Dzisiaj przyjrzymy się opcjom konfiguracji VPN, które oferuje nam NSX Edge.
Ogólnie technologie VPN możemy podzielić na dwa kluczowe typy:
VPN typu lokacja-lokacja. Najczęstszym zastosowaniem protokołu IPSec jest utworzenie bezpiecznego tunelu, na przykład między główną siecią biurową a siecią w lokalizacji zdalnej lub w chmurze.
VPN dostępu zdalnego. Służy do łączenia poszczególnych użytkowników z firmowymi sieciami prywatnymi za pomocą oprogramowania klienckiego VPN.
NSX Edge pozwala nam korzystać z obu opcji.
Skonfigurujemy za pomocą stanowiska testowego z dwoma NSX Edge, serwera Linux z zainstalowanym demonem szop i laptop z systemem Windows do testowania usługi Remote Access VPN.
IPsec
W interfejsie vCloud Director przejdź do sekcji Administracja i wybierz vDC. Na karcie Edge Gateways wybierz potrzebną nam Edge, kliknij prawym przyciskiem myszy i wybierz Edge Gateway Services.
W interfejsie NSX Edge przejdź do zakładki VPN-IPsec VPN, następnie do sekcji IPsec VPN Sites i kliknij +, aby dodać nową witrynę.
Wypełnij wymagane pola:
Włączone – aktywuje zdalną witrynę.
PFS – zapewnia, że każdy nowy klucz kryptograficzny nie jest powiązany z żadnym poprzednim kluczem.
Lokalny identyfikator i lokalny punkt końcowyt to zewnętrzny adres NSX Edge.
Podsieć lokalnas - sieci lokalne, które będą korzystać z IPsec VPN.
Identyfikator elementu równorzędnego i punkt końcowy elementu równorzędnego – adres strony zdalnej.
Podsieci równorzędne – sieci, które będą korzystać z IPsec VPN po stronie zdalnej.
Wszystko jest gotowe, usługa IPsec VPN typu site-to-site jest już uruchomiona.
W tym przykładzie użyliśmy PSK do uwierzytelnienia równorzędnego, ale możliwe jest również uwierzytelnienie za pomocą certyfikatu. W tym celu przejdź do zakładki Konfiguracja globalna, włącz uwierzytelnianie certyfikatu i wybierz sam certyfikat.
Ponadto w ustawieniach witryny konieczna będzie zmiana metody uwierzytelniania.
Zaznaczam, że ilość tuneli IPsec zależy od wielkości wdrożonego Edge Gateway (poczytaj o tym w naszym Pierwszy artykuł).
SSL VPN
SSL VPN-Plus to jedna z opcji Remote Access VPN. Umożliwia poszczególnym użytkownikom zdalnym bezpieczne łączenie się z sieciami prywatnymi za bramą NSX Edge Gateway. Szyfrowany tunel w przypadku SSL VPN-plus ustanawiany jest między klientem (Windows, Linux, Mac) a NSX Edge.
Zacznijmy konfigurować. W panelu sterowania usługi Edge Gateway przejdź do zakładki SSL VPN-Plus, a następnie do Ustawienia serwera. Wybieramy adres i port, na którym serwer będzie nasłuchiwał połączeń przychodzących, włączamy logowanie i dobieramy niezbędne algorytmy szyfrowania.
Tutaj możesz również zmienić certyfikat, którego będzie używał serwer.
Gdy wszystko będzie gotowe, włącz serwer i nie zapomnij zapisać ustawień.
Następnie musimy skonfigurować pulę adresów, które będziemy wydawać klientom po połączeniu. Ta sieć jest oddzielona od jakiejkolwiek istniejącej podsieci w twoim środowisku NSX i nie trzeba jej konfigurować na innych urządzeniach w sieciach fizycznych, z wyjątkiem tras, które do niej wskazują.
Przejdź do zakładki IP Pools i kliknij +.
Wybierz adresy, maskę podsieci i bramę. Tutaj możesz również zmienić ustawienia serwerów DNS i WINS.
Wynikowa pula.
Teraz dodajmy sieci, do których będą mieli dostęp użytkownicy łączący się z VPN. Przejdź do zakładki Sieci prywatne i kliknij +.
Wypełniamy:
Sieć – sieć lokalna, do której dostęp będą mieli użytkownicy zdalni.
Wyślij ruch, ma dwie opcje:
- przez tunel - wysyłanie ruchu do sieci przez tunel,
— omiń tunel — kieruj ruch do sieci bezpośrednio z pominięciem tunelu.
Włącz optymalizację TCP — sprawdź, czy wybrałeś opcję przez tunel. Gdy optymalizacja jest włączona, możesz określić numery portów, dla których chcesz zoptymalizować ruch. Ruch dla pozostałych portów w tej konkretnej sieci nie zostanie zoptymalizowany. Jeśli nie określono żadnych numerów portów, optymalizowany jest ruch dla wszystkich portów. Przeczytaj więcej o tej funkcji tutaj.
Następnie przejdź do zakładki Uwierzytelnianie i kliknij +. Do uwierzytelnienia użyjemy lokalnego serwera na samym NSX Edge.
W tym miejscu możemy wybrać zasady generowania nowych haseł oraz skonfigurować opcje blokowania kont użytkowników (np. ilość ponowień w przypadku błędnego wpisania hasła).
Ponieważ używamy uwierzytelniania lokalnego, musimy utworzyć użytkowników.
Oprócz podstawowych rzeczy, takich jak nazwa i hasło, możesz tutaj na przykład zabronić użytkownikowi zmiany hasła lub odwrotnie, zmusić go do zmiany hasła przy następnym logowaniu.
Po dodaniu wszystkich niezbędnych użytkowników przejdź do zakładki Pakiety instalacyjne, kliknij + i utwórz sam instalator, który zostanie pobrany przez zdalnego pracownika do instalacji.
Naciśnij +. Wybierz adres i port serwera, z którym klient będzie się łączył oraz platformy, dla których chcesz wygenerować pakiet instalacyjny.
Poniżej w tym oknie możesz określić ustawienia klienta dla systemu Windows. Wybierać:
uruchom klienta przy logowaniu – klient VPN zostanie dodany do uruchamiania na zdalnej maszynie;
utwórz ikonę na pulpicie - utworzy ikonę klienta VPN na pulpicie;
sprawdzanie poprawności certyfikatu bezpieczeństwa serwera — sprawdza poprawność certyfikatu serwera po połączeniu.
Konfiguracja serwera została zakończona.
Teraz pobierzmy pakiet instalacyjny, który utworzyliśmy w ostatnim kroku, na zdalny komputer. Podczas konfigurowania serwera określiliśmy jego adres zewnętrzny (185.148.83.16) oraz port (445). To pod ten adres musimy wejść w przeglądarkę internetową. W moim przypadku jest 185.148.83.16: 445.
W oknie autoryzacji musisz wprowadzić poświadczenia użytkownika, które stworzyliśmy wcześniej.
Po autoryzacji widzimy listę utworzonych pakietów instalacyjnych dostępnych do pobrania. Stworzyliśmy tylko jeden - pobierzemy go.
Klikamy link, rozpoczyna się pobieranie klienta.
Rozpakuj pobrane archiwum i uruchom instalator.
Po instalacji uruchom klienta, w oknie autoryzacji kliknij Zaloguj.
W oknie weryfikacji certyfikatu wybierz Tak.
Wprowadzamy poświadczenia dla wcześniej utworzonego użytkownika i widzimy, że połączenie zostało pomyślnie nawiązane.
Sprawdzamy statystyki klienta VPN na komputerze lokalnym.
W wierszu poleceń systemu Windows (ipconfig / all) widzimy, że pojawił się dodatkowy adapter wirtualny i jest łączność z siecią zdalną, wszystko działa:
Na koniec sprawdź w konsoli Edge Gateway.
L2 VPN
L2VPN będzie potrzebny, gdy będziesz musiał połączyć kilka geograficznie
sieci rozproszone w jedną domenę rozgłoszeniową.
Może to być przydatne na przykład podczas migracji maszyny wirtualnej: gdy maszyna wirtualna zostanie przeniesiona do innego obszaru geograficznego, maszyna zachowa swoje ustawienia adresowania IP i nie utraci łączności z innymi maszynami znajdującymi się w tej samej domenie L2.
W naszym środowisku testowym połączymy ze sobą dwie lokalizacje, nazwijmy je odpowiednio A i B. Mamy dwa NSX i dwie identycznie utworzone sieci routowane podłączone do różnych Edge'ów. Maszyna A ma adres 10.10.10.250/24, Maszyna B ma adres 10.10.10.2/24.
W vCloud Director przejdź do zakładki Administracja, przejdź do potrzebnego nam VDC, przejdź do zakładki Org VDC Networks i dodaj dwie nowe sieci.
Wybierz typ sieci routowanej i powiąż tę sieć z naszym NSX. Zaznaczamy pole wyboru Utwórz jako podinterfejs.
W rezultacie powinniśmy otrzymać dwie sieci. W naszym przykładzie nazywają się one network-a i network-b z tymi samymi ustawieniami bramy i tą samą maską.
Przejdźmy teraz do ustawień pierwszego NSX. Będzie to NSX, do którego podłączona jest sieć A. Będzie działać jako serwer.
Wracamy do interfejsu NSx Edge / Przejdź do zakładki VPN -> L2VPN. Włączamy L2VPN, wybieramy tryb pracy Server, w ustawieniach Server Global określamy zewnętrzny adres IP NSX na którym będzie nasłuchiwał port dla tunelu. Domyślnie gniazdo otworzy się na porcie 443, ale można to zmienić. Nie zapomnij wybrać ustawień szyfrowania dla przyszłego tunelu.
Przejdź do zakładki Serwery i dodaj peera.
Włączamy peera, ustawiamy nazwę, opis, w razie potrzeby ustawiamy nazwę użytkownika i hasło. Będziemy potrzebować tych danych później podczas konfigurowania witryny klienta.
W Egress Optimization Gateway Address ustawiamy adres bramy. Jest to konieczne, aby nie było konfliktu adresów IP, ponieważ brama naszych sieci ma ten sam adres. Następnie kliknij przycisk SELECT SUB-interfaces.
Tutaj wybieramy żądany podinterfejs. Zapisujemy ustawienia.
Widzimy, że w ustawieniach pojawiła się nowo utworzona strona klienta.
Przejdźmy teraz do konfiguracji NSX od strony klienta.
Wchodzimy na stronę B NSX, przechodzimy do VPN -> L2VPN, włączamy L2VPN, ustawiamy tryb L2VPN na tryb klienta. Na zakładce Client Global ustaw adres i port NSX A, które wcześniej określiliśmy jako Listening IP i Port po stronie serwera. Konieczne jest również ustawienie tych samych ustawień szyfrowania, aby były one spójne przy podnoszeniu tunelu.
Przewijamy poniżej, wybierz podinterfejs, przez który zostanie zbudowany tunel dla L2VPN.
W Egress Optimization Gateway Address ustawiamy adres bramy. Ustaw identyfikator użytkownika i hasło. Wybieramy podinterfejs i nie zapomnij zapisać ustawień.
Właściwie to wszystko. Ustawienia po stronie klienta i serwera są prawie identyczne, z wyjątkiem kilku niuansów.
Teraz możemy zobaczyć, że nasz tunel zadziałał, przechodząc do Statystyki -> L2VPN na dowolnym NSX.
Jeśli teraz przejdziemy do konsoli dowolnego Edge Gateway, zobaczymy na każdym z nich w tablicy arp adresy obu maszyn wirtualnych.
To wszystko o VPN na NSX Edge. Zapytaj, jeśli coś jest niejasne. Jest to jednocześnie ostatnia część serii artykułów na temat pracy z NSX Edge. Mamy nadzieję, że były pomocne 🙂