VMware NSX për të vegjlit. Pjesa 6: Konfigurimi i VPN

Pjesa e pare. hyrëse
Pjesa e dyte. Konfigurimi i rregullave të Firewall dhe NAT
Pjesa e tretë. Konfigurimi i DHCP
Pjesa e katërt. Konfigurimi i rrugëzimit
Pjesa e pestë. Vendosja e një balancuesi të ngarkesës

Sot do të hedhim një vështrim në opsionet e konfigurimit të VPN që na ofron NSX Edge.

Në përgjithësi, ne mund t'i ndajmë teknologjitë VPN në dy lloje kryesore:

• VPN nga faqe në faqe. Përdorimi më i zakonshëm i IPSec është krijimi i një tuneli të sigurt, për shembull, midis një rrjeti të zyrës kryesore dhe një rrjeti në një vend të largët ose në cloud.
• Qasja në distancë VPN. Përdoret për të lidhur përdoruesit individualë me rrjetet private të korporatave duke përdorur softuerin e klientit VPN.

NSX Edge na lejon të përdorim të dy opsionet.
Ne do të konfigurojmë duke përdorur një stol testimi me dy NSX Edge, një server Linux me një demon të instaluar rakun dhe një laptop Windows për të testuar Remote Access VPN.

IPsec

1. Në ndërfaqen e drejtorit vCloud, shkoni te seksioni Administrimi dhe zgjidhni vDC. Në skedën Edge Gateways, zgjidhni Edge që na nevojitet, kliko me të djathtën dhe zgjidhni Edge Gateway Services.
   
2. Në ndërfaqen NSX Edge, shkoni te skeda VPN-IPsec VPN, më pas në seksionin IPsec VPN Sites dhe klikoni + për të shtuar një sajt të ri.

   

3. Plotësoni fushat e kërkuara:
   • Enabled – aktivizon faqen në distancë.
   • PFS – siguron që çdo çelës i ri kriptografik të mos shoqërohet me ndonjë çelës të mëparshëm.
   • ID-ja lokale dhe pika përfundimtare lokalet është adresa e jashtme e NSX Edge.
   • Nënrrjeti lokals - rrjetet lokale që do të përdorin IPsec VPN.
   • Peer ID dhe Peer Endpoint – adresa e faqes në distancë.
   • Nënrrjetet homologe – rrjetet që do të përdorin IPsec VPN në anën e largët.
   • Algoritmi i kriptimit – algoritmi i enkriptimit të tunelit.

   
   

   • Vërtetim - si do ta vërtetojmë bashkëmoshatarin. Mund të përdorni një çelës të përbashkët ose një certifikatë.
   • Çelësi i para-ndarë - specifikoni çelësin që do të përdoret për vërtetim dhe duhet të përputhet në të dyja anët.
   • Grupi Diffie Hellman – algoritmi i shkëmbimit të çelësave.

   Pasi të plotësoni fushat e kërkuara, klikoni Mbaj.

   

4. Done.

   

5. Pasi të keni shtuar faqen, shkoni te skeda Statusi i aktivizimit dhe aktivizoni Shërbimin IPsec.

   

6. Pasi të aplikohen cilësimet, shkoni te skeda Statistika -> IPsec VPN dhe kontrolloni statusin e tunelit. Shohim që tuneli është ngritur.

   

7. Kontrolloni statusin e tunelit nga tastiera e portës Edge:
   • shfaq shërbimin ipsec - kontrolloni statusin e shërbimit.

     

   • Shfaq shërbimin e faqes ipsec - Informacion në lidhje me gjendjen e sitit dhe parametrat e negociuar.

     

   • Shfaq shërbimin ipsec sa - kontrolloni statusin e Shoqatës së Sigurisë (SA).

     

8. Kontrollimi i lidhjes me një sajt të largët:

   root@racoon:~# ifconfig eth0:1 | grep inet
           inet 10.255.255.1  netmask 255.255.255.0  broadcast 0.0.0.0
   
   root@racoon:~# ping -c1 -I 10.255.255.1 192.168.0.10 
   PING 192.168.0.10 (192.168.0.10) from 10.255.255.1 : 56(84) bytes of data.
   64 bytes from 192.168.0.10: icmp_seq=1 ttl=63 time=59.9 ms
   
   --- 192.168.0.10 ping statistics ---
   1 packets transmitted, 1 received, 0% packet loss, time 0ms
   rtt min/avg/max/mdev = 59.941/59.941/59.941/0.000 ms
   

   Skedarët e konfigurimit dhe komandat shtesë për diagnostikimin nga një server Linux i largët:

   root@racoon:~# cat /etc/racoon/racoon.conf 
   
   log debug;
   path pre_shared_key "/etc/racoon/psk.txt";
   path certificate "/etc/racoon/certs";
   
   listen {
     isakmp 80.211.43.73 [500];
      strict_address;
   }
   
   remote 185.148.83.16 {
           exchange_mode main,aggressive;
           proposal {
                    encryption_algorithm aes256;
                    hash_algorithm sha1;
                    authentication_method pre_shared_key;
                    dh_group modp1536;
            }
            generate_policy on;
   }
    
   sainfo address 10.255.255.0/24 any address 192.168.0.0/24 any {
            encryption_algorithm aes256;
            authentication_algorithm hmac_sha1;
            compression_algorithm deflate;
   }
   
   ===
   
   root@racoon:~# cat /etc/racoon/psk.txt
   185.148.83.16 testkey
   
   ===
   
   root@racoon:~# cat /etc/ipsec-tools.conf 
   #!/usr/sbin/setkey -f
   
   flush;
   spdflush;
   
   spdadd 192.168.0.0/24 10.255.255.0/24 any -P in ipsec
         esp/tunnel/185.148.83.16-80.211.43.73/require;
   
   spdadd 10.255.255.0/24 192.168.0.0/24 any -P out ipsec
         esp/tunnel/80.211.43.73-185.148.83.16/require;
   
   ===
   
   
   root@racoon:~# racoonctl show-sa isakmp
   Destination            Cookies                           Created
   185.148.83.16.500      2088977aceb1b512:a4c470cb8f9d57e9 2019-05-22 13:46:13 
   
   ===
   
   root@racoon:~# racoonctl show-sa esp
   80.211.43.73 185.148.83.16 
           esp mode=tunnel spi=1646662778(0x6226147a) reqid=0(0x00000000)
           E: aes-cbc  00064df4 454d14bc 9444b428 00e2296e c7bb1e03 06937597 1e522ce0 641e704d
           A: hmac-sha1  aa9e7cd7 51653621 67b3b2e9 64818de5 df848792
           seq=0x00000000 replay=4 flags=0x00000000 state=mature 
           created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
           diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
           last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
           current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
           allocated: 860  hard: 0 soft: 0
           sadb_seq=1 pid=7739 refcnt=0
   185.148.83.16 80.211.43.73 
           esp mode=tunnel spi=88535449(0x0546f199) reqid=0(0x00000000)
           E: aes-cbc  c812505a 9c30515e 9edc8c4a b3393125 ade4c320 9bde04f0 94e7ba9d 28e61044
           A: hmac-sha1  cd9d6f6e 06dbcd6d da4d14f8 6d1a6239 38589878
           seq=0x00000000 replay=4 flags=0x00000000 state=mature 
           created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
           diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
           last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
           current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
           allocated: 860  hard: 0 soft: 0
           sadb_seq=0 pid=7739 refcnt=0

9. Gjithçka është gati, IPsec VPN nga faqe në sit është në funksionim.

   Në këtë shembull, ne kemi përdorur PSK për vërtetimin e kolegëve, por vërtetimi i certifikatës është gjithashtu i mundur. Për ta bërë këtë, shkoni te skedari "Konfigurimi global", aktivizoni vërtetimin e certifikatës dhe zgjidhni vetë certifikatën.

   Përveç kësaj, në cilësimet e faqes, do t'ju duhet të ndryshoni metodën e vërtetimit.

   
   
   
   
   Unë vërej se numri i tuneleve IPsec varet nga madhësia e portës së vendosur Edge (lexoni për këtë në faqen tonë artikulli i parë).

   

SSL VPN

SSL VPN-Plus është një nga opsionet e Remote Access VPN. Ai lejon përdoruesit individualë të largët të lidhen në mënyrë të sigurt me rrjetet private prapa portës NSX Edge. Një tunel i koduar në rastin e SSL VPN-plus është krijuar midis klientit (Windows, Linux, Mac) dhe NSX Edge.

1. Le të fillojmë të konfigurojmë. Në panelin e kontrollit të shërbimit Edge Gateway, shkoni te skeda SSL VPN-Plus, më pas te Cilësimet e Serverit. Ne zgjedhim adresën dhe portën në të cilën serveri do të dëgjojë për lidhjet hyrëse, aktivizojmë regjistrimin dhe zgjedhim algoritmet e nevojshme të kriptimit.

   
   
   Këtu mund të ndryshoni edhe certifikatën që do të përdorë serveri.

   

2. Pasi gjithçka të jetë gati, ndizni serverin dhe mos harroni të ruani cilësimet.

   

3. Më pas, ne duhet të krijojmë një grup adresash që do t'ua lëshojmë klientëve pas lidhjes. Ky rrjet është i ndarë nga çdo nënrrjet ekzistues në mjedisin tuaj NSX dhe nuk ka nevojë të konfigurohet në pajisje të tjera në rrjetet fizike, me përjashtim të rrugëve që tregojnë drejt tij.

   Shkoni te skeda IP Pools dhe klikoni +.

   

4. Zgjidhni adresat, maskën e nënrrjetit dhe portën. Këtu mund të ndryshoni gjithashtu cilësimet për serverët DNS dhe WINS.

   

5. Pishina që rezulton.

   

6. Tani le të shtojmë rrjetet në të cilat do të kenë akses përdoruesit që lidhen me VPN. Shkoni te skeda Rrjetet Private dhe klikoni +.

   

7. Plotësojmë:
   • Rrjeti - një rrjet lokal në të cilin përdoruesit e largët do të kenë akses.
   • Dërgo trafik, ka dy opsione:
     - mbi tunel - dërgoni trafikun në rrjet përmes tunelit,
     — tuneli i anashkalimit—dërgoni trafikun në rrjet duke anashkaluar drejtpërdrejt tunelin.
   • Aktivizo Optimizimin TCP - kontrolloni nëse keni zgjedhur opsionin mbi tunelin. Kur optimizimi është i aktivizuar, mund të specifikoni numrat e portave për të cilat dëshironi të optimizoni trafikun. Trafiku për portet e mbetura në atë rrjet të veçantë nuk do të optimizohet. Nëse nuk specifikohen numra portash, trafiku për të gjitha portet optimizohet. Lexoni më shumë rreth kësaj veçorie këtu.

   

8. Tjetra, shkoni te skedari "Autentifikimi" dhe klikoni +. Për vërtetim, ne do të përdorim një server lokal në vetë NSX Edge.

   

9. Këtu mund të zgjedhim politikat për gjenerimin e fjalëkalimeve të reja dhe të konfigurojmë opsionet për bllokimin e llogarive të përdoruesve (për shembull, numrin e riprovave nëse fjalëkalimi është futur gabimisht).

   
   
   

10. Meqenëse po përdorim vërtetimin lokal, duhet të krijojmë përdorues.

    

11. Përveç gjërave themelore si emri dhe fjalëkalimi, këtu mund të ndaloni, për shembull, përdoruesin të ndryshojë fjalëkalimin ose, anasjelltas, ta detyroni atë të ndryshojë fjalëkalimin herën tjetër kur të identifikohet.

    

12. Pasi të jenë shtuar të gjithë përdoruesit e nevojshëm, shkoni te skeda e Paketave të Instalimit, klikoni + dhe krijoni vetë instaluesin, i cili do të shkarkohet nga një punonjës i largët për instalim.

    

13. Shtypni +. Zgjidhni adresën dhe portin e serverit me të cilin do të lidhet klienti dhe platformat për të cilat dëshironi të gjeneroni paketën e instalimit.

    
    
    Më poshtë në këtë dritare, mund të specifikoni cilësimet e klientit për Windows. Zgjidhni:

    • fillimi i klientit në hyrje - klienti VPN do të shtohet në fillimin në makinën në distancë;
    • krijimin e ikonës së desktopit - do të krijojë një ikonë të klientit VPN në desktop;
    • Vlefshmëria e certifikatës së sigurisë së serverit - do të vërtetojë certifikatën e serverit pas lidhjes.
      Konfigurimi i serverit ka përfunduar.

    

14. Tani le të shkarkojmë paketën e instalimit që krijuam në hapin e fundit në një PC të largët. Gjatë konfigurimit të serverit, ne specifikuam adresën e tij të jashtme (185.148.83.16) dhe portin (445). Pikërisht në këtë adresë duhet të shkojmë në një shfletues uebi. Në rastin tim është 185.148.83.16: 445.

    Në dritaren e autorizimit, duhet të futni kredencialet e përdoruesit që kemi krijuar më parë.

    

15. Pas autorizimit, ne shohim një listë të paketave të instalimit të krijuara të disponueshme për shkarkim. Ne kemi krijuar vetëm një - do ta shkarkojmë.

    

16. Ne klikojmë në lidhjen, fillon shkarkimi i klientit.

    

17. Shpaketoni arkivin e shkarkuar dhe ekzekutoni instaluesin.

    

18. Pas instalimit, hapni klientin, në dritaren e autorizimit, klikoni Identifikohu.

    

19. Në dritaren e verifikimit të certifikatës, zgjidhni Po.

    

20. Ne futim kredencialet për përdoruesin e krijuar më parë dhe shohim që lidhja është përfunduar me sukses.

    
    
    

21. Ne kontrollojmë statistikat e klientit VPN në kompjuterin lokal.

    
    
    

22. Në vijën e komandës së Windows (ipconfig / të gjitha), shohim që është shfaqur një përshtatës virtual shtesë dhe ka lidhje me rrjetin në distancë, gjithçka funksionon:

    
    
    

23. Dhe së fundi, kontrolloni nga tastiera Edge Gateway.

    

L2 VPN

L2VPN do të nevojitet kur ju duhet të kombinoni disa gjeografikisht
rrjetet e shpërndara në një domen transmetimi.

Kjo mund të jetë e dobishme, për shembull, kur migroni një makinë virtuale: kur një VM lëviz në një zonë tjetër gjeografike, makina do të ruajë cilësimet e adresës së IP-së dhe nuk do të humbasë lidhjen me makinat e tjera të vendosura në të njëjtin domen L2 me të.

Në mjedisin tonë të testimit, ne do të lidhim dy faqe me njëra-tjetrën, do t'i quajmë përkatësisht A dhe B. Kemi dy NSX dhe dy rrjete të drejtuara në mënyrë identike të bashkangjitura në Edges të ndryshëm. Makina A ka adresën 10.10.10.250/24, Makina B ka adresën 10.10.10.2/24.

1. Në vCloud Director, shkoni te skeda Administrata, shkoni te VDC që na nevojitet, shkoni te skeda Org VDC Networks dhe shtoni dy rrjete të reja.

   

2. Zgjidhni llojin e rrjetit të drejtuar dhe lidhni këtë rrjet me NSX-në tonë. Ne vendosim kutinë e zgjedhjes Krijo si nënndërfaqe.

   

3. Si rezultat, ne duhet të marrim dy rrjete. Në shembullin tonë, ato quhen network-a dhe network-b me të njëjtat cilësime të portës dhe të njëjtën maskë.

   
   
   

4. Tani le të shkojmë te cilësimet e NSX-it të parë. Ky do të jetë NSX me të cilin është bashkangjitur Rrjeti A. Do të veprojë si server.

   Ne kthehemi në ndërfaqen NSx Edge / Shkoni te skedari VPN -> L2VPN. Ne aktivizojmë L2VPN, zgjedhim mënyrën e funksionimit të serverit, në cilësimet e Server Global ne specifikojmë adresën IP të jashtme NSX në të cilën do të dëgjojë porti për tunelin. Si parazgjedhje, priza do të hapet në portin 443, por kjo mund të ndryshohet. Mos harroni të zgjidhni cilësimet e kriptimit për tunelin e ardhshëm.

   

5. Shkoni te skeda "Sajtet e serverit" dhe shtoni një koleg.

   

6. Ne ndezim bashkëmoshatarin, vendosim emrin, përshkrimin, nëse është e nevojshme, vendosim emrin e përdoruesit dhe fjalëkalimin. Këto të dhëna do të na duhen më vonë kur të konfigurojmë faqen e klientit.

   Në Adresën e Portës së Optimizimit të Egress vendosim adresën e portës. Kjo është e nevojshme që të mos ketë konflikt të adresave IP, sepse porta e rrjeteve tona ka të njëjtën adresë. Pastaj klikoni në butonin SELECT SUB-INTERFACES.

   

7. Këtu zgjedhim nënndërfaqen e dëshiruar. Ne i ruajmë cilësimet.

   

8. Ne shohim që faqja e klientit e krijuar rishtazi është shfaqur në cilësimet.

   

9. Tani le të kalojmë në konfigurimin e NSX nga ana e klientit.

   Shkojmë në anën B NSX, shkojmë te VPN -> L2VPN, aktivizojmë L2VPN, vendosim modalitetin L2VPN në modalitetin e klientit. Në skedën Client Global, vendosni adresën dhe portin e NSX A, të cilat i kemi specifikuar më parë si Listening IP dhe Port në anën e serverit. Është gjithashtu e nevojshme të vendosni të njëjtat cilësime të kriptimit në mënyrë që ato të jenë të qëndrueshme kur tuneli ngrihet.

   
   
   Ne lëvizim më poshtë, zgjedhim nënndërfaqen përmes së cilës do të ndërtohet tuneli për L2VPN.
   Në Adresën e Portës së Optimizimit të Egress vendosim adresën e portës. Vendosni ID-në e përdoruesit dhe fjalëkalimin. Ne zgjedhim nënndërfaqen dhe mos harroni të ruani cilësimet.

   

10. Në fakt, kjo është e gjitha. Cilësimet e klientit dhe serverit janë pothuajse identike, me përjashtim të disa nuancave.
11. Tani mund të shohim që tuneli ynë ka funksionuar duke shkuar te Statistika -> L2VPN në çdo NSX.

    

12. Nëse tani shkojmë në tastierën e ndonjë Edge Gateway, do të shohim në secilën prej tyre në tabelën arp adresat e të dy VM-ve.

    

Kjo ka të bëjë me VPN në NSX Edge. Pyesni nëse diçka është e paqartë. Është gjithashtu pjesa e fundit e një serie artikujsh mbi punën me NSX Edge. Shpresojmë që ata të ishin të dobishëm 🙂

Burimi: www.habr.com