VMware NSX for de minste. Del 6: VPN-oppsett

Del en. innledende
Andre del. Konfigurere brannmur- og NAT-regler
Del tre. Konfigurerer DHCP
Del fire. Ruting oppsett
Del fem. Sette opp en lastbalanser

I dag skal vi ta en titt på VPN-konfigurasjonsalternativene som NSX Edge tilbyr oss.

Generelt kan vi dele VPN-teknologier inn i to hovedtyper:

• Nettsted-til-sted VPN. Den vanligste bruken av IPSec er å lage en sikker tunnel, for eksempel mellom et hovedkontornettverk og et nettverk på et eksternt sted eller i skyen.
• Fjerntilgang VPN. Brukes til å koble individuelle brukere til bedriftens private nettverk ved hjelp av VPN-klientprogramvaren.

NSX Edge lar oss bruke begge alternativene.
Vi vil konfigurere ved å bruke en testbenk med to NSX Edge, en Linux-server med en installert daemon vaskebjørn og en bærbar Windows-maskin for å teste Remote Access VPN.

IPsec

1. I vCloud Director-grensesnittet går du til administrasjonsdelen og velger vDC. På Edge Gateways-fanen, velg Edge vi trenger, høyreklikk og velg Edge Gateway Services.
   
2. I NSX Edge-grensesnittet, gå til VPN-IPsec VPN-fanen, deretter til IPsec VPN-nettsteder-delen og klikk på + for å legge til et nytt nettsted.

   

3. Fyll ut de obligatoriske feltene:
   • aktivert – aktiverer den eksterne siden.
   • PFS – sikrer at hver ny kryptografisk nøkkel ikke er knyttet til noen tidligere nøkkel.
   • Lokal ID og lokalt endepunktt er den eksterne adressen til NSX Edge.
   • Lokalt undernetts - lokale nettverk som vil bruke IPsec VPN.
   • Peer ID og Peer Endpoint – adressen til den eksterne siden.
   • Peer-undernett – nettverk som vil bruke IPsec VPN på den eksterne siden.
   • Krypteringsalgoritme – tunnelkrypteringsalgoritme.

   
   

   • Autentisering - hvordan vi vil autentisere jevnaldrende. Du kan bruke en forhåndsdelt nøkkel eller et sertifikat.
   • Forhåndsdelt nøkkel - spesifiser nøkkelen som skal brukes til autentisering og må samsvare på begge sider.
   • Diffie Hellman Group – nøkkelutvekslingsalgoritme.

   Etter å ha fylt ut de obligatoriske feltene, klikk på Behold.

   

4. Ferdig.

   

5. Etter å ha lagt til nettstedet, gå til kategorien Aktiveringsstatus og aktiver IPsec-tjenesten.

   

6. Etter at innstillingene er tatt i bruk, går du til fanen Statistikk -> IPsec VPN og kontrollerer statusen til tunnelen. Vi ser at tunnelen har reist seg.

   

7. Sjekk tunnelstatusen fra Edge gateway-konsollen:
   • vis tjeneste ipsec - sjekk statusen til tjenesten.

     

   • vis tjeneste ipsec-nettsted - Informasjon om tilstanden til nettstedet og forhandlede parametere.

     

   • vis tjeneste ipsec sa - sjekk statusen til Security Association (SA).

     

8. Sjekke tilkobling med et eksternt nettsted:

   root@racoon:~# ifconfig eth0:1 | grep inet
           inet 10.255.255.1  netmask 255.255.255.0  broadcast 0.0.0.0
   
   root@racoon:~# ping -c1 -I 10.255.255.1 192.168.0.10 
   PING 192.168.0.10 (192.168.0.10) from 10.255.255.1 : 56(84) bytes of data.
   64 bytes from 192.168.0.10: icmp_seq=1 ttl=63 time=59.9 ms
   
   --- 192.168.0.10 ping statistics ---
   1 packets transmitted, 1 received, 0% packet loss, time 0ms
   rtt min/avg/max/mdev = 59.941/59.941/59.941/0.000 ms
   

   Konfigurasjonsfiler og tilleggskommandoer for diagnostikk fra en ekstern Linux-server:

   root@racoon:~# cat /etc/racoon/racoon.conf 
   
   log debug;
   path pre_shared_key "/etc/racoon/psk.txt";
   path certificate "/etc/racoon/certs";
   
   listen {
     isakmp 80.211.43.73 [500];
      strict_address;
   }
   
   remote 185.148.83.16 {
           exchange_mode main,aggressive;
           proposal {
                    encryption_algorithm aes256;
                    hash_algorithm sha1;
                    authentication_method pre_shared_key;
                    dh_group modp1536;
            }
            generate_policy on;
   }
    
   sainfo address 10.255.255.0/24 any address 192.168.0.0/24 any {
            encryption_algorithm aes256;
            authentication_algorithm hmac_sha1;
            compression_algorithm deflate;
   }
   
   ===
   
   root@racoon:~# cat /etc/racoon/psk.txt
   185.148.83.16 testkey
   
   ===
   
   root@racoon:~# cat /etc/ipsec-tools.conf 
   #!/usr/sbin/setkey -f
   
   flush;
   spdflush;
   
   spdadd 192.168.0.0/24 10.255.255.0/24 any -P in ipsec
         esp/tunnel/185.148.83.16-80.211.43.73/require;
   
   spdadd 10.255.255.0/24 192.168.0.0/24 any -P out ipsec
         esp/tunnel/80.211.43.73-185.148.83.16/require;
   
   ===
   
   
   root@racoon:~# racoonctl show-sa isakmp
   Destination            Cookies                           Created
   185.148.83.16.500      2088977aceb1b512:a4c470cb8f9d57e9 2019-05-22 13:46:13 
   
   ===
   
   root@racoon:~# racoonctl show-sa esp
   80.211.43.73 185.148.83.16 
           esp mode=tunnel spi=1646662778(0x6226147a) reqid=0(0x00000000)
           E: aes-cbc  00064df4 454d14bc 9444b428 00e2296e c7bb1e03 06937597 1e522ce0 641e704d
           A: hmac-sha1  aa9e7cd7 51653621 67b3b2e9 64818de5 df848792
           seq=0x00000000 replay=4 flags=0x00000000 state=mature 
           created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
           diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
           last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
           current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
           allocated: 860  hard: 0 soft: 0
           sadb_seq=1 pid=7739 refcnt=0
   185.148.83.16 80.211.43.73 
           esp mode=tunnel spi=88535449(0x0546f199) reqid=0(0x00000000)
           E: aes-cbc  c812505a 9c30515e 9edc8c4a b3393125 ade4c320 9bde04f0 94e7ba9d 28e61044
           A: hmac-sha1  cd9d6f6e 06dbcd6d da4d14f8 6d1a6239 38589878
           seq=0x00000000 replay=4 flags=0x00000000 state=mature 
           created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
           diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
           last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
           current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
           allocated: 860  hard: 0 soft: 0
           sadb_seq=0 pid=7739 refcnt=0

9. Alt er klart, sted-til-sted IPsec VPN er oppe og går.

   I dette eksemplet brukte vi PSK for peer-autentisering, men sertifikatautentisering er også mulig. For å gjøre dette, gå til Global Configuration-fanen, aktiver sertifikatautentisering og velg selve sertifikatet.

   I tillegg, i nettstedinnstillingene, må du endre autentiseringsmetoden.

   
   
   
   
   Jeg legger merke til at antallet IPsec-tunneler avhenger av størrelsen på den utplasserte Edge Gateway (les om dette i vår første artikkel).

   

SSL VPN

SSL VPN-Plus er et av VPN-alternativene for ekstern tilgang. Den lar individuelle eksterne brukere trygt koble til private nettverk bak NSX Edge Gateway. En kryptert tunnel i tilfelle av SSL VPN-plus etableres mellom klienten (Windows, Linux, Mac) og NSX Edge.

1. La oss begynne å sette opp. I Edge Gateway-tjenestens kontrollpanel går du til SSL VPN-Plus-fanen og deretter til Serverinnstillinger. Vi velger adressen og porten som serveren skal lytte etter innkommende tilkoblinger på, aktiverer logging og velger de nødvendige krypteringsalgoritmene.

   
   
   Her kan du også endre sertifikatet som serveren skal bruke.

   

2. Etter at alt er klart, slå på serveren og ikke glem å lagre innstillingene.

   

3. Deretter må vi sette opp en pool med adresser som vi vil utstede til klienter ved tilkobling. Dette nettverket er atskilt fra ethvert eksisterende subnett i ditt NSX-miljø og trenger ikke å konfigureres på andre enheter på de fysiske nettverkene, bortsett fra rutene som peker til det.

   Gå til fanen IP-pooler og klikk på +.

   

4. Velg adresser, nettverksmaske og gateway. Her kan du også endre innstillingene for DNS- og WINS-servere.

   

5. Det resulterende bassenget.

   

6. La oss nå legge til nettverkene som brukere som kobler til VPN vil ha tilgang til. Gå til kategorien Private nettverk og klikk på +.

   

7. Vi fyller inn:
   • Nettverk - et lokalt nettverk som eksterne brukere vil ha tilgang til.
   • Send trafikk, den har to alternativer:
     - over tunnel - sende trafikk til nettverket gjennom tunnelen,
     — bypass tunnel — send trafikk til nettverket direkte forbi tunnelen.
   • Aktiver TCP-optimalisering - sjekk om du valgte alternativet over tunnel. Når optimalisering er aktivert, kan du spesifisere portnumrene du ønsker å optimalisere trafikken for. Trafikken for de gjenværende portene på det aktuelle nettverket vil ikke bli optimalisert. Hvis ingen portnumre er spesifisert, optimaliseres trafikken for alle portene. Les mer om denne funksjonen her.

   

8. Deretter går du til kategorien Autentisering og klikker på +. For autentisering vil vi bruke en lokal server på selve NSX Edge.

   

9. Her kan vi velge policyer for generering av nye passord og konfigurere alternativer for blokkering av brukerkontoer (for eksempel antall gjenforsøk hvis passordet er angitt feil).

   
   
   

10. Siden vi bruker lokal autentisering, må vi opprette brukere.

    

11. I tillegg til grunnleggende ting som navn og passord, kan du her for eksempel forby brukeren å endre passordet eller omvendt tvinge ham til å endre passordet neste gang han logger inn.

    

12. Etter at alle nødvendige brukere er lagt til, går du til fanen Installasjonspakker, klikker på + og oppretter selve installasjonsprogrammet, som vil bli lastet ned av en ekstern ansatt for installasjon.

    

13. Trykk på +. Velg adressen og porten til serveren som klienten skal koble seg til, og plattformene du vil generere installasjonspakken for.

    
    
    Nedenfor i dette vinduet kan du spesifisere klientinnstillingene for Windows. Velge:

    • start klient ved pålogging – VPN-klienten legges til ved oppstart på den eksterne maskinen;
    • opprette skrivebordsikon - vil opprette et VPN-klientikon på skrivebordet;
    • validering av serversikkerhetssertifikat - vil validere serversertifikatet ved tilkobling.
      Serveroppsettet er fullført.

    

14. La oss nå laste ned installasjonspakken vi opprettet i det siste trinnet til en ekstern PC. Da vi satte opp serveren, spesifiserte vi dens eksterne adresse (185.148.83.16) og port (445). Det er på denne adressen vi må gå i en nettleser. I mitt tilfelle er det det 185.148.83.16: 445.

    I autorisasjonsvinduet må du angi brukerlegitimasjonen som vi opprettet tidligere.

    

15. Etter autorisasjon ser vi en liste over opprettede installasjonspakker som er tilgjengelige for nedlasting. Vi har bare laget en - vi vil laste den ned.

    

16. Vi klikker på lenken, nedlastingen av klienten begynner.

    

17. Pakk ut det nedlastede arkivet og kjør installasjonsprogrammet.

    

18. Etter installasjonen starter du klienten og klikker på Logg inn i autorisasjonsvinduet.

    

19. I sertifikatverifiseringsvinduet velger du Ja.

    

20. Vi legger inn legitimasjonen for den tidligere opprettede brukeren og ser at tilkoblingen ble fullført.

    
    
    

21. Vi sjekker statistikken til VPN-klienten på den lokale datamaskinen.

    
    
    

22. På Windows-kommandolinjen (ipconfig / all), ser vi at en ekstra virtuell adapter har dukket opp og det er tilkobling til det eksterne nettverket, alt fungerer:

    
    
    

23. Og til slutt, sjekk fra Edge Gateway-konsollen.

    

L2 VPN

L2VPN vil være nødvendig når du trenger å kombinere flere geografisk
distribuerte nettverk til ett kringkastingsdomene.

Dette kan være nyttig, for eksempel ved migrering av en virtuell maskin: når en VM flytter til et annet geografisk område, vil maskinen beholde sine IP-adresseinnstillinger og vil ikke miste tilkoblingen til andre maskiner som befinner seg i samme L2-domene med den.

I vårt testmiljø vil vi koble to nettsteder til hverandre, vi vil kalle dem henholdsvis A og B. Vi har to NSX-er og to identisk opprettede rutede nettverk knyttet til forskjellige Edges. Maskin A har adressen 10.10.10.250/24, Maskin B har adressen 10.10.10.2/24.

1. I vCloud Director, gå til Administrasjon-fanen, gå til VDC-en vi trenger, gå til Org VDC-nettverk-fanen og legg til to nye nettverk.

   

2. Velg rutet nettverkstype og bind dette nettverket til vår NSX. Vi setter avkrysningsboksen Opprett som undergrensesnitt.

   

3. Som et resultat bør vi få to nettverk. I vårt eksempel kalles de nettverk-a og nettverk-b med samme gateway-innstillinger og samme maske.

   
   
   

4. La oss nå gå til innstillingene til den første NSX. Dette vil være NSX-en som nettverk A er koblet til. Den vil fungere som en server.

   Vi går tilbake til NSx Edge-grensesnittet / Gå til VPN-fanen -> L2VPN. Vi slår på L2VPN, velger serverdriftsmodus, i Server Global-innstillingene spesifiserer vi den eksterne NSX IP-adressen som porten for tunnelen vil lytte til. Som standard åpnes kontakten på port 443, men dette kan endres. Ikke glem å velge krypteringsinnstillingene for den fremtidige tunnelen.

   

5. Gå til fanen Servernettsteder og legg til en peer.

   

6. Vi slår på peeren, setter navn, beskrivelse, om nødvendig, sett brukernavn og passord. Vi trenger disse dataene senere når vi setter opp klientsiden.

   I Egress Optimization Gateway Address setter vi gatewayadressen. Dette er nødvendig for at det ikke skal oppstå konflikt mellom IP-adresser, fordi gatewayen til nettverkene våre har samme adresse. Klikk deretter på VELG UNDERGRENSESNITT-knappen.

   

7. Her velger vi ønsket undergrensesnitt. Vi lagrer innstillingene.

   

8. Vi ser at den nyopprettede klientsiden har dukket opp i innstillingene.

   

9. La oss nå gå videre til å konfigurere NSX fra klientsiden.

   Vi går til NSX side B, går til VPN -> L2VPN, aktiverer L2VPN, setter L2VPN-modus til klientmodus. På Client Global-fanen angir du adressen og porten til NSX A, som vi spesifiserte tidligere som Listening IP og Port på serversiden. Det er også nødvendig å angi de samme krypteringsinnstillingene slik at de er konsistente når tunnelen er hevet.

   
   
   Vi ruller nedenfor, velger undergrensesnittet som tunnelen for L2VPN skal bygges gjennom.
   I Egress Optimization Gateway Address setter vi gatewayadressen. Angi bruker-ID og passord. Vi velger undergrensesnittet og ikke glem å lagre innstillingene.

   

10. Egentlig er det alt. Innstillingene på klient- og serversiden er nesten identiske, med unntak av noen få nyanser.
11. Nå kan vi se at tunnelen vår har fungert ved å gå til Statistikk -> L2VPN på hvilken som helst NSX.

    

12. Hvis vi nå går til konsollen til en hvilken som helst Edge Gateway, vil vi se adressene til begge VM-ene på hver av dem i arp-tabellen.

    

Det handler om VPN på NSX Edge. Spør om noe er uklart. Det er også den siste delen av en serie artikler om arbeid med NSX Edge. Vi håper de var til hjelp 🙂

Kilde: www.habr.com