Как настроить VPN
В облаке на базе VMware можно воспользоваться встроенной в EDGE-роутеры функцией VPN-сервера. Рассмотрим настройку двух основных типов VPN.
Можно разделить VPN-технологии на два основных типа:
- Site-to-site VPN — используется протокол IPSec для создания защищенного туннеля между площадками. Например, между сетью главного офиса и сетью на удаленной площадке или в облаке;
- Remote Access VPN — используется протокол SSL VPN для подключения отдельных пользователей к частным сетям организаций с помощью ПО VPN-клиента.
IPsec
В панели vCloud Director перейдите в необходимый vDC:
- На вкладке Edge выберите нужный edge.
- Нажмите кнопку Configure services.
- В открывшемся окне перейдите на вкладку VPN.
- Перейдите на вкладку IPsec VPN Sites.
- Нажмите + для того чтобы добавить новую площадку.
- Заполните необходимые поля:
- Enabled — активирует удаленную площадку;
- PFS — гарантирует, что каждый новый криптографический ключ не связан с любым предыдущим ключом;
- Local ID и Local Endpoint — внешний адрес NSX Edge;
- Local Subnets — локальные сети, которые будут использовать IPsec VPN;
- Peer ID и Peer Endpoint — адрес удаленной площадки;
- Peer Subnets — сети, которые будут использовать IPsec VPN на удаленной стороне;
- Encryption Algorithm — алгоритм шифрования туннеля;
- Authentication — как мы будем аутентифицировать пир. Можно использовать Pre-Shared Key либо сертификат;
- Pre-Shared Key — указываем ключ, который будет использоваться для аутентификации и должен совпадать с обеих сторон;
- Diffie-Hellman Group — номер группы ключей в алгоритме обмена ключами.
- После заполнения необходимых полей нажмите кнопку Keep.
- Перейдите на вкладку Activation Status и активируйте IPsec VPN Service Status.
- Перейдите на вкладку Statistics.
- Выберите вкладку IPsec VPN и проверьте статус туннеля - он должен быть активен.
Site-to-site IPsec VPN настроен и работает.
Для просмотра статуса туннеля в консоли Edge gateway:
Включите доступ по SSH, задайте логин и пароль и разрешите его в настройках Firewall.
Примечание: не рекомендуется оставлять SSH включенным.
Для проверки статуса туннеля из консоли Edge gateway используйте команды:
- show service ipsec — проверка состояния сервиса;
- show service ipsec site — информация о состоянии сайта и согласованных параметрах;
- show service ipsec sa — проверка статуса Security Association (SA).
Количество IPsec-туннелей зависит от размера развернутого Edge Gateway. По умолчанию доступно 512 IPsec-туннелей.
SSL VPN
SSL VPN-Plus — один из вариантов Remote Access VPN. Он позволяет отдельным удаленным пользователям безопасно подключаться к частным сетям, находящимся за шлюзом NSX Edge. Зашифрованный туннель в случае SSL VPN-plus устанавливается между клиентом (Windows, Linux, Mac) и NSX Edge.
В панели vCloud Director перейдите в необходимый vDC:
- На вкладке Edge выберите нужный edge.
- Нажмите кнопку Configure services.
- В открывшемся окне перейдите на вкладку SSL VPN-Plus.
- Перейдите на вкладку Authentication и нажмите +Local.
- Можно выбрать политики для генерирования новых паролей и настроить опции по блокировке пользовательских аккаунтов (например, количество повторных попыток при неправильном вводе пароля).
- Перейдите на вкладку Server Settings.
- Укажите адрес и порт, на котором сервер будет слушать входящие соединения, включите логирование и выберите необходимые алгоритмы шифрования.
- Здесь также можно изменить сертификат, который будет использовать сервер.
- Активируйте сервер переключателем Enable и сохраните настройки.
- При использовании локальной аутентификации необходимо создать пользователей. Для этого перейдите на вкладку Users и нажмите +.
- После того, как все необходимые пользователи добавлены, перейдите на вкладку Installation Packages, нажмите + и создайте инсталлятор, который сможет скачать для установки удаленный сотрудник.
Нажмите +. Выберите адрес и порт сервера, к которому будет подключаться пользователь, и платформы, для которых нужно сгенерировать установочный пакет. Ниже в этом окне можно указать параметры клиента для Windows:
- start client on logon – VPN-клиент будет добавлен в автозагрузку на удаленной машине;
- create desktop icon – создаст иконку VPN-клиента на рабочем столе;
- server security certificate validation – будет валидировать сертификат сервера при подключении.
Перейдите на вкладку IP Pools и нажмите +.
Настройте пул адресов, которые будут выдаваться пользователям при подключении.
Эта сеть отделена от любой существующей подсети в вашей среде NSX, ее не нужно настраивать на других устройствах в физических сетях, за исключением маршрутов, которые на нее указывают.
Выберите адреса, маску подсети и шлюз. Здесь также можно изменить настройки для DNS и WINS серверов.
Перейдите на вкладку Private Networks и нажмите +.
Добавьте сети, доступ к которым будет у подключающихся к VPN пользователей. Заполните поля:
- Network — локальная сеть, к которой будет доступ у удаленных пользователей;
- Send traffic — можно выбрать один из вариантов:
- over tunnel – отправлять трафик к сети через туннель;
- bypass tunnel – отправлять трафик к сети напрямую в обход туннеля.
- Enable TCP Optimization – отметьте, если выбрали вариант over tunnel.
Настройка сервера завершена.
Скачайте созданный в последнем шаге установочный пакет на удаленный ПК:
- Перейдите в веб-браузер, используя заданные при настройке внешний адрес и порт.
- В окне авторизации введите учетные данные пользователя, которого создали ранее. После авторизации откроется список созданных установочных пакетов, доступных для загрузки.
- В примере был создан только один, скачайте его.
- Распакуйте скачанный архив и запустите установку.
- Запустите клиент и в окне авторизации нажмите Login.
- В окне проверки сертификата выберите Yes.
- Введите учетные данные для ранее созданного пользователя.
Подключение завершено успешно.
NSX L2 VPN
L2VPN понадобится в том случае, когда нужно объединить несколько сетей, расположенных на разных площадках (например, в разных инфраструктурах vCloud Director) в один broadcast-домен.
Это может быть полезно, например, при миграции виртуальной машины: при переезде на другую географическую площадку виртуальная машина сохранит настройки IP-адресации и не потеряет связность с другими машинами, находящимися в одном с ней L2-домене. Эту функцию можно использовать в случае, когда есть 2 виртуальные машины, находящиеся в двух разных vDC, расположенных в разных регионах.
Первая ВМ имеет адрес 10.10.10.2⁄24, вторая ВМ — 10.10.10.200⁄24.
Примечание: связываемые в один broadcast-домен площадки должны быть построены на платформе NSX (возможно использование NSX Edge standalone, подробнее читайте в официальной документации, для просмотра требуется регистрация на сайте).
В панели vCloud Director перейдите в необходимый vDC:
- На вкладке Networks добавьте две новые сети.
- Выберите тип сети Create a routed network by connecting to an edge gateway и привяжите каждую сеть к NSX, установив чекбокс Create as subinterface.
- Должно получиться две сети с одинаковыми настройками gateway и одинаковой маской.
- Перейдите в настройки первого NSX. Он будет выступать в качестве сервера.
- Перейдите на вкладку Edge, нажмите кнопку Configure services.
- В открывшемся окне перейдите на вкладку VPN → L2VPN.
- Включите L2VPN, выберите режим работы Server, в настройках Server Global укажите внешний IP-адрес NSX, на котором будет слушаться порт для туннеля. По умолчанию сокет откроется на 443 порту, но его можно изменить.
- Выберите настройки шифрования для будущего туннеля.
- Перейдите во вкладку Server Sites и добавьте пир, нажав +.
- Активируйте пир, задайте его название и описание, при необходимости задайте имя пользователя и пароль. Эти данные понадобятся при настройке клиентского сайта.
- В Egress Optimization Gateway Address задайте адрес шлюза. Это нужно для того, чтобы не происходил конфликт IP-адресов, так как шлюз у созданных сетей имеет один и тот же адрес.
- Нажмите кнопку Select sub-interfaces.
- Выберите нужный сабинтерфейс и сохраните настройки.
- В настройках появится только что созданный клиентский сайт.
Настройка серверной части завершена.
Для настройки NSX со стороны клиента:
- Перейдите на NSX второй ВМ.
- Перейдите на вкладку Edge, нажмите кнопку Configure services.
- В открывшемся окне перейдите на вкладку VPN → L2VPN.
- Активируйте L2VPN, установите L2VPN mode в клиентский режим работы.
- На вкладке Client Global задайте адрес и порт NSX первой ВМ, который был указан ранее как Listening IP и Port на серверной стороне.
- Необходимо выставить одинаковые настройки шифрования, чтобы они согласовались при поднятии туннеля.
- Выберите сабинтерфейс, через который будет строиться туннель для L2VPN.
- В Egress Optimization Gateway Address задайте адрес шлюза. Задайте имя пользователя и пароль.
- Выберите сабинтерфейс и сохраните настройки.
Настройка клиентской части завершена.
Для просмотра работы туннеля перейдите на вкладку Statistics → L2VPN на любом NSX.