適合小孩子的 VMware NSX。 第 6 部分：VPN 設置

第一部分。 介紹性的
第二部分。 配置防火牆和 NAT 規則
第三部分。 配置DHCP
第四部分。 路由設置
第五部分。 設置負載均衡器

今天，我們將了解 NSX Edge 為我們提供的 VPN 配置選項。

通常，我們可以將 VPN 技術分為兩種主要類型：

• 站點到站點 VPN。 IPSec 最常見的用途是創建安全隧道，例如，在總部網絡與遠程站點或云中的網絡之間。
• 遠程訪問 VPN。 用於使用 VPN 客戶端軟件將個人用戶連接到公司專用網絡。

NSX Edge 允許我們使用這兩個選項。
我們將使用帶有兩個 NSX Edge 的測試台進行配置，這是一個安裝了守護程序的 Linux 服務器 浣熊 和一台用於測試遠程訪問 VPN 的 Windows 筆記本電腦。

IPsec的

1. 在 vCloud Director 界面中，轉到“管理”部分並選擇 vDC。 在 Edge Gateways 選項卡上，選擇我們需要的 Edge，右鍵單擊並選擇 Edge Gateway Services。
   
2. 在 NSX Edge 界面中，轉至 VPN-IPsec VPN 選項卡，然後轉至 IPsec VPN 站點部分並單擊 + 以添加新站點。

   

3. 填寫必填字段：
   • 啟用 – 激活遠程站點。
   • PFS – 確保每個新的加密密鑰不與任何以前的密鑰相關聯。
   • 本地 ID 和本地端點t 是 NSX Edge 的外部地址。
   • 本地子網s - 將使用 IPsec VPN 的本地網絡。
   • 對等 ID 和對等端點 – 遠程站點的地址。
   • 對等子網 – 將在遠程端使用 IPsec VPN 的網絡。
   • 加密演算法 – 隧道加密算法。

   
   

   • 認證 - 我們將如何驗證對等方。 您可以使用預共享密鑰或證書。
   • 預共享密鑰 - 指定將用於身份驗證的密鑰，並且必須在雙方都匹配。
   • 迪菲赫爾曼集團 – 密鑰交換算法。

   填寫必填字段後，單擊保留。

   

4. 完成。

   

5. 添加站點後，轉到“激活狀態”選項卡並激活 IPsec 服務。

   

6. 應用設置後，轉到 Statistics -> IPsec VPN 選項卡並檢查隧道的狀態。 我們看到隧道已經上升。

   

7. 從 Edge 網關控制台檢查隧道狀態：
   • show service ipsec - 檢查服務的狀態。

     

   • show service ipsec site - 有關站點狀態和協商參數的信息。

     

   • show service ipsec sa - 檢查安全關聯 (SA) 的狀態。

     

8. 檢查與遠程站點的連接：

   root@racoon:~# ifconfig eth0:1 | grep inet
           inet 10.255.255.1  netmask 255.255.255.0  broadcast 0.0.0.0
   
   root@racoon:~# ping -c1 -I 10.255.255.1 192.168.0.10 
   PING 192.168.0.10 (192.168.0.10) from 10.255.255.1 : 56(84) bytes of data.
   64 bytes from 192.168.0.10: icmp_seq=1 ttl=63 time=59.9 ms
   
   --- 192.168.0.10 ping statistics ---
   1 packets transmitted, 1 received, 0% packet loss, time 0ms
   rtt min/avg/max/mdev = 59.941/59.941/59.941/0.000 ms
   

   用於從遠程 Linux 服務器進行診斷的配置文件和其他命令：

   root@racoon:~# cat /etc/racoon/racoon.conf 
   
   log debug;
   path pre_shared_key "/etc/racoon/psk.txt";
   path certificate "/etc/racoon/certs";
   
   listen {
     isakmp 80.211.43.73 [500];
      strict_address;
   }
   
   remote 185.148.83.16 {
           exchange_mode main,aggressive;
           proposal {
                    encryption_algorithm aes256;
                    hash_algorithm sha1;
                    authentication_method pre_shared_key;
                    dh_group modp1536;
            }
            generate_policy on;
   }
    
   sainfo address 10.255.255.0/24 any address 192.168.0.0/24 any {
            encryption_algorithm aes256;
            authentication_algorithm hmac_sha1;
            compression_algorithm deflate;
   }
   
   ===
   
   root@racoon:~# cat /etc/racoon/psk.txt
   185.148.83.16 testkey
   
   ===
   
   root@racoon:~# cat /etc/ipsec-tools.conf 
   #!/usr/sbin/setkey -f
   
   flush;
   spdflush;
   
   spdadd 192.168.0.0/24 10.255.255.0/24 any -P in ipsec
         esp/tunnel/185.148.83.16-80.211.43.73/require;
   
   spdadd 10.255.255.0/24 192.168.0.0/24 any -P out ipsec
         esp/tunnel/80.211.43.73-185.148.83.16/require;
   
   ===
   
   
   root@racoon:~# racoonctl show-sa isakmp
   Destination            Cookies                           Created
   185.148.83.16.500      2088977aceb1b512:a4c470cb8f9d57e9 2019-05-22 13:46:13 
   
   ===
   
   root@racoon:~# racoonctl show-sa esp
   80.211.43.73 185.148.83.16 
           esp mode=tunnel spi=1646662778(0x6226147a) reqid=0(0x00000000)
           E: aes-cbc  00064df4 454d14bc 9444b428 00e2296e c7bb1e03 06937597 1e522ce0 641e704d
           A: hmac-sha1  aa9e7cd7 51653621 67b3b2e9 64818de5 df848792
           seq=0x00000000 replay=4 flags=0x00000000 state=mature 
           created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
           diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
           last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
           current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
           allocated: 860  hard: 0 soft: 0
           sadb_seq=1 pid=7739 refcnt=0
   185.148.83.16 80.211.43.73 
           esp mode=tunnel spi=88535449(0x0546f199) reqid=0(0x00000000)
           E: aes-cbc  c812505a 9c30515e 9edc8c4a b3393125 ade4c320 9bde04f0 94e7ba9d 28e61044
           A: hmac-sha1  cd9d6f6e 06dbcd6d da4d14f8 6d1a6239 38589878
           seq=0x00000000 replay=4 flags=0x00000000 state=mature 
           created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
           diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
           last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
           current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
           allocated: 860  hard: 0 soft: 0
           sadb_seq=0 pid=7739 refcnt=0

9. 一切就緒，站點到站點 IPsec VPN 已啟動並運行。

   在此示例中，我們使用 PSK 進行對等身份驗證，但也可以使用證書身份驗證。 為此，請轉到“全局配置”選項卡，啟用證書身份驗證並選擇證書本身。

   此外，在站點設置中，您需要更改身份驗證方法。

   
   
   
   
   我注意到 IPsec 隧道的數量取決於部署的邊緣網關的大小（在我們的 第一篇文章).

   

SSL VPN

SSL VPN-Plus 是遠程訪問 VPN 選項之一。 它允許單個遠程用戶安全地連接到 NSX Edge 網關後面的專用網絡。 如果使用 SSL VPN-plus，則在客戶端（Windows、Linux、Mac）和 NSX Edge 之間建立加密隧道。

1. 讓我們開始設置吧。 在 Edge Gateway 服務控制面板中，轉到 SSL VPN-Plus 選項卡，然後轉到服務器設置。 我們選擇服務器偵聽傳入連接的地址和端口，啟用日誌記錄並選擇必要的加密算法。

   
   
   您還可以在此處更改服務器將使用的證書。

   

2. 一切就緒後，打開服務器，不要忘記保存設置。

   

3. 接下來，我們需要設置一個地址池，我們將在連接時將其發布給客戶端。 此網絡獨立於 NSX 環境中的任何現有子網，不需要在物理網絡上的其他設備上進行配置，指向它的路由除外。

   轉到 IP 池選項卡並單擊 +。

   

4. 選擇地址、子網掩碼和網關。 您還可以在此處更改 DNS 和 WINS 服務器的設置。

   

5. 結果池。

   

6. 現在讓我們添加連接到 VPN 的用戶將有權訪問的網絡。 轉到專用網絡選項卡並單擊 +。

   

7. 我們填寫：
   • 網絡 - 遠程用戶可以訪問的本地網絡。
   • 發送流量，它有兩個選項：
     - 通過隧道 - 通過隧道將流量發送到網絡，
     — 繞過隧道——直接繞過隧道將流量發送到網絡。
   • 啟用 TCP 優化 - 檢查您是否選擇了隧道選項。 啟用優化後，您可以指定要優化流量的端口號。 該特定網絡上其餘端口的流量將不會被優化。 如果未指定端口號，則會優化所有端口的流量。 閱讀有關此功能的更多信息 這裡.

   

8. 接下來，轉到“身份驗證”選項卡並單擊“+”。 對於身份驗證，我們將使用 NSX Edge 本身上的本地服務器。

   

9. 在這裡我們可以選擇生成新密碼的策略並配置阻止用戶帳戶的選項（例如，如果密碼輸入錯誤的重試次數）。

   
   
   

10. 由於我們使用的是本地身份驗證，因此我們需要創建用戶。

    

11. 除了名稱和密碼等基本內容外，您還可以在此處禁止用戶更改密碼，或者相反，強制他在下次登錄時更改密碼。

    

12. 添加所有必要的用戶後，轉到“安裝包”選項卡，單擊“+”並自行創建安裝程序，遠程員工將下載安裝程序進行安裝。

    

13. 按 +。 選擇客戶端將連接到的服務器的地址和端口，以及要為其生成安裝包的平台。

    
    
    在此窗口下方，您可以指定 Windows 的客戶端設置。 選擇：

    • 登錄時啟動客戶端 – VPN 客戶端將添加到遠程計算機上的啟動；
    • 創建桌面圖標 - 將在桌面上創建一個 VPN 客戶端圖標；
    • 服務器安全證書驗證 - 將在連接時驗證服務器證書。
      服務器設置完成。

    

14. 現在讓我們將在上一步中創建的安裝包下載到遠程 PC。 設置服務器時，我們指定了它的外部地址 (185.148.83.16) 和端口 (445)。 我們需要在網絡瀏覽器中訪問這個地址。 在我的例子中是 185.148.83.16：445。

    在授權窗口中，您必須輸入我們之前創建的用戶憑據。

    

15. 授權後，我們會看到創建好的安裝包列表可供下載。 我們只創建了一個 - 我們將下載它。

    

16. 我們單擊鏈接，開始下載客戶端。

    

17. 解壓縮下載的存檔並運行安裝程序。

    

18. 安裝完成後，啟動客戶端，在授權窗口中，點擊登錄。

    

19. 在證書驗證窗口中，選擇是。

    

20. 我們輸入先前創建的用戶的憑據，並看到連接已成功完成。

    
    
    

21. 我們檢查本地計算機上 VPN 客戶端的統計信息。

    
    
    

22. 在 Windows 命令行 (ipconfig / all) 中，我們看到出現了一個額外的虛擬適配器，並且可以連接到遠程網絡，一切正常：

    
    
    

23. 最後，從 Edge Gateway 控制台進行檢查。

    

二級VPN

當您需要在地理上組合多個時，將需要 L2VPN
分佈式網絡到一個廣播域。

這可能很有用，例如，在遷移虛擬機時：當虛擬機移動到另一個地理區域時，該機器將保留其 IP 地址設置，並且不會失去與位於同一 L2 域中的其他機器的連接。

在我們的測試環境中，我們將兩個站點相互連接，我們將它們分別稱為 A 和 B。我們有兩個 NSX 和兩個連接到不同 Edge 的相同創建的路由網絡。 機器 A 的地址為 10.10.10.250/24，機器 B 的地址為 10.10.10.2/24。

1. 在 vCloud Director 中，轉到 Administration 選項卡，轉到我們需要的 VDC，轉到 Org VDC Networks 選項卡並添加兩個新網絡。

   

2. 選擇路由網絡類型並將此網絡綁定到我們的 NSX。 我們將復選框創建為子接口。

   

3. 結果，我們應該得到兩個網絡。 在我們的示例中，它們被稱為網絡 a 和網絡 b，具有相同的網關設置和相同的掩碼。

   
   
   

4. 現在讓我們轉到第一個 NSX 的設置。 這將是網絡 A 連接到的 NSX。它將充當服務器。

   我們返回到 NSx Edge 界面/轉到 VPN 選項卡 -> L2VPN。 我們打開 L2VPN，選擇服務器操作模式，在服務器全局設置中，我們指定隧道端口將偵聽的外部 NSX IP 地址。 默認情況下，套接字將在端口 443 上打開，但這可以更改。 不要忘記為未來的隧道選擇加密設置。

   

5. 轉到“服務器站點”選項卡並添加一個對等點。

   

6. 我們打開對等點，設置名稱、描述，如有必要，設置用戶名和密碼。 我們稍後在設置客戶站點時將需要這些數據。

   在 Egress Optimization Gateway Address 中我們設置網關地址。 這是必要的，這樣 IP 地址就不會發生衝突，因為我們網絡的網關具有相同的地址。 然後單擊“選擇子接口”按鈕。

   

7. 在這裡我們選擇所需的子接口。 我們保存設置。

   

8. 我們看到新創建的客戶端站點已經出現在設置中。

   

9. 現在讓我們繼續從客戶端配置 NSX。

   我們轉到 NSX B 側，轉到 VPN -> L2VPN，啟用 L2VPN，將 L2VPN 模式設置為客戶端模式。 在 Client Global 選項卡上，設置 NSX A 的地址和端口，我們之前在服務器端指定為 Listening IP 和 Port。 還需要設置相同的加密設置，以便它們在提升隧道時保持一致。

   
   
   我們向下滾動，選擇將通過其構建 L2VPN 隧道的子接口。
   在 Egress Optimization Gateway Address 中我們設置網關地址。 設置用戶 ID 和密碼。 我們選擇子界面，不要忘記保存設置。

   

10. 其實，僅此而已。 除了一些細微差別外，客戶端和服務器端的設置幾乎相同。
11. 現在我們可以通過在任何 NSX 上轉到 Statistics -> L2VPN 來查看我們的隧道是否正常工作。

    

12. 如果我們現在轉到任何 Edge 網關的控制台，我們將在 arp 表中的每個網關上看到兩個 VM 的地址。

    

這就是 NSX Edge 上的 VPN。 詢問是否有不清楚的地方。 它也是有關使用 NSX Edge 的系列文章的最後一部分。 我們希望他們有所幫助🙂

來源： www.habr.com