VMware NSX барои хурдсолон. Қисми 6: Танзимоти VPN

Қисми якум. муқаддимавӣ
Қисми дуюм. Танзими қоидаҳои Firewall ва NAT
Қисми сеюм. Танзими DHCP
Қисми чорум. Танзимоти масир
Қисми панҷум. Ташкили мувозинати сарборӣ

Имрӯз мо имконоти конфигуратсияи VPN-ро, ки NSX Edge ба мо пешниҳод мекунад, дида мебароем.

Умуман, мо метавонем технологияҳои VPN-ро ба ду намуди асосӣ тақсим кунем:

• VPN аз сайт ба сайт. Истифодаи маъмултарини IPSec ин сохтани нақби бехатар аст, масалан, байни шабакаи асосии офис ва шабака дар макони дурдаст ё абр.
• Дастрасии дурдаст VPN. Барои пайваст кардани корбарони инфиродӣ ба шабакаҳои хусусии созмон бо истифода аз нармафзори муштарии VPN истифода мешавад.

NSX Edge ба мо имкон медиҳад, ки ҳарду интихобро истифода барем.
Мо бо истифода аз курсии санҷишӣ бо ду NSX Edge, сервери Linux бо демони насбшуда танзим мекунем нажод ва ноутбуки Windows барои санҷиши дастрасии дурдаст VPN.

IPsec

1. Дар интерфейси vCloud Director, ба бахши Маъмурият гузаред ва vDC-ро интихоб кунед. Дар ҷадвали Edge Gateways, Edge-ро, ки ба мо лозим аст, интихоб кунед, тугмаи ростро клик кунед ва Хидматҳои Edge Gateway -ро интихоб кунед.
   
2. Дар интерфейси NSX Edge, ба ҷадвали VPN-IPsec VPN гузаред ва сипас ба қисмати IPsec VPN сайтҳо гузаред ва +-ро пахш кунед, то сайти нав илова кунед.

   

3. Майдонҳои заруриро пур кунед:
   • Ин имкон медиҳад – сайти дурдастро фаъол мекунад.
   • PFS - кафолат медиҳад, ки ҳар як калиди нави криптографӣ бо ягон калиди қаблӣ алоқаманд нест.
   • ID маҳаллӣ ва Endpoint Localt суроғаи берунии NSX Edge аст.
   • Зершабакаи маҳаллӣs - шабакаҳои маҳаллӣ, ки IPsec VPN-ро истифода мебаранд.
   • ID Peer ва Endpoint Peer – суроғаи сайти дурдаст.
   • Зершабакаҳои ҳамсол – шабакаҳое, ки дар тарафи дурдаст IPsec VPN истифода хоҳанд кард.
   • Алгоритми рамзгузорӣ – алгоритми рамзгузории нақб.

   
   

   • Таъйид - чӣ гуна мо ҳамсолро тасдиқ мекунем. Шумо метавонед калиди пешакии муштарак ё сертификатро истифода баред.
   • Калиди пешакӣ мубодила - калидеро, ки барои аутентификатсия истифода мешавад ва бояд аз ҳарду ҷониб мувофиқат кунад, муайян кунед.
   • Гурӯҳи Диффи Ҳелман – алгоритми мубодилаи калид.

   Пас аз пур кардани майдонҳои зарурӣ, нигоҳ доштанро клик кунед.

   

4. Муҳокима.

   

5. Пас аз илова кардани сайт, ба ҷадвали Ҳолати Фаъолсозӣ гузаред ва хидмати IPsec-ро фаъол кунед.

   

6. Пас аз татбиқи танзимот, ба ҷадвали Омор -> IPsec VPN гузаред ва ҳолати нақбро тафтиш кунед. Мо мебинем, ки туннель баланд шудааст.

   

7. Ҳолати нақбиро аз консол gateway Edge санҷед:
   • нишон додани хидмати ipsec - ҳолати хидматро тафтиш кунед.

     

   • нишон хадамоти ipsec сайт - Маълумот дар бораи вазъи сомона ва параметрҳои гуфтушунид.

     

   • нишон додани хидмати ipsec sa - ҳолати Ассотсиатсияи Амният (SA) -ро тафтиш кунед.

     

8. Санҷиши пайвастшавӣ бо сайти дурдаст:

   root@racoon:~# ifconfig eth0:1 | grep inet
           inet 10.255.255.1  netmask 255.255.255.0  broadcast 0.0.0.0
   
   root@racoon:~# ping -c1 -I 10.255.255.1 192.168.0.10 
   PING 192.168.0.10 (192.168.0.10) from 10.255.255.1 : 56(84) bytes of data.
   64 bytes from 192.168.0.10: icmp_seq=1 ttl=63 time=59.9 ms
   
   --- 192.168.0.10 ping statistics ---
   1 packets transmitted, 1 received, 0% packet loss, time 0ms
   rtt min/avg/max/mdev = 59.941/59.941/59.941/0.000 ms
   

   Файлҳои конфигуратсия ва фармонҳои иловагӣ барои ташхис аз сервери дурдасти Linux:

   root@racoon:~# cat /etc/racoon/racoon.conf 
   
   log debug;
   path pre_shared_key "/etc/racoon/psk.txt";
   path certificate "/etc/racoon/certs";
   
   listen {
     isakmp 80.211.43.73 [500];
      strict_address;
   }
   
   remote 185.148.83.16 {
           exchange_mode main,aggressive;
           proposal {
                    encryption_algorithm aes256;
                    hash_algorithm sha1;
                    authentication_method pre_shared_key;
                    dh_group modp1536;
            }
            generate_policy on;
   }
    
   sainfo address 10.255.255.0/24 any address 192.168.0.0/24 any {
            encryption_algorithm aes256;
            authentication_algorithm hmac_sha1;
            compression_algorithm deflate;
   }
   
   ===
   
   root@racoon:~# cat /etc/racoon/psk.txt
   185.148.83.16 testkey
   
   ===
   
   root@racoon:~# cat /etc/ipsec-tools.conf 
   #!/usr/sbin/setkey -f
   
   flush;
   spdflush;
   
   spdadd 192.168.0.0/24 10.255.255.0/24 any -P in ipsec
         esp/tunnel/185.148.83.16-80.211.43.73/require;
   
   spdadd 10.255.255.0/24 192.168.0.0/24 any -P out ipsec
         esp/tunnel/80.211.43.73-185.148.83.16/require;
   
   ===
   
   
   root@racoon:~# racoonctl show-sa isakmp
   Destination            Cookies                           Created
   185.148.83.16.500      2088977aceb1b512:a4c470cb8f9d57e9 2019-05-22 13:46:13 
   
   ===
   
   root@racoon:~# racoonctl show-sa esp
   80.211.43.73 185.148.83.16 
           esp mode=tunnel spi=1646662778(0x6226147a) reqid=0(0x00000000)
           E: aes-cbc  00064df4 454d14bc 9444b428 00e2296e c7bb1e03 06937597 1e522ce0 641e704d
           A: hmac-sha1  aa9e7cd7 51653621 67b3b2e9 64818de5 df848792
           seq=0x00000000 replay=4 flags=0x00000000 state=mature 
           created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
           diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
           last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
           current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
           allocated: 860  hard: 0 soft: 0
           sadb_seq=1 pid=7739 refcnt=0
   185.148.83.16 80.211.43.73 
           esp mode=tunnel spi=88535449(0x0546f199) reqid=0(0x00000000)
           E: aes-cbc  c812505a 9c30515e 9edc8c4a b3393125 ade4c320 9bde04f0 94e7ba9d 28e61044
           A: hmac-sha1  cd9d6f6e 06dbcd6d da4d14f8 6d1a6239 38589878
           seq=0x00000000 replay=4 flags=0x00000000 state=mature 
           created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
           diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
           last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
           current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
           allocated: 860  hard: 0 soft: 0
           sadb_seq=0 pid=7739 refcnt=0

9. Ҳама чиз омода аст, IPsec VPN аз сайт ба сайт кор мекунад.

   Дар ин мисол, мо PSK-ро барои аутентификатсияи ҳамсолон истифода кардем, аммо аутентификатсияи сертификат низ имконпазир аст. Барои ин, ба ҷадвали конфигуратсияи глобалӣ гузаред, тасдиқи сертификатро фаъол созед ва худи сертификатро интихоб кунед.

   Илова бар ин, дар танзимоти сайт, шумо бояд усули аутентификатсияро тағир диҳед.

   
   
   
   
   Ман қайд мекунам, ки шумораи нақбҳои IPsec аз андозаи ҷойгиршудаи Edge Gateway вобаста аст (дар ин бора дар мо хонед мақолаи аввал).

   

SSL VPN

SSL VPN-Plus яке аз имконоти дастрасии дурдаст VPN мебошад. Он ба корбарони дурдасти инфиродӣ имкон медиҳад, ки дар паси NSX Edge Gateway ба шабакаҳои хусусӣ бехатар пайваст шаванд. Дар мавриди SSL VPN-plus нақби рамзшуда дар байни муштарӣ (Windows, Linux, Mac) ва NSX Edge муқаррар карда мешавад.

1. Биёед ба танзим оғоз кунем. Дар панели идоракунии хидмати Edge Gateway, ба ҷадвали SSL VPN-Plus ва сипас ба Танзимоти сервер гузаред. Мо суроға ва портеро интихоб мекунем, ки сервер дар он пайвастҳои воридотӣ гӯш мекунад, сабтро фаъол мекунад ва алгоритмҳои рамзгузории заруриро интихоб мекунад.

   
   
   Дар ин ҷо шумо инчунин метавонед сертификатеро, ки сервер истифода хоҳад кард, тағир диҳед.

   

2. Пас аз ҳама чиз омода аст, серверро фаъол кунед ва захира кардани танзимотро фаромӯш накунед.

   

3. Баъдан, мо бояд як ҳавзи суроғаҳоро таъсис диҳем, ки ҳангоми пайвастшавӣ ба мизоҷон ба онҳо медиҳем. Ин шабака аз ҳама зершабакаи мавҷуда дар муҳити NSX-и шумо ҷудо аст ва лозим нест, ки дар дигар дастгоҳҳои шабакаҳои физикӣ танзим карда шавад, ба истиснои масирҳое, ки ба он ишора мекунанд.

   Ба ҷадвали IP Pools гузаред ва + -ро клик кунед.

   

4. Суроғаҳо, ниқоби зершабака ва шлюзро интихоб кунед. Дар ин ҷо шумо инчунин метавонед танзимоти серверҳои DNS ва WINS-ро тағир диҳед.

   

5. Ҳавзи натиҷа.

   

6. Акнун биёед шабакаҳоеро илова кунем, ки корбарони ба VPN пайвастшуда ба онҳо дастрасӣ доранд. Ба ҷадвали Шабакаҳои хусусӣ гузаред ва + -ро клик кунед.

   

7. Мо пур мекунем:
   • Шабака - шабакаи маҳаллӣ, ки ба он корбарони дурдаст дастрасӣ доранд.
   • Ирсоли трафик, он ду имкон дорад:
     - тавассути нақб - интиқоли трафик ба шабака тавассути нақб,
     — туннели гардиш — трафикро бевосита аз туннель ба шабака фиристед.
   • Оптимизатсияи TCP-ро фаъол созед - санҷед, ки оё шумо варианти болои нақбиро интихоб кардаед. Вақте ки оптимизатсия фаъол аст, шумо метавонед рақамҳои портеро, ки барои онҳо трафикро оптимизатсия кардан мехоҳед, муайян кунед. Трафик барои бандарҳои боқимондаи ин шабакаи мушаххас оптимизатсия карда намешавад. Агар ягон рақами порт нишон дода нашавад, трафик барои ҳамаи портҳо оптимизатсия карда мешавад. Дар бораи ин хусусият бештар хонед дар ин ҷо.

   

8. Баъд, ба ҷадвали аутентификатсия гузаред ва + -ро клик кунед. Барои тасдиқ, мо сервери маҳаллиро дар худи NSX Edge истифода мебарем.

   

9. Дар ин ҷо мо метавонем сиёсатҳоро барои тавлиди паролҳои нав интихоб кунем ва имконоти бастани ҳисобҳои корбарро танзим кунем (масалан, шумораи кӯшишҳои такрорӣ, агар парол нодуруст ворид карда шавад).

   
   
   

10. Азбаски мо аутентификатсияи маҳаллиро истифода мебарем, мо бояд корбаронро эҷод кунем.

    

11. Илова ба чизҳои асосӣ, ба монанди ном ва парол, дар ин ҷо шумо метавонед, масалан, ба корбар иваз кардани паролро манъ кунед ё, баръакс, ӯро маҷбур кунед, ки паролро ҳангоми ворид шуданаш дар оянда иваз кунад.

    

12. Пас аз илова кардани ҳама корбарони зарурӣ, ба ҷадвали Бастаҳои насбкунӣ гузаред, + -ро клик кунед ва худи насбкунандаро эҷод кунед, ки онро корманди дурдаст барои насб зеркашӣ мекунад.

    

13. +-ро пахш кунед. Суроға ва бандари сервере, ки муштарӣ ба он пайваст мешавад ва платформаҳоеро, ки барои онҳо бастаи насбкунӣ тавлид кардан мехоҳед, интихоб кунед.

    
    
    Дар зер дар ин равзана шумо метавонед танзимоти муштариро барои Windows муайян кунед. Интихоб кунед:

    • мизоҷро ҳангоми ворид шудан оғоз кунед - муштарии VPN ба оғози мошини дурдаст илова карда мешавад;
    • тасвири мизи корӣ эҷод кунед - дар мизи корӣ нишонаи муштарии VPN эҷод мекунад;
    • тасдиқи сертификати амнияти сервер - сертификати серверро ҳангоми пайвастшавӣ тасдиқ мекунад.
      Насби сервер ба анҷом расид.

    

14. Акнун биёед бастаи насбро, ки мо дар қадами охирин сохтаем, ба компютери дурдаст зеркашӣ кунем. Ҳангоми насб кардани сервер, мо суроғаи берунии онро (185.148.83.16) ва порт (445) муайян кардем. Маҳз дар ин суроға мо бояд ба браузери веб равем. Дар ҳолати ман ин аст 185.148.83.16: 445.

    Дар равзанаи иҷозат, шумо бояд маълумоти корбареро, ки мо қаблан эҷод карда будем, ворид кунед.

    

15. Пас аз иҷозат, мо рӯйхати бастаҳои насби сохташударо мебинем, ки барои зеркашӣ дастрасанд. Мо танҳо як чизро офаридаем - мо онро зеркашӣ мекунем.

    

16. Мо истинодро пахш мекунем, зеркашии муштарӣ оғоз мешавад.

    

17. Архиви зеркашидашударо кушоед ва насбкуниро иҷро кунед.

    

18. Пас аз насб, муштариро оғоз кунед, дар равзанаи авторизатсия, Вуруд-ро клик кунед.

    

19. Дар равзанаи тасдиқи сертификат Ҳа-ро интихоб кунед.

    

20. Мо маълумоти корбари қаблан сохташударо ворид мекунем ва мебинем, ки пайвастшавӣ бомуваффақият анҷом ёфтааст.

    
    
    

21. Мо омори муштарии VPN-ро дар компютери маҳаллӣ тафтиш мекунем.

    
    
    

22. Дар сатри фармони Windows (ipconfig / all) мо мебинем, ки адаптери иловагии виртуалӣ пайдо шудааст ва пайвастшавӣ ба шабакаи дурдаст вуҷуд дорад, ҳама чиз кор мекунад:

    
    
    

23. Ва ниҳоят, аз консол Edge Gateway тафтиш кунед.

    

L2 VPN

L2VPN вақте лозим мешавад, ки шумо бояд якчанд намуди ҷуғрофиро якҷоя кунед
шабакаҳои тақсимшуда ба як домени пахш.

Ин метавонад, масалан, ҳангоми интиқоли мошини виртуалӣ муфид бошад: вақте ки VM ба минтақаи ҷуғрофии дигар мегузарад, мошин танзимоти суроғаи IP-и худро нигоҳ медорад ва пайвастшавиро бо мошинҳои дигаре, ки дар ҳамон домени L2 бо он ҷойгиранд, гум намекунад.

Дар муҳити санҷиши мо, мо ду сайтро ба ҳам мепайвандем ва онҳоро мутаносибан A ва B меномем Мо ду NSX ва ду шабакаи якхела сохташуда дорем, ки ба Edges гуногун пайваст карда шудаанд. Мошини А суроғаи 10.10.10.250/24 дорад, мошини В суроғаи 10.10.10.2/24 дорад.

1. Дар vCloud Director, ба ҷадвали Маъмурият гузаред, ба VDC ба мо лозим аст, ба ҷадвали Шабакаҳои Org VDC гузаред ва ду шабакаи нав илова кунед.

   

2. Навъи шабакаи масирро интихоб кунед ва ин шабакаро ба NSX-и мо пайваст кунед. Мо қуттии қайдро мегузорем Эҷод ҳамчун зеринтерфейс.

   

3. Дар натиҷа, мо бояд ду шабака ба даст орем. Дар мисоли мо, онҳо шабака-a ва network-b номида мешаванд, ки танзимоти як дарвоза ва як ниқоб доранд.

   
   
   

4. Акнун биёед ба танзимоти аввалин NSX равем. Ин NSX хоҳад буд, ки Шабакаи А ба он пайваст карда шудааст. Он ҳамчун сервер амал мекунад.

   Мо ба интерфейси NSx Edge бармегардем / Ба ҷадвали VPN -> L2VPN гузаред. Мо L2VPN-ро фаъол мекунем, реҷаи кори серверро интихоб мекунем, дар танзимоти глобалии сервер мо суроғаи IP-и берунии NSX-ро, ки дар он порти нақб гӯш мекунад, муайян мекунем. Бо нобаёнӣ, розетка дар порти 443 кушода мешавад, аммо онро тағир додан мумкин аст. Фаромӯш накунед, ки танзимоти рамзгузориро барои нақби оянда интихоб кунед.

   

5. Ба ҷадвали сайтҳои сервер равед ва ҳамсолро илова кунед.

   

6. Мо ҳамсолро фаъол мекунем, ном, тавсифро таъин мекунем, агар лозим бошад, номи корбар ва паролро таъин кунед. Мо ин маълумотро дертар ҳангоми таъсиси сайти муштарӣ лозим хоҳем кард.

   Дар Egress Optimization Gateway Address мо суроғаи дарвозаро муқаррар мекунем. Ин барои он зарур аст, ки ихтилофи суроғаҳои IP вуҷуд надошта бошад, зеро дарвозаи шабакаҳои мо суроғаи якхела дорад. Пас тугмаи SELECT SUB-INTERFACES -ро клик кунед.

   

7. Дар ин ҷо мо зеринтерфейси дилхоҳро интихоб мекунем. Мо танзимотро захира мекунем.

   

8. Мо мебинем, ки сайти муштарии навтаъсис дар танзимот пайдо шудааст.

   

9. Акнун биёед ба конфигуратсияи NSX аз ҷониби муштарӣ гузарем.

   Мо ба тарафи NSX B меравем, ба VPN -> L2VPN меравем, L2VPN-ро фаъол мекунем, режими L2VPN-ро ба ҳолати муштарӣ таъин мекунем. Дар ҷадвали Client Global, суроға ва бандари NSX A-ро таъин кунед, ки мо қаблан ҳамчун Гӯш кардани IP ва Порт дар тарафи сервер нишон дода будем. Инчунин танзимоти рамзгузории якхеларо муқаррар кардан лозим аст, то онҳо ҳангоми баланд шудани нақб мувофиқ бошанд.

   
   
   Мо дар зер ҳаракат мекунем, зеринтерфейсро интихоб мекунем, ки тавассути он нақби L2VPN сохта мешавад.
   Дар Egress Optimization Gateway Address мо суроғаи дарвозаро муқаррар мекунем. Идентификатсияи корбар ва паролро таъин кунед. Мо зеринтерфейсро интихоб мекунем ва захира кардани танзимотро фаромӯш накунед.

   

10. Дар асл, ҳамааш ҳамин аст. Танзимоти тарафи муштарӣ ва сервер тақрибан якхелаанд, ба истиснои чанд нозукиҳо.
11. Ҳоло мо мебинем, ки нақби мо тавассути рафтан ба Омор -> L2VPN дар ҳама гуна NSX кор кардааст.

    

12. Агар мо ҳоло ба консоли ягон Edge Gateway равем, мо дар ҳар яки онҳо дар ҷадвали arp суроғаҳои ҳарду VM-ро мебинем.

    

Ин ҳама дар бораи VPN дар NSX Edge аст. Пурсед, ки оё чизе норавшан аст. Он инчунин қисми охирини як қатор мақолаҳо оид ба кор бо NSX Edge мебошад. Умедворем, ки онҳо муфид буданд 🙂

Манбаъ: will.com