آج ہم VPN کنفیگریشن کے اختیارات پر ایک نظر ڈالنے جا رہے ہیں جو NSX Edge ہمیں پیش کرتا ہے۔
عام طور پر، ہم VPN ٹیکنالوجیز کو دو کلیدی اقسام میں تقسیم کر سکتے ہیں:
- سائٹ ٹو سائٹ وی پی این۔ IPSec کا سب سے عام استعمال ایک محفوظ سرنگ بنانا ہے، مثال کے طور پر، ایک مرکزی دفتر کے نیٹ ورک اور کسی دور دراز سائٹ یا کلاؤڈ میں موجود نیٹ ورک کے درمیان۔
- ریموٹ ایکسیس وی پی این۔ VPN کلائنٹ سافٹ ویئر کا استعمال کرتے ہوئے انفرادی صارفین کو کارپوریٹ نجی نیٹ ورکس سے جوڑنے کے لیے استعمال کیا جاتا ہے۔
NSX Edge ہمیں دونوں اختیارات استعمال کرنے کی اجازت دیتا ہے۔
ہم دو NSX ایج کے ساتھ ایک ٹیسٹ بینچ کا استعمال کرتے ہوئے ترتیب دیں گے، ایک لینکس سرور جس میں نصب ڈیمون ہے اور ریموٹ ایکسیس وی پی این کی جانچ کرنے کے لیے ایک ونڈوز لیپ ٹاپ۔
IPsec
- وی کلاؤڈ ڈائریکٹر انٹرفیس میں، ایڈمنسٹریشن سیکشن میں جائیں اور وی ڈی سی کو منتخب کریں۔ ایج گیٹ وے ٹیب پر، ہمیں جس کنارے کی ضرورت ہے اسے منتخب کریں، دائیں کلک کریں اور ایج گیٹ وے سروسز کو منتخب کریں۔
- NSX Edge انٹرفیس میں، VPN-IPsec VPN ٹیب پر جائیں، پھر IPsec VPN سائٹس سیکشن پر جائیں اور نئی سائٹ شامل کرنے کے لیے + پر کلک کریں۔
- مطلوبہ فیلڈز پر کریں:
- فعال کردہ - ریموٹ سائٹ کو چالو کرتا ہے۔
- پی ایف ایس - اس بات کو یقینی بناتا ہے کہ ہر نئی کرپٹوگرافک کلید کسی پچھلی کلید سے وابستہ نہیں ہے۔
- لوکل آئی ڈی اور لوکل اینڈ پوائنٹt NSX Edge کا بیرونی پتہ ہے۔
- مقامی سب نیٹs - مقامی نیٹ ورکس جو IPsec VPN استعمال کریں گے۔
- پیر ID اور پیر اینڈ پوائنٹ - دور دراز سائٹ کا پتہ۔
- پیر سب نیٹس - نیٹ ورکس جو دور دراز کی طرف IPsec VPN استعمال کریں گے۔
- خفیہ کاری الگورتھم - ٹنل انکرپشن الگورتھم۔
- کی توثیق - ہم ہم مرتبہ کی توثیق کیسے کریں گے۔ آپ پہلے سے مشترکہ کلید یا سرٹیفکیٹ استعمال کر سکتے ہیں۔
- پہلے سے مشترکہ کی - اس کلید کی وضاحت کریں جو تصدیق کے لیے استعمال کی جائے گی اور دونوں طرف سے مماثل ہونی چاہیے۔
- ڈیفی ہیل مین گروپ - کلیدی تبادلہ الگورتھم۔
مطلوبہ فیلڈز کو بھرنے کے بعد Keep پر کلک کریں۔
- ہو گیا
- سائٹ کو شامل کرنے کے بعد، ایکٹیویشن اسٹیٹس ٹیب پر جائیں اور IPsec سروس کو فعال کریں۔
- ترتیبات کو لاگو کرنے کے بعد، شماریات -> IPsec VPN ٹیب پر جائیں اور سرنگ کی حیثیت کو چیک کریں۔ ہم دیکھتے ہیں کہ سرنگ اٹھ گئی ہے۔
- ایج گیٹ وے کنسول سے سرنگ کی حیثیت چیک کریں:
- سروس ipsec دکھائیں - سروس کی حیثیت کو چیک کریں۔
- سروس ipsec سائٹ دکھائیں - سائٹ کی حالت اور بات چیت شدہ پیرامیٹرز کے بارے میں معلومات۔
- سروس ipsec sa دکھائیں - سیکیورٹی ایسوسی ایشن (SA) کی حیثیت کی جانچ کریں۔
- سروس ipsec دکھائیں - سروس کی حیثیت کو چیک کریں۔
- دور دراز سائٹ کے ساتھ رابطے کی جانچ کرنا:
root@racoon:~# ifconfig eth0:1 | grep inet inet 10.255.255.1 netmask 255.255.255.0 broadcast 0.0.0.0 root@racoon:~# ping -c1 -I 10.255.255.1 192.168.0.10 PING 192.168.0.10 (192.168.0.10) from 10.255.255.1 : 56(84) bytes of data. 64 bytes from 192.168.0.10: icmp_seq=1 ttl=63 time=59.9 ms --- 192.168.0.10 ping statistics --- 1 packets transmitted, 1 received, 0% packet loss, time 0ms rtt min/avg/max/mdev = 59.941/59.941/59.941/0.000 msریموٹ لینکس سرور سے تشخیص کے لیے کنفیگریشن فائلیں اور اضافی کمانڈز:
root@racoon:~# cat /etc/racoon/racoon.conf log debug; path pre_shared_key "/etc/racoon/psk.txt"; path certificate "/etc/racoon/certs"; listen { isakmp 80.211.43.73 [500]; strict_address; } remote 185.148.83.16 { exchange_mode main,aggressive; proposal { encryption_algorithm aes256; hash_algorithm sha1; authentication_method pre_shared_key; dh_group modp1536; } generate_policy on; } sainfo address 10.255.255.0/24 any address 192.168.0.0/24 any { encryption_algorithm aes256; authentication_algorithm hmac_sha1; compression_algorithm deflate; } === root@racoon:~# cat /etc/racoon/psk.txt 185.148.83.16 testkey === root@racoon:~# cat /etc/ipsec-tools.conf #!/usr/sbin/setkey -f flush; spdflush; spdadd 192.168.0.0/24 10.255.255.0/24 any -P in ipsec esp/tunnel/185.148.83.16-80.211.43.73/require; spdadd 10.255.255.0/24 192.168.0.0/24 any -P out ipsec esp/tunnel/80.211.43.73-185.148.83.16/require; === root@racoon:~# racoonctl show-sa isakmp Destination Cookies Created 185.148.83.16.500 2088977aceb1b512:a4c470cb8f9d57e9 2019-05-22 13:46:13 === root@racoon:~# racoonctl show-sa esp 80.211.43.73 185.148.83.16 esp mode=tunnel spi=1646662778(0x6226147a) reqid=0(0x00000000) E: aes-cbc 00064df4 454d14bc 9444b428 00e2296e c7bb1e03 06937597 1e522ce0 641e704d A: hmac-sha1 aa9e7cd7 51653621 67b3b2e9 64818de5 df848792 seq=0x00000000 replay=4 flags=0x00000000 state=mature created: May 22 13:46:13 2019 current: May 22 14:07:43 2019 diff: 1290(s) hard: 3600(s) soft: 2880(s) last: May 22 13:46:13 2019 hard: 0(s) soft: 0(s) current: 72240(bytes) hard: 0(bytes) soft: 0(bytes) allocated: 860 hard: 0 soft: 0 sadb_seq=1 pid=7739 refcnt=0 185.148.83.16 80.211.43.73 esp mode=tunnel spi=88535449(0x0546f199) reqid=0(0x00000000) E: aes-cbc c812505a 9c30515e 9edc8c4a b3393125 ade4c320 9bde04f0 94e7ba9d 28e61044 A: hmac-sha1 cd9d6f6e 06dbcd6d da4d14f8 6d1a6239 38589878 seq=0x00000000 replay=4 flags=0x00000000 state=mature created: May 22 13:46:13 2019 current: May 22 14:07:43 2019 diff: 1290(s) hard: 3600(s) soft: 2880(s) last: May 22 13:46:13 2019 hard: 0(s) soft: 0(s) current: 72240(bytes) hard: 0(bytes) soft: 0(bytes) allocated: 860 hard: 0 soft: 0 sadb_seq=0 pid=7739 refcnt=0 - سب کچھ تیار ہے، سائٹ ٹو سائٹ IPsec VPN تیار اور چل رہا ہے۔
اس مثال میں، ہم نے ہم مرتبہ کی تصدیق کے لیے PSK کا استعمال کیا، لیکن سرٹیفکیٹ کی توثیق بھی ممکن ہے۔ ایسا کرنے کے لیے، گلوبل کنفیگریشن ٹیب پر جائیں، سرٹیفکیٹ کی تصدیق کو فعال کریں اور سرٹیفکیٹ کو ہی منتخب کریں۔
اس کے علاوہ، سائٹ کی ترتیبات میں، آپ کو تصدیق کا طریقہ تبدیل کرنے کی ضرورت ہوگی۔
میں نوٹ کرتا ہوں کہ IPsec سرنگوں کی تعداد تعینات ایج گیٹ وے کے سائز پر منحصر ہے (اس کے بارے میں ہمارے ).
ایس ایس ایل وی پی این
SSL VPN-Plus ریموٹ ایکسیس VPN اختیارات میں سے ایک ہے۔ یہ انفرادی دور دراز کے صارفین کو NSX ایج گیٹ وے کے پیچھے نجی نیٹ ورکس سے محفوظ طریقے سے جڑنے کی اجازت دیتا ہے۔ SSL VPN-plus کی صورت میں ایک انکرپٹڈ ٹنل کلائنٹ (ونڈوز، لینکس، میک) اور NSX ایج کے درمیان قائم کی گئی ہے۔
- آئیے ترتیب دینا شروع کریں۔ ایج گیٹ وے سروس کنٹرول پینل میں، SSL VPN-Plus ٹیب پر جائیں، پھر سرور کی ترتیبات پر جائیں۔ ہم ایڈریس اور پورٹ کا انتخاب کرتے ہیں جس پر سرور آنے والے کنکشنز کو سنے گا، لاگنگ کو فعال کریں گے اور ضروری انکرپشن الگورتھم منتخب کریں گے۔
یہاں آپ اس سرٹیفکیٹ کو بھی تبدیل کر سکتے ہیں جسے سرور استعمال کرے گا۔ - سب کچھ تیار ہونے کے بعد، سرور کو آن کریں اور سیٹنگز کو محفوظ کرنا نہ بھولیں۔
- اگلا، ہمیں پتوں کا ایک پول قائم کرنے کی ضرورت ہے جو ہم کنکشن کے بعد کلائنٹس کو جاری کریں گے۔ یہ نیٹ ورک آپ کے NSX ماحول میں موجود کسی بھی ذیلی نیٹ ورک سے الگ ہے اور اسے فزیکل نیٹ ورکس پر دیگر آلات پر کنفیگر کرنے کی ضرورت نہیں ہے، سوائے ان راستوں کے جو اس کی طرف اشارہ کرتے ہیں۔
آئی پی پولز ٹیب پر جائیں اور + پر کلک کریں۔
- پتے، سب نیٹ ماسک اور گیٹ وے منتخب کریں۔ یہاں آپ DNS اور WINS سرورز کی ترتیبات کو بھی تبدیل کر سکتے ہیں۔
- نتیجے میں پول۔
- اب آئیے ان نیٹ ورکس کو شامل کرتے ہیں جن تک VPN سے جڑنے والے صارفین کو رسائی حاصل ہوگی۔ پرائیویٹ نیٹ ورکس ٹیب پر جائیں اور + پر کلک کریں۔
- ہم بھریں:
- نیٹ ورک - ایک مقامی نیٹ ورک جس تک دور دراز کے صارفین کو رسائی حاصل ہوگی۔
- ٹریفک بھیجیں، اس کے پاس دو اختیارات ہیں:
- سرنگ کے اوپر - سرنگ کے ذریعے نیٹ ورک پر ٹریفک بھیجیں،
— بائی پاس ٹنل — سرنگ کو نظرانداز کرتے ہوئے براہ راست نیٹ ورک پر ٹریفک بھیجیں۔ - TCP آپٹیمائزیشن کو فعال کریں - چیک کریں کہ آیا آپ نے اوور ٹنل آپشن کا انتخاب کیا ہے۔ جب آپٹیمائزیشن کو فعال کیا جاتا ہے، تو آپ وہ پورٹ نمبر بتا سکتے ہیں جن کے لیے آپ ٹریفک کو بہتر بنانا چاہتے ہیں۔ اس مخصوص نیٹ ورک پر باقی بندرگاہوں کے لیے ٹریفک کو بہتر نہیں بنایا جائے گا۔ اگر کوئی پورٹ نمبر متعین نہیں کیے گئے ہیں، تو تمام بندرگاہوں کے لیے ٹریفک کو بہتر بنایا جاتا ہے۔ اس خصوصیت کے بارے میں مزید پڑھیں .
- اگلا، توثیق کے ٹیب پر جائیں اور + پر کلک کریں۔ تصدیق کے لیے، ہم خود NSX Edge پر ایک مقامی سرور استعمال کریں گے۔
- یہاں ہم نئے پاس ورڈ بنانے کے لیے پالیسیاں منتخب کر سکتے ہیں اور صارف کے اکاؤنٹس کو بلاک کرنے کے لیے آپشن تشکیل دے سکتے ہیں (مثال کے طور پر، اگر پاس ورڈ غلط درج کیا گیا ہے تو دوبارہ کوششوں کی تعداد)۔
- چونکہ ہم مقامی تصدیق استعمال کر رہے ہیں، ہمیں صارفین بنانے کی ضرورت ہے۔
- نام اور پاس ورڈ جیسی بنیادی چیزوں کے علاوہ، یہاں آپ، مثال کے طور پر، صارف کو پاس ورڈ تبدیل کرنے سے منع کر سکتے ہیں یا اس کے برعکس، اگلی بار لاگ ان ہونے پر اسے پاس ورڈ تبدیل کرنے پر مجبور کر سکتے ہیں۔
- تمام ضروری صارفین کو شامل کرنے کے بعد، انسٹالیشن پیکجز کے ٹیب پر جائیں، + پر کلک کریں اور انسٹالر خود بنائیں، جسے انسٹال کرنے کے لیے ریموٹ ملازم کے ذریعے ڈاؤن لوڈ کیا جائے گا۔
- دبائیں +۔ سرور کا پتہ اور پورٹ منتخب کریں جس سے کلائنٹ جڑے گا، اور وہ پلیٹ فارم جس کے لیے آپ انسٹالیشن پیکج بنانا چاہتے ہیں۔
اس ونڈو میں ذیل میں، آپ ونڈوز کے لیے کلائنٹ کی ترتیبات کی وضاحت کر سکتے ہیں۔ منتخب کریں:- لاگ ان پر کلائنٹ شروع کریں - VPN کلائنٹ کو ریموٹ مشین پر اسٹارٹ اپ میں شامل کیا جائے گا۔
- ڈیسک ٹاپ آئیکن بنائیں - ڈیسک ٹاپ پر ایک وی پی این کلائنٹ آئیکن بنائے گا؛
- سرور سیکیورٹی سرٹیفکیٹ کی توثیق - کنکشن پر سرور سرٹیفکیٹ کی توثیق کرے گا۔
سرور سیٹ اپ مکمل ہو گیا ہے۔
- اب آئیے اس انسٹالیشن پیکج کو ڈاؤن لوڈ کرتے ہیں جسے ہم نے آخری مرحلے میں بنایا تھا ریموٹ پی سی پر۔ سرور کو ترتیب دیتے وقت، ہم نے اس کا بیرونی پتہ (185.148.83.16) اور پورٹ (445) کی وضاحت کی۔ اس ایڈریس پر ہمیں ویب براؤزر میں جانے کی ضرورت ہے۔ میرے معاملے میں یہ ہے۔ : 445.
اجازت دینے والی ونڈو میں، آپ کو صارف کی وہ اسناد داخل کرنی ہوں گی جو ہم نے پہلے بنائی تھیں۔
- اجازت کے بعد، ہم ڈاؤن لوڈ کے لیے دستیاب انسٹالیشن پیکجوں کی فہرست دیکھتے ہیں۔ ہم نے صرف ایک تخلیق کیا ہے - ہم اسے ڈاؤن لوڈ کریں گے۔
- ہم لنک پر کلک کرتے ہیں، کلائنٹ کا ڈاؤن لوڈ شروع ہوتا ہے۔
- ڈاؤن لوڈ کردہ آرکائیو کو کھولیں اور انسٹالر چلائیں۔
- انسٹالیشن کے بعد، کلائنٹ کو لانچ کریں، اجازت دینے والی ونڈو میں، لاگ ان پر کلک کریں۔
- سرٹیفکیٹ کی تصدیق کی ونڈو میں، ہاں کو منتخب کریں۔
- ہم پہلے سے بنائے گئے صارف کے لیے اسناد داخل کرتے ہیں اور دیکھتے ہیں کہ کنکشن کامیابی سے مکمل ہو گیا ہے۔
- ہم مقامی کمپیوٹر پر VPN کلائنٹ کے اعدادوشمار چیک کرتے ہیں۔
- ونڈوز کمانڈ لائن (ipconfig/all) میں، ہم دیکھتے ہیں کہ ایک اضافی ورچوئل اڈاپٹر نمودار ہوا ہے اور ریموٹ نیٹ ورک سے کنیکٹیویٹی ہے، سب کچھ کام کرتا ہے:
- اور آخر میں، ایج گیٹ وے کنسول سے چیک کریں۔
L2 VPN
L2VPN کی ضرورت اس وقت ہوگی جب آپ کو کئی جغرافیائی طور پر یکجا کرنے کی ضرورت ہوگی۔
نیٹ ورکس کو ایک براڈکاسٹ ڈومین میں تقسیم کیا۔
یہ کارآمد ہو سکتا ہے، مثال کے طور پر، ایک ورچوئل مشین کو منتقل کرتے وقت: جب کوئی VM کسی دوسرے جغرافیائی علاقے میں جاتا ہے، تو مشین اپنی IP ایڈریسنگ سیٹنگز کو برقرار رکھے گی اور اس کے ساتھ اسی L2 ڈومین میں موجود دیگر مشینوں کے ساتھ رابطے سے محروم نہیں ہوگی۔
ہمارے آزمائشی ماحول میں، ہم دو سائٹس کو ایک دوسرے سے جوڑیں گے، ہم انہیں بالترتیب A اور B کہیں گے۔ ہمارے پاس دو NSXs اور دو ایک جیسے بنائے گئے روٹ نیٹ ورکس مختلف Edges سے منسلک ہیں۔ مشین A کا پتہ 10.10.10.250/24 ہے، مشین B کا پتہ 10.10.10.2/24 ہے۔
- vCloud ڈائریکٹر میں، ایڈمنسٹریشن ٹیب پر جائیں، VDC پر جائیں جس کی ہمیں ضرورت ہے، Org VDC نیٹ ورکس ٹیب پر جائیں اور دو نئے نیٹ ورکس شامل کریں۔
- روٹ شدہ نیٹ ورک کی قسم کو منتخب کریں اور اس نیٹ ورک کو ہمارے NSX سے منسلک کریں۔ ہم ذیلی انٹرفیس کے طور پر چیک باکس بنائیں۔
- نتیجے کے طور پر، ہمیں دو نیٹ ورک حاصل کرنا چاہئے. ہماری مثال میں، انہیں ایک ہی گیٹ وے سیٹنگز اور ایک ہی ماسک کے ساتھ network-a اور network-b کہا جاتا ہے۔
- اب آئیے پہلے NSX کی سیٹنگز پر جائیں۔ یہ وہ NSX ہوگا جس سے نیٹ ورک A منسلک ہے۔ یہ ایک سرور کے طور پر کام کرے گا۔
ہم NSx Edge انٹرفیس پر واپس آتے ہیں / VPN ٹیب -> L2VPN پر جائیں۔ ہم L2VPN کو آن کرتے ہیں، سرور آپریشن موڈ کو منتخب کرتے ہیں، سرور گلوبل سیٹنگز میں ہم بیرونی NSX IP ایڈریس بتاتے ہیں جس پر ٹنل کے لیے پورٹ سنے گا۔ پہلے سے طے شدہ طور پر، ساکٹ پورٹ 443 پر کھل جائے گا، لیکن اسے تبدیل کیا جا سکتا ہے۔ مستقبل کی سرنگ کے لیے خفیہ کاری کی ترتیبات کو منتخب کرنا نہ بھولیں۔
- سرور سائٹس کے ٹیب پر جائیں اور ایک ہم مرتبہ شامل کریں۔
- ہم ہم مرتبہ کو آن کرتے ہیں، نام، تفصیل سیٹ کرتے ہیں، اگر ضروری ہو تو صارف نام اور پاس ورڈ سیٹ کریں۔ کلائنٹ سائٹ کو ترتیب دیتے وقت ہمیں بعد میں اس ڈیٹا کی ضرورت ہوگی۔
ایگریس آپٹیمائزیشن گیٹ وے ایڈریس میں ہم گیٹ وے ایڈریس سیٹ کرتے ہیں۔ یہ ضروری ہے تاکہ IP ایڈریس کا کوئی تنازعہ نہ ہو، کیونکہ ہمارے نیٹ ورکس کے گیٹ وے کا پتہ ایک ہی ہے۔ پھر SELECT SUB-INTERFACES بٹن پر کلک کریں۔
- یہاں ہم مطلوبہ ذیلی انٹرفیس کو منتخب کرتے ہیں۔ ہم ترتیبات کو محفوظ کرتے ہیں۔
- ہم دیکھتے ہیں کہ نئی بنائی گئی کلائنٹ سائٹ سیٹنگز میں نمودار ہوئی ہے۔
- اب آئیے کلائنٹ کی طرف سے NSX کو ترتیب دینے کی طرف بڑھتے ہیں۔
ہم NSX سائیڈ B پر جائیں، VPN -> L2VPN پر جائیں، L2VPN کو فعال کریں، L2VPN موڈ کو کلائنٹ موڈ پر سیٹ کریں۔ کلائنٹ گلوبل ٹیب پر، NSX A کا ایڈریس اور پورٹ سیٹ کریں، جسے ہم نے پہلے سرور کی طرف Listening IP اور پورٹ کے طور پر بیان کیا تھا۔ اسی طرح انکرپشن سیٹنگز کو سیٹ کرنا بھی ضروری ہے تاکہ جب سرنگ اٹھائی جائے تو وہ مستقل رہیں۔
ہم نیچے سکرول کرتے ہیں، ذیلی انٹرفیس کو منتخب کریں جس کے ذریعے L2VPN کے لیے سرنگ بنائی جائے گی۔
ایگریس آپٹیمائزیشن گیٹ وے ایڈریس میں ہم گیٹ وے ایڈریس سیٹ کرتے ہیں۔ یوزر آئی ڈی اور پاس ورڈ سیٹ کریں۔ ہم ذیلی انٹرفیس کو منتخب کرتے ہیں اور ترتیبات کو محفوظ کرنا نہیں بھولتے ہیں۔ - اصل میں، یہ سب ہے. کلائنٹ اور سرور سائیڈ کی سیٹنگز تقریباً ایک جیسی ہیں، سوائے چند باریکیوں کے۔
- اب ہم دیکھ سکتے ہیں کہ ہماری ٹنل نے کسی بھی NSX پر Statistics -> L2VPN پر جا کر کام کیا ہے۔
- اگر اب ہم کسی بھی ایج گیٹ وے کے کنسول پر جائیں تو ہم ان میں سے ہر ایک پر دونوں VMs کے پتے arp ٹیبل میں دیکھیں گے۔
یہ سب NSX Edge پر VPN کے بارے میں ہے۔ پوچھیں کہ کیا کچھ واضح نہیں ہے۔ یہ NSX Edge کے ساتھ کام کرنے پر مضامین کی سیریز کا آخری حصہ بھی ہے۔ ہمیں امید ہے کہ وہ مددگار تھے 🙂
ماخذ: www.habr.com