آج ہم VPN کنفیگریشن کے اختیارات پر ایک نظر ڈالنے جا رہے ہیں جو NSX Edge ہمیں پیش کرتا ہے۔
عام طور پر، ہم VPN ٹیکنالوجیز کو دو کلیدی اقسام میں تقسیم کر سکتے ہیں:
سائٹ ٹو سائٹ وی پی این۔ IPSec کا سب سے عام استعمال ایک محفوظ سرنگ بنانا ہے، مثال کے طور پر، ایک مرکزی دفتر کے نیٹ ورک اور کسی دور دراز سائٹ یا کلاؤڈ میں موجود نیٹ ورک کے درمیان۔
ریموٹ ایکسیس وی پی این۔ VPN کلائنٹ سافٹ ویئر کا استعمال کرتے ہوئے انفرادی صارفین کو کارپوریٹ نجی نیٹ ورکس سے جوڑنے کے لیے استعمال کیا جاتا ہے۔
NSX Edge ہمیں دونوں اختیارات استعمال کرنے کی اجازت دیتا ہے۔
ہم دو NSX ایج کے ساتھ ایک ٹیسٹ بینچ کا استعمال کرتے ہوئے ترتیب دیں گے، ایک لینکس سرور جس میں نصب ڈیمون ہے ایک قسم کا جانور اور ریموٹ ایکسیس وی پی این کی جانچ کرنے کے لیے ایک ونڈوز لیپ ٹاپ۔
IPsec
وی کلاؤڈ ڈائریکٹر انٹرفیس میں، ایڈمنسٹریشن سیکشن میں جائیں اور وی ڈی سی کو منتخب کریں۔ ایج گیٹ وے ٹیب پر، ہمیں جس کنارے کی ضرورت ہے اسے منتخب کریں، دائیں کلک کریں اور ایج گیٹ وے سروسز کو منتخب کریں۔
NSX Edge انٹرفیس میں، VPN-IPsec VPN ٹیب پر جائیں، پھر IPsec VPN سائٹس سیکشن پر جائیں اور نئی سائٹ شامل کرنے کے لیے + پر کلک کریں۔
مطلوبہ فیلڈز پر کریں:
فعال کردہ - ریموٹ سائٹ کو چالو کرتا ہے۔
پی ایف ایس - اس بات کو یقینی بناتا ہے کہ ہر نئی کرپٹوگرافک کلید کسی پچھلی کلید سے وابستہ نہیں ہے۔
لوکل آئی ڈی اور لوکل اینڈ پوائنٹt NSX Edge کا بیرونی پتہ ہے۔
مقامی سب نیٹs - مقامی نیٹ ورکس جو IPsec VPN استعمال کریں گے۔
پیر ID اور پیر اینڈ پوائنٹ - دور دراز سائٹ کا پتہ۔
پیر سب نیٹس - نیٹ ورکس جو دور دراز کی طرف IPsec VPN استعمال کریں گے۔
خفیہ کاری الگورتھم - ٹنل انکرپشن الگورتھم۔
کی توثیق - ہم ہم مرتبہ کی توثیق کیسے کریں گے۔ آپ پہلے سے مشترکہ کلید یا سرٹیفکیٹ استعمال کر سکتے ہیں۔
پہلے سے مشترکہ کی - اس کلید کی وضاحت کریں جو تصدیق کے لیے استعمال کی جائے گی اور دونوں طرف سے مماثل ہونی چاہیے۔
ڈیفی ہیل مین گروپ - کلیدی تبادلہ الگورتھم۔
مطلوبہ فیلڈز کو بھرنے کے بعد Keep پر کلک کریں۔
ہو گیا
سائٹ کو شامل کرنے کے بعد، ایکٹیویشن اسٹیٹس ٹیب پر جائیں اور IPsec سروس کو فعال کریں۔
ترتیبات کو لاگو کرنے کے بعد، شماریات -> IPsec VPN ٹیب پر جائیں اور سرنگ کی حیثیت کو چیک کریں۔ ہم دیکھتے ہیں کہ سرنگ اٹھ گئی ہے۔
ایج گیٹ وے کنسول سے سرنگ کی حیثیت چیک کریں:
سروس ipsec دکھائیں - سروس کی حیثیت کو چیک کریں۔
سروس ipsec سائٹ دکھائیں - سائٹ کی حالت اور بات چیت شدہ پیرامیٹرز کے بارے میں معلومات۔
سروس ipsec sa دکھائیں - سیکیورٹی ایسوسی ایشن (SA) کی حیثیت کی جانچ کریں۔
دور دراز سائٹ کے ساتھ رابطے کی جانچ کرنا:
root@racoon:~# ifconfig eth0:1 | grep inet
inet 10.255.255.1 netmask 255.255.255.0 broadcast 0.0.0.0
root@racoon:~# ping -c1 -I 10.255.255.1 192.168.0.10
PING 192.168.0.10 (192.168.0.10) from 10.255.255.1 : 56(84) bytes of data.
64 bytes from 192.168.0.10: icmp_seq=1 ttl=63 time=59.9 ms
--- 192.168.0.10 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 59.941/59.941/59.941/0.000 ms
ریموٹ لینکس سرور سے تشخیص کے لیے کنفیگریشن فائلیں اور اضافی کمانڈز:
سب کچھ تیار ہے، سائٹ ٹو سائٹ IPsec VPN تیار اور چل رہا ہے۔
اس مثال میں، ہم نے ہم مرتبہ کی تصدیق کے لیے PSK کا استعمال کیا، لیکن سرٹیفکیٹ کی توثیق بھی ممکن ہے۔ ایسا کرنے کے لیے، گلوبل کنفیگریشن ٹیب پر جائیں، سرٹیفکیٹ کی تصدیق کو فعال کریں اور سرٹیفکیٹ کو ہی منتخب کریں۔
اس کے علاوہ، سائٹ کی ترتیبات میں، آپ کو تصدیق کا طریقہ تبدیل کرنے کی ضرورت ہوگی۔
میں نوٹ کرتا ہوں کہ IPsec سرنگوں کی تعداد تعینات ایج گیٹ وے کے سائز پر منحصر ہے (اس کے بارے میں ہمارے پہلا مضمون).
ایس ایس ایل وی پی این
SSL VPN-Plus ریموٹ ایکسیس VPN اختیارات میں سے ایک ہے۔ یہ انفرادی دور دراز کے صارفین کو NSX ایج گیٹ وے کے پیچھے نجی نیٹ ورکس سے محفوظ طریقے سے جڑنے کی اجازت دیتا ہے۔ SSL VPN-plus کی صورت میں ایک انکرپٹڈ ٹنل کلائنٹ (ونڈوز، لینکس، میک) اور NSX ایج کے درمیان قائم کی گئی ہے۔
آئیے ترتیب دینا شروع کریں۔ ایج گیٹ وے سروس کنٹرول پینل میں، SSL VPN-Plus ٹیب پر جائیں، پھر سرور کی ترتیبات پر جائیں۔ ہم ایڈریس اور پورٹ کا انتخاب کرتے ہیں جس پر سرور آنے والے کنکشنز کو سنے گا، لاگنگ کو فعال کریں گے اور ضروری انکرپشن الگورتھم منتخب کریں گے۔
یہاں آپ اس سرٹیفکیٹ کو بھی تبدیل کر سکتے ہیں جسے سرور استعمال کرے گا۔
سب کچھ تیار ہونے کے بعد، سرور کو آن کریں اور سیٹنگز کو محفوظ کرنا نہ بھولیں۔
اگلا، ہمیں پتوں کا ایک پول قائم کرنے کی ضرورت ہے جو ہم کنکشن کے بعد کلائنٹس کو جاری کریں گے۔ یہ نیٹ ورک آپ کے NSX ماحول میں موجود کسی بھی ذیلی نیٹ ورک سے الگ ہے اور اسے فزیکل نیٹ ورکس پر دیگر آلات پر کنفیگر کرنے کی ضرورت نہیں ہے، سوائے ان راستوں کے جو اس کی طرف اشارہ کرتے ہیں۔
آئی پی پولز ٹیب پر جائیں اور + پر کلک کریں۔
پتے، سب نیٹ ماسک اور گیٹ وے منتخب کریں۔ یہاں آپ DNS اور WINS سرورز کی ترتیبات کو بھی تبدیل کر سکتے ہیں۔
نتیجے میں پول۔
اب آئیے ان نیٹ ورکس کو شامل کرتے ہیں جن تک VPN سے جڑنے والے صارفین کو رسائی حاصل ہوگی۔ پرائیویٹ نیٹ ورکس ٹیب پر جائیں اور + پر کلک کریں۔
ہم بھریں:
نیٹ ورک - ایک مقامی نیٹ ورک جس تک دور دراز کے صارفین کو رسائی حاصل ہوگی۔
ٹریفک بھیجیں، اس کے پاس دو اختیارات ہیں:
- سرنگ کے اوپر - سرنگ کے ذریعے نیٹ ورک پر ٹریفک بھیجیں،
— بائی پاس ٹنل — سرنگ کو نظرانداز کرتے ہوئے براہ راست نیٹ ورک پر ٹریفک بھیجیں۔
TCP آپٹیمائزیشن کو فعال کریں - چیک کریں کہ آیا آپ نے اوور ٹنل آپشن کا انتخاب کیا ہے۔ جب آپٹیمائزیشن کو فعال کیا جاتا ہے، تو آپ وہ پورٹ نمبر بتا سکتے ہیں جن کے لیے آپ ٹریفک کو بہتر بنانا چاہتے ہیں۔ اس مخصوص نیٹ ورک پر باقی بندرگاہوں کے لیے ٹریفک کو بہتر نہیں بنایا جائے گا۔ اگر کوئی پورٹ نمبر متعین نہیں کیے گئے ہیں، تو تمام بندرگاہوں کے لیے ٹریفک کو بہتر بنایا جاتا ہے۔ اس خصوصیت کے بارے میں مزید پڑھیں یہاں.
اگلا، توثیق کے ٹیب پر جائیں اور + پر کلک کریں۔ تصدیق کے لیے، ہم خود NSX Edge پر ایک مقامی سرور استعمال کریں گے۔
یہاں ہم نئے پاس ورڈ بنانے کے لیے پالیسیاں منتخب کر سکتے ہیں اور صارف کے اکاؤنٹس کو بلاک کرنے کے لیے آپشن تشکیل دے سکتے ہیں (مثال کے طور پر، اگر پاس ورڈ غلط درج کیا گیا ہے تو دوبارہ کوششوں کی تعداد)۔
چونکہ ہم مقامی تصدیق استعمال کر رہے ہیں، ہمیں صارفین بنانے کی ضرورت ہے۔
نام اور پاس ورڈ جیسی بنیادی چیزوں کے علاوہ، یہاں آپ، مثال کے طور پر، صارف کو پاس ورڈ تبدیل کرنے سے منع کر سکتے ہیں یا اس کے برعکس، اگلی بار لاگ ان ہونے پر اسے پاس ورڈ تبدیل کرنے پر مجبور کر سکتے ہیں۔
تمام ضروری صارفین کو شامل کرنے کے بعد، انسٹالیشن پیکجز کے ٹیب پر جائیں، + پر کلک کریں اور انسٹالر خود بنائیں، جسے انسٹال کرنے کے لیے ریموٹ ملازم کے ذریعے ڈاؤن لوڈ کیا جائے گا۔
دبائیں +۔ سرور کا پتہ اور پورٹ منتخب کریں جس سے کلائنٹ جڑے گا، اور وہ پلیٹ فارم جس کے لیے آپ انسٹالیشن پیکج بنانا چاہتے ہیں۔
اس ونڈو میں ذیل میں، آپ ونڈوز کے لیے کلائنٹ کی ترتیبات کی وضاحت کر سکتے ہیں۔ منتخب کریں:
لاگ ان پر کلائنٹ شروع کریں - VPN کلائنٹ کو ریموٹ مشین پر اسٹارٹ اپ میں شامل کیا جائے گا۔
ڈیسک ٹاپ آئیکن بنائیں - ڈیسک ٹاپ پر ایک وی پی این کلائنٹ آئیکن بنائے گا؛
سرور سیکیورٹی سرٹیفکیٹ کی توثیق - کنکشن پر سرور سرٹیفکیٹ کی توثیق کرے گا۔
سرور سیٹ اپ مکمل ہو گیا ہے۔
اب آئیے اس انسٹالیشن پیکج کو ڈاؤن لوڈ کرتے ہیں جسے ہم نے آخری مرحلے میں بنایا تھا ریموٹ پی سی پر۔ سرور کو ترتیب دیتے وقت، ہم نے اس کا بیرونی پتہ (185.148.83.16) اور پورٹ (445) کی وضاحت کی۔ اس ایڈریس پر ہمیں ویب براؤزر میں جانے کی ضرورت ہے۔ میرے معاملے میں یہ ہے۔ 185.148.83.16: 445.
اجازت دینے والی ونڈو میں، آپ کو صارف کی وہ اسناد داخل کرنی ہوں گی جو ہم نے پہلے بنائی تھیں۔
اجازت کے بعد، ہم ڈاؤن لوڈ کے لیے دستیاب انسٹالیشن پیکجوں کی فہرست دیکھتے ہیں۔ ہم نے صرف ایک تخلیق کیا ہے - ہم اسے ڈاؤن لوڈ کریں گے۔
ہم لنک پر کلک کرتے ہیں، کلائنٹ کا ڈاؤن لوڈ شروع ہوتا ہے۔
ڈاؤن لوڈ کردہ آرکائیو کو کھولیں اور انسٹالر چلائیں۔
انسٹالیشن کے بعد، کلائنٹ کو لانچ کریں، اجازت دینے والی ونڈو میں، لاگ ان پر کلک کریں۔
سرٹیفکیٹ کی تصدیق کی ونڈو میں، ہاں کو منتخب کریں۔
ہم پہلے سے بنائے گئے صارف کے لیے اسناد داخل کرتے ہیں اور دیکھتے ہیں کہ کنکشن کامیابی سے مکمل ہو گیا ہے۔
ہم مقامی کمپیوٹر پر VPN کلائنٹ کے اعدادوشمار چیک کرتے ہیں۔
ونڈوز کمانڈ لائن (ipconfig/all) میں، ہم دیکھتے ہیں کہ ایک اضافی ورچوئل اڈاپٹر نمودار ہوا ہے اور ریموٹ نیٹ ورک سے کنیکٹیویٹی ہے، سب کچھ کام کرتا ہے:
اور آخر میں، ایج گیٹ وے کنسول سے چیک کریں۔
L2 VPN
L2VPN کی ضرورت اس وقت ہوگی جب آپ کو کئی جغرافیائی طور پر یکجا کرنے کی ضرورت ہوگی۔
نیٹ ورکس کو ایک براڈکاسٹ ڈومین میں تقسیم کیا۔
یہ کارآمد ہو سکتا ہے، مثال کے طور پر، ایک ورچوئل مشین کو منتقل کرتے وقت: جب کوئی VM کسی دوسرے جغرافیائی علاقے میں جاتا ہے، تو مشین اپنی IP ایڈریسنگ سیٹنگز کو برقرار رکھے گی اور اس کے ساتھ اسی L2 ڈومین میں موجود دیگر مشینوں کے ساتھ رابطے سے محروم نہیں ہوگی۔
ہمارے آزمائشی ماحول میں، ہم دو سائٹس کو ایک دوسرے سے جوڑیں گے، ہم انہیں بالترتیب A اور B کہیں گے۔ ہمارے پاس دو NSXs اور دو ایک جیسے بنائے گئے روٹ نیٹ ورکس مختلف Edges سے منسلک ہیں۔ مشین A کا پتہ 10.10.10.250/24 ہے، مشین B کا پتہ 10.10.10.2/24 ہے۔
vCloud ڈائریکٹر میں، ایڈمنسٹریشن ٹیب پر جائیں، VDC پر جائیں جس کی ہمیں ضرورت ہے، Org VDC نیٹ ورکس ٹیب پر جائیں اور دو نئے نیٹ ورکس شامل کریں۔
روٹ شدہ نیٹ ورک کی قسم کو منتخب کریں اور اس نیٹ ورک کو ہمارے NSX سے منسلک کریں۔ ہم ذیلی انٹرفیس کے طور پر چیک باکس بنائیں۔
نتیجے کے طور پر، ہمیں دو نیٹ ورک حاصل کرنا چاہئے. ہماری مثال میں، انہیں ایک ہی گیٹ وے سیٹنگز اور ایک ہی ماسک کے ساتھ network-a اور network-b کہا جاتا ہے۔
اب آئیے پہلے NSX کی سیٹنگز پر جائیں۔ یہ وہ NSX ہوگا جس سے نیٹ ورک A منسلک ہے۔ یہ ایک سرور کے طور پر کام کرے گا۔
ہم NSx Edge انٹرفیس پر واپس آتے ہیں / VPN ٹیب -> L2VPN پر جائیں۔ ہم L2VPN کو آن کرتے ہیں، سرور آپریشن موڈ کو منتخب کرتے ہیں، سرور گلوبل سیٹنگز میں ہم بیرونی NSX IP ایڈریس بتاتے ہیں جس پر ٹنل کے لیے پورٹ سنے گا۔ پہلے سے طے شدہ طور پر، ساکٹ پورٹ 443 پر کھل جائے گا، لیکن اسے تبدیل کیا جا سکتا ہے۔ مستقبل کی سرنگ کے لیے خفیہ کاری کی ترتیبات کو منتخب کرنا نہ بھولیں۔
سرور سائٹس کے ٹیب پر جائیں اور ایک ہم مرتبہ شامل کریں۔
ہم ہم مرتبہ کو آن کرتے ہیں، نام، تفصیل سیٹ کرتے ہیں، اگر ضروری ہو تو صارف نام اور پاس ورڈ سیٹ کریں۔ کلائنٹ سائٹ کو ترتیب دیتے وقت ہمیں بعد میں اس ڈیٹا کی ضرورت ہوگی۔
ایگریس آپٹیمائزیشن گیٹ وے ایڈریس میں ہم گیٹ وے ایڈریس سیٹ کرتے ہیں۔ یہ ضروری ہے تاکہ IP ایڈریس کا کوئی تنازعہ نہ ہو، کیونکہ ہمارے نیٹ ورکس کے گیٹ وے کا پتہ ایک ہی ہے۔ پھر SELECT SUB-INTERFACES بٹن پر کلک کریں۔
یہاں ہم مطلوبہ ذیلی انٹرفیس کو منتخب کرتے ہیں۔ ہم ترتیبات کو محفوظ کرتے ہیں۔
ہم دیکھتے ہیں کہ نئی بنائی گئی کلائنٹ سائٹ سیٹنگز میں نمودار ہوئی ہے۔
اب آئیے کلائنٹ کی طرف سے NSX کو ترتیب دینے کی طرف بڑھتے ہیں۔
ہم NSX سائیڈ B پر جائیں، VPN -> L2VPN پر جائیں، L2VPN کو فعال کریں، L2VPN موڈ کو کلائنٹ موڈ پر سیٹ کریں۔ کلائنٹ گلوبل ٹیب پر، NSX A کا ایڈریس اور پورٹ سیٹ کریں، جسے ہم نے پہلے سرور کی طرف Listening IP اور پورٹ کے طور پر بیان کیا تھا۔ اسی طرح انکرپشن سیٹنگز کو سیٹ کرنا بھی ضروری ہے تاکہ جب سرنگ اٹھائی جائے تو وہ مستقل رہیں۔
ہم نیچے سکرول کرتے ہیں، ذیلی انٹرفیس کو منتخب کریں جس کے ذریعے L2VPN کے لیے سرنگ بنائی جائے گی۔
ایگریس آپٹیمائزیشن گیٹ وے ایڈریس میں ہم گیٹ وے ایڈریس سیٹ کرتے ہیں۔ یوزر آئی ڈی اور پاس ورڈ سیٹ کریں۔ ہم ذیلی انٹرفیس کو منتخب کرتے ہیں اور ترتیبات کو محفوظ کرنا نہیں بھولتے ہیں۔
اصل میں، یہ سب ہے. کلائنٹ اور سرور سائیڈ کی سیٹنگز تقریباً ایک جیسی ہیں، سوائے چند باریکیوں کے۔
اب ہم دیکھ سکتے ہیں کہ ہماری ٹنل نے کسی بھی NSX پر Statistics -> L2VPN پر جا کر کام کیا ہے۔
اگر اب ہم کسی بھی ایج گیٹ وے کے کنسول پر جائیں تو ہم ان میں سے ہر ایک پر دونوں VMs کے پتے arp ٹیبل میں دیکھیں گے۔
یہ سب NSX Edge پر VPN کے بارے میں ہے۔ پوچھیں کہ کیا کچھ واضح نہیں ہے۔ یہ NSX Edge کے ساتھ کام کرنے پر مضامین کی سیریز کا آخری حصہ بھی ہے۔ ہمیں امید ہے کہ وہ مددگار تھے 🙂