Ngayon ay titingnan natin ang mga opsyon sa pagsasaayos ng VPN na inaalok sa amin ng NSX Edge.
Sa pangkalahatan, maaari nating hatiin ang mga teknolohiya ng VPN sa dalawang pangunahing uri:
- Site-to-site na VPN. Ang pinakakaraniwang paggamit ng IPSec ay upang lumikha ng isang secure na tunnel, halimbawa, sa pagitan ng isang pangunahing network ng opisina at isang network sa isang malayong site o sa cloud.
- Remote Access VPN. Ginagamit upang ikonekta ang mga indibidwal na user sa mga pribadong network ng korporasyon gamit ang VPN client software.
Binibigyang-daan kami ng NSX Edge na gamitin ang parehong mga opsyon.
Magko-configure kami gamit ang isang test bench na may dalawang NSX Edge, isang Linux server na may naka-install na daemon at isang Windows laptop para subukan ang Remote Access VPN.
IPsec
- Sa interface ng vCloud Director, pumunta sa seksyong Administration at piliin ang vDC. Sa tab na Edge Gateways, piliin ang Edge na kailangan namin, i-right-click at piliin ang Edge Gateway Services.
- Sa interface ng NSX Edge, pumunta sa tab na VPN-IPsec VPN, pagkatapos ay sa seksyong IPsec VPN Sites at i-click ang + upang magdagdag ng bagong site.
- Punan ang mga kinakailangang field:
- Pinagana β ina-activate ang malayong site.
- PFS β tinitiyak na ang bawat bagong cryptographic key ay hindi nauugnay sa anumang nakaraang key.
- Lokal na ID at Lokal na Endpointt ay ang panlabas na address ng NSX Edge.
- Lokal na Subnets - mga lokal na network na gagamit ng IPsec VPN.
- Peer ID at Peer Endpoint β address ng malayong site.
- Mga subnet ng peer β mga network na gagamit ng IPsec VPN sa malayong bahagi.
- Algorithm ng Pag-encrypt - algorithm ng pag-encrypt ng tunel.
- Pagpapatunay - kung paano namin aauthenticate ang peer. Maaari kang gumamit ng Pre-Shared Key o isang certificate.
- Paunang Pagbabahagi ng Susi - tukuyin ang susi na gagamitin para sa pagpapatunay at dapat tumugma sa magkabilang panig.
- Diffie Hellman Group β key exchange algorithm.
Pagkatapos punan ang mga kinakailangang field, i-click ang Keep.
- Tapos na.
- Pagkatapos idagdag ang site, pumunta sa tab ng Activation Status at i-activate ang IPsec Service.
- Pagkatapos mailapat ang mga setting, pumunta sa tab na Mga Istatistika -> IPsec VPN at suriin ang katayuan ng tunnel. Nakita namin na tumaas ang lagusan.
- Suriin ang katayuan ng tunnel mula sa Edge gateway console:
- ipakita ang serbisyo ipsec - suriin ang katayuan ng serbisyo.
- show service ipsec site - Impormasyon tungkol sa estado ng site at mga napagkasunduang parameter.
- ipakita ang serbisyo ipsec sa - suriin ang katayuan ng Security Association (SA).
- ipakita ang serbisyo ipsec - suriin ang katayuan ng serbisyo.
- Sinusuri ang pagkakakonekta sa isang malayong site:
root@racoon:~# ifconfig eth0:1 | grep inet inet 10.255.255.1 netmask 255.255.255.0 broadcast 0.0.0.0 root@racoon:~# ping -c1 -I 10.255.255.1 192.168.0.10 PING 192.168.0.10 (192.168.0.10) from 10.255.255.1 : 56(84) bytes of data. 64 bytes from 192.168.0.10: icmp_seq=1 ttl=63 time=59.9 ms --- 192.168.0.10 ping statistics --- 1 packets transmitted, 1 received, 0% packet loss, time 0ms rtt min/avg/max/mdev = 59.941/59.941/59.941/0.000 msMga configuration file at karagdagang command para sa mga diagnostic mula sa isang malayuang server ng Linux:
root@racoon:~# cat /etc/racoon/racoon.conf log debug; path pre_shared_key "/etc/racoon/psk.txt"; path certificate "/etc/racoon/certs"; listen { isakmp 80.211.43.73 [500]; strict_address; } remote 185.148.83.16 { exchange_mode main,aggressive; proposal { encryption_algorithm aes256; hash_algorithm sha1; authentication_method pre_shared_key; dh_group modp1536; } generate_policy on; } sainfo address 10.255.255.0/24 any address 192.168.0.0/24 any { encryption_algorithm aes256; authentication_algorithm hmac_sha1; compression_algorithm deflate; } === root@racoon:~# cat /etc/racoon/psk.txt 185.148.83.16 testkey === root@racoon:~# cat /etc/ipsec-tools.conf #!/usr/sbin/setkey -f flush; spdflush; spdadd 192.168.0.0/24 10.255.255.0/24 any -P in ipsec esp/tunnel/185.148.83.16-80.211.43.73/require; spdadd 10.255.255.0/24 192.168.0.0/24 any -P out ipsec esp/tunnel/80.211.43.73-185.148.83.16/require; === root@racoon:~# racoonctl show-sa isakmp Destination Cookies Created 185.148.83.16.500 2088977aceb1b512:a4c470cb8f9d57e9 2019-05-22 13:46:13 === root@racoon:~# racoonctl show-sa esp 80.211.43.73 185.148.83.16 esp mode=tunnel spi=1646662778(0x6226147a) reqid=0(0x00000000) E: aes-cbc 00064df4 454d14bc 9444b428 00e2296e c7bb1e03 06937597 1e522ce0 641e704d A: hmac-sha1 aa9e7cd7 51653621 67b3b2e9 64818de5 df848792 seq=0x00000000 replay=4 flags=0x00000000 state=mature created: May 22 13:46:13 2019 current: May 22 14:07:43 2019 diff: 1290(s) hard: 3600(s) soft: 2880(s) last: May 22 13:46:13 2019 hard: 0(s) soft: 0(s) current: 72240(bytes) hard: 0(bytes) soft: 0(bytes) allocated: 860 hard: 0 soft: 0 sadb_seq=1 pid=7739 refcnt=0 185.148.83.16 80.211.43.73 esp mode=tunnel spi=88535449(0x0546f199) reqid=0(0x00000000) E: aes-cbc c812505a 9c30515e 9edc8c4a b3393125 ade4c320 9bde04f0 94e7ba9d 28e61044 A: hmac-sha1 cd9d6f6e 06dbcd6d da4d14f8 6d1a6239 38589878 seq=0x00000000 replay=4 flags=0x00000000 state=mature created: May 22 13:46:13 2019 current: May 22 14:07:43 2019 diff: 1290(s) hard: 3600(s) soft: 2880(s) last: May 22 13:46:13 2019 hard: 0(s) soft: 0(s) current: 72240(bytes) hard: 0(bytes) soft: 0(bytes) allocated: 860 hard: 0 soft: 0 sadb_seq=0 pid=7739 refcnt=0 - Handa na ang lahat, gumagana na ang IPsec VPN ng site-to-site.
Sa halimbawang ito, ginamit namin ang PSK para sa peer authentication, ngunit posible rin ang certificate authentication. Upang gawin ito, pumunta sa tab na Global Configuration, paganahin ang pagpapatunay ng certificate at piliin ang certificate mismo.
Bilang karagdagan, sa mga setting ng site, kakailanganin mong baguhin ang paraan ng pagpapatunay.
Tandaan ko na ang bilang ng mga tunnel ng IPsec ay depende sa laki ng naka-deploy na Edge Gateway (basahin ang tungkol dito sa aming ).
ssl vpn
Ang SSL VPN-Plus ay isa sa mga opsyon sa Remote Access VPN. Pinapayagan nito ang mga indibidwal na malayuang gumagamit na ligtas na kumonekta sa mga pribadong network sa likod ng NSX Edge Gateway. Ang isang naka-encrypt na tunnel sa kaso ng SSL VPN-plus ay itinatag sa pagitan ng kliyente (Windows, Linux, Mac) at NSX Edge.
- Magsimula tayo sa pag-set up. Sa panel ng kontrol ng serbisyo ng Edge Gateway, pumunta sa tab na SSL VPN-Plus, pagkatapos ay sa Mga Setting ng Server. Pinipili namin ang address at port kung saan makikinig ang server para sa mga papasok na koneksyon, paganahin ang pag-log at piliin ang mga kinakailangang algorithm ng pag-encrypt.
Dito maaari mo ring baguhin ang sertipiko na gagamitin ng server. - Matapos handa na ang lahat, i-on ang server at huwag kalimutang i-save ang mga setting.
- Susunod, kailangan naming mag-set up ng pool ng mga address na ibibigay namin sa mga kliyente kapag nakakonekta. Ang network na ito ay hiwalay sa anumang umiiral na subnet sa iyong NSX na kapaligiran at hindi kailangang i-configure sa iba pang mga device sa mga pisikal na network, maliban sa mga ruta na tumuturo dito.
Pumunta sa tab na Mga IP Pool at i-click ang +.
- Pumili ng mga address, subnet mask at gateway. Dito maaari mo ring baguhin ang mga setting para sa DNS at WINS server.
- Ang resultang pool.
- Ngayon, idagdag natin ang mga network kung saan magkakaroon ng access ang mga user na kumokonekta sa VPN. Pumunta sa tab na Mga Pribadong Network at i-click ang +.
- Punan namin ang:
- Network - isang lokal na network kung saan magkakaroon ng access ang mga malalayong user.
- Magpadala ng trapiko, mayroon itong dalawang pagpipilian:
- sa ibabaw ng tunnel - magpadala ng trapiko sa network sa pamamagitan ng tunnel,
β bypass tunnelβmagpadala ng trapiko sa network nang direkta sa pag-bypass sa tunnel. - Paganahin ang TCP Optimization - tingnan kung pinili mo ang opsyon sa over tunnel. Kapag pinagana ang pag-optimize, maaari mong tukuyin ang mga numero ng port kung saan mo gustong i-optimize ang trapiko. Ang trapiko para sa natitirang mga port sa partikular na network ay hindi ma-optimize. Kung walang mga numero ng port na tinukoy, ang trapiko para sa lahat ng mga port ay na-optimize. Magbasa pa tungkol sa feature na ito .
- Susunod, pumunta sa tab na Authentication at i-click ang +. Para sa pagpapatunay, gagamit kami ng lokal na server sa mismong NSX Edge.
- Dito maaari tayong pumili ng mga patakaran para sa pagbuo ng mga bagong password at i-configure ang mga opsyon para sa pagharang sa mga user account (halimbawa, ang bilang ng mga muling pagsubok kung ang password ay naipasok nang hindi tama).
- Dahil gumagamit kami ng lokal na pagpapatunay, kailangan naming lumikha ng mga user.
- Bilang karagdagan sa mga pangunahing bagay tulad ng isang pangalan at password, dito maaari mong, halimbawa, pagbawalan ang user na baguhin ang password o, sa kabilang banda, pilitin siyang palitan ang password sa susunod na mag-log in siya.
- Matapos maidagdag ang lahat ng kinakailangang user, pumunta sa tab na Mga Pakete ng Pag-install, i-click ang + at likhain ang mismong installer, na ida-download ng isang malayuang empleyado para sa pag-install.
- Pindutin ang +. Piliin ang address at port ng server kung saan kokonekta ang kliyente, at ang mga platform kung saan mo gustong buuin ang package ng pag-install.
Sa ibaba sa window na ito, maaari mong tukuyin ang mga setting ng kliyente para sa Windows. Pumili:- simulan ang client sa logon β ang VPN client ay idaragdag sa startup sa remote machine;
- lumikha ng desktop icon - lilikha ng isang VPN client icon sa desktop;
- pagpapatunay ng sertipiko ng seguridad ng server - magpapatunay ng sertipiko ng server sa pagkakakonekta.
Kumpleto na ang pag-setup ng server.
- Ngayon, i-download natin ang installation package na ginawa natin sa huling hakbang sa isang remote na PC. Kapag nagse-set up ng server, tinukoy namin ang panlabas na address nito (185.148.83.16) at port (445). Sa address na ito kailangan nating pumunta sa isang web browser. Sa aking kaso ito ay : 445.
Sa window ng awtorisasyon, dapat mong ilagay ang mga kredensyal ng user na ginawa namin kanina.
- Pagkatapos ng pahintulot, makikita namin ang isang listahan ng mga nilikhang pakete ng pag-install na magagamit para sa pag-download. Gumawa lang kami ng isa - ida-download namin ito.
- Nag-click kami sa link, magsisimula ang pag-download ng kliyente.
- I-unpack ang na-download na archive at patakbuhin ang installer.
- Pagkatapos ng pag-install, ilunsad ang kliyente, sa window ng pahintulot, i-click ang Login.
- Sa window ng pag-verify ng certificate, piliin ang Oo.
- Ipinasok namin ang mga kredensyal para sa dating nilikhang user at nakita namin na matagumpay na nakumpleto ang koneksyon.
- Sinusuri namin ang mga istatistika ng VPN client sa lokal na computer.
- Sa linya ng command ng Windows (ipconfig / all), nakita namin na lumitaw ang isang karagdagang virtual adapter at mayroong koneksyon sa malayong network, gumagana ang lahat:
- At sa wakas, suriin mula sa Edge Gateway console.
L2 VPN
Kakailanganin ang L2VPN kapag kailangan mong pagsamahin ang ilan sa heograpiya
ipinamahagi ang mga network sa isang broadcast domain.
Maaari itong maging kapaki-pakinabang, halimbawa, kapag naglilipat ng virtual machine: kapag lumipat ang isang VM sa ibang heograpikal na lugar, pananatilihin ng machine ang mga setting ng IP addressing nito at hindi mawawala ang koneksyon sa iba pang mga machine na matatagpuan sa parehong L2 domain kasama nito.
Sa aming kapaligiran sa pagsubok, magkokonekta kami ng dalawang site sa isa't isa, tatawagin namin silang A at B, ayon sa pagkakabanggit. Mayroon kaming dalawang NSX at dalawang magkaparehong nilikha na mga network na naka-attach sa magkaibang mga Edge. Ang Machine A ay may address na 10.10.10.250/24, ang Machine B ay may address na 10.10.10.2/24.
- Sa vCloud Director, pumunta sa Administration tab, pumunta sa VDC na kailangan namin, pumunta sa Org VDC Networks tab at magdagdag ng dalawang bagong network.
- Piliin ang uri ng naka-ruta na network at itali ang network na ito sa aming NSX. Inilalagay namin ang checkbox na Lumikha bilang subinterface.
- Bilang resulta, dapat tayong makakuha ng dalawang network. Sa aming halimbawa, tinawag silang network-a at network-b na may parehong mga setting ng gateway at parehong mask.
- Ngayon pumunta tayo sa mga setting ng unang NSX. Ito ang magiging NSX kung saan naka-attach ang Network A. Ito ay magsisilbing server.
Bumalik kami sa interface ng NSx Edge / Pumunta sa tab na VPN -> L2VPN. Binuksan namin ang L2VPN, piliin ang mode ng pagpapatakbo ng Server, sa mga setting ng Server Global tinukoy namin ang panlabas na NSX IP address kung saan makikinig ang port para sa tunnel. Bilang default, magbubukas ang socket sa port 443, ngunit maaari itong baguhin. Huwag kalimutang piliin ang mga setting ng pag-encrypt para sa tunel sa hinaharap.
- Pumunta sa tab na Mga Site ng Server at magdagdag ng peer.
- Binubuksan namin ang peer, itakda ang pangalan, paglalarawan, kung kinakailangan, itakda ang username at password. Kakailanganin namin ang data na ito sa ibang pagkakataon kapag nagse-set up ng site ng kliyente.
Sa Egress Optimization Gateway Address, itinakda namin ang address ng gateway. Ito ay kinakailangan upang walang salungatan ng mga IP address, dahil ang gateway ng aming mga network ay may parehong address. Pagkatapos ay mag-click sa SELECT SUB-INTERFACES button.
- Dito pipiliin namin ang nais na subinterface. I-save namin ang mga setting.
- Nakita namin na ang bagong likhang client site ay lumitaw sa mga setting.
- Ngayon ay magpatuloy tayo sa pag-configure ng NSX mula sa panig ng kliyente.
Pumunta kami sa NSX side B, pumunta sa VPN -> L2VPN, paganahin ang L2VPN, itakda ang L2VPN mode sa client mode. Sa tab na Client Global, itakda ang address at port ng NSX A, na tinukoy namin kanina bilang Listening IP at Port sa gilid ng server. Kinakailangan din na itakda ang parehong mga setting ng pag-encrypt upang maging pare-pareho ang mga ito kapag itinaas ang tunnel.
Nag-scroll kami sa ibaba, piliin ang subinterface kung saan itatayo ang tunnel para sa L2VPN.
Sa Egress Optimization Gateway Address, itinakda namin ang address ng gateway. Itakda ang user-id at password. Pinipili namin ang subinterface at huwag kalimutang i-save ang mga setting. - Actually, yun lang. Ang mga setting ng panig ng kliyente at server ay halos magkapareho, maliban sa ilang mga nuances.
- Ngayon ay makikita natin na ang ating tunnel ay gumana sa pamamagitan ng pagpunta sa Statistics -> L2VPN sa anumang NSX.
- Kung pupunta tayo ngayon sa console ng anumang Edge Gateway, makikita natin sa bawat isa sa kanila sa arp table ang mga address ng parehong VM.
Iyon lang ang tungkol sa VPN sa NSX Edge. Magtanong kung may hindi malinaw. Ito rin ang huling bahagi ng isang serye ng mga artikulo sa pagtatrabaho sa NSX Edge. Sana ay nakatulong sila π
Pinagmulan: www.habr.com