Astăzi vom arunca o privire asupra opțiunilor de configurare VPN pe care ni le oferă NSX Edge.
În general, putem împărți tehnologiile VPN în două tipuri cheie:
- VPN de la site la site. Cea mai obișnuită utilizare a IPSec este crearea unui tunel securizat, de exemplu, între o rețea de birou principală și o rețea dintr-un site la distanță sau în cloud.
- VPN de acces la distanță. Folosit pentru a conecta utilizatorii individuali la rețele private corporative folosind software-ul client VPN.
NSX Edge ne permite să folosim ambele opțiuni.
Vom configura folosind un banc de testare cu două NSX Edge, un server Linux cu un daemon instalat și un laptop Windows pentru a testa Remote Access VPN.
IPsec
- În interfața vCloud Director, accesați secțiunea Administrare și selectați vDC. În fila Edge Gateways, selectați Edge de care avem nevoie, faceți clic dreapta și selectați Edge Gateway Services.
- În interfața NSX Edge, accesați fila VPN-IPsec VPN, apoi la secțiunea Site-uri VPN IPsec și faceți clic pe + pentru a adăuga un nou site.
- Completați câmpurile obligatorii:
- Activat – activează site-ul la distanță.
- PFS – se asigură că fiecare cheie criptografică nouă nu este asociată cu nicio cheie anterioară.
- ID local și punct final localt este adresa externă a NSX Edge.
- Subrețea localăs - rețele locale care vor folosi VPN IPsec.
- Peer ID și Peer Endpoint – adresa site-ului la distanță.
- Subrețele peer – rețele care vor folosi VPN IPsec la distanță.
- Algoritm de criptare – algoritm de criptare tunel.
- Autentificare - cum vom autentifica peer-ul. Puteți utiliza o cheie pre-partajată sau un certificat.
- Cheie pre-partajată - specificați cheia care va fi folosită pentru autentificare și trebuie să se potrivească pe ambele părți.
- Grupul Diffie Hellman – algoritm de schimb de chei.
După completarea câmpurilor obligatorii, faceți clic pe Păstrați.
- Efectuat.
- După adăugarea site-ului, accesați fila Stare de activare și activați Serviciul IPsec.
- După ce setările sunt aplicate, accesați fila Statistici -> VPN IPsec și verificați starea tunelului. Vedem că tunelul s-a ridicat.
- Verificați starea tunelului din consola gateway-ului Edge:
- show service ipsec - verificați starea serviciului.
- show service ipsec site - Informații despre starea site-ului și parametrii negociați.
- show service ipsec sa - verificați starea Asociației de Securitate (SA).
- show service ipsec - verificați starea serviciului.
- Verificarea conectivității cu un site la distanță:
root@racoon:~# ifconfig eth0:1 | grep inet inet 10.255.255.1 netmask 255.255.255.0 broadcast 0.0.0.0 root@racoon:~# ping -c1 -I 10.255.255.1 192.168.0.10 PING 192.168.0.10 (192.168.0.10) from 10.255.255.1 : 56(84) bytes of data. 64 bytes from 192.168.0.10: icmp_seq=1 ttl=63 time=59.9 ms --- 192.168.0.10 ping statistics --- 1 packets transmitted, 1 received, 0% packet loss, time 0ms rtt min/avg/max/mdev = 59.941/59.941/59.941/0.000 msFișiere de configurare și comenzi suplimentare pentru diagnosticare de la un server Linux la distanță:
root@racoon:~# cat /etc/racoon/racoon.conf log debug; path pre_shared_key "/etc/racoon/psk.txt"; path certificate "/etc/racoon/certs"; listen { isakmp 80.211.43.73 [500]; strict_address; } remote 185.148.83.16 { exchange_mode main,aggressive; proposal { encryption_algorithm aes256; hash_algorithm sha1; authentication_method pre_shared_key; dh_group modp1536; } generate_policy on; } sainfo address 10.255.255.0/24 any address 192.168.0.0/24 any { encryption_algorithm aes256; authentication_algorithm hmac_sha1; compression_algorithm deflate; } === root@racoon:~# cat /etc/racoon/psk.txt 185.148.83.16 testkey === root@racoon:~# cat /etc/ipsec-tools.conf #!/usr/sbin/setkey -f flush; spdflush; spdadd 192.168.0.0/24 10.255.255.0/24 any -P in ipsec esp/tunnel/185.148.83.16-80.211.43.73/require; spdadd 10.255.255.0/24 192.168.0.0/24 any -P out ipsec esp/tunnel/80.211.43.73-185.148.83.16/require; === root@racoon:~# racoonctl show-sa isakmp Destination Cookies Created 185.148.83.16.500 2088977aceb1b512:a4c470cb8f9d57e9 2019-05-22 13:46:13 === root@racoon:~# racoonctl show-sa esp 80.211.43.73 185.148.83.16 esp mode=tunnel spi=1646662778(0x6226147a) reqid=0(0x00000000) E: aes-cbc 00064df4 454d14bc 9444b428 00e2296e c7bb1e03 06937597 1e522ce0 641e704d A: hmac-sha1 aa9e7cd7 51653621 67b3b2e9 64818de5 df848792 seq=0x00000000 replay=4 flags=0x00000000 state=mature created: May 22 13:46:13 2019 current: May 22 14:07:43 2019 diff: 1290(s) hard: 3600(s) soft: 2880(s) last: May 22 13:46:13 2019 hard: 0(s) soft: 0(s) current: 72240(bytes) hard: 0(bytes) soft: 0(bytes) allocated: 860 hard: 0 soft: 0 sadb_seq=1 pid=7739 refcnt=0 185.148.83.16 80.211.43.73 esp mode=tunnel spi=88535449(0x0546f199) reqid=0(0x00000000) E: aes-cbc c812505a 9c30515e 9edc8c4a b3393125 ade4c320 9bde04f0 94e7ba9d 28e61044 A: hmac-sha1 cd9d6f6e 06dbcd6d da4d14f8 6d1a6239 38589878 seq=0x00000000 replay=4 flags=0x00000000 state=mature created: May 22 13:46:13 2019 current: May 22 14:07:43 2019 diff: 1290(s) hard: 3600(s) soft: 2880(s) last: May 22 13:46:13 2019 hard: 0(s) soft: 0(s) current: 72240(bytes) hard: 0(bytes) soft: 0(bytes) allocated: 860 hard: 0 soft: 0 sadb_seq=0 pid=7739 refcnt=0 - Totul este gata, VPN-ul IPsec de la site la site este în funcțiune.
În acest exemplu, am folosit PSK pentru autentificarea de la egal la egal, dar este posibilă și autentificarea prin certificat. Pentru a face acest lucru, accesați fila Configurare globală, activați autentificarea certificatului și selectați certificatul în sine.
În plus, în setările site-ului, va trebui să schimbați metoda de autentificare.
Remarc că numărul de tuneluri IPsec depinde de dimensiunea Gateway-ului Edge implementat (citiți despre asta în ).
SSL VPN
SSL VPN-Plus este una dintre opțiunile VPN pentru acces la distanță. Permite utilizatorilor individuali la distanță să se conecteze în siguranță la rețelele private din spatele NSX Edge Gateway. Un tunel criptat în cazul SSL VPN-plus este stabilit între client (Windows, Linux, Mac) și NSX Edge.
- Să începem configurarea. În panoul de control al serviciului Edge Gateway, accesați fila SSL VPN-Plus, apoi la Setări server. Selectăm adresa și portul pe care serverul va asculta conexiunile de intrare, activăm înregistrarea și selectăm algoritmii de criptare necesari.
Aici puteți schimba și certificatul pe care îl va folosi serverul. - După ce totul este gata, porniți serverul și nu uitați să salvați setările.
- Apoi, trebuie să setăm un grup de adrese pe care le vom emite clienților la conectare. Această rețea este separată de orice subrețea existentă în mediul dvs. NSX și nu trebuie să fie configurată pe alte dispozitive din rețelele fizice, cu excepția rutelor care indică ea.
Accesați fila Pools IP și faceți clic pe +.
- Selectați adrese, masca de subrețea și gateway. Aici puteți modifica și setările pentru serverele DNS și WINS.
- Bazinul rezultat.
- Acum să adăugăm rețelele la care vor avea acces utilizatorii care se conectează la VPN. Accesați fila Rețele private și faceți clic pe +.
- Completam:
- Rețea - o rețea locală la care utilizatorii de la distanță vor avea acces.
- Trimite trafic, are două opțiuni:
- peste tunel - trimite trafic către rețea prin tunel,
— tunel de ocolire — trimite traficul către rețea direct ocolind tunelul. - Activați optimizarea TCP - verificați dacă ați ales opțiunea peste tunel. Când optimizarea este activată, puteți specifica numerele de port pentru care doriți să optimizați traficul. Traficul pentru porturile rămase din rețeaua respectivă nu va fi optimizat. Dacă nu sunt specificate numere de port, traficul pentru toate porturile este optimizat. Citiți mai multe despre această caracteristică .
- Apoi, accesați fila Autentificare și faceți clic pe +. Pentru autentificare, vom folosi un server local pe NSX Edge însuși.
- Aici putem selecta politici pentru generarea de noi parole și configura opțiuni pentru blocarea conturilor de utilizator (de exemplu, numărul de încercări dacă parola este introdusă incorect).
- Deoarece folosim autentificarea locală, trebuie să creăm utilizatori.
- Pe lângă lucruri de bază precum un nume și o parolă, aici puteți, de exemplu, să interziceți utilizatorului să schimbe parola sau, dimpotrivă, să-l forțați să schimbe parola data viitoare când se conectează.
- După ce toți utilizatorii necesari au fost adăugați, accesați fila Pachete de instalare, faceți clic pe + și creați propriul program de instalare, care va fi descărcat de un angajat la distanță pentru instalare.
- Apăsați +. Selectați adresa și portul serverului la care se va conecta clientul și platformele pentru care doriți să generați pachetul de instalare.
Mai jos, în această fereastră, puteți specifica setările clientului pentru Windows. Alege:- start client on logon – clientul VPN va fi adăugat la pornire pe mașina de la distanță;
- create desktop icon - va crea o pictogramă client VPN pe desktop;
- validarea certificatului de securitate al serverului - va valida certificatul serverului la conectare.
Configurarea serverului este finalizată.
- Acum să descarcăm pachetul de instalare pe care l-am creat în ultimul pas pe un computer la distanță. La configurarea serverului, am specificat adresa externă (185.148.83.16) și portul (445). La această adresă trebuie să mergem într-un browser web. În cazul meu este : 445.
În fereastra de autorizare, trebuie să introduceți acreditările de utilizator pe care le-am creat mai devreme.
- După autorizare, vedem o listă de pachete de instalare create disponibile pentru descărcare. Am creat doar unul - îl vom descărca.
- Facem clic pe link, începe descărcarea clientului.
- Despachetați arhiva descărcată și rulați programul de instalare.
- După instalare, lansați clientul, în fereastra de autorizare, faceți clic pe Autentificare.
- În fereastra de verificare a certificatului, selectați Da.
- Introducem acreditările pentru utilizatorul creat anterior și vedem că conexiunea a fost finalizată cu succes.
- Verificăm statisticile clientului VPN pe computerul local.
- În linia de comandă Windows (ipconfig / all), vedem că a apărut un adaptor virtual suplimentar și există conectivitate la rețeaua de la distanță, totul funcționează:
- Și, în sfârșit, verificați din consola Edge Gateway.
VPN L2
L2VPN va fi necesar atunci când trebuie să combinați mai multe din punct de vedere geografic
rețele distribuite într-un singur domeniu de difuzare.
Acest lucru poate fi util, de exemplu, la migrarea unei mașini virtuale: atunci când o mașină virtuală se mută într-o altă zonă geografică, mașina își va păstra setările de adresare IP și nu va pierde conectivitatea cu alte mașini situate în același domeniu L2 cu ea.
În mediul nostru de testare, vom conecta două site-uri unul la celălalt, le vom numi A și, respectiv, B. Avem două NSX-uri și două rețele rutate create identic atașate la Edge-uri diferite. Mașina A are adresa 10.10.10.250/24, Mașina B are adresa 10.10.10.2/24.
- În vCloud Director, accesați fila Administrare, accesați VDC-ul de care avem nevoie, accesați fila Org VDC Networks și adăugați două rețele noi.
- Selectați tipul de rețea direcționată și legați această rețea la NSX-ul nostru. Punem caseta de selectare Creare ca subinterfață.
- Ca rezultat, ar trebui să obținem două rețele. În exemplul nostru, ele sunt numite network-a și network-b cu aceleași setări de gateway și aceeași mască.
- Acum să trecem la setările primului NSX. Acesta va fi NSX-ul la care este atașată Rețeaua A. Va acționa ca un server.
Revenim la interfața NSx Edge / Accesați fila VPN -> L2VPN. Pornim L2VPN, selectăm modul de funcționare Server, în setările Server Global specificăm adresa IP externă NSX pe care va asculta portul pentru tunel. În mod implicit, socket-ul se va deschide pe portul 443, dar acesta poate fi schimbat. Nu uitați să selectați setările de criptare pentru viitorul tunel.
- Accesați fila Site-uri server și adăugați un peer.
- Pornim peer-ul, setăm numele, descrierea, dacă este necesar, setăm numele de utilizator și parola. Vom avea nevoie de aceste date mai târziu la configurarea site-ului client.
În Egress Optimization Gateway Address setăm adresa gateway-ului. Acest lucru este necesar pentru a nu exista conflicte de adrese IP, deoarece gateway-ul rețelelor noastre are aceeași adresă. Apoi faceți clic pe butonul SELECTARE SUB-INTERFEȚE.
- Aici selectăm subinterfața dorită. Salvăm setările.
- Vedem că site-ul client nou creat a apărut în setări.
- Acum să trecem la configurarea NSX din partea clientului.
Mergem la NSX partea B, mergem la VPN -> L2VPN, activăm L2VPN, setăm modul L2VPN la modul client. În fila Client Global, setați adresa și portul NSX A, pe care le-am specificat mai devreme ca IP de ascultare și Port pe partea serverului. De asemenea, este necesar să setați aceleași setări de criptare, astfel încât acestea să fie consecvente atunci când tunelul este ridicat.
Derulăm mai jos, selectăm subinterfața prin care va fi construit tunelul pentru L2VPN.
În Egress Optimization Gateway Address setăm adresa gateway-ului. Setați user-id-ul și parola. Selectăm subinterfața și nu uităm să salvăm setările. - De fapt, asta-i tot. Setările părții client și serverului sunt aproape identice, cu excepția câtorva nuanțe.
- Acum putem vedea că tunelul nostru a funcționat accesând Statistici -> L2VPN pe orice NSX.
- Dacă mergem acum la consola oricărui Gateway Edge, vom vedea pe fiecare dintre ele în tabelul arp adresele ambelor VM.
Asta e totul despre VPN pe NSX Edge. Întrebați dacă ceva nu este clar. Este, de asemenea, ultima parte a unei serii de articole despre lucrul cu NSX Edge. Sperăm că au fost de ajutor 🙂
Sursa: www.habr.com