VMware NSX voor de kleintjes. Deel 6: VPN-configuratie

Deel een. inleidend
Deel twee. Firewall- en NAT-regels configureren
Deel drie. DHCP configureren
Deel vier. Routing instellen
Deel vijf. Opzetten van een loadbalancer

Vandaag gaan we kijken naar de VPN-configuratie-opties die NSX Edge ons biedt.

Over het algemeen kunnen we VPN-technologieën in twee hoofdtypen verdelen:

• Site-naar-site VPN. IPSec wordt het meest gebruikt om een ​​veilige tunnel te creëren, bijvoorbeeld tussen een hoofdkantoornetwerk en een netwerk op een externe locatie of in de cloud.
• VPN voor toegang op afstand. Wordt gebruikt om individuele gebruikers te verbinden met zakelijke privénetwerken met behulp van de VPN-clientsoftware.

Met NSX Edge kunnen we beide opties gebruiken.
We zullen configureren met behulp van een testbank met twee NSX Edge, een Linux-server met een geïnstalleerde daemon wasbeer en een Windows-laptop om Remote Access VPN te testen.

IPsec

1. Ga in de vCloud Director-interface naar het gedeelte Beheer en selecteer de vDC. Selecteer op het tabblad Edge Gateways de Edge die we nodig hebben, klik met de rechtermuisknop en selecteer Edge Gateway Services.
   
2. Ga in de NSX Edge-interface naar het tabblad VPN-IPsec VPN, vervolgens naar het gedeelte IPsec VPN-sites en klik op + om een ​​nieuwe site toe te voegen.

   

3. Vul de verplichte velden in:
   • ingeschakeld – activeert de externe site.
   • PFS – zorgt ervoor dat elke nieuwe cryptografische sleutel niet wordt geassocieerd met een eerdere sleutel.
   • Lokale ID en lokaal eindpuntt is het externe adres van de NSX Edge.
   • Lokaal subnets - lokale netwerken die IPsec VPN zullen gebruiken.
   • Peer-ID en peer-eindpunt – adres van de externe site.
   • Peer-subnetten - netwerken die IPsec VPN aan de externe kant zullen gebruiken.
   • Encryptie algoritme - tunnelversleutelingsalgoritme.

   
   

   • authenticatie - hoe we de peer authenticeren. U kunt een Pre-Shared Key of een certificaat gebruiken.
   • Vooraf gedeelde sleutel - specificeer de sleutel die zal worden gebruikt voor authenticatie en moet aan beide zijden overeenkomen.
   • Diffie Hellman-groep - algoritme voor sleuteluitwisseling.

   Klik na het invullen van de vereiste velden op Behouden.

   

4. Klaar.

   

5. Ga na het toevoegen van de site naar het tabblad Activeringsstatus en activeer de IPsec-service.

   

6. Nadat de instellingen zijn toegepast, gaat u naar het tabblad Statistieken -> IPsec VPN en controleert u de status van de tunnel. We zien dat de tunnel omhoog is gekomen.

   

7. Controleer de tunnelstatus van de Edge gateway-console:
   • show service ipsec - controleer de status van de service.

     

   • show service ipsec site - Informatie over de status van de site en onderhandelde parameters.

     

   • show service ipsec sa - controleer de status van de Security Association (SA).

     

8. Connectiviteit controleren met een externe site:

   root@racoon:~# ifconfig eth0:1 | grep inet
           inet 10.255.255.1  netmask 255.255.255.0  broadcast 0.0.0.0
   
   root@racoon:~# ping -c1 -I 10.255.255.1 192.168.0.10 
   PING 192.168.0.10 (192.168.0.10) from 10.255.255.1 : 56(84) bytes of data.
   64 bytes from 192.168.0.10: icmp_seq=1 ttl=63 time=59.9 ms
   
   --- 192.168.0.10 ping statistics ---
   1 packets transmitted, 1 received, 0% packet loss, time 0ms
   rtt min/avg/max/mdev = 59.941/59.941/59.941/0.000 ms
   

   Configuratiebestanden en aanvullende opdrachten voor diagnose van een externe Linux-server:

   root@racoon:~# cat /etc/racoon/racoon.conf 
   
   log debug;
   path pre_shared_key "/etc/racoon/psk.txt";
   path certificate "/etc/racoon/certs";
   
   listen {
     isakmp 80.211.43.73 [500];
      strict_address;
   }
   
   remote 185.148.83.16 {
           exchange_mode main,aggressive;
           proposal {
                    encryption_algorithm aes256;
                    hash_algorithm sha1;
                    authentication_method pre_shared_key;
                    dh_group modp1536;
            }
            generate_policy on;
   }
    
   sainfo address 10.255.255.0/24 any address 192.168.0.0/24 any {
            encryption_algorithm aes256;
            authentication_algorithm hmac_sha1;
            compression_algorithm deflate;
   }
   
   ===
   
   root@racoon:~# cat /etc/racoon/psk.txt
   185.148.83.16 testkey
   
   ===
   
   root@racoon:~# cat /etc/ipsec-tools.conf 
   #!/usr/sbin/setkey -f
   
   flush;
   spdflush;
   
   spdadd 192.168.0.0/24 10.255.255.0/24 any -P in ipsec
         esp/tunnel/185.148.83.16-80.211.43.73/require;
   
   spdadd 10.255.255.0/24 192.168.0.0/24 any -P out ipsec
         esp/tunnel/80.211.43.73-185.148.83.16/require;
   
   ===
   
   
   root@racoon:~# racoonctl show-sa isakmp
   Destination            Cookies                           Created
   185.148.83.16.500      2088977aceb1b512:a4c470cb8f9d57e9 2019-05-22 13:46:13 
   
   ===
   
   root@racoon:~# racoonctl show-sa esp
   80.211.43.73 185.148.83.16 
           esp mode=tunnel spi=1646662778(0x6226147a) reqid=0(0x00000000)
           E: aes-cbc  00064df4 454d14bc 9444b428 00e2296e c7bb1e03 06937597 1e522ce0 641e704d
           A: hmac-sha1  aa9e7cd7 51653621 67b3b2e9 64818de5 df848792
           seq=0x00000000 replay=4 flags=0x00000000 state=mature 
           created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
           diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
           last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
           current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
           allocated: 860  hard: 0 soft: 0
           sadb_seq=1 pid=7739 refcnt=0
   185.148.83.16 80.211.43.73 
           esp mode=tunnel spi=88535449(0x0546f199) reqid=0(0x00000000)
           E: aes-cbc  c812505a 9c30515e 9edc8c4a b3393125 ade4c320 9bde04f0 94e7ba9d 28e61044
           A: hmac-sha1  cd9d6f6e 06dbcd6d da4d14f8 6d1a6239 38589878
           seq=0x00000000 replay=4 flags=0x00000000 state=mature 
           created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
           diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
           last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
           current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
           allocated: 860  hard: 0 soft: 0
           sadb_seq=0 pid=7739 refcnt=0

9. Alles is klaar, site-to-site IPsec VPN is actief.

   In dit voorbeeld hebben we PSK gebruikt voor peer-authenticatie, maar certificaatauthenticatie is ook mogelijk. Ga hiervoor naar het tabblad Algemene configuratie, schakel certificaatverificatie in en selecteer het certificaat zelf.

   Bovendien moet u in de site-instellingen de authenticatiemethode wijzigen.

   
   
   
   
   Ik merk op dat het aantal IPsec-tunnels afhankelijk is van de grootte van de geïmplementeerde Edge Gateway (lees hierover in ons eerste artikel).

   

SSL VPN

SSL VPN-Plus is een van de Remote Access VPN-opties. Hiermee kunnen individuele externe gebruikers veilig verbinding maken met privénetwerken achter de NSX Edge Gateway. Er wordt in het geval van SSL VPN-plus een versleutelde tunnel tot stand gebracht tussen de client (Windows, Linux, Mac) en NSX Edge.

1. Laten we beginnen met instellen. Ga in het configuratiescherm van de Edge Gateway-service naar het tabblad SSL VPN-Plus en vervolgens naar Serverinstellingen. We selecteren het adres en de poort waarop de server zal luisteren naar inkomende verbindingen, schakelen logboekregistratie in en selecteren de benodigde versleutelingsalgoritmen.

   
   
   Hier kunt u ook het certificaat wijzigen dat de server zal gebruiken.

   

2. Nadat alles klaar is, zet u de server aan en vergeet u niet de instellingen op te slaan.

   

3. Vervolgens moeten we een pool met adressen opzetten die we bij verbinding aan klanten zullen verstrekken. Dit netwerk staat los van elk bestaand subnet in uw NSX-omgeving en hoeft niet te worden geconfigureerd op andere apparaten op de fysieke netwerken, met uitzondering van de routes die ernaartoe verwijzen.

   Ga naar het tabblad IP Pools en klik op +.

   

4. Selecteer adressen, subnetmasker en gateway. Hier kunt u ook de instellingen voor DNS- en WINS-servers wijzigen.

   

5. Het resulterende zwembad.

   

6. Laten we nu de netwerken toevoegen waartoe gebruikers die verbinding maken met de VPN toegang hebben. Ga naar het tabblad Privénetwerken en klik op +.

   

7. Wij vullen in:
   • Netwerk - een lokaal netwerk waartoe externe gebruikers toegang hebben.
   • Stuur verkeer, het heeft twee opties:
     - over tunnel - stuur verkeer naar het netwerk via de tunnel,
     — tunnel omzeilen: verkeer rechtstreeks naar het netwerk sturen waarbij de tunnel wordt omzeild.
   • Schakel TCP-optimalisatie in - controleer of u de optie over tunnel hebt gekozen. Wanneer optimalisatie is ingeschakeld, kunt u de poortnummers opgeven waarvoor u het verkeer wilt optimaliseren. Verkeer voor de resterende poorten op dat specifieke netwerk wordt niet geoptimaliseerd. Als er geen poortnummers zijn opgegeven, wordt het verkeer voor alle poorten geoptimaliseerd. Lees meer over deze functie hier.

   

8. Ga vervolgens naar het tabblad Verificatie en klik op +. Voor authenticatie gebruiken we een lokale server op de NSX Edge zelf.

   

9. Hier kunnen we beleid selecteren voor het genereren van nieuwe wachtwoorden en opties configureren voor het blokkeren van gebruikersaccounts (bijvoorbeeld het aantal nieuwe pogingen als het wachtwoord onjuist is ingevoerd).

   
   
   

10. Omdat we lokale authenticatie gebruiken, moeten we gebruikers aanmaken.

    

11. Naast basiszaken als een naam en wachtwoord kun je hier bijvoorbeeld de gebruiker verbieden het wachtwoord te wijzigen of juist dwingen om het wachtwoord te wijzigen de volgende keer dat hij inlogt.

    

12. Nadat alle benodigde gebruikers zijn toegevoegd, gaat u naar het tabblad Installatiepakketten, klikt u op + en maakt u het installatieprogramma zelf aan, dat door een externe medewerker wordt gedownload voor installatie.

    

13. Druk op +. Selecteer het adres en de poort van de server waarmee de client verbinding zal maken en de platforms waarvoor u het installatiepakket wilt genereren.

    
    
    Onderaan in dit venster kunt u de clientinstellingen voor Windows opgeven. Kiezen:

    • start client bij aanmelding – de VPN-client wordt toegevoegd aan opstarten op de externe computer;
    • bureaubladpictogram maken - maakt een VPN-clientpictogram op het bureaublad;
    • validatie serverbeveiligingscertificaat - valideert het servercertificaat bij verbinding.
      De serverconfiguratie is voltooid.

    

14. Laten we nu het installatiepakket dat we in de laatste stap hebben gemaakt downloaden naar een externe pc. Bij het instellen van de server hebben we het externe adres (185.148.83.16) en poort (445) opgegeven. Het is op dit adres dat we in een webbrowser moeten gaan. In mijn geval is dat zo 185.148.83.16: 445.

    In het autorisatievenster moet u de gebruikersreferenties invoeren die we eerder hebben gemaakt.

    

15. Na autorisatie zien we een lijst met gemaakte installatiepakketten die kunnen worden gedownload. We hebben er maar één gemaakt - we zullen het downloaden.

    

16. We klikken op de link, het downloaden van de client begint.

    

17. Pak het gedownloade archief uit en voer het installatieprogramma uit.

    

18. Start na de installatie de client, klik in het autorisatievenster op Inloggen.

    

19. Selecteer Ja in het certificaatverificatievenster.

    

20. We voeren de inloggegevens in van de eerder aangemaakte gebruiker en zien dat de verbinding met succes is voltooid.

    
    
    

21. We controleren de statistieken van de VPN-client op de lokale computer.

    
    
    

22. In de Windows-opdrachtregel (ipconfig / all) zien we dat er een extra virtuele adapter is verschenen en dat er verbinding is met het externe netwerk, alles werkt:

    
    
    

23. En tot slot, controleer vanaf de Edge Gateway-console.

    

L2 VPN

L2VPN is nodig wanneer u meerdere geografisch moet combineren
gedistribueerde netwerken in één uitzenddomein.

Dit kan bijvoorbeeld handig zijn bij het migreren van een virtuele machine: wanneer een VM naar een ander geografisch gebied verhuist, behoudt de machine zijn IP-adresinstellingen en verliest hij de connectiviteit met andere machines die zich in hetzelfde L2-domein bevinden niet.

In onze testomgeving zullen we twee sites met elkaar verbinden, we noemen ze respectievelijk A en B. We hebben twee NSX's en twee identiek gemaakte gerouteerde netwerken die zijn aangesloten op verschillende Edges. Machine A heeft het adres 10.10.10.250/24, Machine B heeft het adres 10.10.10.2/24.

1. Ga in vCloud Director naar het tabblad Beheer, ga naar de VDC die we nodig hebben, ga naar het tabblad Org VDC Networks en voeg twee nieuwe netwerken toe.

   

2. Selecteer het gerouteerde netwerktype en bind dit netwerk aan onze NSX. We zetten de checkbox Create as subinterface.

   

3. Als gevolg hiervan zouden we twee netwerken moeten krijgen. In ons voorbeeld heten ze netwerk-a en netwerk-b met dezelfde gateway-instellingen en hetzelfde masker.

   
   
   

4. Laten we nu naar de instellingen van de eerste NSX gaan. Dit wordt de NSX waarop netwerk A is aangesloten. Het zal fungeren als een server.

   We keren terug naar de NSx Edge-interface / Ga naar het tabblad VPN -> L2VPN. We schakelen L2VPN in, selecteren de Server-bedrijfsmodus, in de Server Global-instellingen specificeren we het externe NSX IP-adres waarop de poort voor de tunnel zal luisteren. Standaard opent de socket op poort 443, maar dit kan worden gewijzigd. Vergeet niet de coderingsinstellingen voor de toekomstige tunnel te selecteren.

   

5. Ga naar het tabblad Serversites en voeg een peer toe.

   

6. We zetten de peer aan, stellen de naam, beschrijving in, stellen indien nodig de gebruikersnaam en het wachtwoord in. We hebben deze gegevens later nodig bij het opzetten van de klantsite.

   In Egress Optimization Gateway Address stellen we het gateway-adres in. Dit is nodig zodat er geen conflict is tussen IP-adressen, omdat de gateway van onze netwerken hetzelfde adres heeft. Klik vervolgens op de knop SELECT SUB-INTERFACES.

   

7. Hier selecteren we de gewenste subinterface. We slaan de instellingen op.

   

8. We zien dat de nieuw gemaakte klantensite in de instellingen is verschenen.

   

9. Laten we nu verder gaan met het configureren van NSX vanaf de clientzijde.

   We gaan naar NSX kant B, gaan naar VPN -> L2VPN, schakelen L2VPN in, stellen L2VPN-modus in op clientmodus. Stel op het tabblad Client Global het adres en de poort van NSX A in, die we eerder hebben opgegeven als Listening IP en Port aan de serverzijde. Het is ook nodig om dezelfde coderingsinstellingen in te stellen, zodat ze consistent zijn wanneer de tunnel omhoog gaat.

   
   
   We scrollen naar beneden, selecteren de subinterface waardoor de tunnel voor L2VPN zal worden gebouwd.
   In Egress Optimization Gateway Address stellen we het gateway-adres in. Stel gebruikersnaam en wachtwoord in. We selecteren de subinterface en vergeten niet de instellingen op te slaan.

   

10. Eigenlijk is dat alles. De instellingen van de client- en serverzijde zijn vrijwel identiek, met uitzondering van enkele nuances.
11. Nu kunnen we zien dat onze tunnel werkt door naar Statistieken -> L2VPN te gaan op elke NSX.

    

12. Als we nu naar de console van een Edge Gateway gaan, zien we op elk ervan in de arp-tabel de adressen van beide VM's.

    

Dat is alles over VPN op NSX Edge. Vraag of iets niet duidelijk is. Het is ook het laatste deel van een serie artikelen over werken met NSX Edge. We hopen dat ze nuttig waren 🙂

Bron: www.habr.com