Денес ќе ги разгледаме опциите за конфигурација на VPN што ни ги нуди NSX Edge.
Општо земено, можеме да ги поделиме VPN технологиите на два клучни типа:
- VPN од локација до локација. Најчеста употреба на IPSec е создавање безбеден тунел, на пример, помеѓу главната канцелариска мрежа и мрежа на оддалечена локација или во облакот.
- Далечински пристап VPN. Се користи за поврзување на поединечни корисници со корпоративни приватни мрежи користејќи го VPN клиентскиот софтвер.
NSX Edge ни овозможува да ги користиме двете опции.
Ќе конфигурираме користејќи тест клупа со два NSX Edge, Linux сервер со инсталиран демон и лаптоп со Windows за тестирање VPN за далечински пристап.
IPsec
- Во интерфејсот vCloud Director, одете во делот Администрација и изберете го vDC. На табулаторот Edge Gateways, изберете го Edge што ни треба, кликнете со десното копче и изберете Edge Gateway Services.
- Во интерфејсот NSX Edge, одете во картичката VPN-IPsec VPN, потоа во делот IPsec VPN Sites и кликнете + за да додадете нова локација.
- Пополнете ги бараните полиња:
- Овозможено – ја активира оддалечената локација.
- PFS – осигурува дека секој нов криптографски клуч не е поврзан со кој било претходен клуч.
- Локален проект и локална крајна точкаt е надворешната адреса на NSX Edge.
- Локална подмрежаs - локални мрежи кои ќе користат IPsec VPN.
- Peer ID и Peer Endpoint – адреса на оддалечената локација.
- Врсни подмрежи – мрежи кои ќе користат IPsec VPN на оддалечената страна.
- Алгоритам за криптирање – алгоритам за шифрирање на тунели.
- Проверка - како ќе го автентицираме врсникот. Може да користите претходно споделен клуч или сертификат.
- Пред-споделен клуч - наведете го клучот што ќе се користи за автентикација и мора да одговара на двете страни.
- Групата Дифи Хелман – алгоритам за размена на клучеви.
Откако ќе ги пополните потребните полиња, кликнете Keep.
- Готово.
- Откако ќе ја додадете страницата, одете во табулаторот Статус на активирање и активирајте ја услугата IPsec.
- Откако ќе се применат поставките, одете во табот Статистика -> IPsec VPN и проверете го статусот на тунелот. Гледаме дека тунелот се издигнал.
- Проверете го статусот на тунелот од конзолата на Edge gateway:
- прикажи услуга ipsec - проверете го статусот на услугата.
- Прикажи услуга ipsec страница - Информации за состојбата на локацијата и преговараните параметри.
- покажете услуга ipsec sa - проверете го статусот на Здружението за безбедност (SA).
- прикажи услуга ipsec - проверете го статусот на услугата.
- Проверка на поврзаноста со оддалечена локација:
root@racoon:~# ifconfig eth0:1 | grep inet inet 10.255.255.1 netmask 255.255.255.0 broadcast 0.0.0.0 root@racoon:~# ping -c1 -I 10.255.255.1 192.168.0.10 PING 192.168.0.10 (192.168.0.10) from 10.255.255.1 : 56(84) bytes of data. 64 bytes from 192.168.0.10: icmp_seq=1 ttl=63 time=59.9 ms --- 192.168.0.10 ping statistics --- 1 packets transmitted, 1 received, 0% packet loss, time 0ms rtt min/avg/max/mdev = 59.941/59.941/59.941/0.000 msКонфигурациски датотеки и дополнителни команди за дијагностика од далечински сервер Линукс:
root@racoon:~# cat /etc/racoon/racoon.conf log debug; path pre_shared_key "/etc/racoon/psk.txt"; path certificate "/etc/racoon/certs"; listen { isakmp 80.211.43.73 [500]; strict_address; } remote 185.148.83.16 { exchange_mode main,aggressive; proposal { encryption_algorithm aes256; hash_algorithm sha1; authentication_method pre_shared_key; dh_group modp1536; } generate_policy on; } sainfo address 10.255.255.0/24 any address 192.168.0.0/24 any { encryption_algorithm aes256; authentication_algorithm hmac_sha1; compression_algorithm deflate; } === root@racoon:~# cat /etc/racoon/psk.txt 185.148.83.16 testkey === root@racoon:~# cat /etc/ipsec-tools.conf #!/usr/sbin/setkey -f flush; spdflush; spdadd 192.168.0.0/24 10.255.255.0/24 any -P in ipsec esp/tunnel/185.148.83.16-80.211.43.73/require; spdadd 10.255.255.0/24 192.168.0.0/24 any -P out ipsec esp/tunnel/80.211.43.73-185.148.83.16/require; === root@racoon:~# racoonctl show-sa isakmp Destination Cookies Created 185.148.83.16.500 2088977aceb1b512:a4c470cb8f9d57e9 2019-05-22 13:46:13 === root@racoon:~# racoonctl show-sa esp 80.211.43.73 185.148.83.16 esp mode=tunnel spi=1646662778(0x6226147a) reqid=0(0x00000000) E: aes-cbc 00064df4 454d14bc 9444b428 00e2296e c7bb1e03 06937597 1e522ce0 641e704d A: hmac-sha1 aa9e7cd7 51653621 67b3b2e9 64818de5 df848792 seq=0x00000000 replay=4 flags=0x00000000 state=mature created: May 22 13:46:13 2019 current: May 22 14:07:43 2019 diff: 1290(s) hard: 3600(s) soft: 2880(s) last: May 22 13:46:13 2019 hard: 0(s) soft: 0(s) current: 72240(bytes) hard: 0(bytes) soft: 0(bytes) allocated: 860 hard: 0 soft: 0 sadb_seq=1 pid=7739 refcnt=0 185.148.83.16 80.211.43.73 esp mode=tunnel spi=88535449(0x0546f199) reqid=0(0x00000000) E: aes-cbc c812505a 9c30515e 9edc8c4a b3393125 ade4c320 9bde04f0 94e7ba9d 28e61044 A: hmac-sha1 cd9d6f6e 06dbcd6d da4d14f8 6d1a6239 38589878 seq=0x00000000 replay=4 flags=0x00000000 state=mature created: May 22 13:46:13 2019 current: May 22 14:07:43 2019 diff: 1290(s) hard: 3600(s) soft: 2880(s) last: May 22 13:46:13 2019 hard: 0(s) soft: 0(s) current: 72240(bytes) hard: 0(bytes) soft: 0(bytes) allocated: 860 hard: 0 soft: 0 sadb_seq=0 pid=7739 refcnt=0 - Сè е подготвено, IPsec VPN од локација до локација е отворена и работи.
Во овој пример, користевме PSK за автентикација од врсници, но можна е и автентикација на сертификатот. За да го направите ова, одете во јазичето Глобална конфигурација, овозможете автентикација на сертификатот и изберете го самиот сертификат.
Покрај тоа, во поставките на страницата, ќе треба да го промените методот за автентикација.
Забележувам дека бројот на IPsec тунели зависи од големината на распоредениот Edge Gateway (прочитајте за ова во нашата ).
SSL VPN
SSL VPN-Plus е една од опциите за далечински пристап VPN. Тоа им овозможува на поединечните далечински корисници безбедно да се поврзат со приватни мрежи зад NSX Edge Gateway. Шифриран тунел во случајот на SSL VPN-plus е воспоставен помеѓу клиентот (Windows, Linux, Mac) и NSX Edge.
- Ајде да започнеме со поставување. Во контролната табла за услугата Edge Gateway, одете во картичката SSL VPN-Plus, потоа во Поставки на серверот. Ја избираме адресата и портот на кој серверот ќе слуша за дојдовни врски, овозможуваме логирање и ги избираме потребните алгоритми за шифрирање.
Овде можете да го промените и сертификатот што ќе го користи серверот. - Откако сè е подготвено, вклучете го серверот и не заборавајте да ги зачувате поставките.
- Следно, треба да поставиме базен од адреси што ќе им ги издадеме на клиентите по поврзувањето. Оваа мрежа е одвоена од која било постоечка подмрежа во вашата NSX околина и не треба да се конфигурира на други уреди на физичките мрежи, освен маршрутите што упатуваат на неа.
Одете во табулаторот IP Pools и кликнете +.
- Изберете адреси, маска на подмрежа и портал. Овде можете исто така да ги промените поставките за серверите DNS и WINS.
- Добиениот базен.
- Сега да ги додадеме мрежите до кои ќе имаат пристап корисниците што се поврзуваат со VPN. Одете во табулаторот Приватни мрежи и кликнете +.
- Пополнуваме:
- Мрежа - локална мрежа до која ќе имаат пристап далечните корисници.
- Испрати сообраќај, има две опции:
- преку тунел - испрати сообраќај до мрежата преку тунелот,
— бајпас тунел—испратете сообраќај до мрежата директно заобиколувајќи го тунелот. - Овозможи TCP оптимизација - проверете дали сте ја избрале опцијата преку тунел. Кога оптимизацијата е овозможена, можете да ги одредите броевите на портите за кои сакате да го оптимизирате сообраќајот. Сообраќајот за преостанатите пристаништа на таа конкретна мрежа нема да биде оптимизиран. Ако не се наведени броеви на порти, сообраќајот за сите пристаништа е оптимизиран. Прочитајте повеќе за оваа функција .
- Следно, одете во табулаторот за автентикација и кликнете +. За автентикација, ќе користиме локален сервер на самиот NSX Edge.
- Овде можеме да избереме политики за генерирање нови лозинки и да ги конфигурираме опциите за блокирање кориснички сметки (на пример, бројот на повторувања ако лозинката е погрешно внесена).
- Бидејќи користиме локална автентикација, треба да креираме корисници.
- Покрај основните работи како име и лозинка, овде можете, на пример, да му забраните на корисникот да ја менува лозинката или, обратно, да го принудите да ја смени лозинката следниот пат кога ќе се најави.
- Откако ќе се додадат сите потребни корисници, одете во картичката Installation Packages, кликнете + и креирајте го самиот инсталатер, кој ќе го преземе далечински вработен за инсталација.
- Притиснете +. Изберете ја адресата и портата на серверот на кој ќе се поврзе клиентот и платформите за кои сакате да го генерирате инсталациониот пакет.
Подолу во овој прозорец, можете да ги наведете поставките на клиентот за Windows. Изберете:- стартувај клиент при најавување – VPN клиентот ќе биде додаден на стартување на оддалечената машина;
- креирај десктоп икона - ќе создаде икона VPN клиент на работната површина;
- валидација на безбедносниот сертификат на серверот - ќе го потврди сертификатот на серверот при поврзувањето.
Поставувањето на серверот е завршено.
- Сега да го преземеме инсталациониот пакет што го создадовме во последниот чекор на оддалечен компјутер. При поставувањето на серверот, ја наведовме неговата надворешна адреса (185.148.83.16) и портата (445). На оваа адреса треба да одиме во веб-прелистувач. Во мојот случај тоа е : 445.
Во прозорецот за овластување, мора да ги внесете корисничките акредитиви што ги создадовме порано.
- По овластувањето, гледаме листа на креирани инсталациски пакети достапни за преземање. Создадовме само еден - ќе го преземеме.
- Кликнеме на врската, започнува преземањето на клиентот.
- Отпакувајте ја преземената архива и стартувајте го инсталаторот.
- По инсталацијата, стартувајте го клиентот, во прозорецот за овластување, кликнете Најави се.
- Во прозорецот за верификација на сертификатот, изберете Да.
- Ги внесуваме ингеренциите за претходно креираниот корисник и гледаме дека врската е успешно завршена.
- Ја проверуваме статистиката на клиентот VPN на локалниот компјутер.
- Во командната линија на Windows (ipconfig / all), гледаме дека се појави дополнителен виртуелен адаптер и има поврзување со оддалечената мрежа, сè работи:
- И, конечно, проверете од конзолата Edge Gateway.
L2 VPN
L2VPN ќе биде потребен кога ќе треба да комбинирате неколку географски
дистрибуирани мрежи во еден домен за емитување.
Ова може да биде корисно, на пример, кога мигрирате виртуелна машина: кога VM ќе се пресели во друга географска област, машината ќе ги задржи поставките за IP адресирање и нема да ја изгуби поврзаноста со други машини лоцирани во истиот домен L2 со него.
Во нашата средина за тестирање, ќе поврземе две локации една со друга, ќе ги нарекуваме соодветно A и B. Имаме два NSX и две идентично креирани рутирани мрежи прикачени на различни Edges. Машината А ја има адресата 10.10.10.250/24, машината Б ја има адресата 10.10.10.2/24.
- Во директорот на vCloud, одете во јазичето Администрација, одете во VDC што ни треба, одете во табот Org VDC Networks и додајте две нови мрежи.
- Изберете го типот на рутирана мрежа и поврзете ја оваа мрежа со нашиот NSX. Го ставаме полето за избор Креирај како подинтерфејс.
- Како резултат на тоа, треба да добиеме две мрежи. Во нашиот пример, тие се нарекуваат мрежа-а и мрежа-б со исти поставки за портата и иста маска.
- Сега да одиме до поставките на првиот NSX. Ова ќе биде NSX на кој е прикачена мрежата А. Ќе дејствува како сервер.
Се враќаме на интерфејсот NSx Edge / Одете во табулаторот VPN -> L2VPN. Вклучуваме L2VPN, го избираме режимот за работа на серверот, во поставките Server Global ја одредуваме надворешната NSX IP адреса на која ќе слуша портата за тунелот. Стандардно, штекерот ќе се отвори на портата 443, но ова може да се смени. Не заборавајте да ги изберете поставките за шифрирање за идниот тунел.
- Одете во табот Серверски сајтови и додајте врсник.
- Го вклучуваме врсникот, поставуваме име, опис, доколку е потребно, поставуваме корисничко име и лозинка. Овие податоци ќе ни требаат подоцна при поставување на страницата на клиентот.
Во Egress Optimization Gateway Address ја поставуваме адресата на портата. Ова е неопходно за да нема конфликт на IP адреси, бидејќи портата на нашите мрежи ја има истата адреса. Потоа кликнете на копчето SELECT SUB-INTERFACES.
- Овде го избираме саканиот подинтерфејс. Ги зачувуваме поставките.
- Гледаме дека новосоздадената страница за клиентот се појави во поставките.
- Сега да продолжиме со конфигурирање на NSX од страната на клиентот.
Одиме на страната Б на NSX, одиме во VPN -> L2VPN, овозможете L2VPN, поставете го режимот L2VPN во режим на клиент. На картичката Client Global, поставете ја адресата и портата на NSX A, кои претходно ги наведовме како Листенинг IP и Порта на страната на серверот. Исто така, потребно е да се постават истите поставки за шифрирање за да бидат конзистентни кога тунелот е подигнат.
Скролуваме подолу, го избираме потинтерфејсот низ кој ќе се гради тунелот за L2VPN.
Во Egress Optimization Gateway Address ја поставуваме адресата на портата. Поставете кориснички ID и лозинка. Ја избираме потинтерфејсот и не заборавајте да ги зачувате поставките. - Всушност, тоа е сè. Поставките на страната на клиентот и серверот се речиси идентични, со исклучок на неколку нијанси.
- Сега можеме да видиме дека нашиот тунел функционира со одење во Статистика -> L2VPN на кој било NSX.
- Ако сега отидеме во конзолата на кој било Edge Gateway, ќе ги видиме на секоја од нив во табелата arp адресите на двата VM.
Тоа е сè за VPN на NSX Edge. Прашајте дали нешто е нејасно. Тоа е и последниот дел од серијата написи за работа со NSX Edge. Се надеваме дека беа корисни 🙂
Извор: www.habr.com