Настроить VPN
Функция VPN-сервера встроена в Edge-роутеры. Доступны типы VPN:
- IPSec (Site-to-site VPN) — используется для создания защищенного туннеля между площадками. Например, между сетью главного офиса и сетью на удаленной площадке или в облаке;
- SSL VPN (Remote Access VPN) — используется для подключения отдельных пользователей к частным сетям организаций с помощью VPN-клиента;
- L2 VPN — позволяет объединить в один broadcast-домен сети, расположенные на разных площадках (в разных инфраструктурах Cloud Director) — например, при миграции виртуальной машины.
Подключить IPsec
- Из панели управления откройте панель Cloud Director: Облако на базе VMware → Cloud Director.
- Откройте страницу виртуального дата-центра.
- Перейдите в раздел Networking → Edges.
- Откройте страницу нужного Edge.
- Нажмите Services.
- Откройте вкладку VPN → IPsec VPN → IPsec VPN Sites.
- Нажмите +.
- Опционально: чтобы активировать удаленную площадку, включите тумблер Enabled.
- Опционально: чтобы каждый новый криптографический ключ не был связан с любым предыдущим ключом, включите тумблер PFS.
- В поле Local Endpoint укажите внешний адрес NSX Edge.
- В поле Local Subnets введите локальные сети в формате CIDR, которые будут использовать IPsec VPN.
- В поле Peer ID и Peer Endpoint — введите адрес удаленной площадки.
- В поле Peer Subnets укажите сети, которые будут использовать IPsec VPN на удаленной стороне.
- В поле Encryption Algorithm выберите алгоритм шифрования туннеля;Authentication выберите, как будет аутентифицироваться пир. Можно использовать Pre-Shared Key либо сертификат.
- В поле Pre-Shared Key укажите ключ, который будет использоваться для аутентификации и должен совпадать с обеих сторон.
- В поле Diffie-Hellman Group выберите номер группы ключей в алгоритме обмена ключами.
- В поле Digest algorithm выберите алгоритм хеширования контроля целостности пакетов.
- В поле IKE option выберите версию протокола обмена ключами IKE (Internet Key Exchange).
- Чтобы при включении Edge не инициировал соединение, а ожидал подключения с удаленной стороны, включите тумблер IKE responder only.
- В поле Session type выберите тип туннеля (подробнее в официальной документации policy-based или route-based).
- Нажмите Keep.
- Откройте вкладку VPN → IPsec VPN → Activation Status.
- Включите тумблер IPsec VPN Service Status.
- Откройте вкладку Statistics → IPsec VPN.
- Проверьте статус туннеля в столбце Channel Status — он должен быть активен.
Посмотреть статус туннеля
Количество IPsec-туннелей зависит от размера развернутого Edge Gateway. По умолчанию доступно 512 IPsec-туннелей.
Из панели управления откройте панель Cloud Director: Облако на базе VMware → Cloud Director.
Откройте страницу виртуального дата-центра.
Перейдите в раздел Networking → Edges.
Откройте страницу нужного Edge.
Нажмите Services.
Откройте вкладку Edge settings.
В блоке SSH Status включите тумблер Enabled.
Введите логин и пароль для доступа по SSH и разрешите его в настройках Firewall. Не рекомендуется оставлять SSH включенным.
Проверьте статус туннеля из консоли Edge gateway:
show service ipsec
— проверка состояния сервиса;show service ipsec site
— информация о состоянии сайта и согласованных параметрах;show service ipsec sa
— проверка статуса Security Association (SA).
Подключить SSL VPN
SSL VPN-Plus — один из вариантов Remote Access VPN. Он позволяет отдельным удаленным пользователям безопасно подключаться к частным сетям, находящимся за шлюзом NSX Edge. Зашифрованный туннель в случае SSL VPN-plus устанавливается между клиентом (Windows, Linux, Mac) и VMware NSX® Edge™.
В панели Cloud Director на вкладке Data Centers → Virtual Data Center откройте страницу виртуального дата-центра. Перейти в Cloud Director можно из панели управления: Облако на базе VMware → Cloud Director.
Перейдите в раздел Networking → Edges.
Откройте страницу нужного Edge.
Нажмите Services.
Откройте вкладку SSL VPN-Plus → Authentication.
Нажмите +Local.
Настройте и включите сервер аутентификации. При настройке можно выбрать политики для генерирования новых паролей и настроить опции по блокировке пользовательских аккаунтов (например, количество повторных попыток при неправильном вводе пароля).
Нажмите Keep.
Откройте вкладку SSL VPN-Plus → Server Settings.
В полях IP Address и Port укажите адрес и порт, на котором сервер будет слушать входящие соединения.
Включите тумблер Enable Logging.
В блоке Cipher List отметьте необходимые алгоритмы шифрования.
Опционально: чтобы изменить сертификат, который будет использовать сервер, нажмите CHANGE SERVER CERTIFICATE.
Включите тумблер Enable.
Нажмите Save changes.
Откройте вкладку SSL VPN-Plus → Users.
Нажмите +.
Укажите данные пользователя:
- User ID — идентификатор пользователя;
- Password — пароль для пользователя.
Опционально: чтобы включить пользователя, включите тумблер Enabled.
Нажмите Keep.
Откройте вкладку SSL VPN-Plus → Installation Packages.
Нажмите + для создания инсталлятора, который сможет скачать для установки удаленный сотрудник.
В поле Profile Name введите название профиля инсталляционного пакета.
В поле Gateway введите адрес сервера (IP, который был указан на вкладке SSL VPN-Plus → Server Settings → IP Address).
В поле Port введите порт сервера (порт, который был указан на вкладке SSL VPN-Plus → Server Settings → Port).
Выберите инсталляционные пакеты для различных ОС. Пакет для Windows создается по умолчанию и доступен всегда.
Опционально: для Windows отметьте чекбоксы:
- start client on logon — VPN-клиент будет добавлен в автозагрузку на удаленной машине;
- create desktop icon — создаст иконку VPN-клиента на рабочем столе;
- server security certificate validation — будет валидировать сертификат сервера при подключении.
Откройте вкладку SSL VPN-Plus → IP Pools.
Нажмите +.
Настройте пул адресов, которые будут выдаваться пользователям при подключении:
- IP Range — укажите диапазон адресов;
- Netmask — укажите маску сети;
- Gateway — укажите шлюз сети;
- опционально: измените настройки для DNS и WINS серверов.
Эта сеть отделена от любой существующей подсети в вашей среде NSX, ее не нужно настраивать на других устройствах в физических сетях, за исключением маршрутов, которые на нее указывают.
Откройте вкладку Private Networks.
Нажмите +.
Добавьте сети, доступ к которым будет у подключающихся к VPN пользователей:
Network — локальная сеть, к которой будет доступ у удаленных пользователей;
Send traffic — способ отправки трафика:
- over tunnel — через туннель;
- bypass tunnel — напрямую в обход туннеля.
Enable TCP Optimization — отметьте, если выбрали вариант over tunnel.
Подключить созданный установочный пакет
- Перейдите в веб-браузер, используя заданные при настройке внешний адрес и порт.
- В окне авторизации введите учетные данные пользователя, которого создали ранее. После успешной авторизации откроется список созданных установочных пакетов, доступных для загрузки.
- Скачайте созданный установочный пакет.
- Распакуйте скачанный архив и запустите установку.
- Запустите клиент.
- В окне авторизации нажмите Login.
- В окне проверки сертификата нажмите Yes.
- Введите учетные данные для ранее созданного пользователя.
Подключить NSX L2 VPN
При переезде на другую географическую площадку виртуальная машина сохранит настройки IP-адресации и не потеряет связность с другими машинами, находящимися в одном с ней L2-домене. Эту функцию можно использовать в случае, когда есть две виртуальные машины, находящиеся в разных виртуальных дата-центрах и регионах.
Первая ВМ имеет адрес 10.10.10.2/24, вторая ВМ — 10.10.10.200/24.
Связываемые в один broadcast-домен площадки должны быть построены на платформе NSX. Возможно использование NSX Edge standalone, подробнее в официальной документации (для просмотра требуется регистрация на сайте).
В панели Cloud Director на вкладке Data Centers → Virtual Data Center откройте страницу первого виртуального дата-центра. Перейти в Cloud Director можно из панели управления: Облако на базе VMware → Cloud Director.
Перейдите в раздел Networking → Networks.
Нажмите New.
Создайте сеть. При создании выберите:
- Scope: Current Organization Virtual Data Center;
- Network Type: Routed;
- Interface Type: subinterface;
- Gateway CIDR: 10.10.10.1/24.
На вкладке Data Centers → Virtual Data Center откройте страницу второго виртуального дата-центра.
Добавьте сеть с такими же параметрами. Должно получиться две сети с одинаковыми настройками gateway и одинаковой маской.
Настроить сервер NSX L2 VPN
- В панели Cloud Director на вкладке Data Centers → Virtual Data Center откройте страницу первого виртуального дата-центра. Перейти в Cloud Director можно из панели управления: Облако на базе VMware → Cloud Director.
- Перейдите в раздел Networking → Edge.
- Откройте страницу нужного Edge.
- Нажмите Services.
- Откройте вкладку VPN → L2VPN.
- Включите тумблер L2VPN.
- В поле L2VPN mode выберите Server.
- На вкладке Server Global укажите внешний IP-адрес NSX Egde, на котором будет слушаться порт для туннеля. По умолчанию сокет откроется на 443 порту, но его можно изменить.
- Отметьте настройки шифрования для туннеля.
- Откройте вкладку Server Sites.
- Нажмите +.
- Включите тумблер Enabled.
- Введите название пира, имя пользователя и пароль. Эти данные понадобятся при настройке клиентского сайта.
- В поле Egress Optimization Gateway Address введите адрес шлюза. Это нужно для того, чтобы не происходил конфликт IP-адресов, так как шлюз у созданных сетей имеет один и тот же адрес.
- Нажмите Select sub-interfaces.
- Выберите нужный сабинтерфейс и сохраните настройки. В настройках появится созданный клиентский сайт.
Настроить клиент NSX L2 VPN
- В панели Cloud Director на вкладке Data Centers → Virtual Data Center откройте страницу виртуального дата-центра. Перейти в Cloud Director можно из панели управления: Облако на базе VMware → Cloud Director.
- Перейдите в раздел Networking → Edges.
- Откройте страницу нужного Edge.
- Нажмите Services.
- Откройте вкладку VPN → L2VPN.
- Включите тумблер L2VPN.
- В поле L2VPN mode выберите Client.
- На вкладке Client Global укажите адрес и порт NSX Edge первого виртуального дата-центра, который был указан в полях Listening IP и Port на стороне сервера.
- Выставите одинаковые настройки шифрования, чтобы они согласовались при поднятии туннеля.
- Нажмите SELECT SUB-INTERFACES и выберите сабинтерфейс, через который будет строиться туннель для L2VPN.
- В поле Egress Optimization Gateway Address введите адрес шлюза.
- В User Details введите имя пользователя и пароль и сохраните настройки.
- Для просмотра работы туннеля на любом NSX откройте вкладку Statistics → L2VPN.