu, servera globÄlajos iestatÄ«jumos norÄdÄm ÄrÄjo NSX IP adresi, kurÄ klausÄ«sies tuneļa ports. PÄc noklusÄjuma ligzda tiks atvÄrta 443. portÄ, taÄu to var mainÄ«t. Neaizmirstiet izvÄlÄties Å”ifrÄÅ”anas iestatÄ«jumus nÄkotnes tunelim.
Dodieties uz cilni Servera vietnes un pievienojiet līdzinieku.
IeslÄdzam peer, iestatÄm nosaukumu, aprakstu, ja nepiecieÅ”ams, iestatÄm lietotÄjvÄrdu un paroli. Å ie dati mums bÅ«s nepiecieÅ”ami vÄlÄk, iestatot klienta vietni.
SadaÄ¼Ä Egress Optimization Gateway Address mÄs iestatÄm vÄrtejas adresi. Tas ir nepiecieÅ”ams, lai nerastos IP adreÅ”u konflikti, jo mÅ«su tÄ«klu vÄrtejai ir tÄda pati adrese. PÄc tam noklikŔķiniet uz pogas ATLASÄŖT APAKÅ SAISTES.
Å eit mÄs izvÄlamies vajadzÄ«go apakÅ”interfeisu. MÄs saglabÄjam iestatÄ«jumus.
Redzam, ka iestatÄ«jumos ir parÄdÄ«jusies jaunizveidotÄ klienta vietne.
Tagad pÄriesim pie NSX konfigurÄÅ”anas no klienta puses.
MÄs ejam uz NSX pusi B, dodieties uz VPN -> L2VPN, iespÄjojiet L2VPN, iestatiet L2VPN režīmu uz klienta režīmu. CilnÄ Client Global iestatiet NSX A adresi un portu, ko iepriekÅ” norÄdÄ«jÄm kÄ klausÄ«Å”anÄs IP un portu servera pusÄ. Ir arÄ« jÄiestata tie paÅ”i Å”ifrÄÅ”anas iestatÄ«jumi, lai tie bÅ«tu konsekventi, kad tunelis tiek pacelts.
MÄs ritinÄm zemÄk, atlasiet apakÅ”interfeisu, caur kuru tiks izveidots L2VPN tunelis.
SadaÄ¼Ä Egress Optimization Gateway Address mÄs iestatÄm vÄrtejas adresi. Iestatiet lietotÄja ID un paroli. MÄs izvÄlamies apakÅ”interfeisu un neaizmirstiet saglabÄt iestatÄ«jumus.
PatiesÄ«bÄ tas arÄ« viss. Klienta un servera puses iestatÄ«jumi ir gandrÄ«z identiski, izÅemot dažas nianses.
Tagad mÄs varam redzÄt, ka mÅ«su tunelis ir darbojies, jebkurÄ NSX dodoties uz Statistika -> L2VPN.
Ja tagad dosimies uz jebkura Edge Gateway konsoli, arp tabulÄ mÄs redzÄsim katra no tÄm abu virtuÄlo maŔīnu adreses.
Tas viss attiecas uz VPN NSX Edge. JautÄjiet, ja kaut kas nav skaidrs. TÄ ir arÄ« pÄdÄjÄ daļa rakstu sÄrijai par darbu ar NSX Edge. MÄs ceram, ka tie bija noderÄ«gi š