🥇VMware NSX dla najmłodszych. Część 6. Konfiguracja VPN

Część pierwsza. wprowadzający
Część druga. Konfigurowanie reguł zapory sieciowej i NAT
Część trzecia. Konfigurowanie DHCP
Część czwarta. Konfiguracja routingu
Część piąta. Konfigurowanie systemu równoważenia obciążenia

Dzisiaj przyjrzymy się opcjom konfiguracji VPN, które oferuje nam NSX Edge.

Ogólnie technologie VPN możemy podzielić na dwa kluczowe typy:

VPN typu lokacja-lokacja. Najczęstszym zastosowaniem protokołu IPSec jest utworzenie bezpiecznego tunelu, na przykład między główną siecią biurową a siecią w lokalizacji zdalnej lub w chmurze.
VPN dostępu zdalnego. Służy do łączenia poszczególnych użytkowników z firmowymi sieciami prywatnymi za pomocą oprogramowania klienckiego VPN.

NSX Edge pozwala nam korzystać z obu opcji.
Skonfigurujemy za pomocą stanowiska testowego z dwoma NSX Edge, serwera Linux z zainstalowanym demonem szop i laptop z systemem Windows do testowania usługi Remote Access VPN.

IPsec

W interfejsie vCloud Director przejdź do sekcji Administracja i wybierz vDC. Na karcie Edge Gateways wybierz potrzebną nam Edge, kliknij prawym przyciskiem myszy i wybierz Edge Gateway Services.
W interfejsie NSX Edge przejdź do zakładki VPN-IPsec VPN, następnie do sekcji IPsec VPN Sites i kliknij +, aby dodać nową witrynę.
Wypełnij wymagane pola:
- Włączone – aktywuje zdalną witrynę.
- PFS – zapewnia, że każdy nowy klucz kryptograficzny nie jest powiązany z żadnym poprzednim kluczem.
- Lokalny identyfikator i lokalny punkt końcowyt to zewnętrzny adres NSX Edge.
- Podsieć lokalnas - sieci lokalne, które będą korzystać z IPsec VPN.
- Identyfikator elementu równorzędnego i punkt końcowy elementu równorzędnego – adres strony zdalnej.
- Podsieci równorzędne – sieci, które będą korzystać z IPsec VPN po stronie zdalnej.
- Algorytm szyfrowania – algorytm szyfrowania tunelowego.
- Uwierzytelnianie - w jaki sposób uwierzytelnimy peera. Możesz użyć klucza wstępnego lub certyfikatu.
- Klucz wstępny - określ klucz, który będzie używany do uwierzytelniania i musi być zgodny po obu stronach.
- Grupa Diffiego Hellmana – algorytm wymiany kluczy.
Po wypełnieniu wymaganych pól kliknij Zachowaj.
Zrobione.
Po dodaniu witryny przejdź do zakładki Stan aktywacji i aktywuj usługę IPsec.
Po zastosowaniu ustawień przejdź do zakładki Statistics -> IPsec VPN i sprawdź stan tunelu. Widzimy, że tunel się podniósł.
Sprawdź stan tunelu w konsoli Edge Gateway:
- pokaż usługę ipsec - sprawdź stan usługi.
- show service ipsec site - Informacje o stanie serwisu i wynegocjowanych parametrach.
- show service ipsec sa - sprawdź status Security Association (SA).

Sprawdzanie łączności ze zdalną witryną:

root@racoon:~# ifconfig eth0:1 | grep inet
        inet 10.255.255.1  netmask 255.255.255.0  broadcast 0.0.0.0

root@racoon:~# ping -c1 -I 10.255.255.1 192.168.0.10 
PING 192.168.0.10 (192.168.0.10) from 10.255.255.1 : 56(84) bytes of data.
64 bytes from 192.168.0.10: icmp_seq=1 ttl=63 time=59.9 ms

--- 192.168.0.10 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 59.941/59.941/59.941/0.000 ms

Pliki konfiguracyjne i dodatkowe polecenia do diagnostyki ze zdalnego serwera Linux:

root@racoon:~# cat /etc/racoon/racoon.conf 

log debug;
path pre_shared_key "/etc/racoon/psk.txt";
path certificate "/etc/racoon/certs";

listen {
  isakmp 80.211.43.73 [500];
   strict_address;
}

remote 185.148.83.16 {
        exchange_mode main,aggressive;
        proposal {
                 encryption_algorithm aes256;
                 hash_algorithm sha1;
                 authentication_method pre_shared_key;
                 dh_group modp1536;
         }
         generate_policy on;
}
 
sainfo address 10.255.255.0/24 any address 192.168.0.0/24 any {
         encryption_algorithm aes256;
         authentication_algorithm hmac_sha1;
         compression_algorithm deflate;
}

===

root@racoon:~# cat /etc/racoon/psk.txt
185.148.83.16 testkey

===

root@racoon:~# cat /etc/ipsec-tools.conf 
#!/usr/sbin/setkey -f

flush;
spdflush;

spdadd 192.168.0.0/24 10.255.255.0/24 any -P in ipsec
      esp/tunnel/185.148.83.16-80.211.43.73/require;

spdadd 10.255.255.0/24 192.168.0.0/24 any -P out ipsec
      esp/tunnel/80.211.43.73-185.148.83.16/require;

===


root@racoon:~# racoonctl show-sa isakmp
Destination            Cookies                           Created
185.148.83.16.500      2088977aceb1b512:a4c470cb8f9d57e9 2019-05-22 13:46:13 

===

root@racoon:~# racoonctl show-sa esp
80.211.43.73 185.148.83.16 
        esp mode=tunnel spi=1646662778(0x6226147a) reqid=0(0x00000000)
        E: aes-cbc  00064df4 454d14bc 9444b428 00e2296e c7bb1e03 06937597 1e522ce0 641e704d
        A: hmac-sha1  aa9e7cd7 51653621 67b3b2e9 64818de5 df848792
        seq=0x00000000 replay=4 flags=0x00000000 state=mature 
        created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
        diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
        last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
        current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
        allocated: 860  hard: 0 soft: 0
        sadb_seq=1 pid=7739 refcnt=0
185.148.83.16 80.211.43.73 
        esp mode=tunnel spi=88535449(0x0546f199) reqid=0(0x00000000)
        E: aes-cbc  c812505a 9c30515e 9edc8c4a b3393125 ade4c320 9bde04f0 94e7ba9d 28e61044
        A: hmac-sha1  cd9d6f6e 06dbcd6d da4d14f8 6d1a6239 38589878
        seq=0x00000000 replay=4 flags=0x00000000 state=mature 
        created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
        diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
        last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
        current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
        allocated: 860  hard: 0 soft: 0
        sadb_seq=0 pid=7739 refcnt=0

Wszystko jest gotowe, usługa IPsec VPN typu site-to-site jest już uruchomiona.
W tym przykładzie użyliśmy PSK do uwierzytelnienia równorzędnego, ale możliwe jest również uwierzytelnienie za pomocą certyfikatu. W tym celu przejdź do zakładki Konfiguracja globalna, włącz uwierzytelnianie certyfikatu i wybierz sam certyfikat.

Ponadto w ustawieniach witryny konieczna będzie zmiana metody uwierzytelniania.

Zaznaczam, że ilość tuneli IPsec zależy od wielkości wdrożonego Edge Gateway (poczytaj o tym w naszym Pierwszy artykuł).

SSL VPN

SSL VPN-Plus to jedna z opcji Remote Access VPN. Umożliwia poszczególnym użytkownikom zdalnym bezpieczne łączenie się z sieciami prywatnymi za bramą NSX Edge Gateway. Szyfrowany tunel w przypadku SSL VPN-plus ustanawiany jest między klientem (Windows, Linux, Mac) a NSX Edge.

Zacznijmy konfigurować. W panelu sterowania usługi Edge Gateway przejdź do zakładki SSL VPN-Plus, a następnie do Ustawienia serwera. Wybieramy adres i port, na którym serwer będzie nasłuchiwał połączeń przychodzących, włączamy logowanie i dobieramy niezbędne algorytmy szyfrowania.

Tutaj możesz również zmienić certyfikat, którego będzie używał serwer.
Gdy wszystko będzie gotowe, włącz serwer i nie zapomnij zapisać ustawień.
Następnie musimy skonfigurować pulę adresów, które będziemy wydawać klientom po połączeniu. Ta sieć jest oddzielona od jakiejkolwiek istniejącej podsieci w twoim środowisku NSX i nie trzeba jej konfigurować na innych urządzeniach w sieciach fizycznych, z wyjątkiem tras, które do niej wskazują.
Przejdź do zakładki IP Pools i kliknij +.
Wybierz adresy, maskę podsieci i bramę. Tutaj możesz również zmienić ustawienia serwerów DNS i WINS.
Wynikowa pula.
Teraz dodajmy sieci, do których będą mieli dostęp użytkownicy łączący się z VPN. Przejdź do zakładki Sieci prywatne i kliknij +.
Wypełniamy:
- Sieć – sieć lokalna, do której dostęp będą mieli użytkownicy zdalni.
- Wyślij ruch, ma dwie opcje:
  - przez tunel - wysyłanie ruchu do sieci przez tunel,
  — omiń tunel — kieruj ruch do sieci bezpośrednio z pominięciem tunelu.
- Włącz optymalizację TCP — sprawdź, czy wybrałeś opcję przez tunel. Gdy optymalizacja jest włączona, możesz określić numery portów, dla których chcesz zoptymalizować ruch. Ruch dla pozostałych portów w tej konkretnej sieci nie zostanie zoptymalizowany. Jeśli nie określono żadnych numerów portów, optymalizowany jest ruch dla wszystkich portów. Przeczytaj więcej o tej funkcji tutaj.
Następnie przejdź do zakładki Uwierzytelnianie i kliknij +. Do uwierzytelnienia użyjemy lokalnego serwera na samym NSX Edge.
W tym miejscu możemy wybrać zasady generowania nowych haseł oraz skonfigurować opcje blokowania kont użytkowników (np. ilość ponowień w przypadku błędnego wpisania hasła).
Ponieważ używamy uwierzytelniania lokalnego, musimy utworzyć użytkowników.
Oprócz podstawowych rzeczy, takich jak nazwa i hasło, możesz tutaj na przykład zabronić użytkownikowi zmiany hasła lub odwrotnie, zmusić go do zmiany hasła przy następnym logowaniu.
Po dodaniu wszystkich niezbędnych użytkowników przejdź do zakładki Pakiety instalacyjne, kliknij + i utwórz sam instalator, który zostanie pobrany przez zdalnego pracownika do instalacji.
Naciśnij +. Wybierz adres i port serwera, z którym klient będzie się łączył oraz platformy, dla których chcesz wygenerować pakiet instalacyjny.

Poniżej w tym oknie możesz określić ustawienia klienta dla systemu Windows. Wybierać:
- uruchom klienta przy logowaniu – klient VPN zostanie dodany do uruchamiania na zdalnej maszynie;
- utwórz ikonę na pulpicie - utworzy ikonę klienta VPN na pulpicie;
- sprawdzanie poprawności certyfikatu bezpieczeństwa serwera — sprawdza poprawność certyfikatu serwera po połączeniu.
  Konfiguracja serwera została zakończona.
Teraz pobierzmy pakiet instalacyjny, który utworzyliśmy w ostatnim kroku, na zdalny komputer. Podczas konfigurowania serwera określiliśmy jego adres zewnętrzny (185.148.83.16) oraz port (445). To pod ten adres musimy wejść w przeglądarkę internetową. W moim przypadku jest 185.148.83.16: 445.
W oknie autoryzacji musisz wprowadzić poświadczenia użytkownika, które stworzyliśmy wcześniej.
Po autoryzacji widzimy listę utworzonych pakietów instalacyjnych dostępnych do pobrania. Stworzyliśmy tylko jeden - pobierzemy go.
Klikamy link, rozpoczyna się pobieranie klienta.
Rozpakuj pobrane archiwum i uruchom instalator.
Po instalacji uruchom klienta, w oknie autoryzacji kliknij Zaloguj.
W oknie weryfikacji certyfikatu wybierz Tak.
Wprowadzamy poświadczenia dla wcześniej utworzonego użytkownika i widzimy, że połączenie zostało pomyślnie nawiązane.
Sprawdzamy statystyki klienta VPN na komputerze lokalnym.
W wierszu poleceń systemu Windows (ipconfig / all) widzimy, że pojawił się dodatkowy adapter wirtualny i jest łączność z siecią zdalną, wszystko działa:
Na koniec sprawdź w konsoli Edge Gateway.

L2 VPN

L2VPN będzie potrzebny, gdy będziesz musiał połączyć kilka geograficznie
sieci rozproszone w jedną domenę rozgłoszeniową.

Może to być przydatne na przykład podczas migracji maszyny wirtualnej: gdy maszyna wirtualna zostanie przeniesiona do innego obszaru geograficznego, maszyna zachowa swoje ustawienia adresowania IP i nie utraci łączności z innymi maszynami znajdującymi się w tej samej domenie L2.

W naszym środowisku testowym połączymy ze sobą dwie lokalizacje, nazwijmy je odpowiednio A i B. Mamy dwa NSX i dwie identycznie utworzone sieci routowane podłączone do różnych Edge'ów. Maszyna A ma adres 10.10.10.250/24, Maszyna B ma adres 10.10.10.2/24.

W vCloud Director przejdź do zakładki Administracja, przejdź do potrzebnego nam VDC, przejdź do zakładki Org VDC Networks i dodaj dwie nowe sieci.
Wybierz typ sieci routowanej i powiąż tę sieć z naszym NSX. Zaznaczamy pole wyboru Utwórz jako podinterfejs.
W rezultacie powinniśmy otrzymać dwie sieci. W naszym przykładzie nazywają się one network-a i network-b z tymi samymi ustawieniami bramy i tą samą maską.
Przejdźmy teraz do ustawień pierwszego NSX. Będzie to NSX, do którego podłączona jest sieć A. Będzie działać jako serwer.
Wracamy do interfejsu NSx Edge / Przejdź do zakładki VPN -> L2VPN. Włączamy L2VPN, wybieramy tryb pracy Server, w ustawieniach Server Global określamy zewnętrzny adres IP NSX na którym będzie nasłuchiwał port dla tunelu. Domyślnie gniazdo otworzy się na porcie 443, ale można to zmienić. Nie zapomnij wybrać ustawień szyfrowania dla przyszłego tunelu.
Przejdź do zakładki Serwery i dodaj peera.
Włączamy peera, ustawiamy nazwę, opis, w razie potrzeby ustawiamy nazwę użytkownika i hasło. Będziemy potrzebować tych danych później podczas konfigurowania witryny klienta.
W Egress Optimization Gateway Address ustawiamy adres bramy. Jest to konieczne, aby nie było konfliktu adresów IP, ponieważ brama naszych sieci ma ten sam adres. Następnie kliknij przycisk SELECT SUB-interfaces.
Tutaj wybieramy żądany podinterfejs. Zapisujemy ustawienia.
Widzimy, że w ustawieniach pojawiła się nowo utworzona strona klienta.
Przejdźmy teraz do konfiguracji NSX od strony klienta.
Wchodzimy na stronę B NSX, przechodzimy do VPN -> L2VPN, włączamy L2VPN, ustawiamy tryb L2VPN na tryb klienta. Na zakładce Client Global ustaw adres i port NSX A, które wcześniej określiliśmy jako Listening IP i Port po stronie serwera. Konieczne jest również ustawienie tych samych ustawień szyfrowania, aby były one spójne przy podnoszeniu tunelu.

Przewijamy poniżej, wybierz podinterfejs, przez który zostanie zbudowany tunel dla L2VPN.
W Egress Optimization Gateway Address ustawiamy adres bramy. Ustaw identyfikator użytkownika i hasło. Wybieramy podinterfejs i nie zapomnij zapisać ustawień.
Właściwie to wszystko. Ustawienia po stronie klienta i serwera są prawie identyczne, z wyjątkiem kilku niuansów.
Teraz możemy zobaczyć, że nasz tunel zadziałał, przechodząc do Statystyki -> L2VPN na dowolnym NSX.
Jeśli teraz przejdziemy do konsoli dowolnego Edge Gateway, zobaczymy na każdym z nich w tablicy arp adresy obu maszyn wirtualnych.

To wszystko o VPN na NSX Edge. Zapytaj, jeśli coś jest niejasne. Jest to jednocześnie ostatnia część serii artykułów na temat pracy z NSX Edge. Mamy nadzieję, że były pomocne 🙂

Źródło: www.habr.com

VMware NSX dla najmłodszych. Część 6: Konfiguracja VPN

IPsec

SSL VPN

L2 VPN

Dodaj komentarz Anuluj odpowiedź