Bugün NSX Edge'in bize sunduğu VPN yapılandırma seçeneklerine bir göz atacağız.
Genel olarak, VPN teknolojilerini iki ana türe ayırabiliriz:
Siteden siteye VPN. IPSec'in en yaygın kullanımı, örneğin bir ana ofis ağı ile uzak bir sitedeki veya buluttaki bir ağ arasında güvenli bir tünel oluşturmaktır.
Uzaktan Erişim VPN'i. Bireysel kullanıcıları, VPN istemci yazılımını kullanarak kurumsal özel ağlara bağlamak için kullanılır.
NSX Edge, her iki seçeneği de kullanmamıza izin verir.
İki NSX Edge içeren bir test tezgahı kullanarak, arka plan programı kurulu bir Linux sunucusu kullanarak yapılandıracağız. rakun ve Uzaktan Erişim VPN'ini test etmek için bir Windows dizüstü bilgisayar.
IPsec
vCloud Director arayüzünde, Yönetim bölümüne gidin ve vDC'yi seçin. Edge Gateways sekmesinde, ihtiyacımız olan Edge'i seçin, sağ tıklayın ve Edge Gateway Services'i seçin.
NSX Edge arayüzünde VPN-IPsec VPN sekmesine, ardından IPsec VPN Sites bölümüne gidin ve yeni bir site eklemek için +'ya tıklayın.
Gerekli alanları doldurun:
Etkin – uzak siteyi etkinleştirir.
PFS – her yeni kriptografik anahtarın önceki herhangi bir anahtarla ilişkilendirilmemesini sağlar.
Yerel Kimlik ve Yerel Uç Noktat, NSX Edge'in harici adresidir.
Yerel Alt Ağs - IPsec VPN kullanacak yerel ağlar.
Eş Kimliği ve Eş Uç Nokta – uzak sitenin adresi.
Eş alt ağlar – uzak tarafta IPsec VPN kullanacak ağlar.
Her şey hazır, siteden siteye IPsec VPN çalışıyor ve çalışıyor.
Bu örnekte, eş kimlik doğrulaması için PSK kullandık, ancak sertifika kimlik doğrulaması da mümkündür. Bunu yapmak için Genel Yapılandırma sekmesine gidin, sertifika kimlik doğrulamasını etkinleştirin ve sertifikanın kendisini seçin.
Ek olarak, site ayarlarında kimlik doğrulama yöntemini değiştirmeniz gerekecektir.
IPsec tünellerinin sayısının dağıtılan Edge Gateway'in boyutuna bağlı olduğunu unutmayın (bunu bizim makalemizde okuyun). ilk makale).
SSL VPN
SSL VPN-Plus, Uzaktan Erişim VPN seçeneklerinden biridir. Bireysel uzak kullanıcıların, NSX Edge Gateway'in arkasındaki özel ağlara güvenli bir şekilde bağlanmasına olanak tanır. İstemci (Windows, Linux, Mac) ve NSX Edge arasında SSL VPN-plus durumunda şifreli bir tünel kurulur.
Kuruluma başlayalım. Edge Gateway hizmet kontrol panelinde, SSL VPN-Plus sekmesine ve ardından Sunucu Ayarları'na gidin. Sunucunun gelen bağlantıları dinleyeceği adres ve portu seçiyoruz, loglamayı etkinleştiriyoruz ve gerekli şifreleme algoritmalarını seçiyoruz.
Burada sunucunun kullanacağı sertifikayı da değiştirebilirsiniz.
Her şey hazır olduktan sonra sunucuyu açın ve ayarları kaydetmeyi unutmayın.
Ardından, bağlantı kurulduğunda istemcilere yayınlayacağımız bir adres havuzu oluşturmamız gerekiyor. Bu ağ, NSX ortamınızdaki herhangi bir alt ağdan ayrıdır ve ona işaret eden yollar dışında, fiziksel ağlardaki diğer cihazlarda yapılandırılması gerekmez.
IP Havuzları sekmesine gidin ve +'ya tıklayın.
Adresleri, alt ağ maskesini ve ağ geçidini seçin. Burada DNS ve WINS sunucularının ayarlarını da değiştirebilirsiniz.
Sonuç havuzu.
Şimdi VPN'e bağlanan kullanıcıların erişebileceği ağları ekleyelim. Özel Ağlar sekmesine gidin ve +'ya tıklayın.
Dolduruyoruz:
Ağ - uzak kullanıcıların erişebileceği yerel bir ağ.
Trafik gönder, iki seçeneği vardır:
- tünel üzerinden - trafiği ağa tünel üzerinden gönderin,
— tüneli atla—tüneli atlayarak trafiği doğrudan ağa gönderin.
TCP Optimizasyonunu Etkinleştir - tünel üzerinden seçeneğini seçip seçmediğinizi kontrol edin. Optimizasyon etkinleştirildiğinde, trafiği optimize etmek istediğiniz bağlantı noktası numaralarını belirtebilirsiniz. Söz konusu ağda kalan bağlantı noktaları için trafik optimize edilmeyecektir. Bağlantı noktası numarası belirtilmezse, tüm bağlantı noktaları için trafik optimize edilir. Bu özellik hakkında daha fazlasını okuyun burada.
Ardından, Kimlik Doğrulama sekmesine gidin ve +'ya tıklayın. Kimlik doğrulama için, NSX Edge'in kendisinde yerel bir sunucu kullanacağız.
Burada, yeni şifreler oluşturmak için politikalar seçebilir ve kullanıcı hesaplarını engelleme seçeneklerini yapılandırabiliriz (örneğin, şifre yanlış girilirse yeniden deneme sayısı).
Yerel kimlik doğrulama kullandığımız için, kullanıcı oluşturmamız gerekiyor.
Ad ve parola gibi temel şeylere ek olarak, burada, örneğin, kullanıcının parolayı değiştirmesini yasaklayabilir veya tersine, onu bir sonraki oturum açışında parolayı değiştirmeye zorlayabilirsiniz.
Gerekli tüm kullanıcılar eklendikten sonra, Kurulum Paketleri sekmesine gidin, +'ya tıklayın ve kurulum için uzak bir çalışan tarafından indirilecek olan yükleyiciyi oluşturun.
+'ya basın. İstemcinin bağlanacağı sunucunun adresini ve bağlantı noktasını ve kurulum paketini oluşturmak istediğiniz platformları seçin.
Bu pencerenin altında, Windows için istemci ayarlarını belirleyebilirsiniz. Seçmek:
masaüstü simgesi oluştur - masaüstünde bir VPN istemci simgesi oluşturur;
sunucu güvenlik sertifikası doğrulaması - bağlantı kurulduğunda sunucu sertifikasını doğrular.
Sunucu kurulumu tamamlandı.
Şimdi son adımda oluşturduğumuz kurulum paketini uzak bir PC'ye indirelim. Sunucuyu kurarken harici adresini (185.148.83.16) ve portunu (445) belirttik. Bu adreste bir web tarayıcısına girmemiz gerekiyor. benim durumumda öyle 185.148.83.16: 445.
Yetkilendirme penceresinde, daha önce oluşturduğumuz kullanıcı kimlik bilgilerini girmelisiniz.
Yetkilendirmeden sonra, indirilebilecek oluşturulmuş kurulum paketlerinin bir listesini görüyoruz. Yalnızca bir tane oluşturduk - onu indireceğiz.
İndirilen arşivi paketinden çıkarın ve yükleyiciyi çalıştırın.
Yüklemeden sonra istemciyi başlatın, yetkilendirme penceresinde Oturum Aç'ı tıklayın.
Sertifika doğrulama penceresinde Evet'i seçin.
Daha önce oluşturulan kullanıcı için kimlik bilgilerini giriyoruz ve bağlantının başarıyla tamamlandığını görüyoruz.
Yerel bilgisayardaki VPN istemcisinin istatistiklerini kontrol ediyoruz.
Windows komut satırında (ipconfig / all), ek bir sanal bağdaştırıcının ortaya çıktığını ve uzak ağa bağlantı olduğunu görüyoruz, her şey çalışıyor:
Son olarak, Edge Gateway konsolundan kontrol edin.
L2 VPN'i
Birkaç coğrafi olarak birleştirmeniz gerektiğinde L2VPN gerekecektir.
tek bir yayın alanına dağıtılmış ağlar.
Bu, örneğin bir sanal makineyi taşırken yararlı olabilir: bir VM başka bir coğrafi alana taşındığında, makine IP adresleme ayarlarını koruyacak ve kendisiyle aynı L2 etki alanında bulunan diğer makinelerle bağlantısını kaybetmeyecektir.
Test ortamımızda iki siteyi birbirine bağlayacağız, sırasıyla A ve B olarak adlandıracağız.İki NSX'imiz ve farklı Edge'lere eklenmiş, aynı şekilde oluşturulmuş iki yönlendirilmiş ağımız var. Makine A'nın adresi 10.10.10.250/24, Makine B'nin adresi 10.10.10.2/24'tür.
vCloud Director'da, Yönetim sekmesine gidin, ihtiyacımız olan VDC'ye gidin, Org VDC Networks sekmesine gidin ve iki yeni ağ ekleyin.
Yönlendirilmiş ağ türünü seçin ve bu ağı NSX'imize bağlayın. Alt arayüz olarak oluştur onay kutusunu koyduk.
Sonuç olarak, iki ağ almalıyız. Örneğimizde, aynı ağ geçidi ayarlarına ve aynı maskeye sahip ağ-a ve ağ-b olarak adlandırılırlar.
Şimdi ilk NSX'in ayarlarına geçelim. Bu, Ağ A'nın bağlı olduğu NSX olacaktır ve bir sunucu görevi görecektir.
NSx Edge arayüzüne dönüyoruz / VPN sekmesine gidin -> L2VPN. L2VPN'i açıyoruz, Sunucu çalışma modunu seçiyoruz, Sunucu Global ayarlarında tünel bağlantı noktasının dinleyeceği harici NSX IP adresini belirtiyoruz. Varsayılan olarak soket 443 numaralı bağlantı noktasında açılır, ancak bu değiştirilebilir. Gelecekteki tünel için şifreleme ayarlarını seçmeyi unutmayın.
Sunucu Siteleri sekmesine gidin ve bir eş ekleyin.
Eşi açıyoruz, adı, açıklamayı belirliyoruz, gerekirse kullanıcı adını ve şifreyi belirliyoruz. Daha sonra müşteri sitesini kurarken bu verilere ihtiyacımız olacak.
Çıkış Optimizasyonu Ağ Geçidi Adresinde ağ geçidi adresini ayarlıyoruz. Ağlarımızın ağ geçidi aynı adrese sahip olduğundan, IP adreslerinde çakışma olmaması için bu gereklidir. Ardından ALT ARAYÜZLERİ SEÇ düğmesine tıklayın.
Burada istenen alt arayüzü seçiyoruz. Ayarları kaydediyoruz.
Yeni oluşturulan müşteri sitesinin ayarlarda göründüğünü görüyoruz.
Şimdi istemci tarafından NSX'i yapılandırmaya geçelim.
NSX B tarafına gidiyoruz, VPN -> L2VPN'e gidiyoruz, L2VPN'i etkinleştiriyoruz, L2VPN modunu istemci moduna ayarlıyoruz. Client Global sekmesinde, sunucu tarafında Listening IP ve Port olarak daha önce belirttiğimiz NSX A'nın adresini ve portunu ayarlayın. Tünel yükseltildiğinde tutarlı olmaları için aynı şifreleme ayarlarının yapılması da gereklidir.
Aşağı kaydırıyoruz, L2VPN tünelinin inşa edileceği alt arayüzü seçiyoruz.
Çıkış Optimizasyonu Ağ Geçidi Adresinde ağ geçidi adresini ayarlıyoruz. Kullanıcı kimliğini ve şifreyi ayarlayın. Alt arayüzü seçiyoruz ve ayarları kaydetmeyi unutmuyoruz.
Aslında hepsi bu. İstemci ve sunucu tarafının ayarları, birkaç nüans dışında neredeyse aynıdır.
Artık herhangi bir NSX'te İstatistik -> L2VPN'e giderek tünelimizin çalıştığını görebiliriz.
Şimdi herhangi bir Edge Gateway'in konsoluna gidersek, arp tablosunda her iki VM'nin de adreslerini göreceğiz.
Hepsi NSX Edge'deki VPN ile ilgili. Anlaşılmayan bir şey olup olmadığını sorun. Ayrıca, NSX Edge ile çalışmaya ilişkin bir dizi makalenin son bölümüdür. Umarız yardımcı olmuşlardır 🙂