आज हामी VPN कन्फिगरेसन विकल्पहरू हेर्न जाँदैछौं जुन NSX Edge ले हामीलाई प्रस्ताव गर्दछ।
सामान्यतया, हामी VPN प्रविधिहरूलाई दुई मुख्य प्रकारहरूमा विभाजन गर्न सक्छौं:
- साइट-टु-साइट VPN। IPSec को सबैभन्दा सामान्य प्रयोग भनेको सुरक्षित सुरुङ सिर्जना गर्नु हो, उदाहरणका लागि, मुख्य कार्यालय नेटवर्क र टाढाको साइटमा वा क्लाउडमा रहेको नेटवर्कको बीचमा।
- रिमोट एक्सेस VPN। VPN क्लाइन्ट सफ्टवेयर प्रयोग गरेर व्यक्तिगत प्रयोगकर्ताहरूलाई कर्पोरेट निजी नेटवर्कहरूमा जडान गर्न प्रयोग गरिन्छ।
NSX Edge ले हामीलाई दुबै विकल्पहरू प्रयोग गर्न अनुमति दिन्छ।
हामी दुई NSX Edge, स्थापित डेमनको साथ लिनक्स सर्भरको साथ परीक्षण बेन्च प्रयोग गरेर कन्फिगर गर्नेछौं। र रिमोट एक्सेस VPN परीक्षण गर्न Windows ल्यापटप।
IPsec
- vCloud निर्देशक इन्टरफेसमा, प्रशासन खण्डमा जानुहोस् र vDC चयन गर्नुहोस्। किनारा गेटवे ट्याबमा, हामीलाई चाहिने किनारा चयन गर्नुहोस्, दायाँ क्लिक गर्नुहोस् र किनारा गेटवे सेवाहरू चयन गर्नुहोस्।
- NSX Edge इन्टरफेसमा, VPN-IPsec VPN ट्याबमा जानुहोस्, त्यसपछि IPsec VPN साइटहरू खण्डमा जानुहोस् र नयाँ साइट थप्न + मा क्लिक गर्नुहोस्।
- आवश्यक क्षेत्रहरू भर्नुहोस्:
- सक्षम गरियो - टाढाको साइट सक्रिय गर्दछ।
- पीएफएस - सुनिश्चित गर्दछ कि प्रत्येक नयाँ क्रिप्टोग्राफिक कुञ्जी कुनै पनि अघिल्लो कुञ्जीसँग सम्बन्धित छैन।
- स्थानीय आईडी र स्थानीय अन्त्य बिन्दुt NSX Edge को बाह्य ठेगाना हो।
- स्थानीय सबनेटs - IPsec VPN प्रयोग गर्ने स्थानीय नेटवर्कहरू।
- पियर आईडी र पियर एन्डपोइन्ट - टाढाको साइट को ठेगाना।
- सहकर्मी सबनेटहरू - रिमोट साइडमा IPsec VPN प्रयोग गर्ने नेटवर्कहरू।
- एन्क्रिप्शन एल्गोरिथ्म - टनेल ईन्क्रिप्शन एल्गोरिथ्म।
- प्रमाणीकरण - हामी कसरी सहकर्मी प्रमाणीकरण गर्नेछौं। तपाईंले पूर्व-साझा कुञ्जी वा प्रमाणपत्र प्रयोग गर्न सक्नुहुन्छ।
- पूर्व-साझा कुञ्जी - प्रमाणीकरणको लागि प्रयोग गरिने कुञ्जी निर्दिष्ट गर्नुहोस् र दुबै छेउमा मिल्नुपर्छ।
- Diffie Hellman समूह - कुञ्जी विनिमय एल्गोरिथ्म।
आवश्यक फिल्डहरू भरेपछि, Keep मा क्लिक गर्नुहोस्।
- भयो।
- साइट थपेपछि, सक्रियता स्थिति ट्याबमा जानुहोस् र IPsec सेवा सक्रिय गर्नुहोस्।
- सेटिङ्हरू लागू भएपछि, तथ्याङ्क -> IPsec VPN ट्याबमा जानुहोस् र सुरुङको स्थिति जाँच गर्नुहोस्। सुरुङ माथि उठेको देख्यौं।
- एज गेटवे कन्सोलबाट सुरुङ स्थिति जाँच गर्नुहोस्:
- सेवा ipsec देखाउनुहोस् - सेवाको स्थिति जाँच गर्नुहोस्।
- सेवा ipsec साइट देखाउनुहोस् - साइटको अवस्था र वार्ता गरिएका प्यारामिटरहरूको बारेमा जानकारी।
- सेवा ipsec sa देखाउनुहोस् - सुरक्षा संघ (SA) को स्थिति जाँच गर्नुहोस्।
- सेवा ipsec देखाउनुहोस् - सेवाको स्थिति जाँच गर्नुहोस्।
- टाढाको साइटसँग जडान जाँच गर्दै:
root@racoon:~# ifconfig eth0:1 | grep inet inet 10.255.255.1 netmask 255.255.255.0 broadcast 0.0.0.0 root@racoon:~# ping -c1 -I 10.255.255.1 192.168.0.10 PING 192.168.0.10 (192.168.0.10) from 10.255.255.1 : 56(84) bytes of data. 64 bytes from 192.168.0.10: icmp_seq=1 ttl=63 time=59.9 ms --- 192.168.0.10 ping statistics --- 1 packets transmitted, 1 received, 0% packet loss, time 0ms rtt min/avg/max/mdev = 59.941/59.941/59.941/0.000 msकन्फिगरेसन फाइलहरू र रिमोट लिनक्स सर्भरबाट निदानका लागि थप आदेशहरू:
root@racoon:~# cat /etc/racoon/racoon.conf log debug; path pre_shared_key "/etc/racoon/psk.txt"; path certificate "/etc/racoon/certs"; listen { isakmp 80.211.43.73 [500]; strict_address; } remote 185.148.83.16 { exchange_mode main,aggressive; proposal { encryption_algorithm aes256; hash_algorithm sha1; authentication_method pre_shared_key; dh_group modp1536; } generate_policy on; } sainfo address 10.255.255.0/24 any address 192.168.0.0/24 any { encryption_algorithm aes256; authentication_algorithm hmac_sha1; compression_algorithm deflate; } === root@racoon:~# cat /etc/racoon/psk.txt 185.148.83.16 testkey === root@racoon:~# cat /etc/ipsec-tools.conf #!/usr/sbin/setkey -f flush; spdflush; spdadd 192.168.0.0/24 10.255.255.0/24 any -P in ipsec esp/tunnel/185.148.83.16-80.211.43.73/require; spdadd 10.255.255.0/24 192.168.0.0/24 any -P out ipsec esp/tunnel/80.211.43.73-185.148.83.16/require; === root@racoon:~# racoonctl show-sa isakmp Destination Cookies Created 185.148.83.16.500 2088977aceb1b512:a4c470cb8f9d57e9 2019-05-22 13:46:13 === root@racoon:~# racoonctl show-sa esp 80.211.43.73 185.148.83.16 esp mode=tunnel spi=1646662778(0x6226147a) reqid=0(0x00000000) E: aes-cbc 00064df4 454d14bc 9444b428 00e2296e c7bb1e03 06937597 1e522ce0 641e704d A: hmac-sha1 aa9e7cd7 51653621 67b3b2e9 64818de5 df848792 seq=0x00000000 replay=4 flags=0x00000000 state=mature created: May 22 13:46:13 2019 current: May 22 14:07:43 2019 diff: 1290(s) hard: 3600(s) soft: 2880(s) last: May 22 13:46:13 2019 hard: 0(s) soft: 0(s) current: 72240(bytes) hard: 0(bytes) soft: 0(bytes) allocated: 860 hard: 0 soft: 0 sadb_seq=1 pid=7739 refcnt=0 185.148.83.16 80.211.43.73 esp mode=tunnel spi=88535449(0x0546f199) reqid=0(0x00000000) E: aes-cbc c812505a 9c30515e 9edc8c4a b3393125 ade4c320 9bde04f0 94e7ba9d 28e61044 A: hmac-sha1 cd9d6f6e 06dbcd6d da4d14f8 6d1a6239 38589878 seq=0x00000000 replay=4 flags=0x00000000 state=mature created: May 22 13:46:13 2019 current: May 22 14:07:43 2019 diff: 1290(s) hard: 3600(s) soft: 2880(s) last: May 22 13:46:13 2019 hard: 0(s) soft: 0(s) current: 72240(bytes) hard: 0(bytes) soft: 0(bytes) allocated: 860 hard: 0 soft: 0 sadb_seq=0 pid=7739 refcnt=0 - सबै तयार छ, साइट-टु-साइट IPsec VPN चलिरहेको छ।
यस उदाहरणमा, हामीले सहकर्मी प्रमाणीकरणको लागि PSK प्रयोग गर्यौं, तर प्रमाणपत्र प्रमाणीकरण पनि सम्भव छ। यो गर्नको लागि, ग्लोबल कन्फिगरेसन ट्याबमा जानुहोस्, प्रमाणपत्र प्रमाणीकरण सक्षम गर्नुहोस् र प्रमाणपत्र आफै चयन गर्नुहोस्।
थप रूपमा, साइट सेटिङहरूमा, तपाईंले प्रमाणीकरण विधि परिवर्तन गर्न आवश्यक हुनेछ।
म नोट गर्छु कि IPsec टनेलहरूको संख्या तैनाथ एज गेटवेको साइजमा निर्भर गर्दछ (यसको बारेमा हाम्रो ).
SSL VPN
SSL VPN-Plus रिमोट एक्सेस VPN विकल्पहरू मध्ये एक हो। यसले व्यक्तिगत रिमोट प्रयोगकर्ताहरूलाई NSX Edge गेटवे पछाडिको निजी नेटवर्कहरूमा सुरक्षित रूपमा जडान गर्न अनुमति दिन्छ। SSL VPN-plus को मामला मा एक एन्क्रिप्टेड सुरुङ ग्राहक (Windows, Linux, Mac) र NSX Edge बीच स्थापित छ।
- सेटअप सुरु गरौं। किनारा गेटवे सेवा नियन्त्रण प्यानलमा, SSL VPN-Plus ट्याबमा जानुहोस्, त्यसपछि सर्भर सेटिङहरूमा जानुहोस्। हामी ठेगाना र पोर्ट चयन गर्छौं जसमा सर्भरले आगमन जडानहरूको लागि सुन्नेछ, लगिङ सक्षम पार्छ र आवश्यक एन्क्रिप्शन एल्गोरिदमहरू चयन गर्दछ।
यहाँ तपाईँले सर्भरले प्रयोग गर्ने प्रमाणपत्र पनि परिवर्तन गर्न सक्नुहुन्छ। - सबै तयार भएपछि, सर्भर खोल्नुहोस् र सेटिङहरू बचत गर्न नबिर्सनुहोस्।
- अर्को, हामीले ठेगानाहरूको पूल सेट अप गर्न आवश्यक छ जुन हामीले जडानमा ग्राहकहरूलाई जारी गर्नेछौं। यो नेटवर्क तपाईंको NSX वातावरणमा अवस्थित कुनै पनि सबनेटबाट अलग छ र यसलाई संकेत गर्ने मार्गहरू बाहेक, भौतिक नेटवर्कहरूमा अन्य उपकरणहरूमा कन्फिगर गर्न आवश्यक छैन।
आईपी पूल ट्याबमा जानुहोस् र + मा क्लिक गर्नुहोस्।
- ठेगानाहरू, सबनेट मास्क र गेटवे चयन गर्नुहोस्। यहाँ तपाईँले DNS र WINS सर्भरहरूको लागि सेटिङहरू पनि परिवर्तन गर्न सक्नुहुन्छ।
- नतिजा पोखरी।
- अब VPN मा जडान गर्ने प्रयोगकर्ताहरूले पहुँच गर्न सक्ने नेटवर्कहरू थपौं। निजी नेटवर्क ट्याबमा जानुहोस् र + मा क्लिक गर्नुहोस्।
- हामी भर्छौं:
- नेटवर्क - एक स्थानीय नेटवर्क जसमा टाढाका प्रयोगकर्ताहरूको पहुँच हुनेछ।
- ट्राफिक पठाउनुहोस्, यसमा दुई विकल्पहरू छन्:
- सुरुङ माथि - सुरुङ मार्फत नेटवर्कमा ट्राफिक पठाउनुहोस्,
— बाइपास टनेल — सुरुङलाई बाइपास गरेर नेटवर्कमा ट्राफिक पठाउनुहोस्। - TCP अप्टिमाइजेसन सक्षम गर्नुहोस् - यदि तपाईंले ओभर टनेल विकल्प रोज्नुभयो भने जाँच गर्नुहोस्। जब अप्टिमाइजेसन सक्षम हुन्छ, तपाईले पोर्ट नम्बरहरू निर्दिष्ट गर्न सक्नुहुन्छ जसको लागि तपाई ट्राफिक अनुकूलन गर्न चाहानुहुन्छ। त्यो विशेष नेटवर्कमा बाँकी पोर्टहरूको लागि ट्राफिक अनुकूलित हुनेछैन। यदि कुनै पोर्ट नम्बरहरू निर्दिष्ट गरिएको छैन भने, सबै पोर्टहरूको लागि ट्राफिक अनुकूलित हुन्छ। यो सुविधा बारे थप पढ्नुहोस् .
- अर्को, प्रमाणीकरण ट्याबमा जानुहोस् र + मा क्लिक गर्नुहोस्। प्रमाणीकरणको लागि, हामी NSX Edge मा स्थानीय सर्भर प्रयोग गर्नेछौं।
- यहाँ हामी नयाँ पासवर्डहरू उत्पन्न गर्न नीतिहरू चयन गर्न सक्छौं र प्रयोगकर्ता खाताहरू ब्लक गर्ने विकल्पहरू कन्फिगर गर्न सक्छौं (उदाहरणका लागि, यदि पासवर्ड गलत रूपमा प्रविष्ट गरिएको छ भने पुन: प्रयासहरूको संख्या)।
- हामी स्थानीय प्रमाणीकरण प्रयोग गर्दैछौं, हामीले प्रयोगकर्ताहरू सिर्जना गर्न आवश्यक छ।
- नाम र पासवर्ड जस्ता आधारभूत कुराहरूका अतिरिक्त, यहाँ तपाईंले, उदाहरणका लागि, प्रयोगकर्तालाई पासवर्ड परिवर्तन गर्नबाट निषेध गर्न सक्नुहुन्छ वा अर्को पटक लग इन गर्दा पासवर्ड परिवर्तन गर्न बाध्य पार्न सक्नुहुन्छ।
- सबै आवश्यक प्रयोगकर्ताहरू थपिएपछि, स्थापना प्याकेजहरू ट्याबमा जानुहोस्, + क्लिक गर्नुहोस् र स्थापनाकर्ता आफैं सिर्जना गर्नुहोस्, जुन स्थापनाको लागि टाढाको कर्मचारीद्वारा डाउनलोड हुनेछ।
- + थिच्नुहोस्। सर्भरको ठेगाना र पोर्ट चयन गर्नुहोस् जसमा क्लाइन्ट जडान हुनेछ, र प्लेटफर्महरू जसको लागि तपाइँ स्थापना प्याकेज उत्पन्न गर्न चाहनुहुन्छ।
यस विन्डोमा तल, तपाइँ Windows को लागि क्लाइन्ट सेटिङहरू निर्दिष्ट गर्न सक्नुहुन्छ। छान्नुहोस्:- लगअनमा ग्राहक सुरु गर्नुहोस् - VPN ग्राहक रिमोट मेसिनमा स्टार्टअपमा थपिनेछ;
- डेस्कटप आइकन सिर्जना गर्नुहोस् - डेस्कटपमा VPN क्लाइन्ट प्रतिमा सिर्जना गर्नेछ;
- सर्भर सुरक्षा प्रमाणपत्र प्रमाणीकरण - जडानमा सर्भर प्रमाणपत्र मान्य हुनेछ।
सर्भर सेटअप पूरा भयो।
- अब हामीले रिमोट पीसीमा अन्तिम चरणमा सिर्जना गरेको स्थापना प्याकेज डाउनलोड गरौं। सर्भर सेटअप गर्दा, हामीले यसको बाह्य ठेगाना (185.148.83.16) र पोर्ट (445) निर्दिष्ट गर्यौं। यो ठेगानामा हामीले वेब ब्राउजरमा जान आवश्यक छ। मेरो मामला मा यो छ : 445।
प्राधिकरण सञ्झ्यालमा, तपाईंले प्रयोगकर्ता प्रमाणहरू प्रविष्ट गर्नुपर्छ जुन हामीले पहिले सिर्जना गरेका थियौं।
- प्राधिकरण पछि, हामी डाउनलोडको लागि उपलब्ध सिर्जना गरिएको स्थापना प्याकेजहरूको सूची देख्छौं। हामीले एउटा मात्र सिर्जना गरेका छौं - हामी यसलाई डाउनलोड गर्नेछौं।
- हामी लिङ्कमा क्लिक गर्छौं, ग्राहकको डाउनलोड सुरु हुन्छ।
- डाउनलोड गरिएको संग्रह अनप्याक गर्नुहोस् र स्थापनाकर्ता चलाउनुहोस्।
- स्थापना पछि, क्लाइन्ट सुरु गर्नुहोस्, प्राधिकरण विन्डोमा, लगइन क्लिक गर्नुहोस्।
- प्रमाणपत्र प्रमाणीकरण विन्डोमा, हो चयन गर्नुहोस्।
- हामी पहिले सिर्जना गरिएको प्रयोगकर्ताका लागि प्रमाणहरू प्रविष्ट गर्छौं र जडान सफलतापूर्वक पूरा भएको देख्छौं।
- हामी स्थानीय कम्प्युटरमा VPN ग्राहकको तथ्याङ्क जाँच गर्छौं।
- विन्डोज कमाण्ड लाइन (ipconfig / all) मा, हामी देख्छौं कि अतिरिक्त भर्चुअल एडाप्टर देखा परेको छ र रिमोट नेटवर्कमा जडान छ, सबै काम गर्दछ:
- र अन्तमा, एज गेटवे कन्सोलबाट जाँच गर्नुहोस्।
L2 VPN
L2VPN आवश्यक पर्नेछ जब तपाईलाई धेरै भौगोलिक रूपमा संयोजन गर्न आवश्यक छ
एक प्रसारण डोमेन मा नेटवर्क वितरित।
यो उपयोगी हुन सक्छ, उदाहरणका लागि, भर्चुअल मेसिन माइग्रेट गर्दा: जब एक VM अर्को भौगोलिक क्षेत्रमा सर्छ, मेसिनले यसको IP ठेगाना सेटिङहरू कायम राख्छ र योसँग समान L2 डोमेनमा अवस्थित अन्य मेसिनहरूसँग जडान गुमाउने छैन।
हाम्रो परीक्षण वातावरणमा, हामी दुई साइटहरू एकअर्कामा जडान गर्नेछौं, हामी तिनीहरूलाई क्रमशः A र B भन्नेछौं। हामीसँग दुईवटा NSX र दुई समान रूपमा सिर्जना गरिएका राउटेड नेटवर्कहरू विभिन्न किनारहरूमा संलग्न छन्। मेसिन A को ठेगाना 10.10.10.250/24 छ, मेसिन B को 10.10.10.2/24 ठेगाना छ।
- vCloud Director मा, Administration ट्याबमा जानुहोस्, हामीलाई चाहिएको VDC मा जानुहोस्, Org VDC Networks ट्याबमा जानुहोस् र दुई नयाँ नेटवर्कहरू थप्नुहोस्।
- रूट गरिएको नेटवर्क प्रकार चयन गर्नुहोस् र यो नेटवर्कलाई हाम्रो NSX मा बाँध्नुहोस्। हामीले चेकबक्सलाई सब-इन्टरफेसको रूपमा सिर्जना गर्यौं।
- नतिजाको रूपमा, हामीले दुई नेटवर्कहरू प्राप्त गर्नुपर्छ। हाम्रो उदाहरणमा, तिनीहरूलाई उही गेटवे सेटिङहरू र उही मास्कको साथ नेटवर्क-ए र नेटवर्क-बी भनिन्छ।
- अब पहिलो NSX को सेटिङ्हरूमा जाऔं। यो नेटवर्क A संलग्न भएको NSX हुनेछ। यसले सर्भरको रूपमा काम गर्नेछ।
हामी NSx Edge इन्टरफेसमा फर्कन्छौं / VPN ट्याबमा जानुहोस् -> L2VPN। हामी L2VPN खोल्छौं, सर्भर सञ्चालन मोड चयन गर्छौं, सर्भर ग्लोबल सेटिङहरूमा हामीले बाह्य NSX IP ठेगाना निर्दिष्ट गर्छौं जसमा सुरुङको लागि पोर्ट सुन्छ। पूर्वनिर्धारित रूपमा, सकेट पोर्ट 443 मा खुल्नेछ, तर यो परिवर्तन गर्न सकिन्छ। भविष्यको सुरुङको लागि इन्क्रिप्सन सेटिङहरू चयन गर्न नबिर्सनुहोस्।
- सर्भर साइट ट्याबमा जानुहोस् र एक साथी थप्नुहोस्।
- हामी साथी खोल्छौं, नाम, विवरण सेट गर्नुहोस्, आवश्यक भएमा, प्रयोगकर्ता नाम र पासवर्ड सेट गर्नुहोस्। क्लाइन्ट साइट सेटअप गर्दा हामीलाई पछि यो डेटा चाहिन्छ।
Egress Optimization Gateway Address मा हामीले गेटवे ठेगाना सेट गर्छौं। यो आवश्यक छ कि त्यहाँ IP ठेगानाहरूको कुनै विवाद छैन, किनभने हाम्रो नेटवर्कहरूको गेटवे एउटै ठेगाना छ। त्यसपछि SELECT SUB-INTERFACES बटनमा क्लिक गर्नुहोस्।
- यहाँ हामी इच्छित उप-इन्टरफेस चयन गर्छौं। हामी सेटिङहरू बचत गर्छौं।
- हामीले देख्यौं कि नयाँ सिर्जना गरिएको ग्राहक साइट सेटिङहरूमा देखा परेको छ।
- अब ग्राहक पक्षबाट NSX कन्फिगर गर्न अगाडि बढौं।
हामी NSX साइड B मा जान्छौं, VPN -> L2VPN मा जानुहोस्, L2VPN सक्षम गर्नुहोस्, L2VPN मोडलाई ग्राहक मोडमा सेट गर्नुहोस्। क्लाइन्ट ग्लोबल ट्याबमा, NSX A को ठेगाना र पोर्ट सेट गर्नुहोस्, जसलाई हामीले पहिले सर्भर साइडमा सुन्न आईपी र पोर्टको रूपमा निर्दिष्ट गरेका थियौं। यो समान इन्क्रिप्सन सेटिङहरू सेट गर्न आवश्यक छ ताकि सुरुङ उठाउँदा तिनीहरू एकरूप हुन्छन्।
हामी तल स्क्रोल गर्छौं, L2VPN को लागि सुरुङ निर्माण गरिने सब-इन्टरफेस चयन गर्नुहोस्।
Egress Optimization Gateway Address मा हामीले गेटवे ठेगाना सेट गर्छौं। प्रयोगकर्ता आईडी र पासवर्ड सेट गर्नुहोस्। हामी उप-इन्टरफेस चयन गर्छौं र सेटिङहरू बचत गर्न नबिर्सनुहोस्। - वास्तवमा, यो सबै हो। ग्राहक र सर्भर पक्ष को सेटिङहरू लगभग समान छन्, केहि बारीकियों को अपवाद को साथ।
- अब हामी देख्न सक्छौं कि हाम्रो सुरुङले कुनै पनि NSX मा तथ्याङ्क -> L2VPN मा गएर काम गरेको छ।
- यदि हामी अब कुनै पनि एज गेटवेको कन्सोलमा जान्छौं भने, हामी ती प्रत्येकमा arp तालिकामा दुवै VM को ठेगानाहरू देख्नेछौं।
त्यो सबै NSX Edge मा VPN को बारेमा हो। केहि अस्पष्ट छ भने सोध्नुहोस्। यो NSX Edge सँग काम गर्ने लेखहरूको श्रृंखलाको अन्तिम भाग पनि हो। हामी आशा गर्छौं कि तिनीहरू उपयोगी थिए 🙂
स्रोत: www.habr.com