🥇VMware NSX għaż-żgħar. Parti 6. Setup VPN

L-ewwel parti. introduttorja
It-tieni parti. Konfigurazzjoni tar-Regoli tal-Firewall u NAT
It-tielet parti. Konfigurazzjoni tad-DHCP
L-erba’ parti. Setup tar-rotot
Ħamsa parti. It-twaqqif ta' load balancer

Illum se nagħtu ħarsa lejn l-għażliet tal-konfigurazzjoni VPN li joffrilna NSX Edge.

B'mod ġenerali, nistgħu naqsmu t-teknoloġiji VPN f'żewġ tipi ewlenin:

VPN minn sit għal sit. L-aktar użu komuni ta 'IPSec huwa li toħloq mina sigura, pereżempju, bejn netwerk ta' uffiċċju prinċipali u netwerk f'sit remot jew fil-cloud.
VPN Aċċess Remot. Użat biex jgħaqqad utenti individwali ma 'netwerks privati korporattivi bl-użu tas-softwer tal-klijent VPN.

NSX Edge jippermettilna nużaw iż-żewġ għażliet.
Se nikkonfiguraw bl-użu ta 'bank tat-test b'żewġ NSX Edge, server Linux b'daemon installat rakkun u laptop Windows biex jittestja VPN Remote Access.

IPsec

Fl-interface vCloud Director, mur fit-taqsima Amministrazzjoni u agħżel il-vDC. Fuq it-tab Edge Gateways, agħżel ix-Xifer li neħtieġu, ikklikkja bil-lemin u agħżel Edge Gateway Services.
Fl-interface NSX Edge, mur fit-tab VPN-IPsec VPN, imbagħad fit-taqsima IPsec VPN Sites u kklikkja + biex iżżid sit ġdid.
Imla l-oqsma meħtieġa:
- Iffaċilitati – jattiva s-sit remot.
- PFS – jiżgura li kull ċavetta kriptografika ġdida ma tkunx assoċjata ma' xi ċavetta preċedenti.
- ID Lokali u Endpoint Lokalit huwa l-indirizz estern tal-NSX Edge.
- Subnet Lokalis - netwerks lokali li se jużaw IPsec VPN.
- Peer ID u Peer Endpoint – indirizz tas-sit remot.
- Peer subnets – netwerks li se jużaw IPsec VPN fuq in-naħa remota.
- Algoritmu ta 'Kriptaġġ – algoritmu tal-kriptaġġ tal-mina.
- Awtentikazzjoni - kif se nawtentikaw il-pari. Tista' tuża Ċavetta Pre-Shared jew ċertifikat.
- Ċavetta Mqassma minn Qabel - speċifika ċ-ċavetta li se tintuża għall-awtentikazzjoni u trid taqbel fuq iż-żewġ naħat.
- Diffie Hellman Group – algoritmu ta' skambju taċ-ċavetta.
Wara li timla l-oqsma meħtieġa, ikklikkja Żomm.
Magħmul.
Wara li żżid is-sit, mur fit-tab tal-Istatus tal-Attivazzjoni u attiva s-Servizz IPsec.
Wara li jiġu applikati s-settings, mur fit-tab Statistika -> IPsec VPN u ċċekkja l-istatus tal-mina. Naraw li l-mina telgħet.
Iċċekkja l-istatus tal-mina mill-console tal-gateway Edge:
- show service ipsec - iċċekkja l-istatus tas-servizz.
- show service ipsec site - Informazzjoni dwar l-istat tas-sit u l-parametri nnegozjati.
- show service ipsec sa - iċċekkja l-istatus tal-Assoċjazzjoni tas-Sigurtà (SA).

Iċċekkja l-konnettività ma’ sit remot:

root@racoon:~# ifconfig eth0:1 | grep inet
        inet 10.255.255.1  netmask 255.255.255.0  broadcast 0.0.0.0

root@racoon:~# ping -c1 -I 10.255.255.1 192.168.0.10 
PING 192.168.0.10 (192.168.0.10) from 10.255.255.1 : 56(84) bytes of data.
64 bytes from 192.168.0.10: icmp_seq=1 ttl=63 time=59.9 ms

--- 192.168.0.10 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 59.941/59.941/59.941/0.000 ms

Fajls tal-konfigurazzjoni u kmandi addizzjonali għad-dijanjostika minn server Linux remot:

root@racoon:~# cat /etc/racoon/racoon.conf 

log debug;
path pre_shared_key "/etc/racoon/psk.txt";
path certificate "/etc/racoon/certs";

listen {
  isakmp 80.211.43.73 [500];
   strict_address;
}

remote 185.148.83.16 {
        exchange_mode main,aggressive;
        proposal {
                 encryption_algorithm aes256;
                 hash_algorithm sha1;
                 authentication_method pre_shared_key;
                 dh_group modp1536;
         }
         generate_policy on;
}
 
sainfo address 10.255.255.0/24 any address 192.168.0.0/24 any {
         encryption_algorithm aes256;
         authentication_algorithm hmac_sha1;
         compression_algorithm deflate;
}

===

root@racoon:~# cat /etc/racoon/psk.txt
185.148.83.16 testkey

===

root@racoon:~# cat /etc/ipsec-tools.conf 
#!/usr/sbin/setkey -f

flush;
spdflush;

spdadd 192.168.0.0/24 10.255.255.0/24 any -P in ipsec
      esp/tunnel/185.148.83.16-80.211.43.73/require;

spdadd 10.255.255.0/24 192.168.0.0/24 any -P out ipsec
      esp/tunnel/80.211.43.73-185.148.83.16/require;

===


root@racoon:~# racoonctl show-sa isakmp
Destination            Cookies                           Created
185.148.83.16.500      2088977aceb1b512:a4c470cb8f9d57e9 2019-05-22 13:46:13 

===

root@racoon:~# racoonctl show-sa esp
80.211.43.73 185.148.83.16 
        esp mode=tunnel spi=1646662778(0x6226147a) reqid=0(0x00000000)
        E: aes-cbc  00064df4 454d14bc 9444b428 00e2296e c7bb1e03 06937597 1e522ce0 641e704d
        A: hmac-sha1  aa9e7cd7 51653621 67b3b2e9 64818de5 df848792
        seq=0x00000000 replay=4 flags=0x00000000 state=mature 
        created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
        diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
        last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
        current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
        allocated: 860  hard: 0 soft: 0
        sadb_seq=1 pid=7739 refcnt=0
185.148.83.16 80.211.43.73 
        esp mode=tunnel spi=88535449(0x0546f199) reqid=0(0x00000000)
        E: aes-cbc  c812505a 9c30515e 9edc8c4a b3393125 ade4c320 9bde04f0 94e7ba9d 28e61044
        A: hmac-sha1  cd9d6f6e 06dbcd6d da4d14f8 6d1a6239 38589878
        seq=0x00000000 replay=4 flags=0x00000000 state=mature 
        created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
        diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
        last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
        current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
        allocated: 860  hard: 0 soft: 0
        sadb_seq=0 pid=7739 refcnt=0

Kollox lest, l-IPsec VPN minn sit għal sit qed jaħdem.
F'dan l-eżempju, użajna PSK għall-awtentikazzjoni bejn il-pari, iżda l-awtentikazzjoni taċ-ċertifikat hija wkoll possibbli. Biex tagħmel dan, mur fit-tab tal-Konfigurazzjoni Globali, ippermetti l-awtentikazzjoni taċ-ċertifikat u agħżel iċ-ċertifikat innifsu.

Barra minn hekk, fis-settings tas-sit, ser ikollok bżonn tibdel il-metodu ta 'awtentikazzjoni.

Ninnota li n-numru ta' mini IPsec jiddependi mid-daqs tal-Edge Gateway skjerat (aqra dwar dan f'tagħna l-ewwel artiklu).

VPN SSL

SSL VPN-Plus hija waħda mill-għażliet VPN tal-Aċċess Remot. Jippermetti lill-utenti remoti individwali jgħaqqdu b'mod sigur ma 'netwerks privati wara l-NSX Edge Gateway. Mina kriptata fil-każ ta 'SSL VPN-plus hija stabbilita bejn il-klijent (Windows, Linux, Mac) u NSX Edge.

Ejja nibdew inwaqqfu. Fil-pannell tal-kontroll tas-servizz Edge Gateway, mur fit-tab SSL VPN-Plus, imbagħad fis-Settings tas-Server. Aħna nagħżlu l-indirizz u l-port li fuqhom is-server se jisma 'għal konnessjonijiet deħlin, nippermettu l-illoggjar u agħżel l-algoritmi ta' encryption meħtieġa.

Hawnhekk tista 'wkoll tibdel iċ-ċertifikat li se juża s-server.
Wara li kollox ikun lest, ixgħel is-server u tinsiex issalva s-settings.
Sussegwentement, irridu nwaqqfu ġabra ta' indirizzi li se noħorġu lill-klijenti mal-konnessjoni. Dan in-netwerk huwa separat minn kwalunkwe subnet eżistenti fl-ambjent NSX tiegħek u m'għandux għalfejn jiġi kkonfigurat fuq apparati oħra fuq in-netwerks fiżiċi, ħlief għar-rotot li jindikaw lejh.
Mur fit-tab IP Pools u kklikkja +.
Agħżel indirizzi, subnet mask u gateway. Hawnhekk tista 'wkoll tibdel is-settings għal servers DNS u WINS.
Il-ġabra li tirriżulta.
Issa ejja nżidu n-netwerks li l-utenti li jikkonnettjaw mal-VPN se jkollhom aċċess għalihom. Mur fit-tab Netwerks Privati u kklikkja +.
Aħna nimlew:
- Netwerk - netwerk lokali li għalih l-utenti remoti se jkollhom aċċess.
- Ibgħat it-traffiku, għandha żewġ għażliet:
  - fuq il-mina - ibgħat it-traffiku lejn in-netwerk permezz tal-mina,
  — bypass mina — tibgħat it-traffiku lejn in-netwerk billi tevita direttament il-mina.
- Ippermetti l-Ottimizzazzjoni tat-TCP - iċċekkja jekk għażiltx l-għażla over tunnel. Meta l-ottimizzazzjoni tkun attivata, tista 'tispeċifika n-numri tal-port li għalihom trid tottimizza t-traffiku. It-traffiku għall-portijiet li jifdal fuq dak in-netwerk partikolari mhux se jiġi ottimizzat. Jekk ma jiġu speċifikati l-ebda numri tal-port, it-traffiku għall-portijiet kollha jiġi ottimizzat. Aqra aktar dwar din il-karatteristika hawn.
Sussegwentement, mur fit-tab Awtentikazzjoni u kklikkja +. Għall-awtentikazzjoni, se nużaw server lokali fuq l-NSX Edge innifsu.
Hawnhekk nistgħu nagħżlu politiki biex niġġeneraw passwords ġodda u nikkonfiguraw għażliet għall-imblukkar tal-kontijiet tal-utent (pereżempju, in-numru ta 'prova mill-ġdid jekk il-password tiddaħħal ħażin).
Peress li qed nużaw l-awtentikazzjoni lokali, irridu noħolqu utenti.
Minbarra affarijiet bażiċi bħal isem u password, hawnhekk tista', pereżempju, tipprojbixxi lill-utent milli jibdel il-password jew, għall-kuntrarju, ġġiegħlu jibdel il-password ladarba li jmiss jidħol.
Wara li jkunu ġew miżjuda l-utenti kollha meħtieġa, mur fit-tab tal-Pakketti ta 'Installazzjoni, ikklikkja + u oħloq l-installatur innifsu, li se jitniżżel minn impjegat remot għall-installazzjoni.
Agħfas +. Agħżel l-indirizz u l-port tas-server li miegħu se jgħaqqad il-klijent, u l-pjattaformi li għalihom trid tiġġenera l-pakkett ta 'installazzjoni.

Hawn taħt f'din it-tieqa, tista 'tispeċifika l-issettjar tal-klijent għall-Windows. Agħżel:
- start client on logon - il-klijent VPN se jiżdied mal-istartjar fuq il-magna remota;
- toħloq ikona tad-desktop - se toħloq ikona tal-klijent VPN fuq id-desktop;
- validazzjoni taċ-ċertifikat tas-sigurtà tas-server - se jivvalida ċ-ċertifikat tas-server mal-konnessjoni.
  Is-setup tas-server hija kompluta.
Issa ejja tniżżel il-pakkett ta 'installazzjoni li ħloqna fl-aħħar pass għal PC remot. Meta waqqafna s-server, speċifikajna l-indirizz estern tiegħu (185.148.83.16) u l-port (445). Huwa f'dan l-indirizz li għandna bżonn immorru fil-web browser. Fil-każ tiegħi huwa 185.148.83.16: 445.
Fit-tieqa tal-awtorizzazzjoni, trid iddaħħal il-kredenzjali tal-utent li ħloqna qabel.
Wara l-awtorizzazzjoni, naraw lista ta 'pakketti ta' installazzjoni maħluqa disponibbli biex titniżżel. Ħloqna waħda biss - aħna se niżżlu.
Aħna nikklikkjaw fuq il-link, jibda t-tniżżil tal-klijent.
Spakkja l-arkivju mniżżel u ħaddem l-installatur.
Wara l-installazzjoni, iniedi l-klijent, fit-tieqa tal-awtorizzazzjoni, ikklikkja Login.
Fit-tieqa tal-verifika taċ-ċertifikat, agħżel Iva.
Aħna ndaħħlu l-kredenzjali għall-utent maħluq qabel u naraw li l-konnessjoni tlestiet b'suċċess.
Aħna niċċekkjaw l-istatistika tal-klijent VPN fuq il-kompjuter lokali.
Fil-linja tal-kmand tal-Windows (ipconfig / all), naraw li deher adapter virtwali addizzjonali u hemm konnettività man-netwerk remot, kollox jaħdem:
U finalment, iċċekkja mill-console Edge Gateway.

L2 VPN

L2VPN se jkun meħtieġ meta jkollok bżonn tgħaqqad diversi ġeografikament
netwerks imqassma f'dominju wieħed tax-xandir.

Dan jista’ jkun utli, pereżempju, meta tkun qed temigra magna virtwali: meta VM tiċċaqlaq għal żona ġeografika oħra, il-magna se żżomm is-settings tal-indirizzar tal-IP tagħha u ma titlefx il-konnettività ma’ magni oħra li jinsabu fl-istess dominju L2 magħha.

Fl-ambjent tat-test tagħna, aħna se nikkonnettjaw żewġ siti ma 'xulxin, se nsejħulhom A u B, rispettivament. Għandna żewġ NSXs u żewġ netwerks rotta maħluqin b'mod identiku mwaħħla ma' Truf differenti. Magna A għandha l-indirizz 10.10.10.250/24, Magna B għandha l-indirizz 10.10.10.2/24.

F'vCloud Director, mur fit-tab Amministrazzjoni, mur fil-VDC li neħtieġu, mur fit-tab Org VDC Networks u żid żewġ netwerks ġodda.
Agħżel it-tip ta' netwerk indirizzat u għaqqad dan in-netwerk mal-NSX tagħna. Aħna npoġġu l-kaxxa ta 'kontroll Oħloq bħala subinterface.
Bħala riżultat, għandna nġibu żewġ netwerks. Fl-eżempju tagħna, huma msejħa network-a u network-b bl-istess settings tal-gateway u l-istess maskra.
Issa ejja mmorru għas-settings tal-ewwel NSX. Dan se jkun l-NSX li n-Netwerk A huwa mehmuż miegħu. Se jaġixxi bħala server.
Nirritornaw għall-interface NSx Edge / Mur fit-tab VPN -> L2VPN. Aħna nixgħel L2VPN, agħżel il-mod ta 'tħaddim tas-Server, fis-settings Globali tas-Server nispeċifikaw l-indirizz IP estern NSX li fuqu se jisma' l-port għall-mina. B'mod awtomatiku, is-sokit jinfetaħ fuq il-port 443, iżda dan jista' jinbidel. Tinsiex tagħżel is-settings tal-kriptaġġ għall-mina futura.
Mur fit-tab tas-Siti tas-Server u żid peer.
Aħna nixgħel il-pari, issettja l-isem, id-deskrizzjoni, jekk meħtieġ, issettja l-username u l-password. Ikollna bżonn din id-dejta aktar tard meta nwaqqfu s-sit tal-klijent.
Fl-Egress Optimization Gateway Address aħna waqqafna l-indirizz tal-gateway. Dan huwa meħtieġ sabiex ma jkun hemm l-ebda kunflitt ta 'indirizzi IP, minħabba li l-portal tan-netwerks tagħna għandu l-istess indirizz. Imbagħad ikklikkja fuq il-buttuna AGĦŻEL SUB-INTERFACES.
Hawnhekk aħna nagħżlu s-subinterface mixtieqa. Aħna nissejvjaw is-settings.
Naraw li s-sit tal-klijent maħluq ġdid deher fis-settings.
Issa ejja ngħaddu għall-konfigurazzjoni ta 'NSX min-naħa tal-klijent.
Immorru għan-naħa B tal-NSX, mur VPN -> L2VPN, nippermettu L2VPN, issettja l-mod L2VPN għall-modalità tal-klijent. Fuq it-tab Klijent Globali, issettja l-indirizz u l-port ta 'NSX A, li speċifikajna qabel bħala Listening IP u Port fuq in-naħa tas-server. Huwa wkoll meħtieġ li jiġu stabbiliti l-istess settings ta 'encryption sabiex ikunu konsistenti meta l-mina tittella'.

Aħna iscroll hawn taħt, agħżel is-subinterface li minnha se tinbena l-mina għal L2VPN.
Fl-Egress Optimization Gateway Address aħna waqqafna l-indirizz tal-gateway. Issettja l-id tal-utent u l-password. Aħna nagħżlu s-subinterface u ma ninsewx li tissejvja s-settings.
Fil-fatt, dak kollu. Is-settings tan-naħa tal-klijent u tas-server huma kważi identiċi, bl-eċċezzjoni ta 'ftit sfumaturi.
Issa nistgħu naraw li l-mina tagħna ħadmet billi mmorru Statistika -> L2VPN fuq kwalunkwe NSX.
Jekk issa mmorru fil-console ta 'xi Edge Gateway, se naraw fuq kull wieħed minnhom fit-tabella arp l-indirizzi taż-żewġ VMs.

Dak kollu dwar VPN fuq NSX Edge. Staqsi jekk xi ħaġa mhix ċara. Hija wkoll l-aħħar parti ta 'serje ta' artikoli dwar il-ħidma ma 'NSX Edge. Nittamaw li kienu ta' għajnuna 🙂

Sors: www.habr.com

VMware NSX għaż-żgħar. Parti 6: Setup VPN

IPsec

VPN SSL

L2 VPN

Żid kumment Ikkanċella risposta