🥇VMware NSX za najmlajše. Del 6. Nastavitev VPN

Prvi del. uvodni
Drugi del. Konfiguracija požarnega zidu in pravil NAT
Tretji del. Konfiguriranje DHCP
četrti del. Nastavitev usmerjanja
Peti del. Postavitev izravnalnika obremenitve

Danes si bomo ogledali možnosti konfiguracije VPN, ki nam jih ponuja NSX Edge.

Na splošno lahko tehnologije VPN razdelimo na dve ključni vrsti:

VPN od mesta do spletnega mesta. Najpogostejša uporaba IPSec je ustvarjanje varnega tunela, na primer med omrežjem glavne pisarne in omrežjem na oddaljenem mestu ali v oblaku.
VPN za oddaljeni dostop. Uporablja se za povezovanje posameznih uporabnikov z zasebnimi omrežji podjetja z uporabo odjemalske programske opreme VPN.

NSX Edge nam omogoča uporabo obeh možnosti.
Konfigurirali bomo s preskusno napravo z dvema NSX Edge, strežnikom Linux z nameščenim demonom rakun in prenosni računalnik z operacijskim sistemom Windows za testiranje oddaljenega dostopa VPN.

IPsec

V vmesniku vCloud Director pojdite v razdelek Administracija in izberite vDC. Na zavihku Edge Gateways izberite Edge, ki ga potrebujemo, z desno tipko miške kliknite in izberite Edge Gateway Services.
V vmesniku NSX Edge pojdite na zavihek VPN-IPsec VPN, nato na razdelek IPsec VPN Sites in kliknite +, da dodate novo mesto.
Izpolnite zahtevana polja:
- omogočeno – aktivira oddaljeno mesto.
- PFS – zagotavlja, da vsak nov kriptografski ključ ni povezan z nobenim prejšnjim ključem.
- Lokalni ID in lokalna končna točkat je zunanji naslov NSX Edge.
- lokalno podomrežjes - lokalna omrežja, ki bodo uporabljala IPsec VPN.
- Peer ID in Peer Endpoint – naslov oddaljenega mesta.
- Enakovna podomrežja – omrežja, ki bodo uporabljala IPsec VPN na oddaljeni strani.
- Šifrirni algoritem – algoritem šifriranja tunela.
- Preverjanje pristnosti - kako bomo avtentikirali vrstnika. Uporabite lahko ključ v vnaprejšnji skupni rabi ali potrdilo.
- Vnaprej deljeni ključ - določite ključ, ki bo uporabljen za avtentikacijo in se mora ujemati na obeh straneh.
- Skupina Diffie Hellman – algoritem izmenjave ključev.
Ko izpolnite zahtevana polja, kliknite Obdrži.
Končano.
Ko dodate spletno mesto, pojdite na zavihek Stanje aktiviranja in aktivirajte storitev IPsec.
Ko so nastavitve uporabljene, pojdite na zavihek Statistika -> IPsec VPN in preverite stanje tunela. Vidimo, da se je predor dvignil.
Preverite stanje tunela na konzoli prehoda Edge:
- Prikaži storitev ipsec - preverite stanje storitve.
- show service ipsec site - Informacije o stanju spletnega mesta in dogovorjenih parametrih.
- pokaži storitev ipsec sa - preveri stanje varnostnega združenja (SA).

Preverjanje povezave z oddaljenim mestom:

root@racoon:~# ifconfig eth0:1 | grep inet
        inet 10.255.255.1  netmask 255.255.255.0  broadcast 0.0.0.0

root@racoon:~# ping -c1 -I 10.255.255.1 192.168.0.10 
PING 192.168.0.10 (192.168.0.10) from 10.255.255.1 : 56(84) bytes of data.
64 bytes from 192.168.0.10: icmp_seq=1 ttl=63 time=59.9 ms

--- 192.168.0.10 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 59.941/59.941/59.941/0.000 ms

Konfiguracijske datoteke in dodatni ukazi za diagnostiko z oddaljenega strežnika Linux:

root@racoon:~# cat /etc/racoon/racoon.conf 

log debug;
path pre_shared_key "/etc/racoon/psk.txt";
path certificate "/etc/racoon/certs";

listen {
  isakmp 80.211.43.73 [500];
   strict_address;
}

remote 185.148.83.16 {
        exchange_mode main,aggressive;
        proposal {
                 encryption_algorithm aes256;
                 hash_algorithm sha1;
                 authentication_method pre_shared_key;
                 dh_group modp1536;
         }
         generate_policy on;
}
 
sainfo address 10.255.255.0/24 any address 192.168.0.0/24 any {
         encryption_algorithm aes256;
         authentication_algorithm hmac_sha1;
         compression_algorithm deflate;
}

===

root@racoon:~# cat /etc/racoon/psk.txt
185.148.83.16 testkey

===

root@racoon:~# cat /etc/ipsec-tools.conf 
#!/usr/sbin/setkey -f

flush;
spdflush;

spdadd 192.168.0.0/24 10.255.255.0/24 any -P in ipsec
      esp/tunnel/185.148.83.16-80.211.43.73/require;

spdadd 10.255.255.0/24 192.168.0.0/24 any -P out ipsec
      esp/tunnel/80.211.43.73-185.148.83.16/require;

===


root@racoon:~# racoonctl show-sa isakmp
Destination            Cookies                           Created
185.148.83.16.500      2088977aceb1b512:a4c470cb8f9d57e9 2019-05-22 13:46:13 

===

root@racoon:~# racoonctl show-sa esp
80.211.43.73 185.148.83.16 
        esp mode=tunnel spi=1646662778(0x6226147a) reqid=0(0x00000000)
        E: aes-cbc  00064df4 454d14bc 9444b428 00e2296e c7bb1e03 06937597 1e522ce0 641e704d
        A: hmac-sha1  aa9e7cd7 51653621 67b3b2e9 64818de5 df848792
        seq=0x00000000 replay=4 flags=0x00000000 state=mature 
        created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
        diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
        last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
        current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
        allocated: 860  hard: 0 soft: 0
        sadb_seq=1 pid=7739 refcnt=0
185.148.83.16 80.211.43.73 
        esp mode=tunnel spi=88535449(0x0546f199) reqid=0(0x00000000)
        E: aes-cbc  c812505a 9c30515e 9edc8c4a b3393125 ade4c320 9bde04f0 94e7ba9d 28e61044
        A: hmac-sha1  cd9d6f6e 06dbcd6d da4d14f8 6d1a6239 38589878
        seq=0x00000000 replay=4 flags=0x00000000 state=mature 
        created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
        diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
        last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
        current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
        allocated: 860  hard: 0 soft: 0
        sadb_seq=0 pid=7739 refcnt=0

Vse je pripravljeno, IPsec VPN od mesta do mesta deluje.
V tem primeru smo za avtentikacijo enakovrednih uporabili PSK, možna pa je tudi avtentikacija s certifikatom. Če želite to narediti, pojdite na zavihek Globalna konfiguracija, omogočite preverjanje pristnosti potrdila in izberite samo potrdilo.

Poleg tega boste morali v nastavitvah spletnega mesta spremeniti način preverjanja pristnosti.

Opažam, da je število predorov IPsec odvisno od velikosti nameščenega robnega prehoda (preberite o tem v našem prvi članek).

SSL VPN

SSL VPN-Plus je ena od možnosti VPN za oddaljeni dostop. Omogoča posameznim oddaljenim uporabnikom, da se varno povežejo z zasebnimi omrežji za prehodom NSX Edge Gateway. Šifrirani tunel v primeru SSL VPN-plus se vzpostavi med odjemalcem (Windows, Linux, Mac) in NSX Edge.

Začnimo s postavitvijo. Na nadzorni plošči storitve Edge Gateway pojdite na zavihek SSL VPN-Plus in nato na Nastavitve strežnika. Izberemo naslov in vrata, na katerih bo strežnik poslušal dohodne povezave, omogočimo beleženje in izberemo potrebne algoritme šifriranja.

Tukaj lahko spremenite tudi potrdilo, ki ga bo strežnik uporabljal.
Ko je vse pripravljeno, vklopite strežnik in ne pozabite shraniti nastavitev.
Nato moramo nastaviti skupino naslovov, ki jih bomo izdajali strankam ob povezavi. To omrežje je ločeno od katerega koli obstoječega podomrežja v vašem okolju NSX in ga ni treba konfigurirati na drugih napravah v fizičnih omrežjih, razen poti, ki kažejo nanj.
Pojdite na zavihek IP Pools in kliknite +.
Izberite naslove, podomrežno masko in prehod. Tukaj lahko spremenite tudi nastavitve za strežnike DNS in WINS.
Nastali bazen.
Zdaj pa dodajmo omrežja, do katerih bodo imeli dostop uporabniki, ki se povezujejo v VPN. Pojdite na zavihek Zasebna omrežja in kliknite +.
Izpolnimo:
- Omrežje - lokalno omrežje, do katerega bodo imeli dostop oddaljeni uporabniki.
- Pošlji promet, ima dve možnosti:
  - over tunnel - pošiljanje prometa v omrežje skozi tunel,
  — bypass tunnel—pošlji promet v omrežje neposredno mimo tunela.
- Omogoči optimizacijo TCP - preverite, ali ste izbrali možnost over tunnel. Ko je optimizacija omogočena, lahko določite številke vrat, za katera želite optimizirati promet. Promet za preostala vrata v tem določenem omrežju ne bo optimiziran. Če številke vrat niso navedene, je promet optimiziran za vsa vrata. Preberite več o tej funkciji tukaj.
Nato pojdite na zavihek Authentication in kliknite +. Za avtentikacijo bomo uporabili lokalni strežnik na samem NSX Edge.
Tu lahko izberemo politike za generiranje novih gesel in konfiguriramo možnosti za blokiranje uporabniških računov (na primer število ponovnih poskusov, če je geslo vneseno napačno).
Ker uporabljamo lokalno avtentikacijo, moramo ustvariti uporabnike.
Poleg osnovnih stvari, kot sta ime in geslo, lahko tukaj na primer uporabniku prepoveš spreminjanje gesla ali pa ga, nasprotno, ob naslednji prijavi prisiliš, da spremeni geslo.
Ko so dodani vsi potrebni uporabniki, pojdite na zavihek Namestitveni paketi, kliknite + in ustvarite sam namestitveni program, ki ga bo oddaljeni zaposleni prenesel za namestitev.
Pritisnite +. Izberite naslov in vrata strežnika, na katerega se bo odjemalec povezal, ter platforme, za katere želite ustvariti namestitveni paket.

Spodaj v tem oknu lahko določite nastavitve odjemalca za Windows. izberite:
- zaženi odjemalca ob prijavi – odjemalec VPN bo dodan v zagon na oddaljenem računalniku;
- ustvari ikono namizja - na namizju bo ustvarila ikono odjemalca VPN;
- preverjanje varnostnega certifikata strežnika - preveri potrdilo strežnika ob povezavi.
  Nastavitev strežnika je končana.
Zdaj pa prenesimo namestitveni paket, ki smo ga ustvarili v zadnjem koraku, na oddaljeni računalnik. Pri nastavitvi strežnika smo določili njegov zunanji naslov (185.148.83.16) in vrata (445). V spletnem brskalniku moramo iti na ta naslov. V mojem primeru je 185.148.83.16: 445.
V avtorizacijsko okno morate vnesti uporabniške poverilnice, ki smo jih ustvarili prej.
Po avtorizaciji vidimo seznam ustvarjenih namestitvenih paketov, ki so na voljo za prenos. Ustvarili smo le enega - prenesli ga bomo.
Kliknemo na povezavo, začne se prenos odjemalca.
Razpakirajte preneseni arhiv in zaženite namestitveni program.
Po namestitvi zaženite odjemalca, v avtorizacijskem oknu kliknite Prijava.
V oknu za preverjanje potrdila izberite Da.
Vnesemo poverilnice za predhodno ustvarjenega uporabnika in vidimo, da je bila povezava uspešno zaključena.
Statistiko odjemalca VPN preverimo na lokalnem računalniku.
V ukazni vrstici Windows (ipconfig / all) vidimo, da se je pojavil dodaten navidezni adapter in obstaja povezljivost z oddaljenim omrežjem, vse deluje:
In končno, preverite na konzoli Edge Gateway.

L2 VPN

L2VPN bo potreben, ko boste morali geografsko združiti več
porazdeljena omrežja v eno oddajno domeno.

To je lahko uporabno na primer pri selitvi virtualnega stroja: ko se VM premakne na drugo geografsko območje, bo stroj ohranil svoje nastavitve naslavljanja IP in ne bo izgubil povezljivosti z drugimi stroji, ki se nahajajo v isti domeni L2 z njim.

V našem testnem okolju bomo med seboj povezali dve mesti, imenovali ju bomo A oziroma B. Imamo dva NSX-ja in dve identično ustvarjeni usmerjeni omrežji, pritrjeni na različne robove. Stroj A ima naslov 10.10.10.250/24, stroj B ima naslov 10.10.10.2/24.

V vCloud Director pojdite na zavihek Administration, pojdite na VDC, ki ga potrebujemo, pojdite na zavihek Org VDC Networks in dodajte dve novi omrežji.
Izberite vrsto usmerjenega omrežja in povežite to omrežje z našim NSX. Postavimo potrditveno polje Ustvari kot podvmesnik.
Kot rezultat bi morali dobiti dve mreži. V našem primeru se imenujeta omrežje-a in omrežje-b z enakimi nastavitvami prehoda in isto masko.
Zdaj pa pojdimo na nastavitve prvega NSX. To bo NSX, na katerega je priključeno omrežje A. Deloval bo kot strežnik.
Vrnemo se na vmesnik NSx Edge / Pojdite na zavihek VPN -> L2VPN. Vklopimo L2VPN, izberemo način delovanja strežnika, v globalnih nastavitvah strežnika določimo zunanji NSX IP naslov, na katerem bodo vrata za tunel poslušala. Privzeto se bo vtičnica odprla na vratih 443, vendar je to mogoče spremeniti. Ne pozabite izbrati nastavitev šifriranja za prihodnji tunel.
Pojdite na zavihek Strežniška mesta in dodajte vrstnika.
Vklopimo peer, nastavimo ime, opis, po potrebi nastavimo uporabniško ime in geslo. Te podatke bomo potrebovali pozneje, ko bomo nastavljali stran odjemalca.
V Egress Optimization Gateway Address nastavimo naslov prehoda. To je potrebno, da ne pride do konflikta IP naslovov, ker ima prehod naših omrežij isti naslov. Nato kliknite na gumb IZBERI PODVMESNIKE.
Tu izberemo želeni podvmesnik. Nastavitve shranimo.
Vidimo, da se je novo ustvarjeno odjemalsko mesto pojavilo v nastavitvah.
Zdaj pa preidimo na konfiguracijo NSX s strani odjemalca.
Gremo na stran NSX B, pojdimo na VPN -> L2VPN, omogočimo L2VPN, nastavimo način L2VPN na način odjemalca. Na zavihku Globalni odjemalec nastavite naslov in vrata NSX A, ki smo jih prej navedli kot IP poslušanja in vrata na strani strežnika. Prav tako je treba nastaviti enake nastavitve šifriranja, tako da so konsistentne, ko se tunel dvigne.

Pomaknemo se spodaj, izberemo podvmesnik, skozi katerega bo zgrajen tunel za L2VPN.
V Egress Optimization Gateway Address nastavimo naslov prehoda. Nastavite uporabniški ID in geslo. Izberemo podvmesnik in ne pozabimo shraniti nastavitev.
Pravzaprav je to vse. Nastavitve na strani odjemalca in strežnika so skoraj enake, z izjemo nekaj odtenkov.
Zdaj lahko vidimo, da je naš tunel deloval, tako da gremo na Statistika -> L2VPN na katerem koli NSX.
Če zdaj gremo na konzolo katerega koli robnega prehoda, bomo na vsakem od njih v tabeli arp videli naslova obeh VM-jev.

To je vse o VPN na NSX Edge. Vprašajte, če kaj ni jasno. Je tudi zadnji del serije člankov o delu z NSX Edge. Upamo, da so bili v pomoč 🙂

Vir: www.habr.com

VMware NSX za najmlajše. 6. del: Nastavitev VPN

IPsec

SSL VPN

L2 VPN

Dodaj komentar Prekliči odgovor