VMware NSX dành cho các bạn nhỏ. Phần 6: Thiết lập VPN

Phần một. giới thiệu
Phần hai. Định cấu hình quy tắc tường lửa và NAT
Một phần ba. Cấu hình DHCP
Phần bốn. thiết lập định tuyến
Phần năm. Thiết lập cân bằng tải

Hôm nay chúng ta sẽ xem xét các tùy chọn cấu hình VPN mà NSX Edge cung cấp cho chúng ta.

Nói chung, chúng ta có thể chia các công nghệ VPN thành hai loại chính:

• VPN site-to-site. Việc sử dụng IPSec phổ biến nhất là tạo một đường hầm an toàn, ví dụ, giữa mạng văn phòng chính và mạng tại một địa điểm từ xa hoặc trên đám mây.
• VPN truy cập từ xa. Được sử dụng để kết nối người dùng cá nhân với mạng riêng của công ty bằng phần mềm máy khách VPN.

NSX Edge cho phép chúng tôi sử dụng cả hai tùy chọn.
Chúng tôi sẽ định cấu hình bằng băng ghế thử nghiệm với hai NSX Edge, máy chủ Linux có trình nền được cài đặt Gấu mèo. - Gấu mèo và một máy tính xách tay Windows để kiểm tra Remote Access VPN.

IPsec

1. Trong giao diện vCloud Director, bạn vào phần Quản trị và chọn vDC. Trên tab Edge Gateways, chọn Edge chúng ta cần, nhấp chuột phải và chọn Edge Gateway Services.
   
2. Trong giao diện NSX Edge, bạn tìm đến tab VPN-IPsec VPN, sau đó đến phần IPsec VPN Sites và nhấn + để thêm một site mới.

   

3. Điền vào các trường bắt buộc:
   • Kích hoạt – kích hoạt trang web từ xa.
   • PFS – đảm bảo rằng mỗi khóa mật mã mới không được liên kết với bất kỳ khóa nào trước đó.
   • ID cục bộ và điểm cuối cục bột là địa chỉ bên ngoài của NSX Edge.
   • Mạng con cục bộs - mạng cục bộ sẽ sử dụng IPsec VPN.
   • ID ngang hàng và điểm cuối ngang hàng – địa chỉ của trang web từ xa.
   • Mạng con ngang hàng – các mạng sẽ sử dụng IPsec VPN ở phía xa.
   • Thuật toán mã hóa – thuật toán mã hóa đường hầm.

   
   

   • Xác thực - cách chúng tôi sẽ xác thực ngang hàng. Bạn có thể sử dụng Khóa chia sẻ trước hoặc chứng chỉ.
   • Khóa chia sẻ trước - chỉ định khóa sẽ được sử dụng để xác thực và phải khớp ở cả hai bên.
   • Tập đoàn Diffie Hellman - thuật toán trao đổi khóa.

   Sau khi điền vào các trường bắt buộc, hãy nhấp vào Giữ.

   

4. Thực hiện.

   

5. Sau khi thêm trang web, hãy chuyển đến tab Trạng thái Kích hoạt và kích hoạt Dịch vụ IPsec.

   

6. Sau khi cài đặt được áp dụng, hãy chuyển đến tab Statistics -> IPsec VPN và kiểm tra trạng thái của đường hầm. Chúng tôi thấy rằng đường hầm đã tăng lên.

   

7. Kiểm tra trạng thái đường hầm từ bảng điều khiển cổng Edge:
   • hiển thị dịch vụ ipsec - kiểm tra trạng thái của dịch vụ.

     

   • hiển thị trang ipsec dịch vụ - Thông tin về trạng thái của trang và các tham số đã thương lượng.

     

   • hiển thị dịch vụ ipsec sa - kiểm tra trạng thái của Hiệp hội bảo mật (SA).

     

8. Kiểm tra kết nối với một trang web từ xa:

   root@racoon:~# ifconfig eth0:1 | grep inet
           inet 10.255.255.1  netmask 255.255.255.0  broadcast 0.0.0.0
   
   root@racoon:~# ping -c1 -I 10.255.255.1 192.168.0.10 
   PING 192.168.0.10 (192.168.0.10) from 10.255.255.1 : 56(84) bytes of data.
   64 bytes from 192.168.0.10: icmp_seq=1 ttl=63 time=59.9 ms
   
   --- 192.168.0.10 ping statistics ---
   1 packets transmitted, 1 received, 0% packet loss, time 0ms
   rtt min/avg/max/mdev = 59.941/59.941/59.941/0.000 ms
   

   Các tệp cấu hình và các lệnh bổ sung để chẩn đoán từ máy chủ Linux từ xa:

   root@racoon:~# cat /etc/racoon/racoon.conf 
   
   log debug;
   path pre_shared_key "/etc/racoon/psk.txt";
   path certificate "/etc/racoon/certs";
   
   listen {
     isakmp 80.211.43.73 [500];
      strict_address;
   }
   
   remote 185.148.83.16 {
           exchange_mode main,aggressive;
           proposal {
                    encryption_algorithm aes256;
                    hash_algorithm sha1;
                    authentication_method pre_shared_key;
                    dh_group modp1536;
            }
            generate_policy on;
   }
    
   sainfo address 10.255.255.0/24 any address 192.168.0.0/24 any {
            encryption_algorithm aes256;
            authentication_algorithm hmac_sha1;
            compression_algorithm deflate;
   }
   
   ===
   
   root@racoon:~# cat /etc/racoon/psk.txt
   185.148.83.16 testkey
   
   ===
   
   root@racoon:~# cat /etc/ipsec-tools.conf 
   #!/usr/sbin/setkey -f
   
   flush;
   spdflush;
   
   spdadd 192.168.0.0/24 10.255.255.0/24 any -P in ipsec
         esp/tunnel/185.148.83.16-80.211.43.73/require;
   
   spdadd 10.255.255.0/24 192.168.0.0/24 any -P out ipsec
         esp/tunnel/80.211.43.73-185.148.83.16/require;
   
   ===
   
   
   root@racoon:~# racoonctl show-sa isakmp
   Destination            Cookies                           Created
   185.148.83.16.500      2088977aceb1b512:a4c470cb8f9d57e9 2019-05-22 13:46:13 
   
   ===
   
   root@racoon:~# racoonctl show-sa esp
   80.211.43.73 185.148.83.16 
           esp mode=tunnel spi=1646662778(0x6226147a) reqid=0(0x00000000)
           E: aes-cbc  00064df4 454d14bc 9444b428 00e2296e c7bb1e03 06937597 1e522ce0 641e704d
           A: hmac-sha1  aa9e7cd7 51653621 67b3b2e9 64818de5 df848792
           seq=0x00000000 replay=4 flags=0x00000000 state=mature 
           created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
           diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
           last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
           current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
           allocated: 860  hard: 0 soft: 0
           sadb_seq=1 pid=7739 refcnt=0
   185.148.83.16 80.211.43.73 
           esp mode=tunnel spi=88535449(0x0546f199) reqid=0(0x00000000)
           E: aes-cbc  c812505a 9c30515e 9edc8c4a b3393125 ade4c320 9bde04f0 94e7ba9d 28e61044
           A: hmac-sha1  cd9d6f6e 06dbcd6d da4d14f8 6d1a6239 38589878
           seq=0x00000000 replay=4 flags=0x00000000 state=mature 
           created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
           diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
           last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
           current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
           allocated: 860  hard: 0 soft: 0
           sadb_seq=0 pid=7739 refcnt=0

9. Mọi thứ đã sẵn sàng, VPN IPsec site-to-site đã được thiết lập và chạy.

   Trong ví dụ này, chúng tôi đã sử dụng PSK để xác thực ngang hàng, nhưng cũng có thể xác thực chứng chỉ. Để thực hiện việc này, hãy chuyển đến tab Cấu hình toàn cầu, bật xác thực chứng chỉ và chọn chính chứng chỉ đó.

   Ngoài ra, trong cài đặt trang web, bạn sẽ cần thay đổi phương thức xác thực.

   
   
   
   
   Tôi lưu ý rằng số lượng đường hầm IPsec phụ thuộc vào kích thước của Edge Gateway đã triển khai (đọc về điều này trong bài viết đầu tiên).

   

SSL VPN

SSL VPN-Plus là một trong các tùy chọn VPN truy cập từ xa. Nó cho phép từng người dùng từ xa kết nối an toàn với các mạng riêng phía sau NSX Edge Gateway. Một đường hầm được mã hóa trong trường hợp SSL VPN-plus được thiết lập giữa máy khách (Windows, Linux, Mac) và NSX Edge.

1. Hãy bắt đầu thiết lập. Trong bảng điều khiển dịch vụ Edge Gateway, chuyển đến tab SSL VPN-Plus, sau đó đến Cài đặt máy chủ. Chúng tôi chọn địa chỉ và cổng mà máy chủ sẽ lắng nghe các kết nối đến, cho phép ghi nhật ký và chọn các thuật toán mã hóa cần thiết.

   
   
   Tại đây, bạn cũng có thể thay đổi chứng chỉ mà máy chủ sẽ sử dụng.

   

2. Sau khi mọi thứ đã sẵn sàng, hãy bật máy chủ và đừng quên lưu cài đặt.

   

3. Tiếp theo, chúng tôi cần thiết lập một nhóm địa chỉ mà chúng tôi sẽ cấp cho khách hàng khi kết nối. Mạng này tách biệt với bất kỳ mạng con hiện có nào trong môi trường NSX của bạn và không cần phải định cấu hình trên các thiết bị khác trên mạng vật lý, ngoại trừ các tuyến trỏ đến mạng đó.

   Chuyển đến tab Nhóm IP và nhấp vào +.

   

4. Chọn địa chỉ, mặt nạ mạng con và cổng. Tại đây, bạn cũng có thể thay đổi cài đặt cho máy chủ DNS và WINS.

   

5. Các hồ bơi kết quả.

   

6. Bây giờ, hãy thêm các mạng mà người dùng kết nối với VPN sẽ có quyền truy cập. Chuyển đến tab Mạng riêng và nhấp vào +.

   

7. Chúng tôi điền vào:
   • Mạng - một mạng cục bộ mà người dùng từ xa sẽ có quyền truy cập.
   • Gửi lưu lượng truy cập, nó có hai tùy chọn:
     - qua đường hầm - gửi lưu lượng đến mạng thông qua đường hầm,
     — bỏ qua đường hầm—gửi lưu lượng đến mạng trực tiếp bỏ qua đường hầm.
   • Bật Tối ưu hóa TCP - kiểm tra xem bạn có chọn tùy chọn qua đường hầm không. Khi tối ưu hóa được bật, bạn có thể chỉ định số cổng mà bạn muốn tối ưu hóa lưu lượng truy cập. Lưu lượng cho các cổng còn lại trên mạng cụ thể đó sẽ không được tối ưu hóa. Nếu không có số cổng nào được chỉ định, lưu lượng truy cập cho tất cả các cổng sẽ được tối ưu hóa. Đọc thêm về tính năng này đây.

   

8. Tiếp theo, chuyển đến tab Xác thực và nhấp vào +. Để xác thực, chúng tôi sẽ sử dụng một máy chủ cục bộ trên chính NSX Edge.

   

9. Tại đây, chúng tôi có thể chọn các chính sách để tạo mật khẩu mới và định cấu hình các tùy chọn để chặn tài khoản người dùng (ví dụ: số lần thử lại nếu nhập sai mật khẩu).

   
   
   

10. Vì chúng tôi đang sử dụng xác thực cục bộ, chúng tôi cần tạo người dùng.

    

11. Ngoài những thứ cơ bản như tên và mật khẩu, chẳng hạn, ở đây bạn có thể cấm người dùng thay đổi mật khẩu hoặc ngược lại, buộc anh ta thay đổi mật khẩu vào lần đăng nhập tiếp theo.

    

12. Sau khi tất cả những người dùng cần thiết đã được thêm vào, hãy chuyển đến tab Gói cài đặt, nhấp vào + và tự tạo trình cài đặt, trình cài đặt này sẽ được nhân viên từ xa tải xuống để cài đặt.

    

13. Nhấn +. Chọn địa chỉ và cổng của máy chủ mà máy khách sẽ kết nối và nền tảng mà bạn muốn tạo gói cài đặt.

    
    
    Bên dưới trong cửa sổ này, bạn có thể chỉ định cài đặt máy khách cho Windows. Chọn:

    • khởi động ứng dụng khách khi đăng nhập – ứng dụng khách VPN sẽ được thêm vào để khởi động trên máy từ xa;
    • tạo biểu tượng máy tính để bàn - sẽ tạo biểu tượng máy khách VPN trên màn hình nền;
    • xác thực chứng chỉ bảo mật máy chủ - sẽ xác thực chứng chỉ máy chủ khi kết nối.
      Thiết lập máy chủ hoàn tất.

    

14. Bây giờ, hãy tải xuống gói cài đặt mà chúng tôi đã tạo ở bước trước về PC từ xa. Khi thiết lập máy chủ, chúng tôi đã chỉ định địa chỉ bên ngoài của nó (185.148.83.16) và cổng (445). Chính tại địa chỉ này mà chúng ta cần truy cập vào trình duyệt web. Trong trường hợp của tôi nó là 185.148.83.16: 445.

    Trong cửa sổ ủy quyền, bạn phải nhập thông tin đăng nhập người dùng mà chúng tôi đã tạo trước đó.

    

15. Sau khi ủy quyền, chúng tôi thấy danh sách các gói cài đặt đã tạo có sẵn để tải xuống. Chúng tôi chỉ tạo một cái - chúng tôi sẽ tải xuống.

    

16. Chúng tôi nhấp vào liên kết, quá trình tải xuống ứng dụng khách bắt đầu.

    

17. Giải nén tệp lưu trữ đã tải xuống và chạy trình cài đặt.

    

18. Sau khi cài đặt, khởi chạy ứng dụng khách, trong cửa sổ ủy quyền, nhấp vào Đăng nhập.

    

19. Trong cửa sổ xác minh chứng chỉ, chọn Có.

    

20. Chúng tôi nhập thông tin đăng nhập cho người dùng đã tạo trước đó và thấy rằng kết nối đã được hoàn tất thành công.

    
    
    

21. Chúng tôi kiểm tra số liệu thống kê của máy khách VPN trên máy tính cục bộ.

    
    
    

22. Trong dòng lệnh Windows (ipconfig / all), chúng tôi thấy rằng một bộ điều hợp ảo bổ sung đã xuất hiện và có kết nối với mạng từ xa, mọi thứ đều hoạt động:

    
    
    

23. Và cuối cùng, hãy kiểm tra từ bảng điều khiển Edge Gateway.

    

VPN L2

L2VPN sẽ cần thiết khi bạn cần kết hợp nhiều địa lý
các mạng phân tán thành một miền quảng bá.

Điều này có thể hữu ích, chẳng hạn như khi di chuyển máy ảo: khi máy ảo di chuyển đến khu vực địa lý khác, máy sẽ giữ nguyên cài đặt địa chỉ IP và sẽ không mất kết nối với các máy khác nằm trong cùng miền L2 với nó.

Trong môi trường thử nghiệm của chúng tôi, chúng tôi sẽ kết nối hai trang web với nhau, chúng tôi sẽ gọi chúng lần lượt là A và B. Chúng tôi có hai NSX và hai mạng được định tuyến được tạo giống hệt nhau được gắn vào các Cạnh khác nhau. Máy A có địa chỉ 10.10.10.250/24, Máy B có địa chỉ 10.10.10.2/24.

1. Trong vCloud Director, vào tab Administration, tìm đến VDC ta cần, vào tab Org VDC Networks và thêm XNUMX mạng mới.

   

2. Chọn loại mạng được định tuyến và liên kết mạng này với NSX của chúng tôi. Chúng tôi đặt hộp kiểm Tạo dưới dạng giao diện con.

   

3. Kết quả là, chúng ta sẽ nhận được hai mạng. Trong ví dụ của chúng tôi, chúng được gọi là mạng-a và mạng-b với cùng cài đặt cổng và cùng mặt nạ.

   
   
   

4. Bây giờ chúng ta hãy chuyển đến cài đặt của NSX đầu tiên. Đây sẽ là NSX mà Mạng A được gắn vào. Nó sẽ hoạt động như một máy chủ.

   Chúng ta quay lại giao diện NSx Edge/ Vào tab VPN -> L2VPN. Chúng tôi bật L2VPN, chọn chế độ hoạt động của Máy chủ, trong cài đặt Toàn cầu của Máy chủ, chúng tôi chỉ định địa chỉ IP NSX bên ngoài mà cổng cho đường hầm sẽ lắng nghe. Theo mặc định, ổ cắm sẽ mở trên cổng 443, nhưng điều này có thể thay đổi. Đừng quên chọn cài đặt mã hóa cho đường hầm trong tương lai.

   

5. Chuyển đến tab Trang web máy chủ và thêm một đồng nghiệp.

   

6. Chúng tôi bật ngang hàng, đặt tên, mô tả, nếu cần, đặt tên người dùng và mật khẩu. Chúng tôi sẽ cần dữ liệu này sau khi thiết lập trang web của khách hàng.

   Trong Địa chỉ cổng tối ưu hóa đầu ra, chúng tôi đặt địa chỉ cổng. Điều này là cần thiết để không xảy ra xung đột địa chỉ IP, vì cổng của các mạng của chúng tôi có cùng một địa chỉ. Sau đó bấm vào nút CHỌN GIAO DIỆN PHỤ.

   

7. Ở đây chúng tôi chọn subinterface mong muốn. Chúng tôi lưu các cài đặt.

   

8. Chúng tôi thấy rằng trang web khách hàng mới được tạo đã xuất hiện trong cài đặt.

   

9. Bây giờ, hãy chuyển sang cấu hình NSX từ phía máy khách.

   Ta vào NSX bên B, vào VPN -> L2VPN, enable L2VPN, set L2VPN mode thành client mode. Trên tab Toàn cầu của Máy khách, hãy đặt địa chỉ và cổng của NSX A, mà chúng tôi đã chỉ định trước đó là Nghe IP và Cổng ở phía máy chủ. Cũng cần đặt các cài đặt mã hóa giống nhau để chúng nhất quán khi đường hầm được nâng lên.

   
   
   Chúng tôi cuộn bên dưới, chọn giao diện con mà qua đó đường hầm cho L2VPN sẽ được xây dựng.
   Trong Địa chỉ cổng tối ưu hóa đầu ra, chúng tôi đặt địa chỉ cổng. Đặt id người dùng và mật khẩu. Chúng tôi chọn giao diện con và đừng quên lưu cài đặt.

   

10. Trên thực tế, đó là tất cả. Các cài đặt của phía máy khách và máy chủ gần như giống hệt nhau, ngoại trừ một số sắc thái.
11. Bây giờ chúng ta có thể thấy rằng đường hầm của chúng ta đã hoạt động bằng cách vào Statistics -> L2VPN trên bất kỳ NSX nào.

    

12. Nếu bây giờ chúng ta truy cập bảng điều khiển của bất kỳ Cổng Edge nào, chúng ta sẽ thấy trên mỗi cổng trong bảng arp có địa chỉ của cả hai máy ảo.

    

Đó là tất cả về VPN trên NSX Edge. Hỏi nếu một cái gì đó không rõ ràng. Đây cũng là phần cuối của loạt bài viết về cách làm việc với NSX Edge. Chúng tôi hy vọng chúng hữu ích 🙂

Nguồn: www.habr.com