VMware NSX keur leutik. Bagian 6: Setup VPN

Bagian hiji. bubuka
Bagian kadua. Ngonpigurasikeun Firewall sareng Aturan NAT
Bagian katilu. Ngonpigurasikeun DHCP
Bagian kaopat. Pangaturan ruteu
Bagian kalima. Nyetél pangimbangan beban

Dinten ieu kami badé ningali pilihan konfigurasi VPN anu ditawarkeun NSX Edge ka kami.

Sacara umum, urang tiasa ngabagi téknologi VPN kana dua jinis konci:

• VPN situs-ka-situs. Panggunaan IPSec anu paling umum nyaéta pikeun nyiptakeun torowongan anu aman, contona, antara jaringan kantor utama sareng jaringan dina situs anu jauh atanapi dina awan.
• Jauh Aksés VPN. Dipaké pikeun nyambungkeun pamake individu ka jaringan pribadi perusahaan nganggo parangkat lunak klien VPN.

NSX Edge ngamungkinkeun urang ngagunakeun duanana pilihan.
Kami bakal ngonpigurasikeun nganggo bangku uji sareng dua NSX Edge, server Linux sareng daemon anu dipasang rakun sareng laptop Windows pikeun nguji Remote Access VPN.

IPSec

1. Dina panganteur vCloud Diréktur, buka bagian Administrasi tur pilih vDC nu. Dina tab Edge Gateways, pilih Edge anu urang peryogikeun, klik katuhu sareng pilih Edge Gateway Services.
   
2. Dina panganteur NSX Tepi, buka tab VPN-IPsec VPN, teras ka bagian IPsec VPN Situs teras klik + pikeun nambahkeun loka anyar.

   

3. Eusian widang anu diperyogikeun:
   • diaktipkeun – ngaktipkeun situs jauh.
   • PFS - mastikeun yén unggal konci kriptografi énggal henteu aya hubunganana sareng konci sateuacana.
   • ID Lokal sareng Titik Tungtung Lokalt nyaéta alamat éksternal NSX Tepi.
   • Subnet Lokals - jaringan lokal anu bakal ngagunakeun IPsec VPN.
   • Peer ID sareng Peer Endpoint – alamat situs jauh.
   • Subnet peer - jaringan anu bakal nganggo IPsec VPN di sisi jauh.
   • Algoritma Énkripsi - algoritma enkripsi torowongan.

   
   

   • auténtikasi - kumaha urang bakal auténtikasi tara. Anjeun tiasa nganggo Pre-Shared Key atanapi sertipikat.
   • Konci Pra-Dibagi - Sebutkeun konci anu bakal dianggo pikeun auténtikasi sareng kedah cocog dina dua sisi.
   • Grup Diffie Hellman - Algoritma bursa konci.

   Saatos ngeusian widang anu diperyogikeun, klik Simpen.

   

4. Rengse.

   

5. Saatos nambihan situs, angkat ka tab Status Aktivasina sareng aktipkeun Layanan IPsec.

   

6. Saatos setélan diterapkeun, angkat ka tab Statistik -> IPsec VPN sareng pariksa status torowongan. Urang nempo yén torowongan geus risen.

   

7. Pariksa status torowongan tina konsol Edge gateway:
   • show service ipsec - pariksa status jasa.

     

   • nunjukkeun situs ipsec jasa - Inpormasi ngeunaan kaayaan situs sareng parameter anu disawalakeun.

     

   • némbongkeun layanan ipsec sa - pariksa status Association Kaamanan (SA).

     

8. Mariksa konektipitas sareng situs jauh:

   root@racoon:~# ifconfig eth0:1 | grep inet
           inet 10.255.255.1  netmask 255.255.255.0  broadcast 0.0.0.0
   
   root@racoon:~# ping -c1 -I 10.255.255.1 192.168.0.10 
   PING 192.168.0.10 (192.168.0.10) from 10.255.255.1 : 56(84) bytes of data.
   64 bytes from 192.168.0.10: icmp_seq=1 ttl=63 time=59.9 ms
   
   --- 192.168.0.10 ping statistics ---
   1 packets transmitted, 1 received, 0% packet loss, time 0ms
   rtt min/avg/max/mdev = 59.941/59.941/59.941/0.000 ms
   

   Payil konfigurasi sareng paréntah tambahan pikeun diagnostik tina server Linux jauh:

   root@racoon:~# cat /etc/racoon/racoon.conf 
   
   log debug;
   path pre_shared_key "/etc/racoon/psk.txt";
   path certificate "/etc/racoon/certs";
   
   listen {
     isakmp 80.211.43.73 [500];
      strict_address;
   }
   
   remote 185.148.83.16 {
           exchange_mode main,aggressive;
           proposal {
                    encryption_algorithm aes256;
                    hash_algorithm sha1;
                    authentication_method pre_shared_key;
                    dh_group modp1536;
            }
            generate_policy on;
   }
    
   sainfo address 10.255.255.0/24 any address 192.168.0.0/24 any {
            encryption_algorithm aes256;
            authentication_algorithm hmac_sha1;
            compression_algorithm deflate;
   }
   
   ===
   
   root@racoon:~# cat /etc/racoon/psk.txt
   185.148.83.16 testkey
   
   ===
   
   root@racoon:~# cat /etc/ipsec-tools.conf 
   #!/usr/sbin/setkey -f
   
   flush;
   spdflush;
   
   spdadd 192.168.0.0/24 10.255.255.0/24 any -P in ipsec
         esp/tunnel/185.148.83.16-80.211.43.73/require;
   
   spdadd 10.255.255.0/24 192.168.0.0/24 any -P out ipsec
         esp/tunnel/80.211.43.73-185.148.83.16/require;
   
   ===
   
   
   root@racoon:~# racoonctl show-sa isakmp
   Destination            Cookies                           Created
   185.148.83.16.500      2088977aceb1b512:a4c470cb8f9d57e9 2019-05-22 13:46:13 
   
   ===
   
   root@racoon:~# racoonctl show-sa esp
   80.211.43.73 185.148.83.16 
           esp mode=tunnel spi=1646662778(0x6226147a) reqid=0(0x00000000)
           E: aes-cbc  00064df4 454d14bc 9444b428 00e2296e c7bb1e03 06937597 1e522ce0 641e704d
           A: hmac-sha1  aa9e7cd7 51653621 67b3b2e9 64818de5 df848792
           seq=0x00000000 replay=4 flags=0x00000000 state=mature 
           created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
           diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
           last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
           current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
           allocated: 860  hard: 0 soft: 0
           sadb_seq=1 pid=7739 refcnt=0
   185.148.83.16 80.211.43.73 
           esp mode=tunnel spi=88535449(0x0546f199) reqid=0(0x00000000)
           E: aes-cbc  c812505a 9c30515e 9edc8c4a b3393125 ade4c320 9bde04f0 94e7ba9d 28e61044
           A: hmac-sha1  cd9d6f6e 06dbcd6d da4d14f8 6d1a6239 38589878
           seq=0x00000000 replay=4 flags=0x00000000 state=mature 
           created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
           diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
           last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
           current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
           allocated: 860  hard: 0 soft: 0
           sadb_seq=0 pid=7739 refcnt=0

9. Sagalana geus siap, situs-ka-situs IPsec VPN geus nepi na jalan.

   Dina conto ieu, kami nganggo PSK pikeun auténtikasi peer, tapi auténtikasi sertipikat ogé mungkin. Jang ngalampahkeun ieu, buka tab Konfigurasi Global, aktipkeun auténtikasi sertipikat tur pilih sertipikat sorangan.

   Salaku tambahan, dina setélan situs, anjeun kedah ngarobih metodeu auténtikasi.

   
   
   
   
   Kuring perhatikeun yén jumlah torowongan IPsec gumantung kana ukuran Edge Gateway anu disebarkeun (baca ngeunaan ieu dina kami. artikel munggaran).

   

SSL VPN

SSL VPN-Plus mangrupa salah sahiji pilihan Remote Access VPN. Hal ieu ngamungkinkeun pamaké jauh individu pikeun aman nyambung ka jaringan pribadi balik NSX Tepi Gateway. Torowongan énkripsi dina kasus SSL VPN-plus diadegkeun antara klien (Windows, Linux, Mac) sareng NSX Edge.

1. Hayu urang mimitian nyetél. Dina panel kontrol jasa Edge Gateway, buka tab SSL VPN-Plus, teras ka Setélan Server. Kami milih alamat sareng port dimana server bakal ngadangukeun sambungan anu asup, aktipkeun logging sareng pilih algoritma enkripsi anu diperyogikeun.

   
   
   Di dieu anjeun ogé tiasa ngarobih sertipikat anu bakal dianggo ku server.

   

2. Saatos sadayana siap, hurungkeun server sareng ulah hilap simpen setélan.

   

3. Salajengna, urang kedah nyetél kolam renang alamat anu bakal kami kirimkeun ka klien nalika sambungan. Jaringan ieu misah ti sagala subnet aya di lingkungan NSX anjeun sarta teu perlu ngonpigurasi dina alat sejenna dina jaringan fisik, iwal ruteu nu nunjuk ka dinya.

   Buka tab IP Pools teras klik +.

   

4. Pilih alamat, subnet mask sareng gateway. Di dieu anjeun ogé tiasa ngarobih setélan pikeun server DNS sareng WINS.

   

5. kolam renang hasilna.

   

6. Ayeuna hayu urang tambahkeun jaringan anu bakal diaksés ku pangguna anu nyambung ka VPN. Pindah ka tab Jaringan Pribadi teras klik +.

   

7. Urang eusian:
   • Jaringan - jaringan lokal dimana pamaké jauh bakal boga aksés.
   • Kirim lalu lintas, éta ngagaduhan dua pilihan:
     - ngaliwatan torowongan - ngirim lalulintas ka jaringan ngaliwatan torowongan,
     — jalan pintas torowongan — kirimkeun lalu lintas ka jaringan langsung ngalangkungan torowongan.
   • Aktipkeun Optimasi TCP - pariksa naha anjeun milih pilihan over torowongan. Nalika optimasi diaktipkeun, anjeun tiasa netepkeun nomer port anu anjeun hoyong ngaoptimalkeun lalu lintas. Lalu lintas pikeun palabuhan sésana dina éta jaringan tinangtu moal dioptimalkeun. Upami teu aya nomer port anu ditangtukeun, lalu lintas pikeun sadaya palabuhan dioptimalkeun. Baca leuwih seueur tentang fitur ieu di dieu.

   

8. Salajengna, buka tab Auténtikasi teras klik +. Pikeun auténtikasi, urang bakal ngagunakeun server lokal dina NSX Tepi sorangan.

   

9. Di dieu urang tiasa milih kawijakan pikeun ngahasilkeun kecap akses anyar sareng ngonpigurasikeun pilihan pikeun meungpeuk akun pangguna (contona, jumlah pacobaan deui upami kecap aksesna lepat).

   
   
   

10. Kusabab urang nganggo auténtikasi lokal, urang kedah nyiptakeun pangguna.

    

11. Salian hal-hal dasar sapertos nami sareng kecap konci, di dieu anjeun tiasa, contona, nyaram pangguna ngarobih kecap konci atanapi, sabalikna, maksa anjeunna ngarobih kecap konci dina waktos salajengna anjeunna asup.

    

12. Saatos sadaya pangguna anu diperyogikeun parantos ditambihan, angkat ka tab Paket Pamasangan, klik + sareng jieun installer nyalira, anu bakal diunduh ku karyawan jauh pikeun dipasang.

    

13. Pencét +. Pilih alamat sareng port server anu bakal dihubungkeun ku klien, sareng platform anu anjeun badé ngahasilkeun pakét pamasangan.

    
    
    Di handap dina jandela ieu, anjeun tiasa netepkeun setélan klien pikeun Windows. Pilih:

    • ngamimitian klien dina logon - klien VPN bakal ditambahkeun kana ngamimitian dina mesin jauh;
    • jieun ikon desktop - bakal nyieun ikon klien VPN dina desktop;
    • validasi sertipikat kaamanan server - bakal sangkan méré konfirmasi sertipikat server kana sambungan.
      Setélan server parantos réngsé.

    

14. Ayeuna hayu urang unduh pakét pamasangan anu urang ciptakeun dina léngkah terakhir ka PC jauh. Nalika nyetél server, kami netepkeun alamat éksternal na (185.148.83.16) sareng port (445). Di alamat ieu urang kedah lebet dina browser wéb. Dina hal kuring éta 185.148.83.16: 445.

    Dina jandela otorisasina, anjeun kedah ngalebetkeun kredensial pangguna anu kami damel sateuacana.

    

15. Saatos otorisasina, urang ningali daptar pakét instalasi anu didamel sayogi pikeun diunduh. Kami ngan ukur nyiptakeun hiji - kami bakal ngaunduhana.

    

16. Urang klik dina link, undeuran klien dimimitian.

    

17. Buka bungkus arsip anu diunduh sareng jalankeun pamasang.

    

18. Saatos instalasi, ngajalankeun klien, dina jandela otorisasina, klik Login.

    

19. Dina jandela verifikasi sertipikat, pilih Sumuhun.

    

20. Urang asupkeun Kapercayaan pikeun pamaké dijieun saméméhna tur tingal yen sambungan geus réngsé junun.

    
    
    

21. Kami pariksa statistik klien VPN dina komputer lokal.

    
    
    

22. Dina garis paréntah Windows (ipconfig / sadayana), urang ningali yén adaptor virtual tambahan parantos muncul sareng aya konektipitas ka jaringan jauh, sadayana tiasa dianggo:

    
    
    

23. Tungtungna, pariksa tina konsol Edge Gateway.

    

L2 VPN

L2VPN bakal diperyogikeun nalika anjeun kedah ngagabungkeun sababaraha sacara geografis
jaringan disebarkeun kana hiji domain siaran.

Ieu tiasa mangpaat, contona, nalika migrasi mesin virtual: nalika VM pindah ka daérah géografis anu sanés, mesin bakal nahan setélan alamat IP na sareng moal kaleungitan konektipitas sareng mesin sanés anu aya dina domain L2 anu sami sareng éta.

Dina lingkungan test urang, urang bakal nyambungkeun dua situs ka silih, urang bakal nelepon aranjeunna A jeung B, masing-masing urang boga dua NSXs na dua jaringan routed idéntik dijieun napel Edges béda. Mesin A boga alamat 10.10.10.250/24, Mesin B boga alamat 10.10.10.2/24.

1. Dina Diréktur vCloud, buka tab Administrasi, buka VDC anu urang butuhkeun, buka tab Org VDC Networks sareng tambahkeun dua jaringan anyar.

   

2. Pilih tipe jaringan routed sarta ngabeungkeut jaringan ieu NSX kami. Kami nempatkeun kotak centang Jieun salaku subinterface.

   

3. Hasilna, urang kudu meunang dua jaringan. Dina conto urang, aranjeunna disebut jaringan-a sareng jaringan-b sareng setélan gateway anu sami sareng masker anu sami.

   
   
   

4. Ayeuna hayu urang angkat ka setélan NSX munggaran. Ieu bakal NSX nu Network A napel na. Bakal meta salaku server a.

   Urang balik deui ka panganteur NSx Tepi / Buka tab VPN -> L2VPN. Hurungkeun L2VPN, pilih mode operasi Server, dina setélan Server Global urang nangtukeun alamat NSX IP éksternal anu port pikeun torowongan bakal ngadangukeun. Sacara standar, stop kontak bakal muka dina port 443, tapi ieu bisa dirobah. Tong hilap milih setélan énkripsi pikeun torowongan anu bakal datang.

   

5. Pindah ka tab Situs Server sareng tambahkeun peer.

   

6. Urang hurungkeun peer, nyetel ngaran, pedaran, lamun perlu, nyetel ngaran pamaké sarta sandi. Urang bakal butuh data ieu engké nalika nyetel situs klien.

   Dina Egress Optimasi Gateway Alamat urang nyetel alamat gateway. Ieu diperlukeun ku kituna teu aya konflik alamat IP, sabab gateway jaringan urang boga alamat nu sami. Teras klik tombol PILIH SUB-INTERFACES.

   

7. Di dieu urang pilih subinterface nu dipikahoyong. Urang nyimpen setélan.

   

8. Kami ningali yén situs klien anu nembé diciptakeun parantos muncul dina setélan.

   

9. Ayeuna hayu urang teraskeun kana ngonpigurasikeun NSX ti sisi klien.

   Urang buka NSX sisi B, buka VPN -> L2VPN, aktipkeun L2VPN, setel mode L2VPN ka modeu klien. Dina tab Client Global, setel alamat sareng palabuhan NSX A, anu kami parantosan sateuacana salaku Dengekeun IP sareng Port di sisi server. Éta ogé kedah nyetél setélan énkripsi anu sami supados konsisten nalika torowongan diangkat.

   
   
   Urang gulung ka handap, pilih subinterface ngaliwatan nu torowongan pikeun L2VPN bakal diwangun.
   Dina Egress Optimasi Gateway Alamat urang nyetel alamat gateway. Setel id-pamaké sareng kecap akses. Kami milih subinterface sareng ulah hilap simpen setélan.

   

10. Sabenerna, éta kabéh. Setélan sisi klien sareng server ampir sami, iwal sababaraha nuansa.
11. Ayeuna urang tiasa ningali yén torowongan urang parantos damel ku jalan ka Statistik -> L2VPN dina NSX naon waé.

    

12. Lamun urang ayeuna buka konsol nu mana wae Tepi gateway, urang bakal ningali dina unggal sahijina dina tabel arp alamat duanana VMs.

    

Éta sadayana ngeunaan VPN dina NSX Edge. Tanyakeun upami aya anu teu jelas. Éta ogé bagian terakhir tina séri tulisan ngeunaan gawé bareng NSX Edge. Kami ngarepkeun aranjeunna ngabantosan 🙂

sumber: www.habr.com