Dnes sa pozrieme na možnosti konfigurácie VPN, ktoré nám ponúka NSX Edge.
Vo všeobecnosti môžeme technológie VPN rozdeliť na dva kľúčové typy:
VPN typu site-to-site. IPSec sa najčastejšie používa na vytvorenie zabezpečeného tunela, napríklad medzi sieťou hlavnej kancelárie a sieťou na vzdialenom mieste alebo v cloude.
Vzdialený prístup VPN. Používa sa na pripojenie jednotlivých používateľov k podnikovým súkromným sieťam pomocou klientskeho softvéru VPN.
NSX Edge nám umožňuje využívať obe možnosti.
Nakonfigurujeme pomocou testovacej stolice s dvoma NSX Edge, linuxovým serverom s nainštalovaným démonom mýval a notebook so systémom Windows na testovanie VPN s vzdialeným prístupom.
IPsec
V rozhraní vCloud Director prejdite do časti Správa a vyberte vDC. Na karte Edge Gateways vyberte Edge, ktorý potrebujeme, kliknite pravým tlačidlom myši a vyberte položku Edge Gateway Services.
V rozhraní NSX Edge prejdite na kartu VPN-IPsec VPN, potom do sekcie IPsec VPN Sites a kliknutím na + pridajte novú lokalitu.
Vyplňte povinné polia:
povolené – aktivuje vzdialenú lokalitu.
PFS – zabezpečuje, že každý nový kryptografický kľúč nie je spojený so žiadnym predchádzajúcim kľúčom.
Lokálne ID a Lokálny koncový bodt je externá adresa NSX Edge.
Miestna podsieťs - lokálne siete, ktoré budú využívať IPsec VPN.
Peer ID a Peer Endpoint – adresa vzdialenej lokality.
Partnerské podsiete – siete, ktoré budú používať IPsec VPN na vzdialenej strane.
Všetko je pripravené, site-to-site IPsec VPN je v prevádzke.
V tomto príklade sme na partnerskú autentifikáciu použili PSK, ale je možná aj autentifikácia certifikátom. Ak to chcete urobiť, prejdite na kartu Globálna konfigurácia, povoľte overenie certifikátu a vyberte samotný certifikát.
Okrem toho v nastaveniach lokality budete musieť zmeniť spôsob overovania.
Všimol som si, že počet tunelov IPsec závisí od veľkosti nasadenej brány Edge Gateway (prečítajte si o tom v našom prvý článok).
SSL VPN
SSL VPN-Plus je jednou z možností VPN pre vzdialený prístup. Umožňuje jednotlivým vzdialeným používateľom bezpečne sa pripojiť k súkromným sieťam za bránou NSX Edge Gateway. Medzi klientom (Windows, Linux, Mac) a NSX Edge je v prípade SSL VPN-plus vytvorený šifrovaný tunel.
Začnime nastavovať. Na ovládacom paneli služby Edge Gateway prejdite na kartu SSL VPN-Plus a potom na položku Nastavenia servera. Vyberieme adresu a port, na ktorom bude server počúvať prichádzajúce spojenia, povolíme protokolovanie a vyberieme potrebné šifrovacie algoritmy.
Tu môžete tiež zmeniť certifikát, ktorý bude server používať.
Keď je všetko pripravené, zapnite server a nezabudnite uložiť nastavenia.
Ďalej musíme nastaviť skupinu adries, ktoré vydáme klientom po pripojení. Táto sieť je oddelená od akejkoľvek existujúcej podsiete vo vašom prostredí NSX a nie je potrebné ju konfigurovať na iných zariadeniach vo fyzických sieťach, s výnimkou trás, ktoré na ňu smerujú.
Prejdite na kartu IP Pools a kliknite na +.
Vyberte adresy, masku podsiete a bránu. Tu môžete tiež zmeniť nastavenia serverov DNS a WINS.
Výsledný bazén.
Teraz pridajte siete, ku ktorým budú mať prístup používatelia pripojení k VPN. Prejdite na kartu Súkromné siete a kliknite na +.
Vypĺňame:
Sieť – lokálna sieť, ku ktorej budú mať prístup vzdialení používatelia.
Odoslať návštevnosť, má dve možnosti:
- cez tunel - posielať prevádzku do siete cez tunel,
— obísť tunel — posielať prevádzku do siete priamo obchádzajúcou tunel.
Povoliť optimalizáciu TCP – skontrolujte, či ste zvolili možnosť cez tunel. Keď je povolená optimalizácia, môžete zadať čísla portov, pre ktoré chcete optimalizovať prevádzku. Prevádzka pre zostávajúce porty v tejto konkrétnej sieti nebude optimalizovaná. Ak nie sú zadané žiadne čísla portov, prevádzka pre všetky porty sa optimalizuje. Prečítajte si viac o tejto funkcii tu.
Ďalej prejdite na kartu Autentifikácia a kliknite na +. Na autentifikáciu použijeme lokálny server na samotnom NSX Edge.
Tu môžeme vybrať politiky na generovanie nových hesiel a nakonfigurovať možnosti blokovania používateľských účtov (napríklad počet opakovaní pri nesprávnom zadaní hesla).
Keďže používame lokálnu autentifikáciu, musíme vytvoriť používateľov.
Okrem základných vecí ako meno a heslo tu môžete napríklad používateľovi zakázať zmenu hesla alebo ho naopak prinútiť, aby si heslo zmenil pri ďalšom prihlásení.
Po pridaní všetkých potrebných používateľov prejdite na kartu Inštalačné balíky, kliknite na + a vytvorte samotný inštalátor, ktorý si vzdialený zamestnanec stiahne na inštaláciu.
Stlačte +. Vyberte adresu a port servera, ku ktorému sa klient pripojí, a platformy, pre ktoré chcete vygenerovať inštalačný balík.
Nižšie v tomto okne môžete zadať nastavenia klienta pre Windows. Vyberte si:
spustiť klienta pri prihlásení – klient VPN bude pridaný do spúšťania na vzdialenom počítači;
vytvoriť ikonu na ploche – vytvorí ikonu klienta VPN na pracovnej ploche;
overenie bezpečnostného certifikátu servera - po pripojení overí certifikát servera.
Nastavenie servera je dokončené.
Teraz si stiahneme inštalačný balík, ktorý sme vytvorili v poslednom kroku, do vzdialeného PC. Pri nastavovaní servera sme zadali jeho externú adresu (185.148.83.16) a port (445). Práve na túto adresu musíme ísť vo webovom prehliadači. V mojom prípade áno 185.148.83.16: 445.
V okne autorizácie musíte zadať poverenia používateľa, ktoré sme vytvorili predtým.
Po autorizácii vidíme zoznam vytvorených inštalačných balíkov dostupných na stiahnutie. Vytvorili sme len jeden - stiahneme ho.
Klikneme na odkaz, začne sa sťahovanie klienta.
Rozbaľte stiahnutý archív a spustite inštalačný program.
Po inštalácii spustite klienta, v okne autorizácie kliknite na Login.
V okne overenia certifikátu vyberte možnosť Áno.
Zadáme prihlasovacie údaje pre predtým vytvoreného používateľa a vidíme, že pripojenie bolo úspešne dokončené.
Kontrolujeme štatistiky klienta VPN na lokálnom počítači.
V príkazovom riadku systému Windows (ipconfig / all) vidíme, že sa objavil ďalší virtuálny adaptér a existuje pripojenie k vzdialenej sieti, všetko funguje:
A nakoniec skontrolujte z konzoly Edge Gateway.
L2 VPN
L2VPN bude potrebná, keď potrebujete geograficky kombinovať niekoľko
distribuované siete do jednej vysielacej domény.
To môže byť užitočné napríklad pri migrácii virtuálneho stroja: keď sa VM presunie do inej geografickej oblasti, stroj si zachová svoje nastavenia IP adries a nestratí konektivitu s inými strojmi, ktoré sa s ním nachádzajú v rovnakej L2 doméne.
V našom testovacom prostredí prepojíme dve lokality navzájom, budeme ich nazývať A a B. Máme dve NSX a dve identicky vytvorené routované siete pripojené k rôznym Edge. Stroj A má adresu 10.10.10.250/24, Stroj B má adresu 10.10.10.2/24.
V aplikácii vCloud Director prejdite na kartu Správa, prejdite na VDC, ktorú potrebujeme, prejdite na kartu Org VDC Networks a pridajte dve nové siete.
Vyberte typ smerovanej siete a pripojte túto sieť k nášmu NSX. Zaškrtávacie políčko Vytvoriť dáme ako podrozhranie.
V dôsledku toho by sme mali dostať dve siete. V našom príklade sa nazývajú sieť-a a sieť-b s rovnakým nastavením brány a rovnakou maskou.
Teraz poďme k nastaveniam prvého NSX. Toto bude NSX, ku ktorému je pripojená sieť A. Bude fungovať ako server.
Vraciame sa do rozhrania NSx Edge / Prejdite na kartu VPN -> L2VPN. Zapneme L2VPN, zvolíme režim prevádzky servera, v Globálnom nastavení servera určíme externú IP adresu NSX, na ktorej bude port pre tunel počúvať. Štandardne sa zásuvka otvorí na porte 443, ale to sa dá zmeniť. Nezabudnite vybrať nastavenia šifrovania pre budúci tunel.
Prejdite na kartu Serverové lokality a pridajte partnera.
Zapneme peer, nastavíme meno, popis, v prípade potreby nastavíme užívateľské meno a heslo. Tieto údaje budeme potrebovať neskôr pri nastavovaní klientskej stránky.
V Egress Optimization Gateway Address nastavujeme adresu brány. Je to potrebné, aby nedošlo ku konfliktu IP adries, pretože brána našich sietí má rovnakú adresu. Potom kliknite na tlačidlo VYBRAŤ SUB-ROZHRANIA.
Tu vyberieme požadované podrozhranie. Nastavenia uložíme.
Vidíme, že v nastaveniach sa objavil novovytvorený klientsky web.
Teraz prejdime ku konfigurácii NSX zo strany klienta.
Prejdeme na stranu B NSX, prejdeme na VPN -> L2VPN, povolíme L2VPN, nastavíme režim L2VPN na klientsky režim. Na karte Globálny klient nastavte adresu a port NSX A, ktoré sme predtým špecifikovali ako Listening IP a Port na strane servera. Je tiež potrebné nastaviť rovnaké nastavenia šifrovania, aby boli konzistentné, keď sa tunel zvýši.
Posúvame sa nižšie, vyberieme podrozhranie, cez ktoré sa bude budovať tunel pre L2VPN.
V Egress Optimization Gateway Address nastavujeme adresu brány. Nastavte ID používateľa a heslo. Vyberieme podrozhranie a nezabudneme uložiť nastavenia.
Vlastne, to je všetko. Nastavenia na strane klienta a servera sú takmer totožné, s výnimkou niekoľkých nuancií.
Teraz môžeme vidieť, že náš tunel fungoval tak, že prejdeme na Štatistiky -> L2VPN na akomkoľvek NSX.
Ak teraz prejdeme na konzolu ľubovoľnej brány Edge Gateway, na každej z nich v tabuľke arp uvidíme adresy oboch VM.
To je všetko o VPN na NSX Edge. Opýtajte sa, ak niečo nie je jasné. Je to zároveň posledná časť zo série článkov o práci s NSX Edge. Dúfame, že boli nápomocné 🙂