🥇VMware NSX लहान मुलांसाठी. भाग 6. VPN सेटअप

पहिला भाग. प्रास्ताविक
भाग दुसरा. फायरवॉल आणि NAT नियम कॉन्फिगर करणे
भाग तिसरा. DHCP कॉन्फिगर करत आहे
भाग चार. राउटिंग सेटअप
भाग पाच. लोड बॅलन्सर सेट करत आहे

आज आम्ही NSX Edge आम्हाला ऑफर करत असलेल्या VPN कॉन्फिगरेशन पर्यायांवर एक नजर टाकणार आहोत.

सर्वसाधारणपणे, आम्ही VPN तंत्रज्ञान दोन प्रमुख प्रकारांमध्ये विभागू शकतो:

साइट-टू-साइट VPN. IPSec चा सर्वात सामान्य वापर म्हणजे एक सुरक्षित बोगदा तयार करणे, उदाहरणार्थ, मुख्य ऑफिस नेटवर्क आणि रिमोट साइटवर किंवा क्लाउडमधील नेटवर्क दरम्यान.
रिमोट Vक्सेस व्हीपीएन. VPN क्लायंट सॉफ्टवेअर वापरून वैयक्तिक वापरकर्त्यांना कॉर्पोरेट खाजगी नेटवर्कशी जोडण्यासाठी वापरले जाते.

NSX Edge आम्हाला दोन्ही पर्याय वापरण्याची परवानगी देते.
आम्ही दोन एनएसएक्स एज, स्थापित डिमनसह लिनक्स सर्व्हरसह चाचणी बेंच वापरून कॉन्फिगर करू. एक वनस्पती आणि रिमोट ऍक्सेस VPN ची चाचणी करण्यासाठी Windows लॅपटॉप.

IPsec

vCloud डायरेक्टर इंटरफेसमध्ये, प्रशासन विभागात जा आणि vDC निवडा. एज गेटवे टॅबवर, आम्हाला आवश्यक असलेला किनारा निवडा, उजवे-क्लिक करा आणि एज गेटवे सेवा निवडा.
NSX Edge इंटरफेसमध्ये, VPN-IPsec VPN टॅबवर जा, नंतर IPsec VPN साइट विभागात जा आणि नवीन साइट जोडण्यासाठी + वर क्लिक करा.
आवश्यक फील्ड भरा:
- सक्षम केले - रिमोट साइट सक्रिय करते.
- पीएफएस - प्रत्येक नवीन क्रिप्टोग्राफिक की कोणत्याही मागील कीशी संबंधित नाही याची खात्री करते.
- स्थानिक आयडी आणि स्थानिक एंडपॉइंटt हा NSX Edge चा बाह्य पत्ता आहे.
- स्थानिक सबनेटs - स्थानिक नेटवर्क जे IPsec VPN वापरतील.
- पीअर आयडी आणि पीअर एंडपॉइंट - रिमोट साइटचा पत्ता.
- पीअर सबनेट - नेटवर्क जे रिमोट बाजूला IPsec VPN वापरतील.
- एनक्रिप्शन अल्गोरिदम - बोगदा एनक्रिप्शन अल्गोरिदम.
- प्रमाणीकरण - आम्ही सरदार कसे प्रमाणित करू. तुम्ही पूर्व-सामायिक की किंवा प्रमाणपत्र वापरू शकता.
- पूर्व-सामायिक की - प्रमाणीकरणासाठी वापरली जाणारी की निर्दिष्ट करा आणि ती दोन्ही बाजूंनी जुळली पाहिजे.
- डिफी हेलमन ग्रुप - की एक्सचेंज अल्गोरिदम.
आवश्यक फील्ड भरल्यानंतर Keep वर क्लिक करा.
झाले
साइट जोडल्यानंतर, सक्रियकरण स्थिती टॅबवर जा आणि IPsec सेवा सक्रिय करा.
सेटिंग्ज लागू केल्यानंतर, Statistics -> IPsec VPN टॅबवर जा आणि बोगद्याची स्थिती तपासा. आम्ही पाहतो की बोगदा उंचावला आहे.
एज गेटवे कन्सोलवरून बोगद्याची स्थिती तपासा:
- सेवा ipsec दर्शवा - सेवेची स्थिती तपासा.
- सेवा ipsec साइट दाखवा - साइटची स्थिती आणि वाटाघाटी केलेल्या पॅरामीटर्सबद्दल माहिती.
- सेवा दाखवा ipsec sa - सिक्युरिटी असोसिएशन (SA) ची स्थिती तपासा.

रिमोट साइटसह कनेक्टिव्हिटी तपासत आहे:

root@racoon:~# ifconfig eth0:1 | grep inet
        inet 10.255.255.1  netmask 255.255.255.0  broadcast 0.0.0.0

root@racoon:~# ping -c1 -I 10.255.255.1 192.168.0.10 
PING 192.168.0.10 (192.168.0.10) from 10.255.255.1 : 56(84) bytes of data.
64 bytes from 192.168.0.10: icmp_seq=1 ttl=63 time=59.9 ms

--- 192.168.0.10 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 59.941/59.941/59.941/0.000 ms

रिमोट लिनक्स सर्व्हरवरून निदानासाठी कॉन्फिगरेशन फाइल्स आणि अतिरिक्त आदेश:

root@racoon:~# cat /etc/racoon/racoon.conf 

log debug;
path pre_shared_key "/etc/racoon/psk.txt";
path certificate "/etc/racoon/certs";

listen {
  isakmp 80.211.43.73 [500];
   strict_address;
}

remote 185.148.83.16 {
        exchange_mode main,aggressive;
        proposal {
                 encryption_algorithm aes256;
                 hash_algorithm sha1;
                 authentication_method pre_shared_key;
                 dh_group modp1536;
         }
         generate_policy on;
}
 
sainfo address 10.255.255.0/24 any address 192.168.0.0/24 any {
         encryption_algorithm aes256;
         authentication_algorithm hmac_sha1;
         compression_algorithm deflate;
}

===

root@racoon:~# cat /etc/racoon/psk.txt
185.148.83.16 testkey

===

root@racoon:~# cat /etc/ipsec-tools.conf 
#!/usr/sbin/setkey -f

flush;
spdflush;

spdadd 192.168.0.0/24 10.255.255.0/24 any -P in ipsec
      esp/tunnel/185.148.83.16-80.211.43.73/require;

spdadd 10.255.255.0/24 192.168.0.0/24 any -P out ipsec
      esp/tunnel/80.211.43.73-185.148.83.16/require;

===


root@racoon:~# racoonctl show-sa isakmp
Destination            Cookies                           Created
185.148.83.16.500      2088977aceb1b512:a4c470cb8f9d57e9 2019-05-22 13:46:13 

===

root@racoon:~# racoonctl show-sa esp
80.211.43.73 185.148.83.16 
        esp mode=tunnel spi=1646662778(0x6226147a) reqid=0(0x00000000)
        E: aes-cbc  00064df4 454d14bc 9444b428 00e2296e c7bb1e03 06937597 1e522ce0 641e704d
        A: hmac-sha1  aa9e7cd7 51653621 67b3b2e9 64818de5 df848792
        seq=0x00000000 replay=4 flags=0x00000000 state=mature 
        created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
        diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
        last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
        current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
        allocated: 860  hard: 0 soft: 0
        sadb_seq=1 pid=7739 refcnt=0
185.148.83.16 80.211.43.73 
        esp mode=tunnel spi=88535449(0x0546f199) reqid=0(0x00000000)
        E: aes-cbc  c812505a 9c30515e 9edc8c4a b3393125 ade4c320 9bde04f0 94e7ba9d 28e61044
        A: hmac-sha1  cd9d6f6e 06dbcd6d da4d14f8 6d1a6239 38589878
        seq=0x00000000 replay=4 flags=0x00000000 state=mature 
        created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
        diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
        last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
        current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
        allocated: 860  hard: 0 soft: 0
        sadb_seq=0 pid=7739 refcnt=0

सर्व काही तयार आहे, साइट-टू-साइट IPsec VPN चालू आहे.
या उदाहरणामध्ये, आम्ही पीअर ऑथेंटिकेशनसाठी PSK वापरले, परंतु प्रमाणपत्र प्रमाणीकरण देखील शक्य आहे. हे करण्यासाठी, ग्लोबल कॉन्फिगरेशन टॅबवर जा, प्रमाणपत्र प्रमाणीकरण सक्षम करा आणि प्रमाणपत्र स्वतः निवडा.

याव्यतिरिक्त, साइट सेटिंग्जमध्ये, आपल्याला प्रमाणीकरण पद्धत बदलण्याची आवश्यकता असेल.

मी लक्षात घेतो की IPsec बोगद्यांची संख्या तैनात केलेल्या एज गेटवेच्या आकारावर अवलंबून असते (याबद्दल आमच्या पहिला लेख).

ssl vpn

SSL VPN-Plus रिमोट ऍक्सेस VPN पर्यायांपैकी एक आहे. हे वैयक्तिक रिमोट वापरकर्त्यांना NSX एज गेटवेच्या मागे खाजगी नेटवर्कशी सुरक्षितपणे कनेक्ट करण्याची परवानगी देते. एसएसएल व्हीपीएन-प्लसच्या बाबतीत एक एनक्रिप्टेड बोगदा क्लायंट (विंडोज, लिनक्स, मॅक) आणि एनएसएक्स एज दरम्यान स्थापित केला आहे.

चला सेट करणे सुरू करूया. एज गेटवे सेवा नियंत्रण पॅनेलमध्ये, SSL VPN-Plus टॅबवर जा, नंतर सर्व्हर सेटिंग्जवर जा. आम्ही पत्ता आणि पोर्ट निवडतो ज्यावर सर्व्हर येणार्‍या कनेक्शनसाठी ऐकेल, लॉगिंग सक्षम करू आणि आवश्यक एनक्रिप्शन अल्गोरिदम निवडा.

येथे तुम्ही सर्व्हर वापरत असलेले प्रमाणपत्र देखील बदलू शकता.
सर्वकाही तयार झाल्यानंतर, सर्व्हर चालू करा आणि सेटिंग्ज जतन करण्यास विसरू नका.
पुढे, आम्हाला पत्त्यांचा एक पूल सेट करणे आवश्यक आहे जे आम्ही ग्राहकांना कनेक्शनवर जारी करू. हे नेटवर्क तुमच्या NSX वातावरणातील कोणत्याही विद्यमान सबनेटपासून वेगळे आहे आणि त्यास निर्देशित करणार्‍या मार्गांशिवाय, भौतिक नेटवर्कवरील इतर उपकरणांवर कॉन्फिगर करण्याची आवश्यकता नाही.
आयपी पूल टॅबवर जा आणि + वर क्लिक करा.
पत्ते, सबनेट मास्क आणि गेटवे निवडा. येथे तुम्ही DNS आणि WINS सर्व्हरसाठी सेटिंग्ज देखील बदलू शकता.
परिणामी पूल.
आता VPN शी कनेक्ट करणार्‍या वापरकर्त्यांना प्रवेश असणारे नेटवर्क जोडूया. खाजगी नेटवर्क टॅबवर जा आणि + वर क्लिक करा.
आम्ही भरतो:
- नेटवर्क - एक स्थानिक नेटवर्क ज्यामध्ये दूरस्थ वापरकर्त्यांना प्रवेश असेल.
- रहदारी पाठवा, त्यात दोन पर्याय आहेत:
  - बोगद्यावरुन - बोगद्याद्वारे नेटवर्कवर रहदारी पाठवा,
  — बायपास बोगदा—बोगद्याला बायपास करून थेट नेटवर्कवर रहदारी पाठवा.
- TCP ऑप्टिमायझेशन सक्षम करा - तुम्ही ओव्हर टनेल पर्याय निवडला आहे का ते तपासा. ऑप्टिमायझेशन सक्षम केल्यावर, तुम्ही पोर्ट क्रमांक निर्दिष्ट करू शकता ज्यासाठी तुम्ही रहदारी ऑप्टिमाइझ करू इच्छिता. त्या विशिष्ट नेटवर्कवरील उर्वरित पोर्टसाठी रहदारी ऑप्टिमाइझ केली जाणार नाही. कोणतेही पोर्ट क्रमांक निर्दिष्ट केलेले नसल्यास, सर्व पोर्टसाठी रहदारी ऑप्टिमाइझ केली जाते. या वैशिष्ट्याबद्दल अधिक वाचा येथे.
पुढे, प्रमाणीकरण टॅबवर जा आणि + वर क्लिक करा. प्रमाणीकरणासाठी, आम्ही NSX एजवरच स्थानिक सर्व्हर वापरू.
येथे आम्ही नवीन पासवर्ड व्युत्पन्न करण्यासाठी धोरणे निवडू शकतो आणि वापरकर्ता खाती अवरोधित करण्यासाठी पर्याय कॉन्फिगर करू शकतो (उदाहरणार्थ, पासवर्ड चुकीचा प्रविष्ट केल्यास पुन्हा प्रयत्नांची संख्या).
आम्ही स्थानिक प्रमाणीकरण वापरत असल्याने, आम्हाला वापरकर्ते तयार करणे आवश्यक आहे.
नाव आणि पासवर्ड यासारख्या मूलभूत गोष्टींव्यतिरिक्त, येथे तुम्ही, उदाहरणार्थ, वापरकर्त्याला पासवर्ड बदलण्यापासून प्रतिबंधित करू शकता किंवा, उलट, पुढील वेळी लॉग इन केल्यावर त्याला पासवर्ड बदलण्यास भाग पाडू शकता.
सर्व आवश्यक वापरकर्ते जोडल्यानंतर, इंस्टॉलेशन पॅकेजेस टॅबवर जा, + क्लिक करा आणि इंस्टॉलर स्वतः तयार करा, जो इंस्टॉलेशनसाठी दूरस्थ कर्मचार्याद्वारे डाउनलोड केला जाईल.
+ दाबा. सर्व्हरचा पत्ता आणि पोर्ट निवडा ज्याला क्लायंट कनेक्ट करेल आणि ज्या प्लॅटफॉर्मसाठी तुम्हाला इंस्टॉलेशन पॅकेज व्युत्पन्न करायचे आहे.

या विंडोमध्ये खाली, तुम्ही Windows साठी क्लायंट सेटिंग्ज निर्दिष्ट करू शकता. निवडा:
- लॉगऑनवर क्लायंट सुरू करा - रिमोट मशीनवर स्टार्टअपमध्ये व्हीपीएन क्लायंट जोडला जाईल;
- डेस्कटॉप चिन्ह तयार करा - डेस्कटॉपवर व्हीपीएन क्लायंट चिन्ह तयार करेल;
- सर्व्हर सुरक्षा प्रमाणपत्र प्रमाणीकरण - कनेक्शनवर सर्व्हर प्रमाणपत्र प्रमाणित करेल.
  सर्व्हर सेटअप पूर्ण झाला आहे.
आता शेवटच्या टप्प्यात आम्ही तयार केलेले इंस्टॉलेशन पॅकेज रिमोट पीसीवर डाउनलोड करू. सर्व्हर सेट करताना, आम्ही त्याचा बाह्य पत्ता (185.148.83.16) आणि पोर्ट (445) निर्दिष्ट केला. या पत्त्यावर आपल्याला वेब ब्राउझरमध्ये जाण्याची आवश्यकता आहे. माझ्या बाबतीत ते आहे 185.148.83.16: 445
अधिकृतता विंडोमध्ये, आपण आधी तयार केलेली वापरकर्ता क्रेडेन्शियल्स प्रविष्ट करणे आवश्यक आहे.
अधिकृततेनंतर, आम्ही डाउनलोडसाठी उपलब्ध तयार केलेल्या इंस्टॉलेशन पॅकेजेसची सूची पाहतो. आम्ही फक्त एक तयार केले आहे - आम्ही ते डाउनलोड करू.
आम्ही दुव्यावर क्लिक करतो, क्लायंटचे डाउनलोड सुरू होते.
डाउनलोड केलेले संग्रहण अनपॅक करा आणि इंस्टॉलर चालवा.
स्थापनेनंतर, क्लायंट लाँच करा, अधिकृतता विंडोमध्ये, लॉगिन क्लिक करा.
प्रमाणपत्र पडताळणी विंडोमध्ये, होय निवडा.
आम्ही पूर्वी तयार केलेल्या वापरकर्त्यासाठी क्रेडेन्शियल्स प्रविष्ट करतो आणि कनेक्शन यशस्वीरित्या पूर्ण झाल्याचे पाहतो.
आम्ही स्थानिक संगणकावर व्हीपीएन क्लायंटची आकडेवारी तपासतो.
विंडोज कमांड लाइन (ipconfig / all) मध्ये, आम्ही पाहतो की एक अतिरिक्त व्हर्च्युअल अडॅप्टर दिसला आहे आणि रिमोट नेटवर्कशी कनेक्टिव्हिटी आहे, सर्वकाही कार्य करते:
आणि शेवटी, एज गेटवे कन्सोलवरून तपासा.

L2 VPN

जेव्हा तुम्हाला अनेक भौगोलिकदृष्ट्या एकत्र करण्याची आवश्यकता असेल तेव्हा L2VPN ची आवश्यकता असेल
एका ब्रॉडकास्ट डोमेनमध्ये नेटवर्क वितरित केले.

हे उपयुक्त ठरू शकते, उदाहरणार्थ, व्हर्च्युअल मशीन स्थलांतरित करताना: जेव्हा VM दुसर्‍या भौगोलिक क्षेत्राकडे जाते, तेव्हा मशीन त्याची IP पत्ता सेटिंग्ज टिकवून ठेवेल आणि त्याच L2 डोमेनमध्ये असलेल्या इतर मशीनशी कनेक्टिव्हिटी गमावणार नाही.

आमच्या चाचणी वातावरणात, आम्ही दोन साइट एकमेकांना जोडू, आम्ही त्यांना अनुक्रमे A आणि B म्हणू. आमच्याकडे दोन NSXs आणि दोन समान रीतीने तयार केलेले रूट केलेले नेटवर्क वेगवेगळ्या किनारांना जोडलेले आहेत. मशीन A चा पत्ता 10.10.10.250/24 आहे, मशीन B चा पत्ता 10.10.10.2/24 आहे.

vCloud Director मध्ये, Administration टॅबवर जा, आम्हाला आवश्यक असलेल्या VDC वर जा, Org VDC Networks टॅबवर जा आणि दोन नवीन नेटवर्क जोडा.
रूट केलेले नेटवर्क प्रकार निवडा आणि हे नेटवर्क आमच्या NSX ला बांधा. आम्ही सबइंटरफेस म्हणून तयार करा चेकबॉक्स ठेवतो.
परिणामी, आम्हाला दोन नेटवर्क मिळाले पाहिजेत. आमच्या उदाहरणात, त्यांना समान गेटवे सेटिंग्ज आणि समान मुखवटा असलेले नेटवर्क-ए आणि नेटवर्क-बी म्हणतात.
आता पहिल्या NSX च्या सेटिंग्ज वर जाऊया. हे नेटवर्क A संलग्न असलेले NSX असेल. ते सर्व्हर म्हणून काम करेल.
आम्ही NSx Edge इंटरफेसवर परत येतो / VPN टॅबवर जा -> L2VPN. आम्ही L2VPN चालू करतो, सर्व्हर ऑपरेशन मोड निवडा, सर्व्हर ग्लोबल सेटिंग्जमध्ये आम्ही बाह्य NSX IP पत्ता निर्दिष्ट करतो ज्यावर बोगद्यासाठीचे पोर्ट ऐकेल. डीफॉल्टनुसार, सॉकेट पोर्ट 443 वर उघडेल, परंतु हे बदलले जाऊ शकते. भविष्यातील बोगद्यासाठी एन्क्रिप्शन सेटिंग्ज निवडण्यास विसरू नका.
सर्व्हर साइट्स टॅबवर जा आणि एक पीअर जोडा.
आम्ही पीअर चालू करतो, नाव, वर्णन सेट करतो, आवश्यक असल्यास, वापरकर्तानाव आणि पासवर्ड सेट करतो. क्लायंट साइट सेट करताना आम्हाला नंतर या डेटाची आवश्यकता असेल.
एग्रेस ऑप्टिमायझेशन गेटवे अॅड्रेसमध्ये आम्ही गेटवे अॅड्रेस सेट करतो. हे आवश्यक आहे जेणेकरून IP पत्त्यांचा कोणताही विरोध होणार नाही, कारण आमच्या नेटवर्कच्या गेटवेचा पत्ता समान आहे. त्यानंतर SELECT SUB-INTERFACES बटणावर क्लिक करा.
येथे आपण इच्छित उप-इंटरफेस निवडतो. आम्ही सेटिंग्ज जतन करतो.
आम्ही पाहतो की नवीन तयार केलेली क्लायंट साइट सेटिंग्जमध्ये दिसून आली आहे.
आता क्लायंटच्या बाजूने NSX कॉन्फिगर करण्याकडे वळू.
आम्ही NSX बाजूला B वर जातो, VPN -> L2VPN वर जातो, L2VPN सक्षम करतो, L2VPN मोड क्लायंट मोडवर सेट करतो. क्लायंट ग्लोबल टॅबवर, NSX A चा पत्ता आणि पोर्ट सेट करा, जो आम्ही आधी लिसनिंग IP आणि सर्व्हरच्या बाजूला पोर्ट म्हणून निर्दिष्ट केला आहे. समान एन्क्रिप्शन सेटिंग्ज सेट करणे देखील आवश्यक आहे जेणेकरुन बोगदा उंचावताना ते सुसंगत असतील.

आम्ही खाली स्क्रोल करतो, उप-इंटरफेस निवडा ज्याद्वारे L2VPN साठी बोगदा तयार केला जाईल.
एग्रेस ऑप्टिमायझेशन गेटवे अॅड्रेसमध्ये आम्ही गेटवे अॅड्रेस सेट करतो. यूजर आयडी आणि पासवर्ड सेट करा. आम्ही उप-इंटरफेस निवडतो आणि सेटिंग्ज जतन करण्यास विसरू नका.
वास्तविक, ते सर्व आहे. काही बारकावे वगळता क्लायंट आणि सर्व्हर साइड सेटिंग्ज जवळजवळ सारख्याच आहेत.
आता आपण पाहू शकतो की कोणत्याही NSX वर Statistics -> L2VPN वर जाऊन आमच्या बोगद्याने काम केले आहे.
जर आपण आता कोणत्याही एज गेटवेच्या कन्सोलवर गेलो, तर आपण त्या प्रत्येकावर दोन्ही VM चे पत्ते arp टेबलमध्ये पाहू.

NSX Edge वर VPN बद्दल एवढेच आहे. काहीतरी अस्पष्ट असल्यास विचारा. NSX Edge सह काम करण्यावरील लेखांच्या मालिकेतील हा शेवटचा भाग आहे. आम्हाला आशा आहे की ते उपयुक्त होते 🙂

स्त्रोत: www.habr.com

लहानांसाठी VMware NSX. भाग 6: VPN सेटअप

IPsec

ssl vpn

L2 VPN

एक टिप्पणी जोडा Отменить ответ