Как настроить VPN

В облаке на базе VMware можно воспользоваться встроенной в EDGE-роутеры функцией VPN-сервера. Рассмотрим настройку двух основных типов VPN.

Можно разделить VPN-технологии на два основных типа:

• Site-to-site VPN — используется протокол IPSec для создания защищенного туннеля между площадками. Например, между сетью главного офиса и сетью на удаленной площадке или в облаке;
• Remote Access VPN — используется протокол SSL VPN для подключения отдельных пользователей к частным сетям организаций с помощью ПО VPN-клиента.

IPsec

В панели vCloud Director перейдите в необходимый vDC:

1. На вкладке Edge выберите нужный edge.
2. Нажмите кнопку Configure services.
3. В открывшемся окне перейдите на вкладку VPN.
4. Перейдите на вкладку IPsec VPN Sites.
5. Нажмите + для того чтобы добавить новую площадку.
6. Заполните необходимые поля:
   • Enabled — активирует удаленную площадку;
   • PFS — гарантирует, что каждый новый криптографический ключ не связан с любым предыдущим ключом;
   • Local ID и Local Endpoint — внешний адрес NSX Edge;
   • Local Subnets — локальные сети, которые будут использовать IPsec VPN;
   • Peer ID и Peer Endpoint — адрес удаленной площадки;
   • Peer Subnets — сети, которые будут использовать IPsec VPN на удаленной стороне;
   • Encryption Algorithm — алгоритм шифрования туннеля;
   • Authentication — как мы будем аутентифицировать пир. Можно использовать Pre-Shared Key либо сертификат;
   • Pre-Shared Key — указываем ключ, который будет использоваться для аутентификации и должен совпадать с обеих сторон;
   • Diffie-Hellman Group — номер группы ключей в алгоритме обмена ключами.
7. После заполнения необходимых полей нажмите кнопку Keep.
8. Перейдите на вкладку Activation Status и активируйте IPsec VPN Service Status.
9. Перейдите на вкладку Statistics.
10. Выберите вкладку IPsec VPN и проверьте статус туннеля - он должен быть активен.

Site-to-site IPsec VPN настроен и работает.

Для просмотра статуса туннеля в консоли Edge gateway:

1. Включите доступ по SSH, задайте логин и пароль и разрешите его в настройках Firewall.

   Примечание: не рекомендуется оставлять SSH включенным.

2. Для проверки статуса туннеля из консоли Edge gateway используйте команды:

   • show service ipsec — проверка состояния сервиса;
   • show service ipsec site — информация о состоянии сайта и согласованных параметрах;
   • show service ipsec sa — проверка статуса Security Association (SA).

Количество IPsec-туннелей зависит от размера развернутого Edge Gateway. По умолчанию доступно 512 IPsec-туннелей.

SSL VPN

SSL VPN-Plus — один из вариантов Remote Access VPN. Он позволяет отдельным удаленным пользователям безопасно подключаться к частным сетям, находящимся за шлюзом NSX Edge. Зашифрованный туннель в случае SSL VPN-plus устанавливается между клиентом (Windows, Linux, Mac) и NSX Edge.

В панели vCloud Director перейдите в необходимый vDC:

1. На вкладке Edge выберите нужный edge.
2. Нажмите кнопку Configure services.
3. В открывшемся окне перейдите на вкладку SSL VPN-Plus.
4. Перейдите на вкладку Authentication и нажмите +Local.
5. Можно выбрать политики для генерирования новых паролей и настроить опции по блокировке пользовательских аккаунтов (например, количество повторных попыток при неправильном вводе пароля).
6. Перейдите на вкладку Server Settings.
7. Укажите адрес и порт, на котором сервер будет слушать входящие соединения, включите логирование и выберите необходимые алгоритмы шифрования.
8. Здесь также можно изменить сертификат, который будет использовать сервер.
9. Активируйте сервер переключателем Enable и сохраните настройки.
10. При использовании локальной аутентификации необходимо создать пользователей. Для этого перейдите на вкладку Users и нажмите +.
11. После того, как все необходимые пользователи добавлены, перейдите на вкладку Installation Packages, нажмите + и создайте инсталлятор, который сможет скачать для установки удаленный сотрудник.

12. Нажмите +. Выберите адрес и порт сервера, к которому будет подключаться пользователь, и платформы, для которых нужно сгенерировать установочный пакет. Ниже в этом окне можно указать параметры клиента для Windows:

    • start client on logon – VPN-клиент будет добавлен в автозагрузку на удаленной машине;
    • create desktop icon – создаст иконку VPN-клиента на рабочем столе;
    • server security certificate validation – будет валидировать сертификат сервера при подключении.

13. Перейдите на вкладку IP Pools и нажмите +.

14. Настройте пул адресов, которые будут выдаваться пользователям при подключении.

15. Эта сеть отделена от любой существующей подсети в вашей среде NSX, ее не нужно настраивать на других устройствах в физических сетях, за исключением маршрутов, которые на нее указывают.

16. Выберите адреса, маску подсети и шлюз. Здесь также можно изменить настройки для DNS и WINS серверов.

17. Перейдите на вкладку Private Networks и нажмите +.

18. Добавьте сети, доступ к которым будет у подключающихся к VPN пользователей. Заполните поля:

    • Network — локальная сеть, к которой будет доступ у удаленных пользователей;
    • Send traffic — можно выбрать один из вариантов:
      • over tunnel – отправлять трафик к сети через туннель;
      • bypass tunnel – отправлять трафик к сети напрямую в обход туннеля.
    • Enable TCP Optimization – отметьте, если выбрали вариант over tunnel.

Настройка сервера завершена.

Скачайте созданный в последнем шаге установочный пакет на удаленный ПК:

1. Перейдите в веб-браузер, используя заданные при настройке внешний адрес и порт.
2. В окне авторизации введите учетные данные пользователя, которого создали ранее. После авторизации откроется список созданных установочных пакетов, доступных для загрузки.
3. В примере был создан только один, скачайте его.
4. Распакуйте скачанный архив и запустите установку.
5. Запустите клиент и в окне авторизации нажмите Login.
6. В окне проверки сертификата выберите Yes.
7. Введите учетные данные для ранее созданного пользователя.

Подключение завершено успешно.

NSX L2 VPN

L2VPN понадобится в том случае, когда нужно объединить несколько сетей, расположенных на разных площадках (например, в разных инфраструктурах vCloud Director) в один broadcast-домен.

Это может быть полезно, например, при миграции виртуальной машины: при переезде на другую географическую площадку виртуальная машина сохранит настройки IP-адресации и не потеряет связность с другими машинами, находящимися в одном с ней L2-домене. Эту функцию можно использовать в случае, когда есть 2 виртуальные машины, находящиеся в двух разных vDC, расположенных в разных регионах.

Первая ВМ имеет адрес 10.10.10.²⁄₂₄, вторая ВМ — 10.10.10.²⁰⁰⁄₂₄.

Примечание: связываемые в один broadcast-домен площадки должны быть построены на платформе NSX (возможно использование NSX Edge standalone, подробнее читайте в официальной документации, для просмотра требуется регистрация на сайте).

В панели vCloud Director перейдите в необходимый vDC:

1. На вкладке Networks добавьте две новые сети.
2. Выберите тип сети Create a routed network by connecting to an edge gateway и привяжите каждую сеть к NSX, установив чекбокс Create as subinterface.
3. Должно получиться две сети с одинаковыми настройками gateway и одинаковой маской.
4. Перейдите в настройки первого NSX. Он будет выступать в качестве сервера.
5. Перейдите на вкладку Edge, нажмите кнопку Configure services.
6. В открывшемся окне перейдите на вкладку VPN → L2VPN.
7. Включите L2VPN, выберите режим работы Server, в настройках Server Global укажите внешний IP-адрес NSX, на котором будет слушаться порт для туннеля. По умолчанию сокет откроется на 443 порту, но его можно изменить.
8. Выберите настройки шифрования для будущего туннеля.
9. Перейдите во вкладку Server Sites и добавьте пир, нажав +.
10. Активируйте пир, задайте его название и описание, при необходимости задайте имя пользователя и пароль. Эти данные понадобятся при настройке клиентского сайта.
11. В Egress Optimization Gateway Address задайте адрес шлюза. Это нужно для того, чтобы не происходил конфликт IP-адресов, так как шлюз у созданных сетей имеет один и тот же адрес.
12. Нажмите кнопку Select sub-interfaces.
13. Выберите нужный сабинтерфейс и сохраните настройки.
14. В настройках появится только что созданный клиентский сайт.

Настройка серверной части завершена.

Для настройки NSX со стороны клиента:

1. Перейдите на NSX второй ВМ.
2. Перейдите на вкладку Edge, нажмите кнопку Configure services.
3. В открывшемся окне перейдите на вкладку VPN → L2VPN.
4. Активируйте L2VPN, установите L2VPN mode в клиентский режим работы.
5. На вкладке Client Global задайте адрес и порт NSX первой ВМ, который был указан ранее как Listening IP и Port на серверной стороне.
6. Необходимо выставить одинаковые настройки шифрования, чтобы они согласовались при поднятии туннеля.
7. Выберите сабинтерфейс, через который будет строиться туннель для L2VPN.
8. В Egress Optimization Gateway Address задайте адрес шлюза. Задайте имя пользователя и пароль.
9. Выберите сабинтерфейс и сохраните настройки.

Настройка клиентской части завершена.

Для просмотра работы туннеля перейдите на вкладку Statistics → L2VPN на любом NSX.