Idag ska vi ta en titt på VPN-konfigurationsalternativen som NSX Edge erbjuder oss.
I allmänhet kan vi dela upp VPN-tekniker i två nyckeltyper:
Webbplats-till-plats VPN. Den vanligaste användningen av IPSec är att skapa en säker tunnel, till exempel mellan ett huvudkontorsnätverk och ett nätverk på en fjärrplats eller i molnet.
Fjärråtkomst VPN. Används för att ansluta enskilda användare till företags privata nätverk med VPN-klientprogramvaran.
NSX Edge låter oss använda båda alternativen.
Vi kommer att konfigurera med en testbänk med två NSX Edge, en Linux-server med en installerad demon tvättbjörn och en bärbar Windows-dator för att testa Remote Access VPN.
IPsec
I vCloud Director-gränssnittet, gå till avsnittet Administration och välj vDC. På fliken Edge Gateways, välj den Edge vi behöver, högerklicka och välj Edge Gateway Services.
I NSX Edge-gränssnittet, gå till VPN-IPsec VPN-fliken, sedan till avsnittet IPsec VPN-webbplatser och klicka på + för att lägga till en ny webbplats.
Fyll i de obligatoriska fälten:
Aktiverat – aktiverar fjärrplatsen.
PFS – säkerställer att varje ny kryptografisk nyckel inte är associerad med någon tidigare nyckel.
Lokalt ID och lokal slutpunktt är den externa adressen till NSX Edge.
Lokalt subnäts - lokala nätverk som kommer att använda IPsec VPN.
Peer ID och Peer Endpoint – adress till fjärrplatsen.
Peer-undernät – nätverk som kommer att använda IPsec VPN på fjärrsidan.
Krypteringsalgoritm – tunnelkrypteringsalgoritm.
Autentisering - hur vi kommer att autentisera kamraten. Du kan använda en fördelad nyckel eller ett certifikat.
Fördelad nyckel - ange nyckeln som ska användas för autentisering och måste matcha på båda sidor.
Diffie Hellman Group – nyckelutbytesalgoritm.
När du har fyllt i de obligatoriska fälten klickar du på Behåll.
Klar.
När du har lagt till webbplatsen, gå till fliken Aktiveringsstatus och aktivera IPsec-tjänsten.
När inställningarna har tillämpats, gå till fliken Statistik -> IPsec VPN och kontrollera tunnelns status. Vi ser att tunneln har rest sig.
Kontrollera tunnelstatusen från Edge-gatewaykonsolen:
visa tjänsten ipsec - kontrollera tjänstens status.
visa tjänsten ipsec-webbplats - Information om webbplatsens tillstånd och förhandlade parametrar.
visa tjänsten ipsec sa - kontrollera statusen för Security Association (SA).
Kontrollera anslutning till en fjärrplats:
root@racoon:~# ifconfig eth0:1 | grep inet
inet 10.255.255.1 netmask 255.255.255.0 broadcast 0.0.0.0
root@racoon:~# ping -c1 -I 10.255.255.1 192.168.0.10
PING 192.168.0.10 (192.168.0.10) from 10.255.255.1 : 56(84) bytes of data.
64 bytes from 192.168.0.10: icmp_seq=1 ttl=63 time=59.9 ms
--- 192.168.0.10 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 59.941/59.941/59.941/0.000 ms
Konfigurationsfiler och ytterligare kommandon för diagnostik från en fjärransluten Linux-server:
Allt är klart, plats-till-plats IPsec VPN är igång.
I det här exemplet använde vi PSK för peer-autentisering, men certifikatautentisering är också möjlig. För att göra detta, gå till fliken Global konfiguration, aktivera certifikatautentisering och välj själva certifikatet.
Dessutom, i webbplatsinställningarna, måste du ändra autentiseringsmetoden.
Jag noterar att antalet IPsec-tunnlar beror på storleken på den distribuerade Edge Gateway (läs om detta i vår första artikeln).
SSL VPN
SSL VPN-Plus är ett av alternativen för fjärråtkomst VPN. Det tillåter enskilda fjärranvändare att säkert ansluta till privata nätverk bakom NSX Edge Gateway. En krypterad tunnel i fallet med SSL VPN-plus upprättas mellan klienten (Windows, Linux, Mac) och NSX Edge.
Låt oss börja ställa in. I Edge Gateway-tjänstens kontrollpanel, gå till fliken SSL VPN-Plus och sedan till Serverinställningar. Vi väljer adressen och porten på vilken servern ska lyssna efter inkommande anslutningar, aktiverar loggning och väljer nödvändiga krypteringsalgoritmer.
Här kan du även ändra certifikatet som servern ska använda.
När allt är klart, slå på servern och glöm inte att spara inställningarna.
Därefter måste vi skapa en pool med adresser som vi kommer att utfärda till kunder vid anslutning. Detta nätverk är skilt från alla befintliga undernät i din NSX-miljö och behöver inte konfigureras på andra enheter i de fysiska nätverken, förutom de rutter som pekar till det.
Gå till fliken IP-pooler och klicka på +.
Välj adresser, nätmask och gateway. Här kan du även ändra inställningarna för DNS- och WINS-servrar.
Den resulterande poolen.
Låt oss nu lägga till de nätverk som användare som ansluter till VPN kommer att ha tillgång till. Gå till fliken Privata nätverk och klicka på +.
Vi fyller i:
Nätverk - ett lokalt nätverk som fjärranvändare kommer att ha åtkomst till.
Skicka trafik, det har två alternativ:
- över tunneln - skicka trafik till nätverket genom tunneln,
— bypass tunnel — skicka trafik till nätverket direkt förbi tunneln.
Aktivera TCP-optimering - kontrollera om du valde alternativet över tunnel. När optimering är aktiverad kan du ange de portnummer som du vill optimera trafiken för. Trafiken för de återstående portarna på det specifika nätverket kommer inte att optimeras. Om inga portnummer anges optimeras trafiken för alla portar. Läs mer om den här funktionen här.
Gå sedan till fliken Autentisering och klicka på +. För autentisering kommer vi att använda en lokal server på själva NSX Edge.
Här kan vi välja policyer för att generera nya lösenord och konfigurera alternativ för att blockera användarkonton (till exempel antalet återförsök om lösenordet har skrivits in felaktigt).
Eftersom vi använder lokal autentisering måste vi skapa användare.
Utöver grundläggande saker som namn och lösenord kan du här till exempel förbjuda användaren att byta lösenord eller tvärtom tvinga honom att byta lösenord nästa gång han loggar in.
Efter att alla nödvändiga användare har lagts till, gå till fliken Installationspaket, klicka på + och skapa själva installationsprogrammet, som kommer att laddas ner av en fjärranställd för installation.
Tryck på +. Välj adress och port för servern som klienten ska ansluta till och de plattformar som du vill generera installationspaketet för.
Nedan i det här fönstret kan du ange klientinställningarna för Windows. Välja:
starta klient vid inloggning – VPN-klienten läggs till vid start på fjärrmaskinen;
skapa skrivbordsikon - skapar en VPN-klientikon på skrivbordet;
validering av serversäkerhetscertifikat - kommer att validera servercertifikatet vid anslutning.
Serverinstallationen är klar.
Låt oss nu ladda ner installationspaketet som vi skapade i det sista steget till en fjärrdator. När vi satte upp servern angav vi dess externa adress (185.148.83.16) och port (445). Det är på den här adressen vi behöver gå i en webbläsare. I mitt fall är det så 185.148.83.16: 445.
I auktoriseringsfönstret måste du ange användaruppgifterna som vi skapade tidigare.
Efter auktorisering ser vi en lista över skapade installationspaket som är tillgängliga för nedladdning. Vi har bara skapat en - vi kommer att ladda ner den.
Vi klickar på länken, nedladdningen av klienten börjar.
Packa upp det nedladdade arkivet och kör installationsprogrammet.
Efter installationen, starta klienten, i auktoriseringsfönstret, klicka på Logga in.
Välj Ja i certifikatverifieringsfönstret.
Vi anger inloggningsuppgifterna för den tidigare skapade användaren och ser att anslutningen slutfördes framgångsrikt.
Vi kontrollerar statistiken för VPN-klienten på den lokala datorn.
I Windows-kommandoraden (ipconfig / all) ser vi att en extra virtuell adapter har dykt upp och det finns anslutning till fjärrnätverket, allt fungerar:
Och slutligen, kolla från Edge Gateway-konsolen.
L2 VPN
L2VPN kommer att behövas när du behöver kombinera flera geografiskt
distribuerade nätverk till en sändningsdomän.
Detta kan vara användbart, till exempel vid migrering av en virtuell maskin: när en virtuell dator flyttar till ett annat geografiskt område, kommer maskinen att behålla sina IP-adressinställningar och kommer inte att förlora anslutningen till andra maskiner som finns i samma L2-domän med den.
I vår testmiljö kommer vi att koppla två sajter till varandra, vi kommer att kalla dem A respektive B. Vi har två NSX:er och två identiskt skapade routade nätverk kopplade till olika Edges. Maskin A har adressen 10.10.10.250/24, Maskin B har adressen 10.10.10.2/24.
I vCloud Director, gå till fliken Administration, gå till den VDC vi behöver, gå till fliken Org VDC Networks och lägg till två nya nätverk.
Välj den routade nätverkstypen och bind detta nätverk till vår NSX. Vi sätter kryssrutan Skapa som undergränssnitt.
Som ett resultat bör vi få två nätverk. I vårt exempel kallas de för nätverk-a och nätverk-b med samma gatewayinställningar och samma mask.
Låt oss nu gå till inställningarna för den första NSX. Detta kommer att vara den NSX som nätverk A är ansluten till. Den kommer att fungera som en server.
Vi återgår till NSx Edge-gränssnittet / Gå till VPN-fliken -> L2VPN. Vi slår på L2VPN, väljer serverdriftsläge, i serverns globala inställningar anger vi den externa NSX IP-adressen som porten för tunneln kommer att lyssna på. Som standard öppnas uttaget på port 443, men detta kan ändras. Glöm inte att välja krypteringsinställningarna för den framtida tunneln.
Gå till fliken Serverwebbplatser och lägg till en peer.
Vi slår på kamraten, ställer in namn, beskrivning, ställ in användarnamn och lösenord vid behov. Vi kommer att behöva dessa uppgifter senare när vi konfigurerar klientwebbplatsen.
I Egress Optimization Gateway Address ställer vi in gatewayadressen. Detta är nödvändigt för att det inte ska uppstå konflikter mellan IP-adresser, eftersom gatewayen till våra nätverk har samma adress. Klicka sedan på knappen VÄLJ UNDERGRÄNSSNITT.
Här väljer vi önskat undergränssnitt. Vi sparar inställningarna.
Vi ser att den nyskapade klientsidan har dykt upp i inställningarna.
Låt oss nu gå vidare till att konfigurera NSX från klientsidan.
Vi går till NSX-sida B, går till VPN -> L2VPN, aktiverar L2VPN, ställer in L2VPN-läge till klientläge. På fliken Client Global ställer du in adressen och porten för NSX A, som vi angav tidigare som Listening IP och Port på serversidan. Det är också nödvändigt att ställa in samma krypteringsinställningar så att de är konsekventa när tunneln höjs.
Vi rullar nedan, välj undergränssnittet genom vilket tunneln för L2VPN kommer att byggas.
I Egress Optimization Gateway Address ställer vi in gatewayadressen. Ställ in användar-id och lösenord. Vi väljer undergränssnittet och glöm inte att spara inställningarna.
Det är faktiskt allt. Inställningarna på klient- och serversidan är nästan identiska, med undantag för några nyanser.
Nu kan vi se att vår tunnel har fungerat genom att gå till Statistik -> L2VPN på valfri NSX.
Om vi nu går till konsolen för någon Edge Gateway kommer vi att se adresserna till båda virtuella datorerna på var och en av dem i arp-tabellen.
Det handlar om VPN på NSX Edge. Fråga om något är oklart. Det är också den sista delen av en serie artiklar om att arbeta med NSX Edge. Vi hoppas att de var till hjälp 🙂