Bugün NSX Edge'in bize sunduğu VPN yapılandırma seçeneklerine bir göz atacağız.
Genel olarak, VPN teknolojilerini iki ana türe ayırabiliriz:
- Siteden siteye VPN. IPSec'in en yaygın kullanımı, örneğin bir ana ofis ağı ile uzak bir sitedeki veya buluttaki bir ağ arasında güvenli bir tünel oluşturmaktır.
- Uzaktan Erişim VPN'i. Bireysel kullanıcıları, VPN istemci yazılımını kullanarak kurumsal özel ağlara bağlamak için kullanılır.
NSX Edge, her iki seçeneği de kullanmamıza izin verir.
İki NSX Edge içeren bir test tezgahı kullanarak, arka plan programı kurulu bir Linux sunucusu kullanarak yapılandıracağız. ve Uzaktan Erişim VPN'ini test etmek için bir Windows dizüstü bilgisayar.
IPsec
- vCloud Director arayüzünde, Yönetim bölümüne gidin ve vDC'yi seçin. Edge Gateways sekmesinde, ihtiyacımız olan Edge'i seçin, sağ tıklayın ve Edge Gateway Services'i seçin.
- NSX Edge arayüzünde VPN-IPsec VPN sekmesine, ardından IPsec VPN Sites bölümüne gidin ve yeni bir site eklemek için +'ya tıklayın.
- Gerekli alanları doldurun:
- Etkin – uzak siteyi etkinleştirir.
- PFS – her yeni kriptografik anahtarın önceki herhangi bir anahtarla ilişkilendirilmemesini sağlar.
- Yerel Kimlik ve Yerel Uç Noktat, NSX Edge'in harici adresidir.
- Yerel Alt Ağs - IPsec VPN kullanacak yerel ağlar.
- Eş Kimliği ve Eş Uç Nokta – uzak sitenin adresi.
- Eş alt ağlar – uzak tarafta IPsec VPN kullanacak ağlar.
- Şifreleme Algoritması – tünel şifreleme algoritması.
- Doğrulama - eşin kimliğini nasıl doğrulayacağız. Önceden Paylaşılan Anahtar veya sertifika kullanabilirsiniz.
- Ön Paylaşımlı Anahtar - kimlik doğrulama için kullanılacak ve her iki tarafta da eşleşmesi gereken anahtarı belirtin.
- Diffie Hellman Grubu – anahtar değişim algoritması.
Gerekli alanları doldurduktan sonra Sakla'yı tıklayın.
- Bitti.
- Siteyi ekledikten sonra, Aktivasyon Durumu sekmesine gidin ve IPsec Hizmetini etkinleştirin.
- Ayarlar uygulandıktan sonra İstatistikler -> IPsec VPN sekmesine gidin ve tünelin durumunu kontrol edin. Tünelin yükseldiğini görüyoruz.
- Edge ağ geçidi konsolundan tünel durumunu kontrol edin:
- hizmet ipsec'i göster - hizmetin durumunu kontrol edin.
- show service ipsec sitesi - Sitenin durumu ve anlaşılan parametreler hakkında bilgi.
- ipsec sa hizmetini göster - Güvenlik İlişkilendirmesinin (SA) durumunu kontrol edin.
- hizmet ipsec'i göster - hizmetin durumunu kontrol edin.
- Uzak bir siteyle bağlantı kontrol ediliyor:
root@racoon:~# ifconfig eth0:1 | grep inet inet 10.255.255.1 netmask 255.255.255.0 broadcast 0.0.0.0 root@racoon:~# ping -c1 -I 10.255.255.1 192.168.0.10 PING 192.168.0.10 (192.168.0.10) from 10.255.255.1 : 56(84) bytes of data. 64 bytes from 192.168.0.10: icmp_seq=1 ttl=63 time=59.9 ms --- 192.168.0.10 ping statistics --- 1 packets transmitted, 1 received, 0% packet loss, time 0ms rtt min/avg/max/mdev = 59.941/59.941/59.941/0.000 msUzak bir Linux sunucusundan tanılama için yapılandırma dosyaları ve ek komutlar:
root@racoon:~# cat /etc/racoon/racoon.conf log debug; path pre_shared_key "/etc/racoon/psk.txt"; path certificate "/etc/racoon/certs"; listen { isakmp 80.211.43.73 [500]; strict_address; } remote 185.148.83.16 { exchange_mode main,aggressive; proposal { encryption_algorithm aes256; hash_algorithm sha1; authentication_method pre_shared_key; dh_group modp1536; } generate_policy on; } sainfo address 10.255.255.0/24 any address 192.168.0.0/24 any { encryption_algorithm aes256; authentication_algorithm hmac_sha1; compression_algorithm deflate; } === root@racoon:~# cat /etc/racoon/psk.txt 185.148.83.16 testkey === root@racoon:~# cat /etc/ipsec-tools.conf #!/usr/sbin/setkey -f flush; spdflush; spdadd 192.168.0.0/24 10.255.255.0/24 any -P in ipsec esp/tunnel/185.148.83.16-80.211.43.73/require; spdadd 10.255.255.0/24 192.168.0.0/24 any -P out ipsec esp/tunnel/80.211.43.73-185.148.83.16/require; === root@racoon:~# racoonctl show-sa isakmp Destination Cookies Created 185.148.83.16.500 2088977aceb1b512:a4c470cb8f9d57e9 2019-05-22 13:46:13 === root@racoon:~# racoonctl show-sa esp 80.211.43.73 185.148.83.16 esp mode=tunnel spi=1646662778(0x6226147a) reqid=0(0x00000000) E: aes-cbc 00064df4 454d14bc 9444b428 00e2296e c7bb1e03 06937597 1e522ce0 641e704d A: hmac-sha1 aa9e7cd7 51653621 67b3b2e9 64818de5 df848792 seq=0x00000000 replay=4 flags=0x00000000 state=mature created: May 22 13:46:13 2019 current: May 22 14:07:43 2019 diff: 1290(s) hard: 3600(s) soft: 2880(s) last: May 22 13:46:13 2019 hard: 0(s) soft: 0(s) current: 72240(bytes) hard: 0(bytes) soft: 0(bytes) allocated: 860 hard: 0 soft: 0 sadb_seq=1 pid=7739 refcnt=0 185.148.83.16 80.211.43.73 esp mode=tunnel spi=88535449(0x0546f199) reqid=0(0x00000000) E: aes-cbc c812505a 9c30515e 9edc8c4a b3393125 ade4c320 9bde04f0 94e7ba9d 28e61044 A: hmac-sha1 cd9d6f6e 06dbcd6d da4d14f8 6d1a6239 38589878 seq=0x00000000 replay=4 flags=0x00000000 state=mature created: May 22 13:46:13 2019 current: May 22 14:07:43 2019 diff: 1290(s) hard: 3600(s) soft: 2880(s) last: May 22 13:46:13 2019 hard: 0(s) soft: 0(s) current: 72240(bytes) hard: 0(bytes) soft: 0(bytes) allocated: 860 hard: 0 soft: 0 sadb_seq=0 pid=7739 refcnt=0 - Her şey hazır, siteden siteye IPsec VPN çalışıyor ve çalışıyor.
Bu örnekte, eş kimlik doğrulaması için PSK kullandık, ancak sertifika kimlik doğrulaması da mümkündür. Bunu yapmak için Genel Yapılandırma sekmesine gidin, sertifika kimlik doğrulamasını etkinleştirin ve sertifikanın kendisini seçin.
Ek olarak, site ayarlarında kimlik doğrulama yöntemini değiştirmeniz gerekecektir.
IPsec tünellerinin sayısının dağıtılan Edge Gateway'in boyutuna bağlı olduğunu unutmayın (bunu bizim makalemizde okuyun). ).
SSL VPN
SSL VPN-Plus, Uzaktan Erişim VPN seçeneklerinden biridir. Bireysel uzak kullanıcıların, NSX Edge Gateway'in arkasındaki özel ağlara güvenli bir şekilde bağlanmasına olanak tanır. İstemci (Windows, Linux, Mac) ve NSX Edge arasında SSL VPN-plus durumunda şifreli bir tünel kurulur.
- Kuruluma başlayalım. Edge Gateway hizmet kontrol panelinde, SSL VPN-Plus sekmesine ve ardından Sunucu Ayarları'na gidin. Sunucunun gelen bağlantıları dinleyeceği adres ve portu seçiyoruz, loglamayı etkinleştiriyoruz ve gerekli şifreleme algoritmalarını seçiyoruz.
Burada sunucunun kullanacağı sertifikayı da değiştirebilirsiniz. - Her şey hazır olduktan sonra sunucuyu açın ve ayarları kaydetmeyi unutmayın.
- Ardından, bağlantı kurulduğunda istemcilere yayınlayacağımız bir adres havuzu oluşturmamız gerekiyor. Bu ağ, NSX ortamınızdaki herhangi bir alt ağdan ayrıdır ve ona işaret eden yollar dışında, fiziksel ağlardaki diğer cihazlarda yapılandırılması gerekmez.
IP Havuzları sekmesine gidin ve +'ya tıklayın.
- Adresleri, alt ağ maskesini ve ağ geçidini seçin. Burada DNS ve WINS sunucularının ayarlarını da değiştirebilirsiniz.
- Sonuç havuzu.
- Şimdi VPN'e bağlanan kullanıcıların erişebileceği ağları ekleyelim. Özel Ağlar sekmesine gidin ve +'ya tıklayın.
- Dolduruyoruz:
- Ağ - uzak kullanıcıların erişebileceği yerel bir ağ.
- Trafik gönder, iki seçeneği vardır:
- tünel üzerinden - trafiği ağa tünel üzerinden gönderin,
— tüneli atla—tüneli atlayarak trafiği doğrudan ağa gönderin. - TCP Optimizasyonunu Etkinleştir - tünel üzerinden seçeneğini seçip seçmediğinizi kontrol edin. Optimizasyon etkinleştirildiğinde, trafiği optimize etmek istediğiniz bağlantı noktası numaralarını belirtebilirsiniz. Söz konusu ağda kalan bağlantı noktaları için trafik optimize edilmeyecektir. Bağlantı noktası numarası belirtilmezse, tüm bağlantı noktaları için trafik optimize edilir. Bu özellik hakkında daha fazlasını okuyun .
- Ardından, Kimlik Doğrulama sekmesine gidin ve +'ya tıklayın. Kimlik doğrulama için, NSX Edge'in kendisinde yerel bir sunucu kullanacağız.
- Burada, yeni şifreler oluşturmak için politikalar seçebilir ve kullanıcı hesaplarını engelleme seçeneklerini yapılandırabiliriz (örneğin, şifre yanlış girilirse yeniden deneme sayısı).
- Yerel kimlik doğrulama kullandığımız için, kullanıcı oluşturmamız gerekiyor.
- Ad ve parola gibi temel şeylere ek olarak, burada, örneğin, kullanıcının parolayı değiştirmesini yasaklayabilir veya tersine, onu bir sonraki oturum açışında parolayı değiştirmeye zorlayabilirsiniz.
- Gerekli tüm kullanıcılar eklendikten sonra, Kurulum Paketleri sekmesine gidin, +'ya tıklayın ve kurulum için uzak bir çalışan tarafından indirilecek olan yükleyiciyi oluşturun.
- +'ya basın. İstemcinin bağlanacağı sunucunun adresini ve bağlantı noktasını ve kurulum paketini oluşturmak istediğiniz platformları seçin.
Bu pencerenin altında, Windows için istemci ayarlarını belirleyebilirsiniz. Seçmek:- oturum açarken istemciyi başlat – VPN istemcisi uzak makinedeki başlatmaya eklenecektir;
- masaüstü simgesi oluştur - masaüstünde bir VPN istemci simgesi oluşturur;
- sunucu güvenlik sertifikası doğrulaması - bağlantı kurulduğunda sunucu sertifikasını doğrular.
Sunucu kurulumu tamamlandı.
- Şimdi son adımda oluşturduğumuz kurulum paketini uzak bir PC'ye indirelim. Sunucuyu kurarken harici adresini (185.148.83.16) ve portunu (445) belirttik. Bu adreste bir web tarayıcısına girmemiz gerekiyor. benim durumumda öyle : 445.
Yetkilendirme penceresinde, daha önce oluşturduğumuz kullanıcı kimlik bilgilerini girmelisiniz.
- Yetkilendirmeden sonra, indirilebilecek oluşturulmuş kurulum paketlerinin bir listesini görüyoruz. Yalnızca bir tane oluşturduk - onu indireceğiz.
- Bağlantıya tıklıyoruz, istemcinin indirilmesi başlıyor.
- İndirilen arşivi paketinden çıkarın ve yükleyiciyi çalıştırın.
- Yüklemeden sonra istemciyi başlatın, yetkilendirme penceresinde Oturum Aç'ı tıklayın.
- Sertifika doğrulama penceresinde Evet'i seçin.
- Daha önce oluşturulan kullanıcı için kimlik bilgilerini giriyoruz ve bağlantının başarıyla tamamlandığını görüyoruz.
- Yerel bilgisayardaki VPN istemcisinin istatistiklerini kontrol ediyoruz.
- Windows komut satırında (ipconfig / all), ek bir sanal bağdaştırıcının ortaya çıktığını ve uzak ağa bağlantı olduğunu görüyoruz, her şey çalışıyor:
- Son olarak, Edge Gateway konsolundan kontrol edin.
L2 VPN'i
Birkaç coğrafi olarak birleştirmeniz gerektiğinde L2VPN gerekecektir.
tek bir yayın alanına dağıtılmış ağlar.
Bu, örneğin bir sanal makineyi taşırken yararlı olabilir: bir VM başka bir coğrafi alana taşındığında, makine IP adresleme ayarlarını koruyacak ve kendisiyle aynı L2 etki alanında bulunan diğer makinelerle bağlantısını kaybetmeyecektir.
Test ortamımızda iki siteyi birbirine bağlayacağız, sırasıyla A ve B olarak adlandıracağız.İki NSX'imiz ve farklı Edge'lere eklenmiş, aynı şekilde oluşturulmuş iki yönlendirilmiş ağımız var. Makine A'nın adresi 10.10.10.250/24, Makine B'nin adresi 10.10.10.2/24'tür.
- vCloud Director'da, Yönetim sekmesine gidin, ihtiyacımız olan VDC'ye gidin, Org VDC Networks sekmesine gidin ve iki yeni ağ ekleyin.
- Yönlendirilmiş ağ türünü seçin ve bu ağı NSX'imize bağlayın. Alt arayüz olarak oluştur onay kutusunu koyduk.
- Sonuç olarak, iki ağ almalıyız. Örneğimizde, aynı ağ geçidi ayarlarına ve aynı maskeye sahip ağ-a ve ağ-b olarak adlandırılırlar.
- Şimdi ilk NSX'in ayarlarına geçelim. Bu, Ağ A'nın bağlı olduğu NSX olacaktır ve bir sunucu görevi görecektir.
NSx Edge arayüzüne dönüyoruz / VPN sekmesine gidin -> L2VPN. L2VPN'i açıyoruz, Sunucu çalışma modunu seçiyoruz, Sunucu Global ayarlarında tünel bağlantı noktasının dinleyeceği harici NSX IP adresini belirtiyoruz. Varsayılan olarak soket 443 numaralı bağlantı noktasında açılır, ancak bu değiştirilebilir. Gelecekteki tünel için şifreleme ayarlarını seçmeyi unutmayın.
- Sunucu Siteleri sekmesine gidin ve bir eş ekleyin.
- Eşi açıyoruz, adı, açıklamayı belirliyoruz, gerekirse kullanıcı adını ve şifreyi belirliyoruz. Daha sonra müşteri sitesini kurarken bu verilere ihtiyacımız olacak.
Çıkış Optimizasyonu Ağ Geçidi Adresinde ağ geçidi adresini ayarlıyoruz. Ağlarımızın ağ geçidi aynı adrese sahip olduğundan, IP adreslerinde çakışma olmaması için bu gereklidir. Ardından ALT ARAYÜZLERİ SEÇ düğmesine tıklayın.
- Burada istenen alt arayüzü seçiyoruz. Ayarları kaydediyoruz.
- Yeni oluşturulan müşteri sitesinin ayarlarda göründüğünü görüyoruz.
- Şimdi istemci tarafından NSX'i yapılandırmaya geçelim.
NSX B tarafına gidiyoruz, VPN -> L2VPN'e gidiyoruz, L2VPN'i etkinleştiriyoruz, L2VPN modunu istemci moduna ayarlıyoruz. Client Global sekmesinde, sunucu tarafında Listening IP ve Port olarak daha önce belirttiğimiz NSX A'nın adresini ve portunu ayarlayın. Tünel yükseltildiğinde tutarlı olmaları için aynı şifreleme ayarlarının yapılması da gereklidir.
Aşağı kaydırıyoruz, L2VPN tünelinin inşa edileceği alt arayüzü seçiyoruz.
Çıkış Optimizasyonu Ağ Geçidi Adresinde ağ geçidi adresini ayarlıyoruz. Kullanıcı kimliğini ve şifreyi ayarlayın. Alt arayüzü seçiyoruz ve ayarları kaydetmeyi unutmuyoruz. - Aslında hepsi bu. İstemci ve sunucu tarafının ayarları, birkaç nüans dışında neredeyse aynıdır.
- Artık herhangi bir NSX'te İstatistik -> L2VPN'e giderek tünelimizin çalıştığını görebiliriz.
- Şimdi herhangi bir Edge Gateway'in konsoluna gidersek, arp tablosunda her iki VM'nin de adreslerini göreceğiz.
Hepsi NSX Edge'deki VPN ile ilgili. Anlaşılmayan bir şey olup olmadığını sorun. Ayrıca, NSX Edge ile çalışmaya ilişkin bir dizi makalenin son bölümüdür. Umarız yardımcı olmuşlardır 🙂
Kaynak: habr.com