Настроить VPN

Настроить VPN

Функция VPN-сервера встроена в Edge-роутеры. Доступны типы VPN:

• IPSec (Site-to-site VPN) — используется для создания защищенного туннеля между площадками. Например, между сетью главного офиса и сетью на удаленной площадке или в облаке;
• SSL VPN (Remote Access VPN) — используется для подключения отдельных пользователей к частным сетям организаций с помощью VPN-клиента;
• L2 VPN — позволяет объединить в один broadcast-домен сети, расположенные на разных площадках (в разных инфраструктурах Cloud Director) — например, при миграции виртуальной машины.

Подключить IPsec

1. Из панели управления откройте панель Cloud Director: Облако на базе VMware → Cloud Director.
2. Откройте страницу виртуального дата-центра.
3. Перейдите в раздел Networking → Edges.
4. Откройте страницу нужного Edge.
5. Нажмите Services.
6. Откройте вкладку VPN → IPsec VPN → IPsec VPN Sites.
7. Нажмите +.
8. Опционально: чтобы активировать удаленную площадку, включите тумблер Enabled.
9. Опционально: чтобы каждый новый криптографический ключ не был связан с любым предыдущим ключом, включите тумблер PFS.
10. В поле Local Endpoint укажите внешний адрес NSX Edge.
11. В поле Local Subnets введите локальные сети в формате CIDR, которые будут использовать IPsec VPN.
12. В поле Peer ID и Peer Endpoint — введите адрес удаленной площадки.
13. В поле Peer Subnets укажите сети, которые будут использовать IPsec VPN на удаленной стороне.
14. В поле Encryption Algorithm выберите алгоритм шифрования туннеля;Authentication выберите, как будет аутентифицироваться пир. Можно использовать Pre-Shared Key либо сертификат.
15. В поле Pre-Shared Key укажите ключ, который будет использоваться для аутентификации и должен совпадать с обеих сторон.
16. В поле Diffie-Hellman Group выберите номер группы ключей в алгоритме обмена ключами.
17. В поле Digest algorithm выберите алгоритм хеширования контроля целостности пакетов.
18. В поле IKE option выберите версию протокола обмена ключами IKE (Internet Key Exchange).
19. Чтобы при включении Edge не инициировал соединение, а ожидал подключения с удаленной стороны, включите тумблер IKE responder only.
20. В поле Session type выберите тип туннеля (подробнее в официальной документации policy-based или route-based).
21. Нажмите Keep.
22. Откройте вкладку VPN → IPsec VPN → Activation Status.
23. Включите тумблер IPsec VPN Service Status.
24. Откройте вкладку Statistics → IPsec VPN.
25. Проверьте статус туннеля в столбце Channel Status — он должен быть активен.

Посмотреть статус туннеля

Количество IPsec-туннелей зависит от размера развернутого Edge Gateway. По умолчанию доступно 512 IPsec-туннелей.

1. Из панели управления откройте панель Cloud Director: Облако на базе VMware → Cloud Director.

2. Откройте страницу виртуального дата-центра.

3. Перейдите в раздел Networking → Edges.

4. Откройте страницу нужного Edge.

5. Нажмите Services.

6. Откройте вкладку Edge settings.

7. В блоке SSH Status включите тумблер Enabled.

8. Введите логин и пароль для доступа по SSH и разрешите его в настройках Firewall. Не рекомендуется оставлять SSH включенным.

9. Проверьте статус туннеля из консоли Edge gateway:

   • show service ipsec — проверка состояния сервиса;
   • show service ipsec site — информация о состоянии сайта и согласованных параметрах;
   • show service ipsec sa — проверка статуса Security Association (SA).

Подключить SSL VPN

SSL VPN-Plus — один из вариантов Remote Access VPN. Он позволяет отдельным удаленным пользователям безопасно подключаться к частным сетям, находящимся за шлюзом NSX Edge. Зашифрованный туннель в случае SSL VPN-plus устанавливается между клиентом (Windows, Linux, Mac) и VMware NSX® Edge™.

1. В панели Cloud Director на вкладке Data Centers → Virtual Data Center откройте страницу виртуального дата-центра. Перейти в Cloud Director можно из панели управления: Облако на базе VMware → Cloud Director.

2. Перейдите в раздел Networking → Edges.

3. Откройте страницу нужного Edge.

4. Нажмите Services.

5. Откройте вкладку SSL VPN-Plus → Authentication.

6. Нажмите +Local.

7. Настройте и включите сервер аутентификации. При настройке можно выбрать политики для генерирования новых паролей и настроить опции по блокировке пользовательских аккаунтов (например, количество повторных попыток при неправильном вводе пароля).

8. Нажмите Keep.

9. Откройте вкладку SSL VPN-Plus → Server Settings.

10. В полях IP Address и Port укажите адрес и порт, на котором сервер будет слушать входящие соединения.

11. Включите тумблер Enable Logging.

12. В блоке Cipher List отметьте необходимые алгоритмы шифрования.

13. Опционально: чтобы изменить сертификат, который будет использовать сервер, нажмите CHANGE SERVER CERTIFICATE.

14. Включите тумблер Enable.

15. Нажмите Save changes.

16. Откройте вкладку SSL VPN-Plus → Users.

17. Нажмите +.

18. Укажите данные пользователя:

    • User ID — идентификатор пользователя;
    • Password — пароль для пользователя.

19. Опционально: чтобы включить пользователя, включите тумблер Enabled.

20. Нажмите Keep.

21. Откройте вкладку SSL VPN-Plus → Installation Packages.

22. Нажмите + для создания инсталлятора, который сможет скачать для установки удаленный сотрудник.

23. В поле Profile Name введите название профиля инсталляционного пакета.

24. В поле Gateway введите адрес сервера (IP, который был указан на вкладке SSL VPN-Plus → Server Settings → IP Address).

25. В поле Port введите порт сервера (порт, который был указан на вкладке SSL VPN-Plus → Server Settings → Port).

26. Выберите инсталляционные пакеты для различных ОС. Пакет для Windows создается по умолчанию и доступен всегда.

27. Опционально: для Windows отметьте чекбоксы:

    • start client on logon — VPN-клиент будет добавлен в автозагрузку на удаленной машине;
    • create desktop icon — создаст иконку VPN-клиента на рабочем столе;
    • server security certificate validation — будет валидировать сертификат сервера при подключении.

28. Откройте вкладку SSL VPN-Plus → IP Pools.

29. Нажмите +.

30. Настройте пул адресов, которые будут выдаваться пользователям при подключении:

    • IP Range — укажите диапазон адресов;
    • Netmask — укажите маску сети;
    • Gateway — укажите шлюз сети;
    • опционально: измените настройки для DNS и WINS серверов.

    Эта сеть отделена от любой существующей подсети в вашей среде NSX, ее не нужно настраивать на других устройствах в физических сетях, за исключением маршрутов, которые на нее указывают.

31. Откройте вкладку Private Networks.

32. Нажмите +.

33. Добавьте сети, доступ к которым будет у подключающихся к VPN пользователей:

    • Network — локальная сеть, к которой будет доступ у удаленных пользователей;

    • Send traffic — способ отправки трафика:

      • over tunnel — через туннель;
      • bypass tunnel — напрямую в обход туннеля.

    • Enable TCP Optimization — отметьте, если выбрали вариант over tunnel.

Подключить созданный установочный пакет

1. Перейдите в веб-браузер, используя заданные при настройке внешний адрес и порт.
2. В окне авторизации введите учетные данные пользователя, которого создали ранее. После успешной авторизации откроется список созданных установочных пакетов, доступных для загрузки.
3. Скачайте созданный установочный пакет.
4. Распакуйте скачанный архив и запустите установку.
5. Запустите клиент.
6. В окне авторизации нажмите Login.
7. В окне проверки сертификата нажмите Yes.
8. Введите учетные данные для ранее созданного пользователя.

Подключить NSX L2 VPN

При переезде на другую географическую площадку виртуальная машина сохранит настройки IP-адресации и не потеряет связность с другими машинами, находящимися в одном с ней L2-домене. Эту функцию можно использовать в случае, когда есть две виртуальные машины, находящиеся в разных виртуальных дата-центрах и регионах.

Первая ВМ имеет адрес 10.10.10.2/24, вторая ВМ — 10.10.10.200/24.

Связываемые в один broadcast-домен площадки должны быть построены на платформе NSX. Возможно использование NSX Edge standalone, подробнее в официальной документации (для просмотра требуется регистрация на сайте).

1. В панели Cloud Director на вкладке Data Centers → Virtual Data Center откройте страницу первого виртуального дата-центра. Перейти в Cloud Director можно из панели управления: Облако на базе VMware → Cloud Director.

2. Перейдите в раздел Networking → Networks.

3. Нажмите New.

4. Создайте сеть. При создании выберите:

   • Scope: Current Organization Virtual Data Center;
   • Network Type: Routed;
   • Interface Type: subinterface;
   • Gateway CIDR: 10.10.10.1/24.

5. На вкладке Data Centers → Virtual Data Center откройте страницу второго виртуального дата-центра.

6. Добавьте сеть с такими же параметрами. Должно получиться две сети с одинаковыми настройками gateway и одинаковой маской.

Настроить сервер NSX L2 VPN

1. В панели Cloud Director на вкладке Data Centers → Virtual Data Center откройте страницу первого виртуального дата-центра. Перейти в Cloud Director можно из панели управления: Облако на базе VMware → Cloud Director.
2. Перейдите в раздел Networking → Edge.
3. Откройте страницу нужного Edge.
4. Нажмите Services.
5. Откройте вкладку VPN → L2VPN.
6. Включите тумблер L2VPN.
7. В поле L2VPN mode выберите Server.
8. На вкладке Server Global укажите внешний IP-адрес NSX Egde, на котором будет слушаться порт для туннеля. По умолчанию сокет откроется на 443 порту, но его можно изменить.
9. Отметьте настройки шифрования для туннеля.
10. Откройте вкладку Server Sites.
11. Нажмите +.
12. Включите тумблер Enabled.
13. Введите название пира, имя пользователя и пароль. Эти данные понадобятся при настройке клиентского сайта.
14. В поле Egress Optimization Gateway Address введите адрес шлюза. Это нужно для того, чтобы не происходил конфликт IP-адресов, так как шлюз у созданных сетей имеет один и тот же адрес.
15. Нажмите Select sub-interfaces.
16. Выберите нужный сабинтерфейс и сохраните настройки. В настройках появится созданный клиентский сайт.

Настроить клиент NSX L2 VPN

1. В панели Cloud Director на вкладке Data Centers → Virtual Data Center откройте страницу виртуального дата-центра. Перейти в Cloud Director можно из панели управления: Облако на базе VMware → Cloud Director.
2. Перейдите в раздел Networking → Edges.
3. Откройте страницу нужного Edge.
4. Нажмите Services.
5. Откройте вкладку VPN → L2VPN.
6. Включите тумблер L2VPN.
7. В поле L2VPN mode выберите Client.
8. На вкладке Client Global укажите адрес и порт NSX Edge первого виртуального дата-центра, который был указан в полях Listening IP и Port на стороне сервера.
9. Выставите одинаковые настройки шифрования, чтобы они согласовались при поднятии туннеля.
10. Нажмите SELECT SUB-INTERFACES и выберите сабинтерфейс, через который будет строиться туннель для L2VPN.
11. В поле Egress Optimization Gateway Address введите адрес шлюза.
12. В User Details введите имя пользователя и пароль и сохраните настройки.
13. Для просмотра работы туннеля на любом NSX откройте вкладку Statistics → L2VPN.