Bugun biz NSX Edge bizga taklif qiladigan VPN konfiguratsiya variantlarini ko'rib chiqamiz.
Umuman olganda, biz VPN texnologiyalarini ikkita asosiy turga ajratishimiz mumkin:
- Saytdan saytga VPN. IPSec-dan eng keng tarqalgan foydalanish xavfsiz tunnel yaratishdir, masalan, asosiy ofis tarmog'i va uzoq saytdagi yoki bulutdagi tarmoq o'rtasida.
- Masofaviy kirish VPN. VPN mijoz dasturi yordamida individual foydalanuvchilarni korporativ xususiy tarmoqlarga ulash uchun foydalaniladi.
NSX Edge ikkala variantni ham ishlatishga imkon beradi.
Biz ikkita NSX Edge, o'rnatilgan demonga ega Linux serveri bo'lgan sinov dastgohi yordamida sozlaymiz va masofaviy kirish VPN-ni sinab ko'rish uchun Windows noutbuki.
IPsec
- vCloud Director interfeysida Ma'muriyat bo'limiga o'ting va vDC ni tanlang. Edge Gateways yorlig'ida bizga kerak bo'lgan Edge-ni tanlang, o'ng tugmasini bosing va Edge Gateway Services-ni tanlang.
- NSX Edge interfeysida VPN-IPsec VPN yorlig'iga, so'ng IPsec VPN saytlari bo'limiga o'ting va yangi sayt qo'shish uchun + tugmasini bosing.
- Kerakli maydonlarni to'ldiring:
- Yoqilgan β masofaviy saytni faollashtiradi.
- PFS - har bir yangi kriptografik kalit oldingi kalit bilan bog'lanmaganligini ta'minlaydi.
- Mahalliy identifikator va mahalliy oxirgi nuqtat - NSX Edge ning tashqi manzili.
- mahalliy pastki tarmoqs - IPsec VPN-dan foydalanadigan mahalliy tarmoqlar.
- Peer ID va Peer Endpoint β masofaviy sayt manzili.
- Tengdosh pastki tarmoqlar β masofaviy tomonda IPsec VPN-dan foydalanadigan tarmoqlar.
- Shifrlash algoritmi β tunnel shifrlash algoritmi.
- Haqiqiylikni tekshirish - biz tengdoshning autentifikatsiyasini qanday qilamiz. Siz oldindan ulashilgan kalit yoki sertifikatdan foydalanishingiz mumkin.
- Oldindan ulashilgan kalit - autentifikatsiya qilish uchun ishlatiladigan kalitni belgilang va har ikki tomon ham mos kelishi kerak.
- Diffie Hellman guruhi - kalitlarni almashish algoritmi.
Kerakli maydonlarni to'ldirgandan so'ng, Saqlash tugmasini bosing.
- Bajarildi.
- Saytni qo'shgandan so'ng, faollashtirish holati yorlig'iga o'ting va IPsec xizmatini faollashtiring.
- Sozlamalar qo'llanilgandan so'ng, Statistika -> IPsec VPN yorlig'iga o'ting va tunnel holatini tekshiring. Tunnel ko'tarilganini ko'ramiz.
- Edge gateway konsolidan tunnel holatini tekshiring:
- ipsec xizmatini ko'rsatish - xizmat holatini tekshiring.
- ko'rsatish xizmati ipsec sayt - Saytning holati va kelishilgan parametrlar haqida ma'lumot.
- ipsec sa xizmatini ko'rsatish - Xavfsizlik Uyushmasi (SA) holatini tekshiring.
- ipsec xizmatini ko'rsatish - xizmat holatini tekshiring.
- Masofaviy sayt bilan ulanishni tekshirish:
root@racoon:~# ifconfig eth0:1 | grep inet inet 10.255.255.1 netmask 255.255.255.0 broadcast 0.0.0.0 root@racoon:~# ping -c1 -I 10.255.255.1 192.168.0.10 PING 192.168.0.10 (192.168.0.10) from 10.255.255.1 : 56(84) bytes of data. 64 bytes from 192.168.0.10: icmp_seq=1 ttl=63 time=59.9 ms --- 192.168.0.10 ping statistics --- 1 packets transmitted, 1 received, 0% packet loss, time 0ms rtt min/avg/max/mdev = 59.941/59.941/59.941/0.000 msMasofaviy Linux serveridan diagnostika uchun konfiguratsiya fayllari va qo'shimcha buyruqlar:
root@racoon:~# cat /etc/racoon/racoon.conf log debug; path pre_shared_key "/etc/racoon/psk.txt"; path certificate "/etc/racoon/certs"; listen { isakmp 80.211.43.73 [500]; strict_address; } remote 185.148.83.16 { exchange_mode main,aggressive; proposal { encryption_algorithm aes256; hash_algorithm sha1; authentication_method pre_shared_key; dh_group modp1536; } generate_policy on; } sainfo address 10.255.255.0/24 any address 192.168.0.0/24 any { encryption_algorithm aes256; authentication_algorithm hmac_sha1; compression_algorithm deflate; } === root@racoon:~# cat /etc/racoon/psk.txt 185.148.83.16 testkey === root@racoon:~# cat /etc/ipsec-tools.conf #!/usr/sbin/setkey -f flush; spdflush; spdadd 192.168.0.0/24 10.255.255.0/24 any -P in ipsec esp/tunnel/185.148.83.16-80.211.43.73/require; spdadd 10.255.255.0/24 192.168.0.0/24 any -P out ipsec esp/tunnel/80.211.43.73-185.148.83.16/require; === root@racoon:~# racoonctl show-sa isakmp Destination Cookies Created 185.148.83.16.500 2088977aceb1b512:a4c470cb8f9d57e9 2019-05-22 13:46:13 === root@racoon:~# racoonctl show-sa esp 80.211.43.73 185.148.83.16 esp mode=tunnel spi=1646662778(0x6226147a) reqid=0(0x00000000) E: aes-cbc 00064df4 454d14bc 9444b428 00e2296e c7bb1e03 06937597 1e522ce0 641e704d A: hmac-sha1 aa9e7cd7 51653621 67b3b2e9 64818de5 df848792 seq=0x00000000 replay=4 flags=0x00000000 state=mature created: May 22 13:46:13 2019 current: May 22 14:07:43 2019 diff: 1290(s) hard: 3600(s) soft: 2880(s) last: May 22 13:46:13 2019 hard: 0(s) soft: 0(s) current: 72240(bytes) hard: 0(bytes) soft: 0(bytes) allocated: 860 hard: 0 soft: 0 sadb_seq=1 pid=7739 refcnt=0 185.148.83.16 80.211.43.73 esp mode=tunnel spi=88535449(0x0546f199) reqid=0(0x00000000) E: aes-cbc c812505a 9c30515e 9edc8c4a b3393125 ade4c320 9bde04f0 94e7ba9d 28e61044 A: hmac-sha1 cd9d6f6e 06dbcd6d da4d14f8 6d1a6239 38589878 seq=0x00000000 replay=4 flags=0x00000000 state=mature created: May 22 13:46:13 2019 current: May 22 14:07:43 2019 diff: 1290(s) hard: 3600(s) soft: 2880(s) last: May 22 13:46:13 2019 hard: 0(s) soft: 0(s) current: 72240(bytes) hard: 0(bytes) soft: 0(bytes) allocated: 860 hard: 0 soft: 0 sadb_seq=0 pid=7739 refcnt=0 - Hammasi tayyor, saytdan saytga IPsec VPN ishlamoqda.
Ushbu misolda biz tengdoshlarning autentifikatsiyasi uchun PSK dan foydalandik, ammo sertifikat autentifikatsiyasi ham mumkin. Buni amalga oshirish uchun Global konfiguratsiya yorlig'iga o'ting, sertifikat autentifikatsiyasini yoqing va sertifikatning o'zini tanlang.
Bundan tashqari, sayt sozlamalarida siz autentifikatsiya usulini o'zgartirishingiz kerak bo'ladi.
Shuni ta'kidlaymanki, IPsec tunnellarining soni o'rnatilgan Edge Gateway hajmiga bog'liq (bu haqda bizning maqolamizda o'qing. ).
SSL VPN
SSL VPN-Plus masofaviy kirish VPN opsiyalaridan biridir. Bu individual masofaviy foydalanuvchilarga NSX Edge Gateway orqasidagi shaxsiy tarmoqlarga xavfsiz ulanish imkonini beradi. SSL VPN-plus holatida shifrlangan tunnel mijoz (Windows, Linux, Mac) va NSX Edge o'rtasida o'rnatiladi.
- Keling, sozlashni boshlaylik. Edge Gateway xizmatining boshqaruv panelida SSL VPN-Plus yorlig'iga, keyin Server sozlamalariga o'ting. Biz server kiruvchi ulanishlarni tinglaydigan manzil va portni tanlaymiz, ro'yxatga olishni yoqamiz va kerakli shifrlash algoritmlarini tanlaymiz.
Bu erda siz server foydalanadigan sertifikatni ham o'zgartirishingiz mumkin. - Har bir narsa tayyor bo'lgach, serverni yoqing va sozlamalarni saqlashni unutmang.
- Keyinchalik, biz ulanish vaqtida mijozlarga beradigan manzillar pulini o'rnatishimiz kerak. Bu tarmoq NSX muhitingizdagi har qanday mavjud quyi tarmoqdan alohida va jismoniy tarmoqlardagi boshqa qurilmalarda sozlanishi shart emas, unga ishora qiluvchi marshrutlardan tashqari.
IP hovuzlari yorlig'iga o'ting va + ni bosing.
- Manzillar, pastki tarmoq niqobi va shlyuzni tanlang. Bu erda siz DNS va WINS serverlari sozlamalarini ham o'zgartirishingiz mumkin.
- Olingan hovuz.
- Endi VPN-ga ulangan foydalanuvchilar kirish huquqiga ega bo'lgan tarmoqlarni qo'shamiz. Shaxsiy tarmoqlar yorlig'iga o'ting va + tugmasini bosing.
- Biz to'ldiramiz:
- Tarmoq - masofaviy foydalanuvchilar kirish huquqiga ega bo'lgan mahalliy tarmoq.
- Trafik yuborish, uning ikkita varianti bor:
- tunnel orqali - tunnel orqali tarmoqqa trafik jo'natish,
β aylanma tunnel β tunnelni aylanib oΚ»tgan holda tarmoqqa trafikni yuborish. - TCP optimallashtirishni yoqing - tunnel orqali opsiyani tanlaganingizni tekshiring. Optimallashtirish yoqilganda, siz trafikni optimallashtirishni xohlagan port raqamlarini belgilashingiz mumkin. Ushbu tarmoqdagi qolgan portlar uchun trafik optimallashtirilmaydi. Agar port raqamlari ko'rsatilmagan bo'lsa, barcha portlar uchun trafik optimallashtiriladi. Ushbu xususiyat haqida ko'proq o'qing .
- Keyin, "Autentifikatsiya" yorlig'iga o'ting va + tugmasini bosing. Autentifikatsiya qilish uchun biz NSX Edge-ning o'zida mahalliy serverdan foydalanamiz.
- Bu erda biz yangi parollarni yaratish siyosatlarini tanlashimiz va foydalanuvchi hisoblarini bloklash variantlarini sozlashimiz mumkin (masalan, agar parol noto'g'ri kiritilgan bo'lsa, takroriy urinishlar soni).
- Biz mahalliy autentifikatsiyadan foydalanayotganimiz uchun foydalanuvchilarni yaratishimiz kerak.
- Ism va parol kabi asosiy narsalarga qo'shimcha ravishda, bu erda siz, masalan, foydalanuvchiga parolni o'zgartirishni taqiqlashingiz yoki aksincha, keyingi kirishda parolni o'zgartirishga majburlashingiz mumkin.
- Barcha kerakli foydalanuvchilar qo'shilgandan so'ng, "O'rnatish paketlari" yorlig'iga o'ting, + tugmasini bosing va o'rnatish uchun masofaviy xodim tomonidan yuklab olinadigan o'rnatuvchining o'zini yarating.
- + tugmasini bosing. Mijoz ulanadigan server manzili va portini va o'rnatish paketini yaratmoqchi bo'lgan platformalarni tanlang.
Quyida ushbu oynada Windows uchun mijoz sozlamalarini belgilashingiz mumkin. Tanlang:- tizimga kirishda mijozni ishga tushirish - VPN mijozi masofaviy kompyuterda ishga tushirishga qo'shiladi;
- ish stoli belgisini yaratish - ish stolida VPN mijoz belgisini yaratadi;
- server xavfsizligi sertifikatini tekshirish - ulanishdan keyin server sertifikatini tasdiqlaydi.
Serverni sozlash tugallandi.
- Endi biz oxirgi bosqichda yaratgan o'rnatish paketini masofaviy kompyuterga yuklab olamiz. Serverni o'rnatishda biz uning tashqi manzilini (185.148.83.16) va portni (445) ko'rsatdik. Aynan shu manzilda biz veb-brauzerga kirishimiz kerak. Mening holimda shunday : 445.
Avtorizatsiya oynasida biz avval yaratgan foydalanuvchi hisob ma'lumotlarini kiritishingiz kerak.
- Avtorizatsiyadan so'ng biz yuklab olish mumkin bo'lgan yaratilgan o'rnatish paketlari ro'yxatini ko'ramiz. Biz faqat bittasini yaratdik - biz uni yuklab olamiz.
- Biz havolani bosamiz, mijozni yuklab olish boshlanadi.
- Yuklab olingan arxivni oching va o'rnatuvchini ishga tushiring.
- O'rnatishdan so'ng mijozni ishga tushiring, avtorizatsiya oynasida "Kirish" tugmasini bosing.
- Sertifikatni tekshirish oynasida Ha ni tanlang.
- Biz ilgari yaratilgan foydalanuvchi uchun hisob ma'lumotlarini kiritamiz va ulanish muvaffaqiyatli yakunlanganini ko'ramiz.
- Mahalliy kompyuterda VPN mijozining statistikasini tekshiramiz.
- Windows buyruq satrida (ipconfig / all) biz qo'shimcha virtual adapter paydo bo'lganligini va masofaviy tarmoqqa ulanish mavjudligini ko'ramiz, hamma narsa ishlaydi:
- Va nihoyat, Edge Gateway konsolidan tekshiring.
L2 VPN
Bir nechta geografik jihatdan birlashtirish kerak bo'lganda L2VPN kerak bo'ladi
tarqatilgan tarmoqlar bitta translyatsiya domeniga.
Bu, masalan, virtual mashinani ko'chirishda foydali bo'lishi mumkin: VM boshqa geografik hududga o'tganda, mashina IP-manzil sozlamalarini saqlab qoladi va u bilan bir xil L2 domenida joylashgan boshqa mashinalar bilan ulanishni yo'qotmaydi.
Sinov muhitimizda biz ikkita saytni bir-biriga ulaymiz, ularni mos ravishda A va B deb ataymiz.Bizda ikkita NSX va ikkita bir xil yaratilgan marshrutlangan tarmoqlar turli qirralarga biriktirilgan. A mashinasi 10.10.10.250/24, B mashinasi 10.10.10.2/24 manziliga ega.
- vCloud Director-da Administratsiya yorlig'iga o'ting, bizga kerak bo'lgan VDC-ga o'ting, Org VDC Networks yorlig'iga o'ting va ikkita yangi tarmoq qo'shing.
- Yo'naltirilgan tarmoq turini tanlang va ushbu tarmoqni NSX bilan bog'lang. Biz pastki interfeys sifatida yaratish katagiga belgi qo'yamiz.
- Natijada biz ikkita tarmoqni olishimiz kerak. Bizning misolimizda ular bir xil shlyuz sozlamalari va bir xil niqobli tarmoq-a va tarmoq-b deb ataladi.
- Endi birinchi NSX sozlamalariga o'tamiz. Bu tarmoq A ulangan NSX bo'ladi.U server vazifasini bajaradi.
Biz NSx Edge interfeysiga qaytamiz / VPN yorlig'iga o'ting -> L2VPN. Biz L2VPN-ni yoqamiz, Serverning ishlash rejimini tanlaymiz, Server Global sozlamalarida tunnel porti tinglaydigan tashqi NSX IP-manzilini belgilaymiz. Odatiy bo'lib, rozetka 443-portda ochiladi, ammo uni o'zgartirish mumkin. Kelajakdagi tunnel uchun shifrlash sozlamalarini tanlashni unutmang.
- Server saytlari yorlig'iga o'ting va tengdosh qo'shing.
- Biz tengdoshni yoqamiz, ismni, tavsifni o'rnatamiz, agar kerak bo'lsa, foydalanuvchi nomi va parolni o'rnatamiz. Keyinchalik mijoz saytini o'rnatishda bizga bu ma'lumotlar kerak bo'ladi.
Egress Optimization Gateway Address-da biz shlyuz manzilini o'rnatamiz. Bu IP-manzillar to'qnashuvi bo'lmasligi uchun kerak, chunki bizning tarmoqlarimiz shlyuzi bir xil manzilga ega. Keyin SUB-INTERFACESNI SELECT tugmasini bosing.
- Bu erda biz kerakli subinterfeysni tanlaymiz. Biz sozlamalarni saqlaymiz.
- Sozlamalarda yangi yaratilgan mijoz sayti paydo bo'lganini ko'ramiz.
- Endi mijoz tomonidan NSX ni sozlashga o'tamiz.
Biz NSX B tomoniga o'tamiz, VPN -> L2VPN ga o'tamiz, L2VPNni yoqamiz, L2VPN rejimini mijoz rejimiga o'rnatamiz. Client Global yorlig'ida NSX A manzili va portini o'rnating, biz avvalroq server tomonida IP tinglash va port sifatida belgilagan edik. Bundan tashqari, tunnel ko'tarilganda ular izchil bo'lishi uchun bir xil shifrlash sozlamalarini o'rnatish kerak.
Biz pastga aylantiramiz, L2VPN uchun tunnel quriladigan subinterfeysni tanlang.
Egress Optimization Gateway Address-da biz shlyuz manzilini o'rnatamiz. Foydalanuvchi identifikatori va parolni o'rnating. Biz pastki interfeysni tanlaymiz va sozlamalarni saqlashni unutmang. - Aslida, hammasi shu. Mijoz va server tomonining sozlamalari deyarli bir xil, bir nechta nuanslar bundan mustasno.
- Endi biz tunnelimiz istalgan NSX-da Statistika -> L2VPN-ga o'tish orqali ishlaganini ko'rishimiz mumkin.
- Agar biz hozir istalgan Edge Gateway konsoliga o'tadigan bo'lsak, ularning har birida arp jadvalida ikkala VMning manzillarini ko'ramiz.
Bu NSX Edge-dagi VPN haqida. Agar biror narsa tushunarsiz bo'lsa, so'rang. Bu, shuningdek, NSX Edge bilan ishlash bo'yicha bir qator maqolalarning oxirgi qismidir. Umid qilamizki, ular foydali bo'ldi π
Manba: www.habr.com