Dnes sa pozrieme na možnosti konfigurácie VPN, ktoré nám ponúka NSX Edge.
Vo všeobecnosti môžeme technológie VPN rozdeliť na dva kľúčové typy:
- VPN typu site-to-site. IPSec sa najčastejšie používa na vytvorenie zabezpečeného tunela, napríklad medzi sieťou hlavnej kancelárie a sieťou na vzdialenom mieste alebo v cloude.
- Vzdialený prístup VPN. Používa sa na pripojenie jednotlivých používateľov k podnikovým súkromným sieťam pomocou klientskeho softvéru VPN.
NSX Edge nám umožňuje využívať obe možnosti.
Nakonfigurujeme pomocou testovacej stolice s dvoma NSX Edge, linuxovým serverom s nainštalovaným démonom a notebook so systémom Windows na testovanie VPN s vzdialeným prístupom.
IPsec
- V rozhraní vCloud Director prejdite do časti Správa a vyberte vDC. Na karte Edge Gateways vyberte Edge, ktorý potrebujeme, kliknite pravým tlačidlom myši a vyberte položku Edge Gateway Services.
- V rozhraní NSX Edge prejdite na kartu VPN-IPsec VPN, potom do sekcie IPsec VPN Sites a kliknutím na + pridajte novú lokalitu.
- Vyplňte povinné polia:
- povolené – aktivuje vzdialenú lokalitu.
- PFS – zabezpečuje, že každý nový kryptografický kľúč nie je spojený so žiadnym predchádzajúcim kľúčom.
- Lokálne ID a Lokálny koncový bodt je externá adresa NSX Edge.
- Miestna podsieťs - lokálne siete, ktoré budú využívať IPsec VPN.
- Peer ID a Peer Endpoint – adresa vzdialenej lokality.
- Partnerské podsiete – siete, ktoré budú používať IPsec VPN na vzdialenej strane.
- Šifrovací algoritmus – tunelový šifrovací algoritmus.
- Overovanie - ako budeme autentifikovať partnera. Môžete použiť vopred zdieľaný kľúč alebo certifikát.
- Predzdieľaný kľúč - zadajte kľúč, ktorý sa použije na autentifikáciu a musí sa zhodovať na oboch stranách.
- Skupina Diffie Hellman – algoritmus výmeny kľúčov.
Po vyplnení požadovaných polí kliknite na Ponechať.
- Hotovo.
- Po pridaní lokality prejdite na kartu Stav aktivácie a aktivujte službu IPsec.
- Po použití nastavení prejdite na kartu Štatistika -> IPsec VPN a skontrolujte stav tunela. Vidíme, že tunel sa zdvihol.
- Skontrolujte stav tunela z konzoly brány Edge:
- zobraziť službu ipsec - skontrolujte stav služby.
- zobraziť službu ipsec site - Informácie o stave stránky a dohodnutých parametroch.
- zobraziť službu ipsec sa - skontrolujte stav asociácie bezpečnosti (SA).
- zobraziť službu ipsec - skontrolujte stav služby.
- Kontrola pripojenia k vzdialenej lokalite:
root@racoon:~# ifconfig eth0:1 | grep inet inet 10.255.255.1 netmask 255.255.255.0 broadcast 0.0.0.0 root@racoon:~# ping -c1 -I 10.255.255.1 192.168.0.10 PING 192.168.0.10 (192.168.0.10) from 10.255.255.1 : 56(84) bytes of data. 64 bytes from 192.168.0.10: icmp_seq=1 ttl=63 time=59.9 ms --- 192.168.0.10 ping statistics --- 1 packets transmitted, 1 received, 0% packet loss, time 0ms rtt min/avg/max/mdev = 59.941/59.941/59.941/0.000 msKonfiguračné súbory a ďalšie príkazy na diagnostiku zo vzdialeného servera Linux:
root@racoon:~# cat /etc/racoon/racoon.conf log debug; path pre_shared_key "/etc/racoon/psk.txt"; path certificate "/etc/racoon/certs"; listen { isakmp 80.211.43.73 [500]; strict_address; } remote 185.148.83.16 { exchange_mode main,aggressive; proposal { encryption_algorithm aes256; hash_algorithm sha1; authentication_method pre_shared_key; dh_group modp1536; } generate_policy on; } sainfo address 10.255.255.0/24 any address 192.168.0.0/24 any { encryption_algorithm aes256; authentication_algorithm hmac_sha1; compression_algorithm deflate; } === root@racoon:~# cat /etc/racoon/psk.txt 185.148.83.16 testkey === root@racoon:~# cat /etc/ipsec-tools.conf #!/usr/sbin/setkey -f flush; spdflush; spdadd 192.168.0.0/24 10.255.255.0/24 any -P in ipsec esp/tunnel/185.148.83.16-80.211.43.73/require; spdadd 10.255.255.0/24 192.168.0.0/24 any -P out ipsec esp/tunnel/80.211.43.73-185.148.83.16/require; === root@racoon:~# racoonctl show-sa isakmp Destination Cookies Created 185.148.83.16.500 2088977aceb1b512:a4c470cb8f9d57e9 2019-05-22 13:46:13 === root@racoon:~# racoonctl show-sa esp 80.211.43.73 185.148.83.16 esp mode=tunnel spi=1646662778(0x6226147a) reqid=0(0x00000000) E: aes-cbc 00064df4 454d14bc 9444b428 00e2296e c7bb1e03 06937597 1e522ce0 641e704d A: hmac-sha1 aa9e7cd7 51653621 67b3b2e9 64818de5 df848792 seq=0x00000000 replay=4 flags=0x00000000 state=mature created: May 22 13:46:13 2019 current: May 22 14:07:43 2019 diff: 1290(s) hard: 3600(s) soft: 2880(s) last: May 22 13:46:13 2019 hard: 0(s) soft: 0(s) current: 72240(bytes) hard: 0(bytes) soft: 0(bytes) allocated: 860 hard: 0 soft: 0 sadb_seq=1 pid=7739 refcnt=0 185.148.83.16 80.211.43.73 esp mode=tunnel spi=88535449(0x0546f199) reqid=0(0x00000000) E: aes-cbc c812505a 9c30515e 9edc8c4a b3393125 ade4c320 9bde04f0 94e7ba9d 28e61044 A: hmac-sha1 cd9d6f6e 06dbcd6d da4d14f8 6d1a6239 38589878 seq=0x00000000 replay=4 flags=0x00000000 state=mature created: May 22 13:46:13 2019 current: May 22 14:07:43 2019 diff: 1290(s) hard: 3600(s) soft: 2880(s) last: May 22 13:46:13 2019 hard: 0(s) soft: 0(s) current: 72240(bytes) hard: 0(bytes) soft: 0(bytes) allocated: 860 hard: 0 soft: 0 sadb_seq=0 pid=7739 refcnt=0 - Všetko je pripravené, site-to-site IPsec VPN je v prevádzke.
V tomto príklade sme na partnerskú autentifikáciu použili PSK, ale je možná aj autentifikácia certifikátom. Ak to chcete urobiť, prejdite na kartu Globálna konfigurácia, povoľte overenie certifikátu a vyberte samotný certifikát.
Okrem toho v nastaveniach lokality budete musieť zmeniť spôsob overovania.
Všimol som si, že počet tunelov IPsec závisí od veľkosti nasadenej brány Edge Gateway (prečítajte si o tom v našom ).
SSL VPN
SSL VPN-Plus je jednou z možností VPN pre vzdialený prístup. Umožňuje jednotlivým vzdialeným používateľom bezpečne sa pripojiť k súkromným sieťam za bránou NSX Edge Gateway. Medzi klientom (Windows, Linux, Mac) a NSX Edge je v prípade SSL VPN-plus vytvorený šifrovaný tunel.
- Začnime nastavovať. Na ovládacom paneli služby Edge Gateway prejdite na kartu SSL VPN-Plus a potom na položku Nastavenia servera. Vyberieme adresu a port, na ktorom bude server počúvať prichádzajúce spojenia, povolíme protokolovanie a vyberieme potrebné šifrovacie algoritmy.
Tu môžete tiež zmeniť certifikát, ktorý bude server používať. - Keď je všetko pripravené, zapnite server a nezabudnite uložiť nastavenia.
- Ďalej musíme nastaviť skupinu adries, ktoré vydáme klientom po pripojení. Táto sieť je oddelená od akejkoľvek existujúcej podsiete vo vašom prostredí NSX a nie je potrebné ju konfigurovať na iných zariadeniach vo fyzických sieťach, s výnimkou trás, ktoré na ňu smerujú.
Prejdite na kartu IP Pools a kliknite na +.
- Vyberte adresy, masku podsiete a bránu. Tu môžete tiež zmeniť nastavenia serverov DNS a WINS.
- Výsledný bazén.
- Teraz pridajte siete, ku ktorým budú mať prístup používatelia pripojení k VPN. Prejdite na kartu Súkromné siete a kliknite na +.
- Vypĺňame:
- Sieť – lokálna sieť, ku ktorej budú mať prístup vzdialení používatelia.
- Odoslať návštevnosť, má dve možnosti:
- cez tunel - posielať prevádzku do siete cez tunel,
— obísť tunel — posielať prevádzku do siete priamo obchádzajúcou tunel. - Povoliť optimalizáciu TCP – skontrolujte, či ste zvolili možnosť cez tunel. Keď je povolená optimalizácia, môžete zadať čísla portov, pre ktoré chcete optimalizovať prevádzku. Prevádzka pre zostávajúce porty v tejto konkrétnej sieti nebude optimalizovaná. Ak nie sú zadané žiadne čísla portov, prevádzka pre všetky porty sa optimalizuje. Prečítajte si viac o tejto funkcii .
- Ďalej prejdite na kartu Autentifikácia a kliknite na +. Na autentifikáciu použijeme lokálny server na samotnom NSX Edge.
- Tu môžeme vybrať politiky na generovanie nových hesiel a nakonfigurovať možnosti blokovania používateľských účtov (napríklad počet opakovaní pri nesprávnom zadaní hesla).
- Keďže používame lokálnu autentifikáciu, musíme vytvoriť používateľov.
- Okrem základných vecí ako meno a heslo tu môžete napríklad používateľovi zakázať zmenu hesla alebo ho naopak prinútiť, aby si heslo zmenil pri ďalšom prihlásení.
- Po pridaní všetkých potrebných používateľov prejdite na kartu Inštalačné balíky, kliknite na + a vytvorte samotný inštalátor, ktorý si vzdialený zamestnanec stiahne na inštaláciu.
- Stlačte +. Vyberte adresu a port servera, ku ktorému sa klient pripojí, a platformy, pre ktoré chcete vygenerovať inštalačný balík.
Nižšie v tomto okne môžete zadať nastavenia klienta pre Windows. Vyberte si:- spustiť klienta pri prihlásení – klient VPN bude pridaný do spúšťania na vzdialenom počítači;
- vytvoriť ikonu na ploche – vytvorí ikonu klienta VPN na pracovnej ploche;
- overenie bezpečnostného certifikátu servera - po pripojení overí certifikát servera.
Nastavenie servera je dokončené.
- Teraz si stiahneme inštalačný balík, ktorý sme vytvorili v poslednom kroku, do vzdialeného PC. Pri nastavovaní servera sme zadali jeho externú adresu (185.148.83.16) a port (445). Práve na túto adresu musíme ísť vo webovom prehliadači. V mojom prípade áno : 445.
V okne autorizácie musíte zadať poverenia používateľa, ktoré sme vytvorili predtým.
- Po autorizácii vidíme zoznam vytvorených inštalačných balíkov dostupných na stiahnutie. Vytvorili sme len jeden - stiahneme ho.
- Klikneme na odkaz, začne sa sťahovanie klienta.
- Rozbaľte stiahnutý archív a spustite inštalačný program.
- Po inštalácii spustite klienta, v okne autorizácie kliknite na Login.
- V okne overenia certifikátu vyberte možnosť Áno.
- Zadáme prihlasovacie údaje pre predtým vytvoreného používateľa a vidíme, že pripojenie bolo úspešne dokončené.
- Kontrolujeme štatistiky klienta VPN na lokálnom počítači.
- V príkazovom riadku systému Windows (ipconfig / all) vidíme, že sa objavil ďalší virtuálny adaptér a existuje pripojenie k vzdialenej sieti, všetko funguje:
- A nakoniec skontrolujte z konzoly Edge Gateway.
L2 VPN
L2VPN bude potrebná, keď potrebujete geograficky kombinovať niekoľko
distribuované siete do jednej vysielacej domény.
To môže byť užitočné napríklad pri migrácii virtuálneho stroja: keď sa VM presunie do inej geografickej oblasti, stroj si zachová svoje nastavenia IP adries a nestratí konektivitu s inými strojmi, ktoré sa s ním nachádzajú v rovnakej L2 doméne.
V našom testovacom prostredí prepojíme dve lokality navzájom, budeme ich nazývať A a B. Máme dve NSX a dve identicky vytvorené routované siete pripojené k rôznym Edge. Stroj A má adresu 10.10.10.250/24, Stroj B má adresu 10.10.10.2/24.
- V aplikácii vCloud Director prejdite na kartu Správa, prejdite na VDC, ktorú potrebujeme, prejdite na kartu Org VDC Networks a pridajte dve nové siete.
- Vyberte typ smerovanej siete a pripojte túto sieť k nášmu NSX. Zaškrtávacie políčko Vytvoriť dáme ako podrozhranie.
- V dôsledku toho by sme mali dostať dve siete. V našom príklade sa nazývajú sieť-a a sieť-b s rovnakým nastavením brány a rovnakou maskou.
- Teraz poďme k nastaveniam prvého NSX. Toto bude NSX, ku ktorému je pripojená sieť A. Bude fungovať ako server.
Vraciame sa do rozhrania NSx Edge / Prejdite na kartu VPN -> L2VPN. Zapneme L2VPN, zvolíme režim prevádzky servera, v Globálnom nastavení servera určíme externú IP adresu NSX, na ktorej bude port pre tunel počúvať. Štandardne sa zásuvka otvorí na porte 443, ale to sa dá zmeniť. Nezabudnite vybrať nastavenia šifrovania pre budúci tunel.
- Prejdite na kartu Serverové lokality a pridajte partnera.
- Zapneme peer, nastavíme meno, popis, v prípade potreby nastavíme užívateľské meno a heslo. Tieto údaje budeme potrebovať neskôr pri nastavovaní klientskej stránky.
V Egress Optimization Gateway Address nastavujeme adresu brány. Je to potrebné, aby nedošlo ku konfliktu IP adries, pretože brána našich sietí má rovnakú adresu. Potom kliknite na tlačidlo VYBRAŤ SUB-ROZHRANIA.
- Tu vyberieme požadované podrozhranie. Nastavenia uložíme.
- Vidíme, že v nastaveniach sa objavil novovytvorený klientsky web.
- Teraz prejdime ku konfigurácii NSX zo strany klienta.
Prejdeme na stranu B NSX, prejdeme na VPN -> L2VPN, povolíme L2VPN, nastavíme režim L2VPN na klientsky režim. Na karte Globálny klient nastavte adresu a port NSX A, ktoré sme predtým špecifikovali ako Listening IP a Port na strane servera. Je tiež potrebné nastaviť rovnaké nastavenia šifrovania, aby boli konzistentné, keď sa tunel zvýši.
Posúvame sa nižšie, vyberieme podrozhranie, cez ktoré sa bude budovať tunel pre L2VPN.
V Egress Optimization Gateway Address nastavujeme adresu brány. Nastavte ID používateľa a heslo. Vyberieme podrozhranie a nezabudneme uložiť nastavenia. - Vlastne, to je všetko. Nastavenia na strane klienta a servera sú takmer totožné, s výnimkou niekoľkých nuancií.
- Teraz môžeme vidieť, že náš tunel fungoval tak, že prejdeme na Štatistiky -> L2VPN na akomkoľvek NSX.
- Ak teraz prejdeme na konzolu ľubovoľnej brány Edge Gateway, na každej z nich v tabuľke arp uvidíme adresy oboch VM.
To je všetko o VPN na NSX Edge. Opýtajte sa, ak niečo nie je jasné. Je to zároveň posledná časť zo série článkov o práci s NSX Edge. Dúfame, že boli nápomocné 🙂
Zdroj: hab.com