Бяцхан хүүхдүүдэд зориулсан VMware NSX. 6-р хэсэг: VPN тохиргоо

Нэгдүгээр хэсэг. танилцуулга
Хоёрдугаар хэсэг. Галт хана болон NAT дүрмийг тохируулах
Гуравдугаар хэсэг. DHCP-г тохируулж байна
Дөрөвдүгээр хэсэг. Чиглүүлэлтийн тохиргоо
Тавдугаар хэсэг. Ачаалал тэнцвэржүүлэгчийг тохируулах

Өнөөдөр бид NSX Edge-ийн бидэнд санал болгож буй VPN тохиргооны сонголтуудыг авч үзэх болно.

Ерөнхийдөө бид VPN технологийг хоёр үндсэн төрөлд хувааж болно.

• Сайтаас сайт руу VPN. IPSec-ийн хамгийн түгээмэл хэрэглээ бол жишээлбэл, үндсэн оффисын сүлжээ болон алслагдсан сайт эсвэл үүлэн доторх сүлжээний хооронд аюулгүй хонгил үүсгэх явдал юм.
• Алсын хандалтын VPN. VPN клиент программ хангамжийг ашиглан хувийн хэрэглэгчдийг корпорацийн хувийн сүлжээнд холбоход ашигладаг.

NSX Edge нь хоёр сонголтыг ашиглах боломжийг бидэнд олгодог.
Бид суулгасан демонтой Линукс сервер болох хоёр NSX Edge-тэй туршилтын вандан ашиглан тохируулах болно хүрэн Алсын хандалтын VPN-г турших Windows зөөврийн компьютер.

IPsec

1. vCloud Director интерфэйсийн удирдлагын хэсэгт очиж vDC-г сонгоно уу. Edge Gateways таб дээрээс бидэнд хэрэгтэй Edge-г сонгоод хулганы баруун товчийг дараад Edge Gateway Services-ийг сонгоно уу.
   
2. NSX Edge интерфэйсийн VPN-IPsec VPN таб, дараа нь IPsec VPN сайтууд хэсэг рүү очоод + дээр дарж шинэ сайт нэмнэ үү.

   

3. Шаардлагатай талбаруудыг бөглөнө үү:
   • идэвхжсэн – алсын сайтыг идэвхжүүлнэ.
   • PFS – шинэ криптографийн түлхүүр бүр өмнөх түлхүүртэй холбоогүй байхыг баталгаажуулдаг.
   • Local ID болон Local Endpointt нь NSX Edge-ийн гадаад хаяг юм.
   • орон нутгийн дэд сүлжээs - IPsec VPN ашиглах дотоод сүлжээнүүд.
   • Peer ID болон Peer Endpoint - алслагдсан сайтын хаяг.
   • Үе тэнгийн дэд сүлжээнүүд – алсын талд IPsec VPN ашиглах сүлжээнүүд.
   • Шифрлэлтийн алгоритм - туннелийн шифрлэлтийн алгоритм.

   
   

   • Authentication - бид үе тэнгийнхнээ хэрхэн баталгаажуулах вэ. Та урьдчилан хуваалцсан түлхүүр эсвэл гэрчилгээ ашиглаж болно.
   • Урьдчилан хуваалцсан түлхүүр - баталгаажуулалтад ашиглагдах түлхүүрийг зааж өгөх ба хоёр талдаа таарч байх ёстой.
   • Диффи Хеллман групп - түлхүүр солилцох алгоритм.

   Шаардлагатай талбаруудыг бөглөсний дараа Keep дээр дарна уу.

   

4. Үүнийг хийлээ.

   

5. Сайтыг нэмсний дараа "Идэвхжүүлэх статус" таб руу орж, IPsec үйлчилгээг идэвхжүүлнэ үү.

   

6. Тохиргоог хийсний дараа Статистик -> IPsec VPN таб руу орж хонгилын статусыг шалгана уу. Хонгил дээшилснийг бид харж байна.

   

7. Edge гарцын консолоос туннелийн төлөвийг шалгана уу:
   • үйлчилгээ ipsec харуулах - үйлчилгээний статусыг шалгах.

     

   • үйлчилгээ ipsec сайтыг харуулах - Сайтын төлөв байдал, тохиролцсон параметрүүдийн талаархи мэдээлэл.

     

   • үйлчилгээ ipsec sa харуулах - Аюулгүй байдлын холбооны статусыг шалгах (SA).

     

8. Алсын сайттай холболтыг шалгаж байна:

   root@racoon:~# ifconfig eth0:1 | grep inet
           inet 10.255.255.1  netmask 255.255.255.0  broadcast 0.0.0.0
   
   root@racoon:~# ping -c1 -I 10.255.255.1 192.168.0.10 
   PING 192.168.0.10 (192.168.0.10) from 10.255.255.1 : 56(84) bytes of data.
   64 bytes from 192.168.0.10: icmp_seq=1 ttl=63 time=59.9 ms
   
   --- 192.168.0.10 ping statistics ---
   1 packets transmitted, 1 received, 0% packet loss, time 0ms
   rtt min/avg/max/mdev = 59.941/59.941/59.941/0.000 ms
   

   Алсын Линукс серверээс оношлох тохиргооны файлууд болон нэмэлт командууд:

   root@racoon:~# cat /etc/racoon/racoon.conf 
   
   log debug;
   path pre_shared_key "/etc/racoon/psk.txt";
   path certificate "/etc/racoon/certs";
   
   listen {
     isakmp 80.211.43.73 [500];
      strict_address;
   }
   
   remote 185.148.83.16 {
           exchange_mode main,aggressive;
           proposal {
                    encryption_algorithm aes256;
                    hash_algorithm sha1;
                    authentication_method pre_shared_key;
                    dh_group modp1536;
            }
            generate_policy on;
   }
    
   sainfo address 10.255.255.0/24 any address 192.168.0.0/24 any {
            encryption_algorithm aes256;
            authentication_algorithm hmac_sha1;
            compression_algorithm deflate;
   }
   
   ===
   
   root@racoon:~# cat /etc/racoon/psk.txt
   185.148.83.16 testkey
   
   ===
   
   root@racoon:~# cat /etc/ipsec-tools.conf 
   #!/usr/sbin/setkey -f
   
   flush;
   spdflush;
   
   spdadd 192.168.0.0/24 10.255.255.0/24 any -P in ipsec
         esp/tunnel/185.148.83.16-80.211.43.73/require;
   
   spdadd 10.255.255.0/24 192.168.0.0/24 any -P out ipsec
         esp/tunnel/80.211.43.73-185.148.83.16/require;
   
   ===
   
   
   root@racoon:~# racoonctl show-sa isakmp
   Destination            Cookies                           Created
   185.148.83.16.500      2088977aceb1b512:a4c470cb8f9d57e9 2019-05-22 13:46:13 
   
   ===
   
   root@racoon:~# racoonctl show-sa esp
   80.211.43.73 185.148.83.16 
           esp mode=tunnel spi=1646662778(0x6226147a) reqid=0(0x00000000)
           E: aes-cbc  00064df4 454d14bc 9444b428 00e2296e c7bb1e03 06937597 1e522ce0 641e704d
           A: hmac-sha1  aa9e7cd7 51653621 67b3b2e9 64818de5 df848792
           seq=0x00000000 replay=4 flags=0x00000000 state=mature 
           created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
           diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
           last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
           current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
           allocated: 860  hard: 0 soft: 0
           sadb_seq=1 pid=7739 refcnt=0
   185.148.83.16 80.211.43.73 
           esp mode=tunnel spi=88535449(0x0546f199) reqid=0(0x00000000)
           E: aes-cbc  c812505a 9c30515e 9edc8c4a b3393125 ade4c320 9bde04f0 94e7ba9d 28e61044
           A: hmac-sha1  cd9d6f6e 06dbcd6d da4d14f8 6d1a6239 38589878
           seq=0x00000000 replay=4 flags=0x00000000 state=mature 
           created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
           diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
           last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
           current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
           allocated: 860  hard: 0 soft: 0
           sadb_seq=0 pid=7739 refcnt=0

9. Бүх зүйл бэлэн, сайтаас сайтад IPsec VPN ажиллаж байна.

   Энэ жишээнд бид PSK-г үе тэнгийн баталгаажуулалтад ашигласан боловч гэрчилгээг баталгаажуулах боломжтой. Үүнийг хийхийн тулд Глобал тохиргоо таб руу очиж, гэрчилгээний баталгаажуулалтыг идэвхжүүлж, гэрчилгээг өөрөө сонгоно уу.

   Үүнээс гадна, сайтын тохиргоонд та баталгаажуулалтын аргыг өөрчлөх шаардлагатай болно.

   
   
   
   
   IPsec хонгилын тоо нь байрлуулсан Edge Gateway-ийн хэмжээнээс хамаарна гэдгийг би тэмдэглэж байна (энэ талаар манай нийтлэлээс уншина уу). анхны нийтлэл).

   

SSL VPN хувилбар

SSL VPN-Plus нь Remote Access VPN сонголтуудын нэг юм. Энэ нь тус тусдаа алсын хэрэглэгчдэд NSX Edge Gateway-ийн цаана байгаа хувийн сүлжээнд найдвартай холбогдох боломжийг олгодог. Үйлчлүүлэгч (Windows, Linux, Mac) болон NSX Edge хооронд SSL VPN-plus-ийн хувьд шифрлэгдсэн хонгилыг бий болгосон.

1. Тохируулж эхэлцгээе. Edge Gateway үйлчилгээний хяналтын самбараас SSL VPN-Plus таб, дараа нь Серверийн тохиргоо руу очно уу. Бид сервер орж ирж буй холболтыг сонсох хаяг, портыг сонгож, бүртгэлийг идэвхжүүлж, шаардлагатай шифрлэлтийн алгоритмуудыг сонгоно.

   
   
   Эндээс та серверийн ашиглах гэрчилгээг өөрчилж болно.

   

2. Бүх зүйл бэлэн болсны дараа серверийг асааж, тохиргоогоо хадгалахаа бүү мартаарай.

   

3. Дараа нь бид холбогдох үед үйлчлүүлэгчдэд олгох хаягийн санг бий болгох хэрэгтэй. Энэ сүлжээ нь таны NSX орчинд байгаа ямар ч дэд сүлжээнээс тусдаа бөгөөд түүн рүү чиглэсэн чиглүүлэлтүүдийг эс тооцвол физик сүлжээнд байгаа бусад төхөөрөмж дээр тохируулах шаардлагагүй.

   IP Pools таб руу очоод + дээр дарна уу.

   

4. Хаяг, дэд сүлжээний маск, гарцыг сонгоно уу. Энд та DNS болон WINS серверүүдийн тохиргоог өөрчилж болно.

   

5. Үр дүнд нь усан сан.

   

6. Одоо VPN-д холбогдсон хэрэглэгчид хандах боломжтой сүлжээг нэмье. Хувийн сүлжээ таб руу очоод + дээр дарна уу.

   

7. Бид бөглөнө:
   • Сүлжээ - алсын хэрэглэгчдэд хандах боломжтой дотоод сүлжээ.
   • Хөдөлгөөн илгээх нь хоёр сонголттой:
     - хонгилоор - хонгилоор дамжуулан сүлжээнд урсгалыг илгээх,
     — тойрч гарах туннел— туннелийг тойрч шууд сүлжээнд урсгалыг илгээнэ.
   • TCP оновчлолыг идэвхжүүлэх - туннелийн дээгүүр сонголтыг сонгосон эсэхээ шалгана уу. Оновчлолыг идэвхжүүлсэн үед та урсгалыг оновчтой болгохыг хүсч буй портын дугаараа зааж өгч болно. Тухайн сүлжээний үлдсэн портуудын урсгалыг оновчтой болгохгүй. Хэрэв портын дугаар заагаагүй бол бүх портын урсгалыг оновчтой болгоно. Энэ функцийн талаар дэлгэрэнгүй уншина уу энд.

   

8. Дараа нь "Authentication" таб руу очоод + дээр дарна уу. Баталгаажуулахын тулд бид NSX Edge дээрх дотоод серверийг ашиглана.

   

9. Энд бид шинэ нууц үг үүсгэх бодлогыг сонгож, хэрэглэгчийн бүртгэлийг хаах сонголтуудыг (жишээлбэл, нууц үг буруу оруулсан тохиолдолд дахин оролдох тоо) тохируулж болно.

   
   
   

10. Бид орон нутгийн баталгаажуулалтыг ашиглаж байгаа тул хэрэглэгчдийг үүсгэх хэрэгтэй.

    

11. Нэр, нууц үг гэх мэт үндсэн зүйлсээс гадна та энд жишээ нь хэрэглэгчийг нууц үгээ солихыг хориглох эсвэл эсрэгээр дараагийн удаа нэвтрэх үед нууц үгээ солихыг албадах боломжтой.

    

12. Шаардлагатай бүх хэрэглэгчдийг нэмсний дараа "Суулгацын багц" таб руу очиж, + дээр товшоод суулгагчийг өөрөө үүсгэн, алсын ажилтан суулгахаар татаж авах болно.

    

13. + дарна уу. Үйлчлүүлэгчийн холбогдох серверийн хаяг, порт, суулгах багцыг үүсгэхийг хүсч буй платформуудыг сонгоно уу.

    
    
    Энэ цонхны доор та Windows-д зориулсан үйлчлүүлэгчийн тохиргоог зааж өгч болно. Сонгох:

    • нэвтрэх үед үйлчлүүлэгчийг эхлүүлэх - VPN клиент нь алсын машин дээр эхлүүлэхэд нэмэгдэх болно;
    • ширээний дүрс үүсгэх - ширээний компьютер дээр VPN клиент дүрс үүсгэх болно;
    • серверийн аюулгүй байдлын гэрчилгээ баталгаажуулалт - холболт хийх үед серверийн гэрчилгээг баталгаажуулна.
      Серверийн тохиргоо дууссан.

    

14. Одоо бидний сүүлчийн алхам дээр үүсгэсэн суулгацын багцыг алсын компьютерт татаж авцгаая. Серверийг тохируулахдаа бид түүний гадаад хаяг (185.148.83.16) болон портыг (445) зааж өгсөн. Энэ хаягаар бид вэб хөтөч рүү орох хэрэгтэй. Миний хувьд тийм 185.148.83.16: 445.

    Зөвшөөрлийн цонхонд та бидний өмнө нь үүсгэсэн хэрэглэгчийн итгэмжлэлүүдийг оруулах ёстой.

    

15. Зөвшөөрөл авсны дараа бид татаж авах боломжтой суулгацын багцуудын жагсаалтыг харах болно. Бид зөвхөн нэгийг бүтээсэн - бид үүнийг татаж авах болно.

    

16. Бид холбоос дээр дарахад үйлчлүүлэгчийг татаж авах ажиллагаа эхэлнэ.

    

17. Татаж авсан архивыг задалж суулгагчийг ажиллуул.

    

18. Суулгасны дараа үйлчлүүлэгчийг ажиллуулж, зөвшөөрлийн цонхонд Нэвтрэх дээр дарна уу.

    

19. Сертификат баталгаажуулах цонхноос Тийм гэснийг сонгоно уу.

    

20. Бид өмнө нь үүсгэсэн хэрэглэгчийн итгэмжлэлийг оруулаад холболт амжилттай дууссаныг харна.

    
    
    

21. Бид дотоод компьютер дээрх VPN клиентийн статистикийг шалгадаг.

    
    
    

22. Windows командын мөрөнд (ipconfig / all) бид нэмэлт виртуал адаптер гарч ирснийг харж, алсын сүлжээнд холбогдох боломжтой, бүх зүйл ажиллаж байна:

    
    
    

23. Эцэст нь Edge Gateway консолоос шалгана уу.

    

L2 VPN

Газарзүйн хувьд хэд хэдэн зүйлийг нэгтгэх шаардлагатай үед L2VPN хэрэгтэй болно
сүлжээг нэг өргөн нэвтрүүлгийн домэйнд хуваарилсан.

Энэ нь жишээлбэл, виртуал машиныг шилжүүлэх үед хэрэг болох юм: VM өөр газарзүйн бүс рүү шилжих үед машин нь IP хаягийн тохиргоогоо хадгалж, түүнтэй ижил L2 домэйнд байрлах бусад машинуудтай холболтоо алдахгүй.

Туршилтын орчинд бид хоёр сайтыг хооронд нь холбож, тэдгээрийг тус тусад нь A ба B гэж нэрлэх болно.Бидэнд хоёр NSX болон өөр өөр Edge-д холбогдсон хоёр ижил үүсгэсэн чиглүүлсэн сүлжээ бий. А машин нь 10.10.10.250/24, В машин нь 10.10.10.2/24 хаягтай.

1. vCloud Director-ээс Administration таб руу орж, бидэнд хэрэгтэй VDC руу очиж, Org VDC Networks таб руу ороод хоёр шинэ сүлжээ нэмнэ үү.

   

2. Чиглүүлсэн сүлжээний төрлийг сонгоод энэ сүлжээг манай NSX-тэй холбоно уу. Бид "Дэд интерфэйс болгон үүсгэх" хайрцгийг тэмдэглэнэ.

   

3. Үүний үр дүнд бид хоёр сүлжээ авах ёстой. Бидний жишээн дээр тэдгээрийг ижил гарцын тохиргоотой, ижил масктай network-a, network-b гэж нэрлэдэг.

   
   
   

4. Одоо анхны NSX-ийн тохиргоо руу орцгооё. Энэ нь А сүлжээний холбогдсон NSX байх бөгөөд энэ нь серверийн үүрэг гүйцэтгэнэ.

   Бид NSx Edge интерфейс рүү буцна / VPN таб -> L2VPN руу очно уу. Бид L2VPN-г асааж, Серверийн ажиллах горимыг сонгоод, Серверийн глобал тохиргоонд хонгилын портыг сонсох гадаад NSX IP хаягийг зааж өгдөг. Анхдагч байдлаар, залгуур 443 порт дээр нээгдэх боловч үүнийг өөрчилж болно. Ирээдүйн туннелийн шифрлэлтийн тохиргоог сонгохоо бүү мартаарай.

   

5. Серверийн сайтууд таб руу орж, үе тэнгийн хүн нэмнэ үү.

   

6. Бид үе тэнгийнээ асааж, нэр, тайлбар, шаардлагатай бол хэрэглэгчийн нэр, нууц үгээ тохируулна. Дараа нь үйлчлүүлэгчийн сайтыг тохируулах үед бидэнд энэ өгөгдөл хэрэгтэй болно.

   Egress Optimization Gateway Address хэсэгт бид гарцын хаягийг тохируулсан. Энэ нь IP хаягуудын зөрчилдөөн гарахгүйн тулд зайлшгүй шаардлагатай, учир нь манай сүлжээний гарц нь ижил хаягтай байдаг. Дараа нь SELECT SUB-INTERFACES товчийг дарна уу.

   

7. Энд бид хүссэн дэд интерфэйсийг сонгоно. Бид тохиргоог хадгалдаг.

   

8. Шинээр үүсгэсэн үйлчлүүлэгчийн сайт тохиргоонд гарч ирснийг бид харж байна.

   

9. Одоо үйлчлүүлэгч талаас NSX-ийг тохируулах руу шилжье.

   Бид NSX-ийн B тал руу очиж, VPN -> L2VPN руу очиж, L2VPN-г идэвхжүүлж, L2VPN горимыг клиент горимд тохируулна уу. Клиент Глобал таб дээр бид өмнө нь IP болон порт гэж сервер талд заасан NSX A-ийн хаяг, портыг тохируулна уу. Мөн хонгил өргөгдсөн үед ижил шифрлэлтийн тохиргоог тохируулах шаардлагатай.

   
   
   Бид доор гүйлгэж, L2VPN-ийн хонгил барих дэд интерфэйсийг сонго.
   Egress Optimization Gateway Address хэсэгт бид гарцын хаягийг тохируулсан. Хэрэглэгчийн ID болон нууц үгээ тохируулна уу. Бид дэд интерфэйсийг сонгож, тохиргоогоо хадгалахаа бүү мартаарай.

   

10. Үнэндээ бол энэ л байна. Цөөн хэдэн нюансыг эс тооцвол үйлчлүүлэгч болон серверийн тохиргоо бараг ижил байна.
11. Одоо бид дурын NSX дээрх Статистик -> L2VPN руу орж манай хонгил ажиллаж байгааг харж болно.

    

12. Хэрэв бид одоо аль ч Edge Gateway-ийн консол руу очвол arp хүснэгтээс тэдгээр нь тус бүр дээр VM-ийн хаягийг харах болно.

    

Энэ бол NSX Edge дээрх VPN-ийн тухай юм. Тодорхойгүй зүйл байвал асуу. Энэ нь мөн NSX Edge-тэй ажиллах тухай цуврал нийтлэлийн сүүлчийн хэсэг юм. Тэд тусалсан гэж найдаж байна 🙂

Эх сурвалж: www.habr.com