VMware NSX mo nga tamariki iti. Wāhanga 6: VPN Tatūnga

Te wahanga tuatahi. whakataki
Te wahanga tuarua. Te whirihora i nga Ture Paahiahi me te NAT
Te wahanga tuatoru. Te whirihora i te DHCP
Wāhanga tuawhā. Tatūnga ararere
Te wahanga tuarima. Te whakarite taurite kawenga

I tenei ra ka titiro tatou ki nga whiringa whirihoranga VPN e tukuna ana e NSX Edge.

I te nuinga, ka taea e tatou te wehewehe i nga hangarau VPN ki nga momo matua e rua:

• Paetukutuku-ki-te papa VPN. Ko te nuinga o te whakamahi i te IPSec ko te hanga i tetahi kauhanga haumaru, hei tauira, i waenga i te whatunga tari matua me te whatunga i te waahi mamao, i te kapua ranei.
• VPN Uru Mamao. Ka whakamahia hei hono i nga kaiwhakamahi takitahi ki nga whatunga tūmataiti umanga ma te whakamahi i te rorohiko kiritaki VPN.

Ka taea e NSX Edge te whakamahi i nga whiringa e rua.
Ka whirihora e matou ma te whakamahi i tetahi papa whakamatautau me nga NSX Edge e rua, he tūmau Linux me te daemon kua whakauruhia raccoon me tetahi pona Windows hei whakamatautau i te VPN Uru Mamao.

IPsec

1. I roto i te atanga Kaiwhakahaere vCloud, haere ki te waahanga Whakahaere ka tohua te vDC. I runga i te ripa Edge Gateways, tohua te Edge e hiahiatia ana e matou, paato-matau ka kowhiria nga Ratonga Edge Gateway.
   
2. I roto i te atanga NSX Edge, haere ki te ripa VPN-IPsec VPN, katahi ki te waahanga IPsec VPN Pae ka paato + ki te taapiri i tetahi waahi hou.

   

3. Whakakiia nga mara e hiahiatia ana:
   • whakahohea – ka whakahohe i te pae mamao.
   • PFS – ka whakarite kia kore ia taviri hou e hono ana ki tetahi taviri o mua.
   • ID Paetata me te Waahi Whakamutunga Paetatat ko te wahitau waho o te NSX Edge.
   • Roopuroto Paetatas - whatunga rohe ka whakamahi i te IPsec VPN.
   • Peer ID me te Hoa Whakamutunga – wāhitau o te pae mamao.
   • Nga Rararoto Hoa – whatunga ka whakamahi IPsec VPN i te taha mamao.
   • Hātepe Whakamuna – hātepe whakamunatanga kauhanga.

   
   

   • Whakaaturanga - me pehea e whakamotuhēhē ai i te hoa. Ka taea e koe te whakamahi i te Kī Tiri-mua, he tiwhikete ranei.
   • Kī Tiritahi-I mua - whakapūtāhia te kī ka whakamahia mō te whakamotuhēhēnga me ōrite ki ngā taha e rua.
   • Rōpū Diffie Hellman – hātepe whakawhiti matua.

   Whai muri i te whakakii i nga mara e hiahiatia ana, pawhiria te Pupuri.

   

4. Kua oti.

   

5. I muri i te taapiri i te pae, haere ki te ripa Tūnga Whakahohe ka whakahohe i te Ratonga IPsec.

   

6. I muri i te tono i nga tautuhinga, haere ki te Tatauranga -> IPsec VPN ripa ka tirohia te mana o te kauhanga. Ka kite tatou kua piki te kauhanga.

   

7. Tirohia te mana o te kauhanga mai i te papatohu kuaha Edge:
   • whakaatu ratonga ipsec - tirohia te mana o te ratonga.

     

   • whakaatu ratonga ipsec pae - Nga korero mo te ahua o te waahi me nga tawhā whiriwhiringa.

     

   • whakaatu ratonga ipsec sa - tirohia te mana o te Rōpū Haumarutanga (SA).

     

8. Te tirotiro i te hononga ki te pae mamao:

   root@racoon:~# ifconfig eth0:1 | grep inet
           inet 10.255.255.1  netmask 255.255.255.0  broadcast 0.0.0.0
   
   root@racoon:~# ping -c1 -I 10.255.255.1 192.168.0.10 
   PING 192.168.0.10 (192.168.0.10) from 10.255.255.1 : 56(84) bytes of data.
   64 bytes from 192.168.0.10: icmp_seq=1 ttl=63 time=59.9 ms
   
   --- 192.168.0.10 ping statistics ---
   1 packets transmitted, 1 received, 0% packet loss, time 0ms
   rtt min/avg/max/mdev = 59.941/59.941/59.941/0.000 ms
   

   Ko nga konae whirihora me etahi atu whakahau mo nga tātaritanga mai i te tūmau Linux mamao:

   root@racoon:~# cat /etc/racoon/racoon.conf 
   
   log debug;
   path pre_shared_key "/etc/racoon/psk.txt";
   path certificate "/etc/racoon/certs";
   
   listen {
     isakmp 80.211.43.73 [500];
      strict_address;
   }
   
   remote 185.148.83.16 {
           exchange_mode main,aggressive;
           proposal {
                    encryption_algorithm aes256;
                    hash_algorithm sha1;
                    authentication_method pre_shared_key;
                    dh_group modp1536;
            }
            generate_policy on;
   }
    
   sainfo address 10.255.255.0/24 any address 192.168.0.0/24 any {
            encryption_algorithm aes256;
            authentication_algorithm hmac_sha1;
            compression_algorithm deflate;
   }
   
   ===
   
   root@racoon:~# cat /etc/racoon/psk.txt
   185.148.83.16 testkey
   
   ===
   
   root@racoon:~# cat /etc/ipsec-tools.conf 
   #!/usr/sbin/setkey -f
   
   flush;
   spdflush;
   
   spdadd 192.168.0.0/24 10.255.255.0/24 any -P in ipsec
         esp/tunnel/185.148.83.16-80.211.43.73/require;
   
   spdadd 10.255.255.0/24 192.168.0.0/24 any -P out ipsec
         esp/tunnel/80.211.43.73-185.148.83.16/require;
   
   ===
   
   
   root@racoon:~# racoonctl show-sa isakmp
   Destination            Cookies                           Created
   185.148.83.16.500      2088977aceb1b512:a4c470cb8f9d57e9 2019-05-22 13:46:13 
   
   ===
   
   root@racoon:~# racoonctl show-sa esp
   80.211.43.73 185.148.83.16 
           esp mode=tunnel spi=1646662778(0x6226147a) reqid=0(0x00000000)
           E: aes-cbc  00064df4 454d14bc 9444b428 00e2296e c7bb1e03 06937597 1e522ce0 641e704d
           A: hmac-sha1  aa9e7cd7 51653621 67b3b2e9 64818de5 df848792
           seq=0x00000000 replay=4 flags=0x00000000 state=mature 
           created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
           diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
           last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
           current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
           allocated: 860  hard: 0 soft: 0
           sadb_seq=1 pid=7739 refcnt=0
   185.148.83.16 80.211.43.73 
           esp mode=tunnel spi=88535449(0x0546f199) reqid=0(0x00000000)
           E: aes-cbc  c812505a 9c30515e 9edc8c4a b3393125 ade4c320 9bde04f0 94e7ba9d 28e61044
           A: hmac-sha1  cd9d6f6e 06dbcd6d da4d14f8 6d1a6239 38589878
           seq=0x00000000 replay=4 flags=0x00000000 state=mature 
           created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
           diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
           last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
           current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
           allocated: 860  hard: 0 soft: 0
           sadb_seq=0 pid=7739 refcnt=0

9. Kua rite nga mea katoa, kei te haere tonu te IPsec VPN pae-ki-pae.

   I tenei tauira, i whakamahia e matou te PSK mo te whakamotuhēhēnga hoa, engari ka taea hoki te motuhēhēnga tiwhikete. Ki te mahi i tenei, haere ki te ripa Whirihoranga Ao, whakaahei te motuhēhēnga tiwhikete me te kowhiri i te tiwhikete ake.

   I tua atu, i roto i nga tautuhinga pae, ka hiahia koe ki te huri i te tikanga motuhēhēnga.

   
   
   
   
   Ka kite ahau ko te maha o nga kauhanga IPsec e whakawhirinaki ana ki te rahi o te Edge Gateway kua tukuna (panuihia tenei i roto i ta maatau tuhinga tuatahi).

   

SSL VPN

Ko SSL VPN-Plus tetahi o nga whiringa VPN Uru Mamao. Ka taea e nga kaiwhakamahi mamao takitahi te hono haumaru ki nga whatunga tūmataiti kei muri i te NSX Edge Gateway. Ko te kauhanga whakamuna mo te SSL VPN-plus kua whakaritea i waenga i te kiritaki (Windows, Linux, Mac) me te NSX Edge.

1. Me timata taatau ki te whakarite. I roto i te paewhiri mana ratonga Edge Gateway, haere ki te ripa SSL VPN-Plus, ka ki Tautuhinga Tūmau. Ka tohua e matou te waahi noho me te tauranga e whakarongo ai te tūmau mo nga hononga taumai, ka taea te takiuru me te kowhiri i nga huringa whakamunatanga e tika ana.

   
   
   I konei ka taea hoki te huri i te tiwhikete ka whakamahia e te tūmau.

   

2. I muri i te rite o nga mea katoa, whakahurihia te tūmau me te kore e wareware ki te tiaki i nga tautuhinga.

   

3. Whai muri, me whakarite he puna o nga wahitau ka tukuna e matou ki nga kaihoko ina hono ana. He wehe ke tenei whatunga mai i tetahi kupengaroto kei roto i to taiao NSX, kaore e tika kia whirihorahia ki etahi atu taputapu i runga i nga whatunga tinana, engari mo nga huarahi e tohu ana ki a ia.

   Haere ki te ripa IP Pools ka paato i te +.

   

4. Tīpako wāhitau, kanohi kupengaroto me te kuaha. I konei ka taea hoki te huri i nga tautuhinga mo nga tūmau DNS me WINS.

   

5. Ko te puna ka puta.

   

6. Inaianei me taapiri nga whatunga ka uru atu nga kaiwhakamahi e hono ana ki te VPN. Haere ki te ripa Whatunga Motuhake ka paato i te +.

   

7. Ka whakakiia e matou:
   • Whatunga - he whatunga paetata e uru ai nga kaiwhakamahi mamao.
   • Tukuna waka, e rua nga whiringa:
     - i runga i te kauhanga - tuku waka ki te whatunga ma te kauhanga,
     — karohia te kauhanga—tuku waka ki te whatunga ma te toro tika i te kauhanga.
   • Whakahohehia te Arotautanga TCP - tirohia mena i kowhiria e koe te kowhiringa o runga kohanga. Ina whakahohea te arotautanga, ka taea e koe te tautuhi i nga tau tauranga e hiahia ana koe ki te arotau i nga waka. Ko nga waka mo nga tauranga e toe ana i runga i tera whatunga ka kore e arotau. Mena karekau he tau tauranga i tohua, ka arotauhia nga waka mo nga tauranga katoa. Pānuihia atu mo tenei ahuatanga konei.

   

8. I muri mai, haere ki te ripa Motuhēhēnga ka paato +. Mo te motuhēhēnga, ka whakamahi mātou i tētahi tūmau ā-rohe i runga i te NSX Edge ake.

   

9. I konei ka taea e tatou te kowhiri i nga kaupapa here mo te whakaputa kupuhipa hou me te whirihora i nga whiringa mo te aukati i nga kaute kaiwhakamahi (hei tauira, te maha o nga whakamatautau ano mena ka he te whakaurunga o te kupuhipa).

   
   
   

10. I te mea kei te whakamahi matou i te whakamotuhēhēnga ā-rohe, me hanga kaiwhakamahi.

    

11. I tua atu i nga mea taketake penei i te ingoa me te kupuhipa, i konei ka taea e koe, hei tauira, te aukati i te kaiwhakamahi ki te whakarereke i te kupuhipa, ki te rereke ranei, ka akiaki ia ia ki te huri i te kupuhipa i te wa ka uru mai ia.

    

12. I muri i te whakaurunga o nga kaiwhakamahi e tika ana, haere ki te ripa Whakaaetanga Whakamutunga, pawhiria + ka hanga i te kaiwhakauru ake, ka tangohia e tetahi kaimahi mamao mo te whakaurunga.

    

13. Perehi +. Tīpakohia te wāhi noho me te tauranga o te tūmau e hono ai te kiritaki, me ngā tūāpapa e hiahia ana koe ki te whakaputa i te mōkihi tāutanga.

    
    
    Kei raro i tenei matapihi, ka taea e koe te tautuhi i nga tautuhinga kiritaki mo Windows. Kōwhiri:

    • tīmata te kiritaki ki te takiuru – ka tāpirihia te kiritaki VPN ki te whakaoho i runga i te miihini mamao;
    • hanga tohu papamahi - ka hanga he tohu kiritaki VPN i runga i te papamahi;
    • whakamanatanga tiwhikete haumarutanga tūmau - ka whakamanahia te tiwhikete tūmau i runga i te hononga.
      Kua oti te tatūnga tūmau.

    

14. Inaianei me tango i te kete whakaurunga i hangaia e matou i te taahiraa whakamutunga ki te PC mamao. I te whakaturanga i te tūmau, i tohua e matou tona wahitau o waho (185.148.83.16) me te tauranga (445). Kei tenei wahi noho me haere tatou i roto i te kaitirotiro paetukutuku. I roto i taku take ko 185.148.83.16: 445.

    I te matapihi whakamanatanga, me whakauru koe i nga tohu kaiwhakamahi i hanga e matou i mua.

    

15. I muri i te whakamanatanga, ka kite matou i te rarangi o nga kohinga whakaurunga kua hangaia hei tango. Kua hanga e matou kotahi anake - ma matou e tango.

    

16. Ka paatohia e matou te hono, ka timata te tango a te kiritaki.

    

17. Wewetehia te pūranga kua tikiakehia ka whakahaere i te pūtāuta.

    

18. I muri i te whakaurunga, whakarewahia te kiritaki, i te matapihi whakamanatanga, pawhiria te Takiuru.

    

19. I roto i te matapihi manatoko tiwhikete, tīpako Ae.

    

20. Ka whakauruhia e matou nga tohu mo te kaiwhakamahi i hangaia i mua ka kite kua oti pai te hononga.

    
    
    

21. Ka tirohia e matou nga tatauranga o te kaihoko VPN i runga i te rorohiko o te rohe.

    
    
    

22. I roto i te raina whakahau Windows (ipconfig / katoa), ka kite tatou kua puta mai he taapiri mariko me te hono atu ki te whatunga mamao, ka mahi nga mea katoa:

    
    
    

23. Ka mutu, tirohia mai i te papatohu Edge Gateway.

    

L2 VPN

Ka hiahiatia te L2VPN ina hiahia koe ki te whakakotahi i te maha o nga whenua
kua tohatohahia nga whatunga ki tetahi rohe haapurororaa.

Ka whai hua tenei, hei tauira, i te wa e heke ana i te miihini mariko: ka neke te VM ki tetahi atu rohe matawhenua, ka mau tonu te miihini i ona tautuhinga korero IP, ka kore e ngaro te hononga ki etahi atu miihini kei roto i te rohe L2 kotahi.

I roto i to maatau taiao whakamatautau, ka honoa e matou nga waahi e rua ki a raatau, ka kiia e matou ko A me B. E rua a matou NSX me nga whatunga ara e rua i hangaia e piri ana ki nga Tapa rereke. Kei a Miihini A te wahitau 10.10.10.250/24, kei a Miihini B te wahitau 10.10.10.2/24.

1. I roto i te Kaiwhakahaere vCloud, haere ki te ripa Whakahaere, haere ki te VDC e hiahiatia ana e matou, haere ki te ripa Org VDC Networks me te taapiri i nga whatunga hou e rua.

   

2. Tīpakohia te momo whatunga arai ka herea tenei whatunga ki to tatou NSX. Ka hoatu e matou te pouakataki Waihanga hei atanga-roto.

   

3. Ko te mutunga, me whiwhi tatou e rua nga whatunga. I roto i ta maatau tauira, e kiia ana ko te whatunga-a me te whatunga-b me nga tautuhinga kuaha me te kopare kotahi.

   
   
   

4. Inaianei me haere ki nga tautuhinga o te NSX tuatahi. Koinei te NSX e hono ana a Whatunga A. Ka noho hei tūmau.

   Ka hoki matou ki te atanga NSx Edge / Haere ki te ripa VPN -> L2VPN. Ka huri tatou i te L2VPN, tohua te aratau mahi Tūmau, i roto i nga tautuhinga o te Ao Tūmau ka tohua te wāhitau IP NSX o waho e whakarongo ai te tauranga mo te kauhanga. Ma te taunoa, ka tuwhera te turanga ki te tauranga 443, engari ka taea te whakarereke. Kaua e wareware ki te kowhiri i nga tautuhinga whakamunatanga mo te kauhanga a meake nei.

   

5. Haere ki te ripa Pae Tūmau ka tāpirihia he hoa.

   

6. Ka huri tatou i te hoa, tautuhi i te ingoa, whakaahuatanga, mehemea e tika ana, tautuhi i te ingoa kaiwhakamahi me te kupuhipa. Ka hiahia matou i enei raraunga i muri mai i te wa e whakatuu ana i te pae kiritaki.

   I roto i te Egress Optimization Gateway Address ka tautuhia e matou te wahitau kuaha. He mea tika tenei kia kore ai he paheketanga o nga wahitau IP, na te mea he rite tonu te wahitau o te kuaha o o tatou whatunga. Na ka paato i te paatene TINOI SUB-INTERFACES.

   

7. I konei ka tohua e matou te atanga-roto e hiahiatia ana. Ka tiakina e matou nga tautuhinga.

   

8. Ka kite matou kua puta te pae kiritaki hou i hangaia i roto i nga tautuhinga.

   

9. Inaianei me neke taatau ki te whirihora i te NSX mai i te taha o te kiritaki.

   Ka haere matou ki te taha o te NSX B, haere ki VPN -> L2VPN, whakahohea te L2VPN, tautuhia te aratau L2VPN ki te aratau kiritaki. I runga i te ripa Client Global, whakaturia te wahitau me te tauranga o NSX A, i tohua e matou i mua ko te Whakarongo IP me te Tauranga i te taha o te tūmau. He mea tika ano kia rite nga tautuhinga whakamunatanga kia rite tonu ina whakaarahia te kauhanga.

   
   
   Ka panuku ki raro, ka kowhiria te atanga-roto e hanga ai te kohanga mo L2VPN.
   I roto i te Egress Optimization Gateway Address ka tautuhia e matou te wahitau kuaha. Tautuhia te ingoa-kaiwhakamahi me te kupuhipa. Ka tohua e matou te atanga-roto me te kore e wareware ki te penapena i nga tautuhinga.

   

10. Inaa, heoi ano. Ko nga tautuhinga o te taha o te kiritaki me te taha tūmau he rite tonu, haunga etahi o nga ahuatanga.
11. Inaianei ka kite tatou kua mahi to tatou kohanga ma te haere ki Tatauranga -> L2VPN i runga i tetahi NSX.

    

12. Mena ka haere tatou ki te papatohu o tetahi Edge Gateway, ka kite tatou i ia o ratou i te ripanga arp nga wahitau o nga VM e rua.

    

Ko te katoa mo te VPN i runga i te NSX Edge. Patai mehemea kei te marama tetahi mea. Koinei hoki te waahanga whakamutunga o te raupapa tuhinga mo te mahi me te NSX Edge. Ko te tumanako i awhina ratou 🙂

Source: will.com