VMware NSX ho an'ny ankizy madinika. Fizarana 6: VPN Setup

Fizarana voalohany. enti-mampiditra ny
Fizarana faharoa. Fametrahana Firewall sy fitsipika NAT
Fizarana fahatelo. Fametrahana DHCP
Fizarana fahefatra. Fametrahana lalana
Fizarana fahadimy. Fametrahana mpandrindra entana

Androany isika dia hijery ny safidy fanamafisana VPN omen'i NSX Edge antsika.

Amin'ny ankapobeny, azontsika zaraina ho karazany roa ny teknolojia VPN:

• Site-to-site VPN. Ny fampiasana matetika ny IPSec dia ny famoronana tonelina azo antoka, ohatra, eo anelanelan'ny tambajotran'ny birao lehibe sy ny tambajotra amin'ny toerana lavitra na amin'ny rahona.
• Fidirana lavitra VPN. Nampiasaina hampifandray ny mpampiasa tsirairay amin'ny tambajotra tsy miankina amin'ny orinasa mampiasa ny rindrambaiko mpanjifa VPN.

NSX Edge dia mamela antsika hampiasa ireo safidy roa ireo.
Hamboarina amin'ny fampiasana dabilio fitsapana miaraka amin'ny NSX Edge roa, mpizara Linux misy daemon napetraka Raccoon ary solosaina finday Windows hanandrana Remote Access VPN.

IPsec

1. Ao amin'ny interface vCloud Director, mandehana any amin'ny fizarana Administration ary safidio ny vDC. Ao amin'ny tabilao Edge Gateways, safidio ny Edge ilaintsika, tsindrio havanana ary safidio ny serivisy Edge Gateway.
   
2. Ao amin'ny interface NSX Edge, mankanesa any amin'ny tabilao VPN-IPsec VPN, avy eo amin'ny sehatra IPsec VPN Sites ary tsindrio + raha te hampiditra tranokala vaovao.

   

3. Fenoy ny saha ilaina:
   • afaka – manetsika ny tranokala lavitra.
   • PFS - miantoka fa ny fanalahidy kriptografika vaovao tsirairay dia tsy mifandray amin'ny fanalahidy teo aloha.
   • ID eo an-toerana sy teboka farany eo an-toeranat ny adiresy ivelany an'ny NSX Edge.
   • subnet eo an-toeranas - tambajotra eo an-toerana izay hampiasa IPsec VPN.
   • Peer ID sy Peer Endpoint - adiresin'ny tranokala lavitra.
   • Peer Subnets - tambajotra izay hampiasa IPsec VPN amin'ny lafiny lavitra.
   • Algorithm Encryption - algorithm encryption tonelina.

   
   

   • fanamarinana - ny fomba hanamarinantsika ny namany. Azonao atao ny mampiasa Key Pre-Shared na taratasy fanamarinana.
   • Fanalahidy efa zaraina - mamaritra ny lakile hampiasaina amin'ny fanamarinana ary tsy maintsy mifanaraka amin'ny andaniny roa.
   • Diffie Hellman Group - algorithm fifanakalozana fanalahidy.

   Aorian'ny famenoana ireo saha ilaina dia tsindrio ny Keep.

   

4. Nataon'i.

   

5. Aorian'ny fampidirana ilay tranokala dia mandehana any amin'ny tabilao Activation Status ary ampio ny serivisy IPsec.

   

6. Aorian'ny fampiharana ny fanovana dia mandehana any amin'ny tabilao Statistics -> IPsec VPN ary jereo ny toetry ny tonelina. Hitantsika fa niakatra ny tonelina.

   

7. Jereo ny satan'ny tonelina avy amin'ny console Edge gateway:
   • asehoy ny serivisy ipsec - jereo ny satan'ny serivisy.

     

   • show service ipsec site - Fampahalalana momba ny toetry ny tranokala sy ny masontsivana nifampiraharaha.

     

   • asehoy ny serivisy ipsec sa - jereo ny satan'ny Security Association (SA).

     

8. Fanamarinana ny fifandraisana amin'ny tranokala lavitra:

   root@racoon:~# ifconfig eth0:1 | grep inet
           inet 10.255.255.1  netmask 255.255.255.0  broadcast 0.0.0.0
   
   root@racoon:~# ping -c1 -I 10.255.255.1 192.168.0.10 
   PING 192.168.0.10 (192.168.0.10) from 10.255.255.1 : 56(84) bytes of data.
   64 bytes from 192.168.0.10: icmp_seq=1 ttl=63 time=59.9 ms
   
   --- 192.168.0.10 ping statistics ---
   1 packets transmitted, 1 received, 0% packet loss, time 0ms
   rtt min/avg/max/mdev = 59.941/59.941/59.941/0.000 ms
   

   Dosie fanamboarana sy baiko fanampiny ho an'ny diagnostika avy amin'ny mpizara Linux lavitra:

   root@racoon:~# cat /etc/racoon/racoon.conf 
   
   log debug;
   path pre_shared_key "/etc/racoon/psk.txt";
   path certificate "/etc/racoon/certs";
   
   listen {
     isakmp 80.211.43.73 [500];
      strict_address;
   }
   
   remote 185.148.83.16 {
           exchange_mode main,aggressive;
           proposal {
                    encryption_algorithm aes256;
                    hash_algorithm sha1;
                    authentication_method pre_shared_key;
                    dh_group modp1536;
            }
            generate_policy on;
   }
    
   sainfo address 10.255.255.0/24 any address 192.168.0.0/24 any {
            encryption_algorithm aes256;
            authentication_algorithm hmac_sha1;
            compression_algorithm deflate;
   }
   
   ===
   
   root@racoon:~# cat /etc/racoon/psk.txt
   185.148.83.16 testkey
   
   ===
   
   root@racoon:~# cat /etc/ipsec-tools.conf 
   #!/usr/sbin/setkey -f
   
   flush;
   spdflush;
   
   spdadd 192.168.0.0/24 10.255.255.0/24 any -P in ipsec
         esp/tunnel/185.148.83.16-80.211.43.73/require;
   
   spdadd 10.255.255.0/24 192.168.0.0/24 any -P out ipsec
         esp/tunnel/80.211.43.73-185.148.83.16/require;
   
   ===
   
   
   root@racoon:~# racoonctl show-sa isakmp
   Destination            Cookies                           Created
   185.148.83.16.500      2088977aceb1b512:a4c470cb8f9d57e9 2019-05-22 13:46:13 
   
   ===
   
   root@racoon:~# racoonctl show-sa esp
   80.211.43.73 185.148.83.16 
           esp mode=tunnel spi=1646662778(0x6226147a) reqid=0(0x00000000)
           E: aes-cbc  00064df4 454d14bc 9444b428 00e2296e c7bb1e03 06937597 1e522ce0 641e704d
           A: hmac-sha1  aa9e7cd7 51653621 67b3b2e9 64818de5 df848792
           seq=0x00000000 replay=4 flags=0x00000000 state=mature 
           created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
           diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
           last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
           current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
           allocated: 860  hard: 0 soft: 0
           sadb_seq=1 pid=7739 refcnt=0
   185.148.83.16 80.211.43.73 
           esp mode=tunnel spi=88535449(0x0546f199) reqid=0(0x00000000)
           E: aes-cbc  c812505a 9c30515e 9edc8c4a b3393125 ade4c320 9bde04f0 94e7ba9d 28e61044
           A: hmac-sha1  cd9d6f6e 06dbcd6d da4d14f8 6d1a6239 38589878
           seq=0x00000000 replay=4 flags=0x00000000 state=mature 
           created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
           diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
           last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
           current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
           allocated: 860  hard: 0 soft: 0
           sadb_seq=0 pid=7739 refcnt=0

9. Efa vonona ny zava-drehetra, mandeha sy mandeha ny IPsec VPN amin'ny tranokala.

   Amin'ity ohatra ity dia nampiasa PSK izahay ho an'ny fanamarinana mitovy, fa azo atao ihany koa ny fanamarinana fanamarinana. Mba hanaovana izany, mandehana any amin'ny tabilao Global Configuration, avelao ny fanamarinana fanamarinana ary safidio ny taratasy fanamarinana.

   Ankoatr'izay, ao amin'ny firafitry ny tranokala dia mila manova ny fomba fanamarinana ianao.

   
   
   
   
   Marihiko fa ny isan'ny tonelina IPsec dia miankina amin'ny haben'ny Edge Gateway napetraka (vakio ny momba izany ao amin'ny tranokalanay. lahatsoratra voalohany).

   

SSL VPN

SSL VPN-Plus dia iray amin'ireo safidy Remote Access VPN. Izy io dia ahafahan'ny mpampiasa lavitra tsirairay mifandray tsara amin'ny tambajotra tsy miankina ao ambadiky ny NSX Edge Gateway. Ny tonelina miafina amin'ny tranga SSL VPN-plus dia napetraka eo anelanelan'ny mpanjifa (Windows, Linux, Mac) ary NSX Edge.

1. Andeha isika hanomboka. Ao amin'ny tontonana fanaraha-maso serivisy Edge Gateway, mandehana amin'ny tabilao SSL VPN-Plus, avy eo mankany amin'ny Settings Server. Mifidy ny adiresy sy ny seranan-tsambo izay hihainoan'ny mpizara ny fifandraisana ho avy izahay, avelao ny logiciel ary mifidiana ny algorithm encryption ilaina.

   
   
   Eto ianao dia afaka manova ny taratasy fanamarinana izay hampiasain'ny mpizara.

   

2. Rehefa vonona ny zava-drehetra, velomy ny mpizara ary aza adino ny mitahiry ny fanovana.

   

3. Manaraka, mila manangana dobo adiresy izay havoakantsika amin'ny mpanjifa rehefa mifandray. Ity tambajotra ity dia misaraka amin'ny subnet efa misy ao amin'ny tontolo NSX anao ary tsy mila amboarina amin'ny fitaovana hafa amin'ny tambajotra ara-batana, afa-tsy amin'ireo lalana manondro azy.

   Mandehana any amin'ny tabilao IP Pools ary tsindrio +.

   

4. Mifidiana adiresy, saron-tava ary vavahady. Eto ianao dia afaka manova ny toe-javatra ho an'ny mpizara DNS sy WINS.

   

5. Ny dobo vokatr'izany.

   

6. Andeha isika hanampy ireo tambajotra azon'ny mpampiasa mifandray amin'ny VPN. Mandehana any amin'ny tabilao Private Networks ary tsindrio +.

   

7. Fenoy:
   • Tambajotra - tamba-jotra eo an-toerana ahafahan'ny mpampiasa lavitra miditra.
   • Alefaso ny fifamoivoizana, manana safidy roa izy io:
     - mihoatra ny tonelina - mandefa fifamoivoizana mankany amin'ny tambajotra amin'ny alàlan'ny tonelina,
     — tonelina tonelina—mandefa fifamoivoizana mankany amin'ny tambazotra mivantana mandalo ny tonelina.
   • Alefaso ny TCP Optimization - jereo raha nisafidy ny safidy mihoatra ny tonelina ianao. Rehefa alefa ny fanatsarana dia azonao atao ny mamaritra ny laharan'ny seranan-tsambo tianao hanamafisana ny fifamoivoizana. Ny fifamoivoizana ho an'ny seranana sisa amin'io tambajotra manokana io dia tsy ho tsara indrindra. Raha tsy misy laharan'ny seranana voatondro, dia tsara ny fifamoivoizana ho an'ny seranana rehetra. Vakio bebe kokoa momba ity endri-javatra ity eto.

   

8. Manaraka, mandehana any amin'ny tabilao Authentication ary tsindrio +. Ho an'ny fanamarinana dia hampiasa mpizara eo an-toerana ao amin'ny NSX Edge izahay.

   

9. Eto isika dia afaka misafidy politika amin'ny famoronana tenimiafina vaovao ary manamboatra safidy amin'ny fanakanana ny kaonty mpampiasa (ohatra, ny isan'ny famerenana indray raha diso ny fampidirana ny tenimiafina).

   
   
   

10. Satria mampiasa fanamarinana eo an-toerana isika dia mila mamorona mpampiasa.

    

11. Ho fanampin'ny zavatra fototra toy ny anarana sy ny tenimiafina, eto dia azonao atao, ohatra, ny mandrara ny mpampiasa tsy hanova ny tenimiafina na, ny mifanohitra amin'izany, manery azy hanova ny tenimiafina rehefa miditra amin'ny manaraka.

    

12. Rehefa avy nampiana ireo mpampiasa ilaina rehetra dia mandehana any amin'ny tabilao Fametrahana Packages, tsindrio + ary mamorona ny installer mihitsy, izay alain'ny mpiasa lavitra ho an'ny fametrahana.

    

13. Tsindrio +. Safidio ny adiresy sy ny seranan-tsambon'ny mpizara izay hifandraisan'ny mpanjifa, ary ny sehatra tianao hamoronana ny fonosana fametrahana.

    
    
    Eto ambany eto amin'ity varavarankely ity, azonao atao ny mamaritra ny firafitry ny mpanjifa ho an'ny Windows. Mifidiana:

    • manomboka mpanjifa amin'ny fidirana - ny mpanjifa VPN dia ampiana amin'ny fanombohana amin'ny milina lavitra;
    • mamorona kisary desktop - hamorona kisary mpanjifa VPN eo amin'ny desktop;
    • fanamarinana fanamarinana fiarovana amin'ny mpizara - hanamarina ny mari-pankasitrahana mpizara rehefa mifandray.
      Vita ny fametrahana ny mpizara.

    

14. Andeha isika haka ny fonosana fametrahana noforoninay tamin'ny dingana farany mankany amin'ny PC lavitra. Rehefa nanangana ny mpizara dia nofaritanay ny adiresy ivelany (185.148.83.16) sy ny seranana (445). Ao amin'io adiresy io no ilaintsika amin'ny navigateur web. Raha ny amiko dia izany 185.148.83.16: 445.

    Ao amin'ny varavarankelin'ny fanomezan-dàlana dia tsy maintsy miditra ny mombamomba ny mpampiasa izay noforoninay teo aloha ianao.

    

15. Aorian'ny fanomezan-dàlana dia mahita lisitr'ireo fonosana fametrahana noforonina azo alaina azo alaina. Iray ihany no noforoninay - alainay izany.

    

16. Tsindrio ny rohy izahay, manomboka ny fampidinana ny mpanjifa.

    

17. Esory ny arisiva alaina ary tanteraho ny installer.

    

18. Aorian'ny fametrahana, sokafy ny mpanjifa, ao amin'ny varavarankely fanomezan-dàlana, tsindrio Login.

    

19. Ao amin'ny varavarankely fanamarinana fanamarinana, mifidiana Eny.

    

20. Ampidiro ny fahazoan-dàlana ho an'ny mpampiasa noforonina teo aloha ary mahita fa vita soa aman-tsara ny fifandraisana.

    
    
    

21. Manamarina ny antontan'isa momba ny mpanjifa VPN amin'ny solosaina eo an-toerana izahay.

    
    
    

22. Ao amin'ny baiko baiko Windows (ipconfig / all), dia hitantsika fa nisy adapter virtoaly fanampiny niseho ary misy fifandraisana amin'ny tambajotra lavitra, mandeha ny zava-drehetra:

    
    
    

23. Ary farany, jereo avy amin'ny console Edge Gateway.

    

L2 VPN

Ilaina ny L2VPN rehefa mila manambatra ara-jeografika maromaro ianao
nizara tambajotra ho sehatra fampielezam-peo iray.

Mety ilaina izany, ohatra, rehefa mifindra monina milina virtoaly: rehefa mifindra any amin'ny faritra ara-jeografika hafa ny VM, dia hihazona ny firafitry ny adiresin'ny IP ny milina ary tsy ho very ny fifandraisana amin'ny milina hafa ao amin'ny sehatra L2 mitovy aminy.

Ao amin'ny tontolon'ny fitsapana, dia hampifandray tranokala roa isika, hiantso azy ireo A sy B, tsirairay avy. Manana NSX roa isika ary tambajotra roa mifanandrify noforonina mifandray amin'ny Edges samihafa. Ny milina A dia manana ny adiresy 10.10.10.250/24, ny milina B manana ny adiresy 10.10.10.2/24.

1. Ao amin'ny Talen'ny vCloud, mandehana any amin'ny tabilao Administration, mandehana any amin'ny VDC ilaintsika, mankanesa any amin'ny tabilao Org VDC Networks ary ampio tambajotra vaovao roa.

   

2. Safidio ny karazan-tambajotra voahodina ary afehezo amin'ny NSX anay ity tambajotra ity. Napetrakay ny boaty bokotra Create as subinterface.

   

3. Vokatr'izany dia tokony hahazo tambajotra roa isika. Amin'ny ohatra ataontsika dia antsoina hoe network-a sy network-b izy ireo miaraka amin'ny fikandrana vavahady mitovy sy saron-tava mitovy.

   
   
   

4. Andeha ho any amin'ny firafitry ny NSX voalohany. Io no NSX ampifandraisina amin'ny Network A. Izy io dia ho mpizara.

   Miverina any amin'ny interface NSx Edge isika / Mandehana any amin'ny tabilao VPN -> L2VPN. Ampidiro ny L2VPN, safidio ny fomba fiasa Server, ao amin'ny sehatra Server Global dia mamaritra ny adiresy IP NSX ivelany izay hihainoan'ny seranan-tsambo ho an'ny tonelina. Amin'ny alàlan'ny default, hisokatra amin'ny port 443 ny socket, saingy azo ovaina izany. Aza adino ny misafidy ny fikandrana fanafenana ho an'ny tonelina ho avy.

   

5. Mandehana any amin'ny tabilao Server Sites ary ampio namana iray.

   

6. Ampidiro ny peer, mametraka ny anarana, famaritana, raha ilaina, mametraka ny solon'anarana sy ny tenimiafina. Mila an'io data io izahay any aoriana any rehefa manangana tranokala mpanjifa.

   Ao amin'ny Adiresy Gateway Optimization Egress dia mametraka ny adiresy vavahady izahay. Ilaina izany mba tsy hisian'ny fifandirana amin'ny adiresy IP, satria mitovy ny adiresy ny vavahadin'ny tambajotrantsika. Avy eo tsindrio ny bokotra SELECT SUB-INTERFACES.

   

7. Eto isika dia misafidy ny subinterface tiana. Mitahiry ny fikandrana izahay.

   

8. Hitanay fa ny tranokala mpanjifa vao noforonina dia niseho tao amin'ny fikandrana.

   

9. Andeha isika izao hiroso amin'ny fanamboarana ny NSX avy amin'ny lafiny mpanjifa.

   Mankany amin'ny NSX lafiny B izahay, mandehana VPN -> L2VPN, avelao ny L2VPN, apetraho amin'ny fomba mpanjifa ny L2VPN. Ao amin'ny tabilao Client Global, apetraho ny adiresy sy seranan-tsambon'i NSX A, izay nofaritanay teo aloha ho Listening IP sy Port eo amin'ny lafiny mpizara. Ilaina ihany koa ny mametraka ny fikandrana mitovy amin'izany mba hifanaraka rehefa miakatra ny tonelina.

   
   
   Mihodina eto ambany izahay, safidio ny subinterface izay hanorenana ny tonelina ho an'ny L2VPN.
   Ao amin'ny Adiresy Gateway Optimization Egress dia mametraka ny adiresy vavahady izahay. Mametraha mpampiasa-id sy tenimiafina. Mifidy ny subinterface izahay ary aza adino ny mitahiry ny fanovana.

   

10. Raha ny marina dia izay ihany. Ny firafitry ny lafiny mpanjifa sy ny mpizara dia saika mitovy, afa-tsy ny nuance vitsivitsy.
11. Ankehitriny dia hitantsika fa niasa ny tonelinay tamin'ny fandehanana any amin'ny Statistics -> L2VPN amin'ny NSX rehetra.

    

12. Raha mandeha any amin'ny console an'ny Edge Gateway isika dia ho hitantsika amin'ny tsirairay amin'izy ireo ao amin'ny latabatra arp ny adiresin'ny VM roa.

    

Izany no momba ny VPN amin'ny NSX Edge. Anontanio raha misy zavatra tsy mazava. Io ihany koa no ampahany farany amin'ny andian-dahatsoratra momba ny fiaraha-miasa amin'ny NSX Edge. Manantena izahay fa nanampy azy ireo 🙂

Source: www.habr.com