VMware NSX د کوچنيانو لپاره. برخه 6: د VPN تنظیم کول

لومړۍ برخه. تعارفي
دوهمه برخه. د فایروال او NAT قواعد تنظیم کول
دریمه برخه. د DHCP ترتیب کول
څلورمه برخه. د لارې تنظیم کول
پنځمه برخه. د بار توازن تنظیم کول

نن ورځ موږ د VPN ترتیب کولو اختیارونو ته یو نظر ګورو چې NSX Edge موږ ته وړاندیز کوي.

په عموم کې، موږ کولی شو د VPN ټیکنالوژي په دوه کلیدي ډولونو ویشو:

• د سایټ څخه سایټ VPN. د IPSec ترټولو عام کارول د خوندي تونل رامینځته کول دي ، د مثال په توګه ، د اصلي دفتر شبکې او په لرې پرتو سایټ یا کلاوډ کې د شبکې ترمینځ.
• ریموټ لاسرسی VPN. د VPN پیرودونکي سافټویر په کارولو سره د انفرادي کاروونکو کارپوریټ خصوصي شبکو سره وصل کولو لپاره کارول کیږي.

NSX Edge موږ ته اجازه راکوي چې دواړه اختیارونه وکاروو.
موږ به د دوه NSX ایج سره د ازموینې بینچ په کارولو سره تنظیم کړو ، د نصب شوي ډیمون سره د لینکس سرور ریکون او د وینډوز لپ ټاپ د ریموټ لاسرسي VPN ازموینې لپاره.

IPsec

1. د vCloud ډایرکټر انٹرفیس کې، د ادارې برخې ته لاړ شئ او vDC غوره کړئ. د ایج ګیټ ویز ټب کې ، هغه څنډه غوره کړئ چې موږ ورته اړتیا لرو ، ښیې کلیک وکړئ او د ایج ګیټ ویز خدمات غوره کړئ.
   
2. په NSX Edge انٹرفیس کې، د VPN-IPsec VPN ټب ته لاړ شئ، بیا د IPsec VPN سایټونو برخې ته لاړ شئ او د نوي سایټ اضافه کولو لپاره + کلیک وکړئ.

   

3. اړین ځایونه ډک کړئ:
   • فعال شوی - لیرې سایټ فعالوي.
   • پی ایف ایس - ډاډ ترلاسه کوي چې هره نوې کریپټوګرافیک کیلي د پخوانۍ کیلي سره تړاو نلري.
   • سیمه ایز ID او سیمه ایز پای ټکیt د NSX څنډې بهرنۍ پته ده.
   • محلي سبنټs - محلي شبکې چې IPsec VPN به کاروي.
   • د پیر ID او د پیر پای ټکی - د لرې پرتو سایټ پته.
   • Peer subnets - هغه شبکې چې په لیرې خوا کې به IPsec VPN کاروي.
   • د کوډونې الګوریتم - د تونل کوډ کولو الګوریتم.

   
   

   • اعتبار - موږ به څنګه ملګری تصدیق کړو. تاسو کولی شئ د مخکې شریک شوي کیلي یا سند وکاروئ.
   • د شریکې نه مخکې کیلي - هغه کیلي مشخص کړئ چې د تصدیق لپاره به کارول کیږي او باید په دواړو خواو کې سره سمون ولري.
   • د ډیفي هیلمن ګروپ - د کلیدي تبادلې الګوریتم.

   د اړینو ساحو ډکولو وروسته، په ساتلو کلیک وکړئ.

   

4. بشپړ شوی

   

5. د سایټ اضافه کولو وروسته، د فعالولو حالت ټب ته لاړ شئ او د IPsec خدمت فعال کړئ.

   

6. د تنظیماتو پلي کیدو وروسته ، د احصایې -> IPsec VPN ټب ته لاړشئ او د تونل حالت چیک کړئ. موږ ګورو چې تونل پورته شوی.

   

7. د څنډې دروازې کنسول څخه د تونل حالت چیک کړئ:
   • د خدمت ipsec وښایاست - د خدمت وضعیت وګورئ.

     

   • د خدمت ipsec سایټ وښایاست - د سایټ حالت او د خبرو اترو پیرامیټونو په اړه معلومات.

     

   • د خدماتو ipsec sa ښودل - د امنیت اتحادیې (SA) وضعیت وګورئ.

     

8. د لرې پرتو سایټ سره ارتباط چیک کول:

   root@racoon:~# ifconfig eth0:1 | grep inet
           inet 10.255.255.1  netmask 255.255.255.0  broadcast 0.0.0.0
   
   root@racoon:~# ping -c1 -I 10.255.255.1 192.168.0.10 
   PING 192.168.0.10 (192.168.0.10) from 10.255.255.1 : 56(84) bytes of data.
   64 bytes from 192.168.0.10: icmp_seq=1 ttl=63 time=59.9 ms
   
   --- 192.168.0.10 ping statistics ---
   1 packets transmitted, 1 received, 0% packet loss, time 0ms
   rtt min/avg/max/mdev = 59.941/59.941/59.941/0.000 ms
   

   د ریموټ لینکس سرور څخه د تشخیص لپاره د فایلونو ترتیب کول او اضافي کمانډونه:

   root@racoon:~# cat /etc/racoon/racoon.conf 
   
   log debug;
   path pre_shared_key "/etc/racoon/psk.txt";
   path certificate "/etc/racoon/certs";
   
   listen {
     isakmp 80.211.43.73 [500];
      strict_address;
   }
   
   remote 185.148.83.16 {
           exchange_mode main,aggressive;
           proposal {
                    encryption_algorithm aes256;
                    hash_algorithm sha1;
                    authentication_method pre_shared_key;
                    dh_group modp1536;
            }
            generate_policy on;
   }
    
   sainfo address 10.255.255.0/24 any address 192.168.0.0/24 any {
            encryption_algorithm aes256;
            authentication_algorithm hmac_sha1;
            compression_algorithm deflate;
   }
   
   ===
   
   root@racoon:~# cat /etc/racoon/psk.txt
   185.148.83.16 testkey
   
   ===
   
   root@racoon:~# cat /etc/ipsec-tools.conf 
   #!/usr/sbin/setkey -f
   
   flush;
   spdflush;
   
   spdadd 192.168.0.0/24 10.255.255.0/24 any -P in ipsec
         esp/tunnel/185.148.83.16-80.211.43.73/require;
   
   spdadd 10.255.255.0/24 192.168.0.0/24 any -P out ipsec
         esp/tunnel/80.211.43.73-185.148.83.16/require;
   
   ===
   
   
   root@racoon:~# racoonctl show-sa isakmp
   Destination            Cookies                           Created
   185.148.83.16.500      2088977aceb1b512:a4c470cb8f9d57e9 2019-05-22 13:46:13 
   
   ===
   
   root@racoon:~# racoonctl show-sa esp
   80.211.43.73 185.148.83.16 
           esp mode=tunnel spi=1646662778(0x6226147a) reqid=0(0x00000000)
           E: aes-cbc  00064df4 454d14bc 9444b428 00e2296e c7bb1e03 06937597 1e522ce0 641e704d
           A: hmac-sha1  aa9e7cd7 51653621 67b3b2e9 64818de5 df848792
           seq=0x00000000 replay=4 flags=0x00000000 state=mature 
           created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
           diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
           last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
           current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
           allocated: 860  hard: 0 soft: 0
           sadb_seq=1 pid=7739 refcnt=0
   185.148.83.16 80.211.43.73 
           esp mode=tunnel spi=88535449(0x0546f199) reqid=0(0x00000000)
           E: aes-cbc  c812505a 9c30515e 9edc8c4a b3393125 ade4c320 9bde04f0 94e7ba9d 28e61044
           A: hmac-sha1  cd9d6f6e 06dbcd6d da4d14f8 6d1a6239 38589878
           seq=0x00000000 replay=4 flags=0x00000000 state=mature 
           created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
           diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
           last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
           current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
           allocated: 860  hard: 0 soft: 0
           sadb_seq=0 pid=7739 refcnt=0

9. هرڅه چمتو دي ، د سایټ څخه سایټ IPsec VPN پورته او روان دی.

   په دې مثال کې، موږ PSK د ملګري تصدیق لپاره کارولی، مګر د سند تصدیق هم ممکن دی. د دې کولو لپاره ، د نړیوال تنظیم کولو ټب ته لاړشئ ، د سند تصدیق فعال کړئ او پخپله سند غوره کړئ.

   سربیره پردې ، د سایټ تنظیماتو کې ، تاسو اړتیا لرئ د تصدیق میتود بدل کړئ.

   
   
   
   
   زه یادونه کوم چې د IPsec تونلونو شمیر د ځای پرځای شوي ایج ګیټ وے اندازې پورې اړه لري (د دې په اړه زموږ په لومړۍ مقاله).

   

ایس ایس ایل VPN

SSL VPN-Plus د ریموټ لاسرسي VPN انتخابونو څخه یو دی. دا انفرادي لیرې کاروونکو ته اجازه ورکوي چې په خوندي ډول د NSX ایج ګیټ وے شاته خصوصي شبکو سره وصل شي. د SSL VPN-plus په قضیه کې یو کوډ شوی تونل د پیرودونکي (وینډوز ، لینکس ، ماک) او NSX ایج ترمینځ رامینځته شوی.

1. راځئ چې تنظیم پیل کړو. د ایج ګیټ وے خدماتو کنټرول پینل کې ، د SSL VPN-Plus ټب ته لاړشئ ، بیا د سرور تنظیماتو ته. موږ پته او بندر غوره کوو چې سرور به د راتلونکو اړیکو لپاره غوږ ونیسي، د ننوتلو وړ کړي او د کوډ کولو اړین الګوریتمونه غوره کړي.

   
   
   دلته تاسو کولی شئ هغه سند هم بدل کړئ چې سرور به یې کاروي.

   

2. وروسته لدې چې هرڅه چمتو وي ، سرور چالان کړئ او د تنظیماتو خوندي کول مه هیروئ.

   

3. بیا، موږ اړتیا لرو چې د پتې یو حوض ترتیب کړو چې موږ به یې پیرودونکو ته د پیوستون پر مهال صادر کړو. دا شبکه ستاسو په NSX چاپیریال کې د هر موجوده فرعي شبکې څخه جلا ده او اړتیا نلري چې په فزیکي شبکو کې په نورو وسیلو کې تنظیم شي، پرته له هغه لارو څخه چې ورته اشاره کوي.

   د IP حوضونو ټب ته لاړ شئ او + کلیک وکړئ.

   

4. پتې، سبنیټ ماسک او ګیټس وټاکئ. دلته تاسو کولی شئ د DNS او WINS سرورونو لپاره تنظیمات هم بدل کړئ.

   

5. په پایله کې حوض.

   

6. اوس راځئ هغه شبکې اضافه کړو چې د VPN سره وصل کارونکي به ورته لاسرسی ولري. د شخصي شبکې ټب ته لاړ شئ او په + کلیک وکړئ.

   

7. موږ ډک کړئ:
   • شبکه - یوه سیمه ایزه شبکه چې لیرې کاروونکي به ورته لاسرسی ولري.
   • ټرافیک ولېږئ، دا دوه اختیارونه لري:
     - د تونل په اوږدو کې - د تونل له لارې شبکې ته ترافیک لیږل،
     - بای پاس تونل - شبکې ته ټرافيک په مستقیم ډول د تونل په واسطه لیږل کیږي.
   • د TCP اصلاح کول فعال کړئ - وګورئ چې ایا تاسو د اوور تونل اختیار غوره کړی. کله چې اصلاح کول فعال شي، تاسو کولی شئ د پورټ شمیرې مشخص کړئ د کوم لپاره چې تاسو غواړئ ترافیک اصلاح کړئ. په دې ځانګړي شبکه کې د پاتې بندرونو لپاره ترافیک به مطلوب نه وي. که چیرې د پورټ شمیرې مشخصې نه وي، د ټولو بندرونو لپاره ټرافیک غوره شوی. د دې فیچر په اړه نور ولولئ دلته.

   

8. بیا، د تصدیق ټب ته لاړ شئ او + کلیک وکړئ. د تصدیق کولو لپاره، موږ به پخپله په NSX څنډه کې محلي سرور وکاروو.

   

9. دلته موږ کولی شو د نوي پاسورډونو رامینځته کولو لپاره پالیسي غوره کړو او د کارونکي حسابونو بندولو لپاره اختیارونه تنظیم کړو (د مثال په توګه ، د بیاکتنې شمیر که چیرې پټنوم په غلط ډول داخل شوی وي).

   
   
   

10. څرنګه چې موږ محلي تصدیق کاروو، موږ اړتیا لرو چې کاروونکي جوړ کړو.

    

11. د بنسټیزو شیانو سربیره لکه د کارن نوم او پټنوم، دلته تاسو کولی شئ د مثال په توګه، د کارونکي د پټنوم بدلولو څخه مخنیوی وکړئ یا په برعکس، هغه مجبور کړئ چې بل ځل چې هغه ننوځي پاسورډ بدل کړي.

    

12. وروسته له دې چې ټول اړین کاروونکي اضافه شوي، د نصب کولو بسته بندي ټب ته لاړ شئ، + کلیک وکړئ او پخپله انسټالر جوړ کړئ، کوم چې به د نصب کولو لپاره د لیرې کارمند لخوا ډاونلوډ شي.

    

13. فشار ورکړئ + د سرور پته او بندر غوره کړئ چیرې چې پیرودونکي به ورسره وصل شي ، او هغه پلیټ فارمونه چې تاسو یې غواړئ د نصب کولو کڅوړه رامینځته کړئ.

    
    
    لاندې په دې کړکۍ کې، تاسو کولی شئ د وینډوز لپاره د مراجعینو ترتیبات مشخص کړئ. غوره کړئ:

    • په لوګون کې پیرودونکي پیل کړئ - د VPN پیرودونکي به په ریموټ ماشین کې پیل کولو کې اضافه شي؛
    • د ډیسټاپ آئیکون رامینځته کړئ - په ډیسټاپ کې به د VPN پیرودونکي عکس رامینځته کړي؛
    • د سرور امنیت سند تایید - د پیوستون پر مهال به د سرور سند تایید کړي.
      د سرور تنظیم بشپړ شو.

    

14. اوس راځئ چې د نصب کولو کڅوړه ډاونلوډ کړو چې موږ په وروستي مرحله کې لیرې کمپیوټر ته رامینځته کړی. کله چې د سرور تنظیم کول، موږ د هغې بهرنۍ پته (185.148.83.16) او بندر (445) مشخص کړل. دا پدې پته ده چې موږ اړتیا لرو په ویب براوزر کې لاړ شو. زما په قضیه کې دا دی 185.148.83.16445.

    د جواز په کړکۍ کې، تاسو باید د کارونکي اسناد داخل کړئ چې موږ مخکې جوړ کړي.

    

15. د واک ورکولو وروسته، موږ د جوړ شوي نصب کڅوړو لیست ګورو چې د ډاونلوډ لپاره شتون لري. موږ یوازې یو جوړ کړی دی - موږ به یې ډاونلوډ کړو.

    

16. موږ په لینک کلیک کوو، د پیرودونکي ډاونلوډ پیل کیږي.

    

17. ډاونلوډ شوی آرشیف خلاص کړئ او انسټالر چل کړئ.

    

18. د نصبولو وروسته، مراجعه پیل کړئ، د جواز په کړکۍ کې، ننوتل کلیک وکړئ.

    

19. د سند تصدیق کړکۍ کې ، هو غوره کړئ.

    

20. موږ د مخکیني جوړ شوي کارونکي لپاره اسناد داخلوو او ګورو چې پیوستون په بریالیتوب سره بشپړ شوی.

    
    
    

21. موږ په محلي کمپیوټر کې د VPN پیرودونکي احصایې ګورو.

    
    
    

22. د وینډوز کمانډ لاین (ipconfig / all) کې ، موږ ګورو چې یو اضافي مجازی اډاپټر څرګند شوی او د ریموټ شبکې سره ارتباط شتون لري ، هرڅه کار کوي:

    
    
    

23. او په نهایت کې ، د ایج ګیټ وے کنسول څخه چیک کړئ.

    

L2 VPN

L2VPN ته به اړتیا وي کله چې تاسو اړتیا لرئ څو په جغرافیه کې یوځای کړئ
شبکې په یوه نشراتي ډومین کې ویشل شوي.

دا ګټور کیدی شي ، د مثال په توګه ، کله چې د مجازی ماشین مهاجرت: کله چې VM بلې جغرافیایی ساحې ته حرکت وکړي ، ماشین به د خپل IP پته تنظیمات وساتي او د ورته L2 ډومین کې موقعیت لرونکي نورو ماشینونو سره به اړیکه له لاسه ورنکړي.

زموږ د آزموینې په چاپیریال کې، موږ به دوه سایټونه یو له بل سره وصل کړو، موږ به دوی ته په ترتیب سره A او B ووایو. موږ دوه NSXs او دوه په ورته ډول رامینځته شوي شبکې لرو چې په بیلابیلو څنډو کې نښلول شوي. ماشین A پته لري 10.10.10.250/24، ماشین B پته لري 10.10.10.2/24.

1. په vCloud ډایرکټر کې، د ادارې ټب ته لاړ شئ، هغه VDC ته لاړ شئ چې موږ ورته اړتیا لرو، د Org VDC شبکې ټب ته لاړ شئ او دوه نوې شبکې اضافه کړئ.

   

2. د لارې شوي شبکې ډول وټاکئ او دا شبکه زموږ NSX سره وصل کړئ. موږ چک بکس کېښودو چې د فرعي انٹرفیس په توګه جوړ کړئ.

   

3. په پایله کې، موږ باید دوه شبکې ترلاسه کړو. زموږ په مثال کې، دوی د ورته دروازې ترتیباتو او ورته ماسک سره شبکه-a او شبکه-b ویل کیږي.

   
   
   

4. اوس راځئ چې د لومړي NSX ترتیباتو ته لاړ شو. دا به NSX وي چې A شبکه ورسره تړلې ده، دا به د سرور په توګه کار وکړي.

   موږ د NSx Edge انٹرفیس ته راستون شو / د VPN ټب ته لاړ شو -> L2VPN. موږ L2VPN چالان کوو، د سرور عملیاتي حالت غوره کړئ، د سرور نړیوال ترتیباتو کې موږ د NSX بهرنۍ IP پته مشخص کوو چې د تونل بندر به یې اوري. په ډیفالټ ، ساکټ به په 443 بندر کې خلاص شي ، مګر دا بدل کیدی شي. د راتلونکي تونل لپاره د کوډ کولو ترتیبات غوره کول مه هیروئ.

   

5. د سرور سایټونو ټب ته لاړ شئ او یو ملګری اضافه کړئ.

   

6. موږ ملګری چالان کوو ، نوم ، توضیحات تنظیم کړئ ، که اړتیا وي ، د کارونکي نوم او پټنوم تنظیم کړئ. موږ به وروسته دې معلوماتو ته اړتیا ولرو کله چې د پیرودونکي سایټ تنظیم کړو.

   د Egress Optimization Gateway Address کې موږ د دروازې پته جوړه کړه. دا اړینه ده چې د IP پتې هیڅ ډول شخړه شتون ونلري، ځکه چې زموږ د شبکې دروازې ورته پته لري. بیا د SELECT SUB-INTERFACES تڼۍ کلیک وکړئ.

   

7. دلته موږ مطلوب فرعي انٹرفیس غوره کوو. موږ ترتیبات خوندي کوو.

   

8. موږ ګورو چې د نوي رامینځته شوي پیرودونکي سایټ په ترتیباتو کې څرګند شوی.

   

9. اوس راځئ چې د پیرودونکي اړخ څخه د NSX تنظیم کولو ته لاړ شو.

   موږ د NSX اړخ B ته ځو ، VPN -> L2VPN ته ځو ، L2VPN فعال کړئ ، د پیرودونکي حالت ته L2VPN حالت تنظیم کړئ. د پیرودونکي ګلوبل ټب کې ، د NSX A پته او بندر تنظیم کړئ ، کوم چې موږ دمخه د سرور اړخ کې د اوریدلو IP او پورټ په توګه مشخص کړی. دا هم اړینه ده چې د ورته کوډ کولو ترتیبات تنظیم کړئ ترڅو دوی ثابت وي کله چې تونل پورته کیږي.

   
   
   موږ لاندې سکرول کوو، هغه فرعي انٹرفیس غوره کړئ چې له لارې به د L2VPN لپاره تونل جوړ شي.
   د ایګریس اصلاح کولو دروازې پته کې موږ د دروازې پته تنظیم کوو. د کارونکي id او پټنوم تنظیم کړئ. موږ فرعي انٹرفیس غوره کوو او د تنظیماتو خوندي کول مه هیروئ.

   

10. په حقیقت کې، دا ټول دي. د پیرودونکي او سرور اړخ تنظیمات نږدې ورته دي ، د یو څو لنډیزونو استثنا سره.
11. اوس موږ لیدلی شو چې زموږ تونل په هر NSX کې احصایې -> L2VPN ته په تګ سره کار کړی.

    

12. که موږ اوس د هرې څنډې ګیټ وے کنسول ته لاړ شو، موږ به د دوی په هر یو کې د آرپ جدول کې د دواړو VM پتې وګورو.

    

دا ټول په NSX څنډه کې د VPN په اړه دي. پوښتنه وکړئ که یو څه ناڅرګند وي. دا د NSX Edge سره کار کولو په اړه د مقالو لړۍ وروستۍ برخه هم ده. موږ امید لرو چې دوی ګټور وو 🙂

سرچینه: www.habr.com