VMware NSX untuk si kecil. Bahagian 6: Persediaan VPN

Bahagian satu. pengenalan
Bahagian kedua. Mengkonfigurasi Firewall dan Peraturan NAT
Bahagian ketiga. Mengkonfigurasi DHCP
Bahagian keempat. Persediaan laluan
Bahagian kelima. Menyediakan pengimbang beban

Hari ini kita akan melihat pada pilihan konfigurasi VPN yang NSX Edge tawarkan kepada kita.

Secara umum, kita boleh membahagikan teknologi VPN kepada dua jenis utama:

• VPN tapak ke tapak. Penggunaan IPSec yang paling biasa adalah untuk mencipta terowong selamat, contohnya, antara rangkaian pejabat utama dan rangkaian di tapak terpencil atau dalam awan.
• VPN Akses Jauh. Digunakan untuk menyambungkan pengguna individu ke rangkaian peribadi korporat menggunakan perisian klien VPN.

NSX Edge membolehkan kami menggunakan kedua-dua pilihan.
Kami akan mengkonfigurasi menggunakan bangku ujian dengan dua NSX Edge, pelayan Linux dengan daemon yang dipasang racoon dan komputer riba Windows untuk menguji VPN Akses Jauh.

IPsec

1. Dalam antara muka Pengarah vCloud, pergi ke bahagian Pentadbiran dan pilih vDC. Pada tab Edge Gateways, pilih Edge yang kami perlukan, klik kanan dan pilih Edge Gateway Services.
   
2. Dalam antara muka NSX Edge, pergi ke tab VPN-IPsec VPN, kemudian ke bahagian Tapak VPN IPsec dan klik + untuk menambah tapak baharu.

   

3. Isikan medan yang diperlukan:
   • didayakan – mengaktifkan tapak jauh.
   • PFS – memastikan bahawa setiap kunci kriptografi baharu tidak dikaitkan dengan mana-mana kunci sebelumnya.
   • ID Setempat dan Titik Akhir Setempatt ialah alamat luaran NSX Edge.
   • Subnet Setempats - rangkaian tempatan yang akan menggunakan IPsec VPN.
   • ID Rakan Sebaya dan Titik Akhir Rakan Sebaya – alamat tapak terpencil.
   • Subnet rakan sebaya – rangkaian yang akan menggunakan IPsec VPN di bahagian jauh.
   • Algoritma Penyulitan – algoritma penyulitan terowong.

   
   

   • Pengesahan - bagaimana kami akan mengesahkan rakan sebaya. Anda boleh menggunakan Kunci Pra Kongsi atau sijil.
   • Kunci Pra-Perkongsian - nyatakan kunci yang akan digunakan untuk pengesahan dan mesti sepadan pada kedua-dua belah pihak.
   • Kumpulan Diffie Hellman – algoritma pertukaran kunci.

   Selepas mengisi medan yang diperlukan, klik Simpan.

   

4. Selesai.

   

5. Selepas menambah tapak, pergi ke tab Status Pengaktifan dan aktifkan Perkhidmatan IPsec.

   

6. Selepas tetapan digunakan, pergi ke tab Statistik -> IPsec VPN dan semak status terowong. Kami melihat bahawa terowong telah meningkat.

   

7. Semak status terowong dari konsol gerbang Edge:
   • tunjukkan perkhidmatan ipsec - semak status perkhidmatan.

     

   • tunjukkan tapak ipsec perkhidmatan - Maklumat tentang keadaan tapak dan parameter yang dirundingkan.

     

   • tunjukkan perkhidmatan ipsec sa - semak status Persatuan Keselamatan (SA).

     

8. Menyemak ketersambungan dengan tapak jauh:

   root@racoon:~# ifconfig eth0:1 | grep inet
           inet 10.255.255.1  netmask 255.255.255.0  broadcast 0.0.0.0
   
   root@racoon:~# ping -c1 -I 10.255.255.1 192.168.0.10 
   PING 192.168.0.10 (192.168.0.10) from 10.255.255.1 : 56(84) bytes of data.
   64 bytes from 192.168.0.10: icmp_seq=1 ttl=63 time=59.9 ms
   
   --- 192.168.0.10 ping statistics ---
   1 packets transmitted, 1 received, 0% packet loss, time 0ms
   rtt min/avg/max/mdev = 59.941/59.941/59.941/0.000 ms
   

   Fail konfigurasi dan arahan tambahan untuk diagnostik daripada pelayan Linux jauh:

   root@racoon:~# cat /etc/racoon/racoon.conf 
   
   log debug;
   path pre_shared_key "/etc/racoon/psk.txt";
   path certificate "/etc/racoon/certs";
   
   listen {
     isakmp 80.211.43.73 [500];
      strict_address;
   }
   
   remote 185.148.83.16 {
           exchange_mode main,aggressive;
           proposal {
                    encryption_algorithm aes256;
                    hash_algorithm sha1;
                    authentication_method pre_shared_key;
                    dh_group modp1536;
            }
            generate_policy on;
   }
    
   sainfo address 10.255.255.0/24 any address 192.168.0.0/24 any {
            encryption_algorithm aes256;
            authentication_algorithm hmac_sha1;
            compression_algorithm deflate;
   }
   
   ===
   
   root@racoon:~# cat /etc/racoon/psk.txt
   185.148.83.16 testkey
   
   ===
   
   root@racoon:~# cat /etc/ipsec-tools.conf 
   #!/usr/sbin/setkey -f
   
   flush;
   spdflush;
   
   spdadd 192.168.0.0/24 10.255.255.0/24 any -P in ipsec
         esp/tunnel/185.148.83.16-80.211.43.73/require;
   
   spdadd 10.255.255.0/24 192.168.0.0/24 any -P out ipsec
         esp/tunnel/80.211.43.73-185.148.83.16/require;
   
   ===
   
   
   root@racoon:~# racoonctl show-sa isakmp
   Destination            Cookies                           Created
   185.148.83.16.500      2088977aceb1b512:a4c470cb8f9d57e9 2019-05-22 13:46:13 
   
   ===
   
   root@racoon:~# racoonctl show-sa esp
   80.211.43.73 185.148.83.16 
           esp mode=tunnel spi=1646662778(0x6226147a) reqid=0(0x00000000)
           E: aes-cbc  00064df4 454d14bc 9444b428 00e2296e c7bb1e03 06937597 1e522ce0 641e704d
           A: hmac-sha1  aa9e7cd7 51653621 67b3b2e9 64818de5 df848792
           seq=0x00000000 replay=4 flags=0x00000000 state=mature 
           created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
           diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
           last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
           current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
           allocated: 860  hard: 0 soft: 0
           sadb_seq=1 pid=7739 refcnt=0
   185.148.83.16 80.211.43.73 
           esp mode=tunnel spi=88535449(0x0546f199) reqid=0(0x00000000)
           E: aes-cbc  c812505a 9c30515e 9edc8c4a b3393125 ade4c320 9bde04f0 94e7ba9d 28e61044
           A: hmac-sha1  cd9d6f6e 06dbcd6d da4d14f8 6d1a6239 38589878
           seq=0x00000000 replay=4 flags=0x00000000 state=mature 
           created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
           diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
           last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
           current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
           allocated: 860  hard: 0 soft: 0
           sadb_seq=0 pid=7739 refcnt=0

9. Segala-galanya sudah sedia, IPsec VPN tapak ke tapak sedang berjalan dan berjalan.

   Dalam contoh ini, kami menggunakan PSK untuk pengesahan rakan sebaya, tetapi pengesahan sijil juga boleh dilakukan. Untuk melakukan ini, pergi ke tab Konfigurasi Global, dayakan pengesahan sijil dan pilih sijil itu sendiri.

   Di samping itu, dalam tetapan tapak, anda perlu menukar kaedah pengesahan.

   
   
   
   
   Saya perhatikan bahawa bilangan terowong IPsec bergantung pada saiz Edge Gateway yang digunakan (baca tentang ini dalam kami artikel pertama).

   

VPN SSL

SSL VPN-Plus ialah salah satu pilihan VPN Akses Jauh. Ia membolehkan pengguna jauh individu menyambung dengan selamat ke rangkaian peribadi di belakang NSX Edge Gateway. Terowong yang disulitkan dalam kes SSL VPN-plus diwujudkan antara pelanggan (Windows, Linux, Mac) dan NSX Edge.

1. Mari mulakan persediaan. Dalam panel kawalan perkhidmatan Edge Gateway, pergi ke tab SSL VPN-Plus, kemudian ke Tetapan Pelayan. Kami memilih alamat dan port di mana pelayan akan mendengar sambungan masuk, membolehkan pengelogan dan memilih algoritma penyulitan yang diperlukan.

   
   
   Di sini anda juga boleh menukar sijil yang akan digunakan oleh pelayan.

   

2. Selepas semuanya siap, hidupkan pelayan dan jangan lupa untuk menyimpan tetapan.

   

3. Seterusnya, kami perlu menyediakan kumpulan alamat yang akan kami keluarkan kepada pelanggan semasa sambungan. Rangkaian ini berasingan daripada mana-mana subnet sedia ada dalam persekitaran NSX anda dan tidak perlu dikonfigurasikan pada peranti lain pada rangkaian fizikal, kecuali untuk laluan yang menghala kepadanya.

   Pergi ke tab Kolam IP dan klik +.

   

4. Pilih alamat, subnet mask dan gateway. Di sini anda juga boleh menukar tetapan untuk pelayan DNS dan WINS.

   

5. Kolam yang terhasil.

   

6. Sekarang mari kita tambah rangkaian yang pengguna yang menyambung kepada VPN akan mempunyai akses kepada. Pergi ke tab Rangkaian Peribadi dan klik +.

   

7. Kami mengisi:
   • Rangkaian - rangkaian tempatan yang boleh diakses oleh pengguna jauh.
   • Hantar trafik, ia mempunyai dua pilihan:
     - melalui terowong - menghantar trafik ke rangkaian melalui terowong,
     — terowong pintasan—menghantar trafik ke rangkaian secara terus memintas terowong.
   • Dayakan Pengoptimuman TCP - semak jika anda memilih pilihan atas terowong. Apabila pengoptimuman didayakan, anda boleh menentukan nombor port yang anda ingin mengoptimumkan trafik. Trafik untuk port yang tinggal pada rangkaian tertentu itu tidak akan dioptimumkan. Jika tiada nombor port dinyatakan, trafik untuk semua port dioptimumkan. Baca lebih lanjut tentang ciri ini di sini.

   

8. Seterusnya, pergi ke tab Pengesahan dan klik +. Untuk pengesahan, kami akan menggunakan pelayan tempatan pada NSX Edge itu sendiri.

   

9. Di sini kita boleh memilih dasar untuk menjana kata laluan baharu dan mengkonfigurasi pilihan untuk menyekat akaun pengguna (contohnya, bilangan percubaan semula jika kata laluan dimasukkan dengan salah).

   
   
   

10. Memandangkan kami menggunakan pengesahan tempatan, kami perlu mencipta pengguna.

    

11. Sebagai tambahan kepada perkara asas seperti nama dan kata laluan, di sini anda boleh, sebagai contoh, melarang pengguna daripada menukar kata laluan atau, sebaliknya, memaksanya menukar kata laluan pada kali seterusnya dia log masuk.

    

12. Selepas semua pengguna yang diperlukan telah ditambahkan, pergi ke tab Pakej Pemasangan, klik + dan buat pemasang itu sendiri, yang akan dimuat turun oleh pekerja jauh untuk pemasangan.

    

13. Tekan +. Pilih alamat dan port pelayan yang akan disambungkan oleh pelanggan, dan platform yang anda ingin hasilkan pakej pemasangan.

    
    
    Di bawah dalam tetingkap ini, anda boleh menentukan tetapan klien untuk Windows. Pilih:

    • mulakan klien semasa log masuk – klien VPN akan ditambahkan pada permulaan pada mesin jauh;
    • cipta ikon desktop - akan mencipta ikon klien VPN pada desktop;
    • pengesahan sijil keselamatan pelayan - akan mengesahkan sijil pelayan semasa sambungan.
      Persediaan pelayan selesai.

    

14. Sekarang mari muat turun pakej pemasangan yang kami buat pada langkah terakhir ke PC jauh. Semasa menyediakan pelayan, kami menetapkan alamat luarannya (185.148.83.16) dan port (445). Di alamat inilah kita perlu pergi dalam pelayar web. Dalam kes saya ia adalah 185.148.83.16: 445.

    Dalam tetingkap kebenaran, anda mesti memasukkan bukti kelayakan pengguna yang kami buat sebelum ini.

    

15. Selepas kebenaran, kami melihat senarai pakej pemasangan yang dibuat tersedia untuk dimuat turun. Kami telah mencipta hanya satu - kami akan memuat turunnya.

    

16. Kami mengklik pada pautan, muat turun pelanggan bermula.

    

17. Buka pek arkib yang dimuat turun dan jalankan pemasang.

    

18. Selepas pemasangan, lancarkan klien, dalam tetingkap kebenaran, klik Log Masuk.

    

19. Dalam tetingkap pengesahan sijil, pilih Ya.

    

20. Kami memasukkan bukti kelayakan untuk pengguna yang dibuat sebelum ini dan melihat bahawa sambungan telah berjaya diselesaikan.

    
    
    

21. Kami menyemak statistik klien VPN pada komputer tempatan.

    
    
    

22. Dalam baris arahan Windows (ipconfig / all), kita melihat bahawa penyesuai maya tambahan telah muncul dan terdapat sambungan ke rangkaian jauh, semuanya berfungsi:

    
    
    

23. Dan akhirnya, semak dari konsol Edge Gateway.

    

VPN L2

L2VPN akan diperlukan apabila anda perlu menggabungkan beberapa secara geografi
rangkaian yang diedarkan ke dalam satu domain penyiaran.

Ini boleh berguna, contohnya, apabila memindahkan mesin maya: apabila VM berpindah ke kawasan geografi lain, mesin akan mengekalkan tetapan pengalamatan IPnya dan tidak akan kehilangan sambungan dengan mesin lain yang terletak dalam domain L2 yang sama dengannya.

Dalam persekitaran ujian kami, kami akan menyambungkan dua tapak antara satu sama lain, kami akan memanggilnya A dan B, masing-masing. Kami mempunyai dua NSX dan dua rangkaian berhala yang dicipta serupa yang dilampirkan pada Edges yang berbeza. Mesin A mempunyai alamat 10.10.10.250/24, Mesin B mempunyai alamat 10.10.10.2/24.

1. Dalam Pengarah vCloud, pergi ke tab Pentadbiran, pergi ke VDC yang kami perlukan, pergi ke tab Org VDC Networks dan tambah dua rangkaian baharu.

   

2. Pilih jenis rangkaian yang dihalakan dan ikat rangkaian ini ke NSX kami. Kami meletakkan kotak semak Buat sebagai subantara muka.

   

3. Akibatnya, kita harus mendapat dua rangkaian. Dalam contoh kami, mereka dipanggil rangkaian-a dan rangkaian-b dengan tetapan get laluan yang sama dan topeng yang sama.

   
   
   

4. Sekarang mari pergi ke tetapan NSX pertama. Ini akan menjadi NSX yang dilampirkan Rangkaian A. Ia akan bertindak sebagai pelayan.

   Kami kembali ke antara muka NSx Edge / Pergi ke tab VPN -> L2VPN. Kami menghidupkan L2VPN, pilih mod operasi Pelayan, dalam tetapan Global Pelayan kami menentukan alamat IP NSX luaran di mana port untuk terowong akan mendengar. Secara lalai, soket akan dibuka pada port 443, tetapi ini boleh ditukar. Jangan lupa untuk memilih tetapan penyulitan untuk terowong masa hadapan.

   

5. Pergi ke tab Tapak Pelayan dan tambah rakan sebaya.

   

6. Kami menghidupkan rakan sebaya, tetapkan nama, perihalan, jika perlu, tetapkan nama pengguna dan kata laluan. Kami akan memerlukan data ini kemudian apabila menyediakan tapak klien.

   Dalam Alamat Gerbang Pengoptimuman Egress kami menetapkan alamat gerbang. Ini adalah perlu supaya tiada konflik alamat IP, kerana pintu masuk rangkaian kami mempunyai alamat yang sama. Kemudian klik pada butang PILIH SUB-ANTARAMUKA.

   

7. Di sini kita memilih subantara muka yang dikehendaki. Kami menyimpan tetapan.

   

8. Kami melihat bahawa tapak klien yang baru dibuat telah muncul dalam tetapan.

   

9. Sekarang mari kita beralih kepada mengkonfigurasi NSX dari sisi pelanggan.

   Kami pergi ke NSX bahagian B, pergi ke VPN -> L2VPN, dayakan L2VPN, tetapkan mod L2VPN kepada mod klien. Pada tab Global Client, tetapkan alamat dan port NSX A, yang kami tentukan sebelum ini sebagai Listening IP dan Port pada bahagian pelayan. Ia juga perlu untuk menetapkan tetapan penyulitan yang sama supaya ia konsisten apabila terowong dinaikkan.

   
   
   Kami tatal di bawah, pilih subantara muka yang melaluinya terowong untuk L2VPN akan dibina.
   Dalam Alamat Gerbang Pengoptimuman Egress kami menetapkan alamat gerbang. Tetapkan id pengguna dan kata laluan. Kami memilih subantara muka dan jangan lupa untuk menyimpan tetapan.

   

10. Sebenarnya, itu sahaja. Tetapan sisi klien dan pelayan hampir sama, kecuali beberapa nuansa.
11. Sekarang kita dapat melihat bahawa terowong kami telah berfungsi dengan pergi ke Statistik -> L2VPN pada mana-mana NSX.

    

12. Jika sekarang kita pergi ke konsol mana-mana Edge Gateway, kita akan melihat pada setiap daripada mereka dalam jadual arp alamat kedua-dua VM.

    

Itu sahaja tentang VPN di NSX Edge. Tanya jika ada yang kurang jelas. Ia juga merupakan bahagian terakhir siri artikel tentang bekerja dengan NSX Edge. Kami harap mereka membantu 🙂

Sumber: www.habr.com