VMware NSX för de minsta. Del 6: VPN-installation

Del ett. inledande
Del två. Konfigurera brandvägg och NAT-regler
Del tre. Konfigurerar DHCP
Del fyra. Inställning av rutt
Del fem. Installera en lastbalanserare

Idag ska vi ta en titt på VPN-konfigurationsalternativen som NSX Edge erbjuder oss.

I allmänhet kan vi dela upp VPN-tekniker i två nyckeltyper:

• Webbplats-till-plats VPN. Den vanligaste användningen av IPSec är att skapa en säker tunnel, till exempel mellan ett huvudkontorsnätverk och ett nätverk på en fjärrplats eller i molnet.
• Fjärråtkomst VPN. Används för att ansluta enskilda användare till företags privata nätverk med VPN-klientprogramvaran.

NSX Edge låter oss använda båda alternativen.
Vi kommer att konfigurera med en testbänk med två NSX Edge, en Linux-server med en installerad demon tvättbjörn och en bärbar Windows-dator för att testa Remote Access VPN.

IPsec

1. I vCloud Director-gränssnittet, gå till avsnittet Administration och välj vDC. På fliken Edge Gateways, välj den Edge vi behöver, högerklicka och välj Edge Gateway Services.
   
2. I NSX Edge-gränssnittet, gå till VPN-IPsec VPN-fliken, sedan till avsnittet IPsec VPN-webbplatser och klicka på + för att lägga till en ny webbplats.

   

3. Fyll i de obligatoriska fälten:
   • Aktiverat – aktiverar fjärrplatsen.
   • PFS – säkerställer att varje ny kryptografisk nyckel inte är associerad med någon tidigare nyckel.
   • Lokalt ID och lokal slutpunktt är den externa adressen till NSX Edge.
   • Lokalt subnäts - lokala nätverk som kommer att använda IPsec VPN.
   • Peer ID och Peer Endpoint – adress till fjärrplatsen.
   • Peer-undernät – nätverk som kommer att använda IPsec VPN på fjärrsidan.
   • Krypteringsalgoritm – tunnelkrypteringsalgoritm.

   
   

   • Autentisering - hur vi kommer att autentisera kamraten. Du kan använda en fördelad nyckel eller ett certifikat.
   • Fördelad nyckel - ange nyckeln som ska användas för autentisering och måste matcha på båda sidor.
   • Diffie Hellman Group – nyckelutbytesalgoritm.

   När du har fyllt i de obligatoriska fälten klickar du på Behåll.

   

4. Klar.

   

5. När du har lagt till webbplatsen, gå till fliken Aktiveringsstatus och aktivera IPsec-tjänsten.

   

6. När inställningarna har tillämpats, gå till fliken Statistik -> IPsec VPN och kontrollera tunnelns status. Vi ser att tunneln har rest sig.

   

7. Kontrollera tunnelstatusen från Edge-gatewaykonsolen:
   • visa tjänsten ipsec - kontrollera tjänstens status.

     

   • visa tjänsten ipsec-webbplats - Information om webbplatsens tillstånd och förhandlade parametrar.

     

   • visa tjänsten ipsec sa - kontrollera statusen för Security Association (SA).

     

8. Kontrollera anslutning till en fjärrplats:

   root@racoon:~# ifconfig eth0:1 | grep inet
           inet 10.255.255.1  netmask 255.255.255.0  broadcast 0.0.0.0
   
   root@racoon:~# ping -c1 -I 10.255.255.1 192.168.0.10 
   PING 192.168.0.10 (192.168.0.10) from 10.255.255.1 : 56(84) bytes of data.
   64 bytes from 192.168.0.10: icmp_seq=1 ttl=63 time=59.9 ms
   
   --- 192.168.0.10 ping statistics ---
   1 packets transmitted, 1 received, 0% packet loss, time 0ms
   rtt min/avg/max/mdev = 59.941/59.941/59.941/0.000 ms
   

   Konfigurationsfiler och ytterligare kommandon för diagnostik från en fjärransluten Linux-server:

   root@racoon:~# cat /etc/racoon/racoon.conf 
   
   log debug;
   path pre_shared_key "/etc/racoon/psk.txt";
   path certificate "/etc/racoon/certs";
   
   listen {
     isakmp 80.211.43.73 [500];
      strict_address;
   }
   
   remote 185.148.83.16 {
           exchange_mode main,aggressive;
           proposal {
                    encryption_algorithm aes256;
                    hash_algorithm sha1;
                    authentication_method pre_shared_key;
                    dh_group modp1536;
            }
            generate_policy on;
   }
    
   sainfo address 10.255.255.0/24 any address 192.168.0.0/24 any {
            encryption_algorithm aes256;
            authentication_algorithm hmac_sha1;
            compression_algorithm deflate;
   }
   
   ===
   
   root@racoon:~# cat /etc/racoon/psk.txt
   185.148.83.16 testkey
   
   ===
   
   root@racoon:~# cat /etc/ipsec-tools.conf 
   #!/usr/sbin/setkey -f
   
   flush;
   spdflush;
   
   spdadd 192.168.0.0/24 10.255.255.0/24 any -P in ipsec
         esp/tunnel/185.148.83.16-80.211.43.73/require;
   
   spdadd 10.255.255.0/24 192.168.0.0/24 any -P out ipsec
         esp/tunnel/80.211.43.73-185.148.83.16/require;
   
   ===
   
   
   root@racoon:~# racoonctl show-sa isakmp
   Destination            Cookies                           Created
   185.148.83.16.500      2088977aceb1b512:a4c470cb8f9d57e9 2019-05-22 13:46:13 
   
   ===
   
   root@racoon:~# racoonctl show-sa esp
   80.211.43.73 185.148.83.16 
           esp mode=tunnel spi=1646662778(0x6226147a) reqid=0(0x00000000)
           E: aes-cbc  00064df4 454d14bc 9444b428 00e2296e c7bb1e03 06937597 1e522ce0 641e704d
           A: hmac-sha1  aa9e7cd7 51653621 67b3b2e9 64818de5 df848792
           seq=0x00000000 replay=4 flags=0x00000000 state=mature 
           created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
           diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
           last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
           current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
           allocated: 860  hard: 0 soft: 0
           sadb_seq=1 pid=7739 refcnt=0
   185.148.83.16 80.211.43.73 
           esp mode=tunnel spi=88535449(0x0546f199) reqid=0(0x00000000)
           E: aes-cbc  c812505a 9c30515e 9edc8c4a b3393125 ade4c320 9bde04f0 94e7ba9d 28e61044
           A: hmac-sha1  cd9d6f6e 06dbcd6d da4d14f8 6d1a6239 38589878
           seq=0x00000000 replay=4 flags=0x00000000 state=mature 
           created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
           diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
           last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
           current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
           allocated: 860  hard: 0 soft: 0
           sadb_seq=0 pid=7739 refcnt=0

9. Allt är klart, plats-till-plats IPsec VPN är igång.

   I det här exemplet använde vi PSK för peer-autentisering, men certifikatautentisering är också möjlig. För att göra detta, gå till fliken Global konfiguration, aktivera certifikatautentisering och välj själva certifikatet.

   Dessutom, i webbplatsinställningarna, måste du ändra autentiseringsmetoden.

   
   
   
   
   Jag noterar att antalet IPsec-tunnlar beror på storleken på den distribuerade Edge Gateway (läs om detta i vår första artikeln).

   

SSL VPN

SSL VPN-Plus är ett av alternativen för fjärråtkomst VPN. Det tillåter enskilda fjärranvändare att säkert ansluta till privata nätverk bakom NSX Edge Gateway. En krypterad tunnel i fallet med SSL VPN-plus upprättas mellan klienten (Windows, Linux, Mac) och NSX Edge.

1. Låt oss börja ställa in. I Edge Gateway-tjänstens kontrollpanel, gå till fliken SSL VPN-Plus och sedan till Serverinställningar. Vi väljer adressen och porten på vilken servern ska lyssna efter inkommande anslutningar, aktiverar loggning och väljer nödvändiga krypteringsalgoritmer.

   
   
   Här kan du även ändra certifikatet som servern ska använda.

   

2. När allt är klart, slå på servern och glöm inte att spara inställningarna.

   

3. Därefter måste vi skapa en pool med adresser som vi kommer att utfärda till kunder vid anslutning. Detta nätverk är skilt från alla befintliga undernät i din NSX-miljö och behöver inte konfigureras på andra enheter i de fysiska nätverken, förutom de rutter som pekar till det.

   Gå till fliken IP-pooler och klicka på +.

   

4. Välj adresser, nätmask och gateway. Här kan du även ändra inställningarna för DNS- och WINS-servrar.

   

5. Den resulterande poolen.

   

6. Låt oss nu lägga till de nätverk som användare som ansluter till VPN kommer att ha tillgång till. Gå till fliken Privata nätverk och klicka på +.

   

7. Vi fyller i:
   • Nätverk - ett lokalt nätverk som fjärranvändare kommer att ha åtkomst till.
   • Skicka trafik, det har två alternativ:
     - över tunneln - skicka trafik till nätverket genom tunneln,
     — bypass tunnel — skicka trafik till nätverket direkt förbi tunneln.
   • Aktivera TCP-optimering - kontrollera om du valde alternativet över tunnel. När optimering är aktiverad kan du ange de portnummer som du vill optimera trafiken för. Trafiken för de återstående portarna på det specifika nätverket kommer inte att optimeras. Om inga portnummer anges optimeras trafiken för alla portar. Läs mer om den här funktionen här.

   

8. Gå sedan till fliken Autentisering och klicka på +. För autentisering kommer vi att använda en lokal server på själva NSX Edge.

   

9. Här kan vi välja policyer för att generera nya lösenord och konfigurera alternativ för att blockera användarkonton (till exempel antalet återförsök om lösenordet har skrivits in felaktigt).

   
   
   

10. Eftersom vi använder lokal autentisering måste vi skapa användare.

    

11. Utöver grundläggande saker som namn och lösenord kan du här till exempel förbjuda användaren att byta lösenord eller tvärtom tvinga honom att byta lösenord nästa gång han loggar in.

    

12. Efter att alla nödvändiga användare har lagts till, gå till fliken Installationspaket, klicka på + och skapa själva installationsprogrammet, som kommer att laddas ner av en fjärranställd för installation.

    

13. Tryck på +. Välj adress och port för servern som klienten ska ansluta till och de plattformar som du vill generera installationspaketet för.

    
    
    Nedan i det här fönstret kan du ange klientinställningarna för Windows. Välja:

    • starta klient vid inloggning – VPN-klienten läggs till vid start på fjärrmaskinen;
    • skapa skrivbordsikon - skapar en VPN-klientikon på skrivbordet;
    • validering av serversäkerhetscertifikat - kommer att validera servercertifikatet vid anslutning.
      Serverinstallationen är klar.

    

14. Låt oss nu ladda ner installationspaketet som vi skapade i det sista steget till en fjärrdator. När vi satte upp servern angav vi dess externa adress (185.148.83.16) och port (445). Det är på den här adressen vi behöver gå i en webbläsare. I mitt fall är det så 185.148.83.16: 445.

    I auktoriseringsfönstret måste du ange användaruppgifterna som vi skapade tidigare.

    

15. Efter auktorisering ser vi en lista över skapade installationspaket som är tillgängliga för nedladdning. Vi har bara skapat en - vi kommer att ladda ner den.

    

16. Vi klickar på länken, nedladdningen av klienten börjar.

    

17. Packa upp det nedladdade arkivet och kör installationsprogrammet.

    

18. Efter installationen, starta klienten, i auktoriseringsfönstret, klicka på Logga in.

    

19. Välj Ja i certifikatverifieringsfönstret.

    

20. Vi anger inloggningsuppgifterna för den tidigare skapade användaren och ser att anslutningen slutfördes framgångsrikt.

    
    
    

21. Vi kontrollerar statistiken för VPN-klienten på den lokala datorn.

    
    
    

22. I Windows-kommandoraden (ipconfig / all) ser vi att en extra virtuell adapter har dykt upp och det finns anslutning till fjärrnätverket, allt fungerar:

    
    
    

23. Och slutligen, kolla från Edge Gateway-konsolen.

    

L2 VPN

L2VPN kommer att behövas när du behöver kombinera flera geografiskt
distribuerade nätverk till en sändningsdomän.

Detta kan vara användbart, till exempel vid migrering av en virtuell maskin: när en virtuell dator flyttar till ett annat geografiskt område, kommer maskinen att behålla sina IP-adressinställningar och kommer inte att förlora anslutningen till andra maskiner som finns i samma L2-domän med den.

I vår testmiljö kommer vi att koppla två sajter till varandra, vi kommer att kalla dem A respektive B. Vi har två NSX:er och två identiskt skapade routade nätverk kopplade till olika Edges. Maskin A har adressen 10.10.10.250/24, Maskin B har adressen 10.10.10.2/24.

1. I vCloud Director, gå till fliken Administration, gå till den VDC vi behöver, gå till fliken Org VDC Networks och lägg till två nya nätverk.

   

2. Välj den routade nätverkstypen och bind detta nätverk till vår NSX. Vi sätter kryssrutan Skapa som undergränssnitt.

   

3. Som ett resultat bör vi få två nätverk. I vårt exempel kallas de för nätverk-a och nätverk-b med samma gatewayinställningar och samma mask.

   
   
   

4. Låt oss nu gå till inställningarna för den första NSX. Detta kommer att vara den NSX som nätverk A är ansluten till. Den kommer att fungera som en server.

   Vi återgår till NSx Edge-gränssnittet / Gå till VPN-fliken -> L2VPN. Vi slår på L2VPN, väljer serverdriftsläge, i serverns globala inställningar anger vi den externa NSX IP-adressen som porten för tunneln kommer att lyssna på. Som standard öppnas uttaget på port 443, men detta kan ändras. Glöm inte att välja krypteringsinställningarna för den framtida tunneln.

   

5. Gå till fliken Serverwebbplatser och lägg till en peer.

   

6. Vi slår på kamraten, ställer in namn, beskrivning, ställ in användarnamn och lösenord vid behov. Vi kommer att behöva dessa uppgifter senare när vi konfigurerar klientwebbplatsen.

   I Egress Optimization Gateway Address ställer vi in ​​gatewayadressen. Detta är nödvändigt för att det inte ska uppstå konflikter mellan IP-adresser, eftersom gatewayen till våra nätverk har samma adress. Klicka sedan på knappen VÄLJ UNDERGRÄNSSNITT.

   

7. Här väljer vi önskat undergränssnitt. Vi sparar inställningarna.

   

8. Vi ser att den nyskapade klientsidan har dykt upp i inställningarna.

   

9. Låt oss nu gå vidare till att konfigurera NSX från klientsidan.

   Vi går till NSX-sida B, går till VPN -> L2VPN, aktiverar L2VPN, ställer in L2VPN-läge till klientläge. På fliken Client Global ställer du in adressen och porten för NSX A, som vi angav tidigare som Listening IP och Port på serversidan. Det är också nödvändigt att ställa in samma krypteringsinställningar så att de är konsekventa när tunneln höjs.

   
   
   Vi rullar nedan, välj undergränssnittet genom vilket tunneln för L2VPN kommer att byggas.
   I Egress Optimization Gateway Address ställer vi in ​​gatewayadressen. Ställ in användar-id och lösenord. Vi väljer undergränssnittet och glöm inte att spara inställningarna.

   

10. Det är faktiskt allt. Inställningarna på klient- och serversidan är nästan identiska, med undantag för några nyanser.
11. Nu kan vi se att vår tunnel har fungerat genom att gå till Statistik -> L2VPN på valfri NSX.

    

12. Om vi ​​nu går till konsolen för någon Edge Gateway kommer vi att se adresserna till båda virtuella datorerna på var och en av dem i arp-tabellen.

    

Det handlar om VPN på NSX Edge. Fråga om något är oklart. Det är också den sista delen av en serie artiklar om att arbeta med NSX Edge. Vi hoppas att de var till hjälp 🙂

Källa: will.com