Настроить VPN

В облаке на базе VMware можно воспользоваться встроенной в EDGE-роутеры функцией VPN-сервера. Рассмотрим настройку двух основных типов VPN.

Можно разделить VPN-технологии на два основных типа:

  • Site-to-site VPN — используется протокол IPSec для создания защищенного туннеля между площадками. Например, между сетью главного офиса и сетью на удаленной площадке или в облаке;
  • Remote Access VPN — используется протокол SSL VPN для подключения отдельных пользователей к частным сетям организаций с помощью ПО VPN-клиента.

IPsec

  1. В панели VMware Cloud Director® перейдите в необходимый vDC.
  2. На вкладке Networking → Edges выберите нужный Edge.
  3. Нажмите кнопку Services.
  4. В открывшемся окне перейдите на вкладку VPN → IPsec VPN → IPsec VPN Sites.
  5. Нажмите +, чтобы добавить новую площадку.
  6. Заполните необходимые поля:
    • Enabled — активирует удаленную площадку;
    • PFS — гарантирует, что каждый новый криптографический ключ не связан с любым предыдущим ключом;
    • Local ID и Local Endpoint — внешний адрес NSX Edge;
    • Local Subnets — локальные сети, которые будут использовать IPsec VPN;
    • Peer ID и Peer Endpoint — адрес удаленной площадки;
    • Peer Subnets — сети, которые будут использовать IPsec VPN на удаленной стороне;
    • Encryption Algorithm — алгоритм шифрования туннеля;
    • Authentication — как мы будем аутентифицировать пир. Можно использовать Pre-Shared Key либо сертификат;
    • Pre-Shared Key — указываем ключ, который будет использоваться для аутентификации и должен совпадать с обеих сторон;
    • Diffie-Hellman Group — номер группы ключей в алгоритме обмена ключами;
    • Digest algorithm — алгоритм хеширования контроля целостности пакетов;
    • IKE option — версия протокола обмена ключами IKE (Internet Key Exchange);
    • IKE responder only — при включении Edge будет не инициировать соединение, а ожидать подключения с удаленной стороны;
    • Session type — тип туннеля (подробнее в официальной документации policy-based или route-based).
  7. После заполнения необходимых полей нажмите кнопку Keep.
  8. Перейдите на вкладку VPN → IPsec VPN → Activation Status и активируйте IPsec VPN Service Status.
  9. Перейдите на вкладку Statistics → IPsec VPN.
  10. Выберите вкладку IPsec VPN и проверьте статус туннеля — он должен быть активен (в столбце Channel Status стоит галочка, а не крестик).

Site-to-site IPsec VPN настроен и работает.

Посмотреть статус туннеля

  1. В консоли Edge gateway включите доступ по SSH (вкладка Edge Settings), задайте логин и пароль и разрешите его в настройках Firewall.

    Примечание: не рекомендуется оставлять SSH включенным.

  2. Для проверки статуса туннеля из консоли Edge gateway используйте команды:

    • show service ipsec — проверка состояния сервиса;
    • show service ipsec site — информация о состоянии сайта и согласованных параметрах;
    • show service ipsec sa — проверка статуса Security Association (SA).

Количество IPsec-туннелей зависит от размера развернутого Edge Gateway. По умолчанию доступно 512 IPsec-туннелей.

SSL VPN

SSL VPN-Plus — один из вариантов Remote Access VPN. Он позволяет отдельным удаленным пользователям безопасно подключаться к частным сетям, находящимся за шлюзом NSX Edge. Зашифрованный туннель в случае SSL VPN-plus устанавливается между клиентом (Windows, Linux, Mac) и VMware NSX® Edge™.

В панели Cloud Director перейдите в необходимый vDC:

  1. На вкладке Networking → Edges выберите нужный edge.

  2. Нажмите кнопку Services.

  3. В открывшемся окне перейдите на вкладку SSL VPN-Plus → Authentication.

  4. Нажмите +Local.

  5. Можно выбрать политики для генерирования новых паролей и настроить опции по блокировке пользовательских аккаунтов (например, количество повторных попыток при неправильном вводе пароля). Создайте сервер аутентификации с необходимыми для вас настройками и включите его.

  6. Перейдите на вкладку SSL VPN-Plus → Server Settings.

  7. Укажите адрес и порт, на котором сервер будет слушать входящие соединения, включите логирование и выберите необходимые алгоритмы шифрования.

  8. Здесь также можно изменить сертификат, который будет использовать сервер, нажав кнопку CHANGE SERVER CERTIFICATE.

  9. Активируйте сервер переключателем Enable и сохраните настройки.

  10. При использовании локальной аутентификации необходимо создать пользователей. Для этого перейдите на вкладку SSL VPN-Plus → Users и нажмите кнопку +.

  11. В открывшемся окне укажите имя пользователя User ID, пароль Password и Enabled — разрешение пользователю подключаться. Также можно ограничить срок действия пароля, запретить изменять пароль, требовать сменить пароль при следующем входе.

  12. После того, как все необходимые пользователи добавлены, перейдите на вкладку SSL VPN-Plus → Installation Packages, нажмите кнопку + для создания инсталлятора, который сможет скачать для установки удаленный сотрудник.

  13. В открывшемся окне введите:

    • Profile Name — название профиля инсталляционного пакета;
    • в таблице столбец Gateway — адрес сервера (IP который был указан на вкладке SSL VPN-Plus → Server Settings → IP Address);
    • в таблице столбец Port — порт сервера (Port который был указан на вкладке SSL VPN-Plus → Server Settings → Port);
    • выберите инсталляционные пакеты для различных OS.

    Примечание: пакет для Windows создается по умолчанию и доступен всегда.

  14. Ниже в этом же окне можно указать параметры клиента для Windows:

    • start client on logon – VPN-клиент будет добавлен в автозагрузку на удаленной машине;
    • create desktop icon – создаст иконку VPN-клиента на рабочем столе;
    • server security certificate validation – будет валидировать сертификат сервера при подключении.

  15. Перейдите на вкладку SSL VPN-Plus → IP Pools и нажмите кнопку +.

  16. Настройте пул адресов, которые будут выдаваться пользователям при подключении.

    Эта сеть отделена от любой существующей подсети в вашей среде NSX, ее не нужно настраивать на других устройствах в физических сетях, за исключением маршрутов, которые на нее указывают.

    В открывшемся окне введите:

    • IP Range — диапазон адресов;
    • Netmask — маску сети;
    • Gateway — шлюз сети.

    Здесь также можно изменить настройки для DNS и WINS серверов.

  17. Перейдите на вкладку Private Networks и нажмите кнопку +.

  18. Добавьте сети, доступ к которым будет у подключающихся к VPN пользователей. Заполните поля:

  • Network — локальная сеть, к которой будет доступ у удаленных пользователей;
  • Send traffic — можно выбрать один из вариантов:
    • over tunnel – отправлять трафик к сети через туннель;
    • bypass tunnel – отправлять трафик к сети напрямую в обход туннеля.
  • Enable TCP Optimization – отметьте, если выбрали вариант over tunnel.

Настройка сервера завершена.

Подключить созданный установочный пакет

Скачайте созданный в последнем шаге установочный пакет на удаленный ПК:

  1. Перейдите в веб-браузер, используя заданные при настройке внешний адрес и порт.
  2. В окне авторизации введите учетные данные пользователя, которого создали ранее.
  3. После авторизации откроется список созданных установочных пакетов, доступных для загрузки.
  4. В примере был создан только один, скачайте его.
  5. Распакуйте скачанный архив и запустите установку.
  6. Запустите клиент и в окне авторизации нажмите кнопку Login.
  7. В окне проверки сертификата выберите Yes.
  8. Введите учетные данные для ранее созданного пользователя.

NSX L2 VPN

L2VPN понадобится в том случае, когда нужно объединить несколько сетей, расположенных на разных площадках (например, в разных инфраструктурах Cloud Director) в один broadcast-домен.

Это может быть полезно, например, при миграции виртуальной машины: при переезде на другую географическую площадку виртуальная машина сохранит настройки IP-адресации и не потеряет связность с другими машинами, находящимися в одном с ней L2-домене. Эту функцию можно использовать в случае, когда есть 2 виртуальные машины, находящиеся в двух разных vDC, расположенных в разных регионах.

Первая ВМ имеет адрес 10.10.10.2/24, вторая ВМ — 10.10.10.200/24.

Связываемые в один broadcast-домен площадки должны быть построены на платформе NSX (возможно использование NSX Edge standalone, подробнее читайте в официальной документации, для просмотра требуется регистрация на сайте).

  1. В панели Cloud Director перейдите в первый vDC.
  2. Перейдите в раздел Networking на вкладку Networks и добавьте сеть с параметрами:
    • Scope: Current Organization Virtual Data Center;
    • Network Type: Routed;
    • Interface Type: subinterface;
    • Gateway CIDR: 10.10.10.1/24.
  3. В панели Cloud Director перейдите в второй vDC.
  4. Перейдите в раздел Networking на вкладку Networks и добавьте сеть с такими же параметрами как и в первом vDC. Должно получиться две сети с одинаковыми настройками gateway и одинаковой маской.

Сервер NSX L2 VPN

  1. Перейдите в настройки первого NSX Edge. Он будет выступать в качестве сервера.
  2. Перейдите на вкладку Networking → Edge, выберите нужный Edge и нажмите кнопку Services.
  3. В открывшемся окне перейдите на вкладку VPNL2VPN.
  4. Включите L2VPN, выберите режим работы Server, в настройках Server Global укажите внешний IP-адрес NSX Egde, на котором будет слушаться порт для туннеля. По умолчанию сокет откроется на 443 порту, но его можно изменить.
  5. Выберите настройки шифрования для будущего туннеля.
  6. Перейдите на вкладку Server Sites и добавьте пир, нажав кнопку +.
  7. Активируйте пир, задайте его название и описание, при необходимости задайте имя пользователя и пароль. Эти данные понадобятся при настройке клиентского сайта.
  8. В Egress Optimization Gateway Address задайте адрес шлюза. Это нужно для того, чтобы не происходил конфликт IP-адресов, так как шлюз у созданных сетей имеет один и тот же адрес.
  9. Нажмите кнопку Select sub-interfaces.
  10. Выберите нужный сабинтерфейс и сохраните настройки.
  11. В настройках появится только что созданный клиентский сайт.

Клиент NSX L2 VPN

  1. Перейдите в настройки второго NSX Edge. Он будет выступать в качестве клиента.
  2. Перейдите на вкладку Networking → Edges, нажмите кнопку Services.
  3. В открывшемся окне перейдите на вкладку VPN → L2VPN.
  4. Активируйте L2VPN, установите L2VPN mode в клиентский режим работы.
  5. На вкладке Client Global задайте адрес и порт NSX Edge первого vDC, который был указан ранее как Listening IP и Port на серверной стороне.
  6. Необходимо выставить одинаковые настройки шифрования, чтобы они согласовались при поднятии туннеля.
  7. Нажмите кнопку SELECT SUB-INTERFACES и выберите сабинтерфейс, через который будет строиться туннель для L2VPN.
  8. В Egress Optimization Gateway Address задайте адрес шлюза.
  9. В User Details задайте имя пользователя и пароль и сохраните настройки.
  10. Для просмотра работы туннеля перейдите на вкладку Statistics → L2VPN на любом NSX.