Настроить VPN
Функция VPN-сервера встроена в Edge-роутеры. Доступны типы VPN:
- IPSec (Site-to-site VPN) — используется для создания защищенного туннеля между площадками. Например, между сетью главного офиса и сетью на удаленной площадке или в облаке;
- SSL VPN (Remote Access VPN) — используется для подключения отдельных пользователей к частным сетям организаций с помощью VPN-клиента;
- L2 VPN — позволяет объединить в один broadcast-домен сети, расположенные на разных площадках (в разных инфраструктурах Cloud Director) — например, при миграции виртуальной машины.
Подключить IPsec
- Из панели управления откройте панель Cloud Director: Облако на базе VMware → Cloud Director.
- Откройте страницу виртуального дата-центра.
- Перейдите в раздел Networking → Edges.
- Откройте страницу нужного Edge.
- Нажмите Services.
- Откройте вкладку VPN → IPsec VPN → IPsec VPN Sites.
- Нажмите +.
- Опционально: чтобы активировать удаленную площадку, включите тумблер Enabled.
- Опционально: чтобы каждый новый криптографический ключ не был связан с любым предыдущим ключом, включите тумблер PFS.
- В поле Local Endpoint введите внешний адрес NSX Edge.
- В поле Local Subnets введите локальные сети в формате CIDR, которые будут использовать IPsec VPN.
- В поле Peer ID введите адрес удаленной площадки.
- В поле Peer Endpoint введите адрес удаленной площадки.
- В поле Peer Subnets введите сети, которые будут использовать IPsec VPN на удаленной стороне.
- В поле Encryption Algorithm выберите алгоритм шифрования туннеля.
- В поле Authentication выберите, как будет аутентифицироваться пир — с помощью Pre-Shared Key или сертификата.
- В поле Pre-Shared Key введите ключ, который будет использоваться для аутентификации. Ключ должен совпадать с обеих сторон.
- В поле Diffie-Hellman Group выберите номер группы ключей в алгоритме обмена ключами.
- В поле Digest algorithm выберите алгоритм хеширования контроля целостности пакетов.
- В поле IKE option выберите версию протокола обмена ключами IKE (Internet Key Exchange).
- Чтобы при включении Edge не инициировал соединение, а ожидал подключения с удаленной стороны, включите тумблер IKE responder only.
- В поле Session type выберите тип туннеля. Подробнее о туннелях в инструкциях Policy-Based IPSec VPN или Route-Based IPSec VPN документации VMware.
- Нажмите Keep.
- Откройте вкладку VPN → IPsec VPN → Activation Status.
- Включите тумблер IPsec VPN Service Status.
- Откройте вкладку Statistics → IPsec VPN.
- Проверьте, что в столбце Channel Status статус VPN активен.
Посмотреть статус туннеля
Количество IPsec-туннелей зависит от размера развернутого Edge-роутера. По умолчанию доступно 512 IPsec-туннелей.
Из панели управления откройте панель Cloud Director: Облако на базе VMware → Cloud Director.
Откройте страницу виртуального дата-центра.
Перейдите в раздел Networking → Edges.
Откройте страницу нужного Edge.
Нажмите Services.
Откройте вкладку Edge settings.
В блоке SSH Status включите тумблер Enabled.
Введите логин и пароль для доступа по SSH и разрешите его в настройках Firewall. Не рекомендуется оставлять SSH включенным.
В консоли Edge проверьте состояние сервиса:
show service ipsec
Проверьте состояние сайта и согласованных параметров:
show service ipsec site
Проверьте статус Security Association (SA):
show service ipsec sa
Подключить SSL VPN
SSL VPN-Plus — один из вариантов Remote Access VPN. Он позволяет отдельным удаленным пользователям безопасно подключаться к частным сетям, находящимся за шлюзом NSX Edge. Зашифрованный туннель в случае SSL VPN-plus устанавливается между клиентом (Windows, Linux, Mac) и VMware NSX® Edge™.
Из панели управления откройте панель Cloud Director: Облако на базе VMware → Cloud Director.
Откройте страницу виртуального дата-центра.
Перейдите в раздел Networking → Edges.
Откройте страницу нужного Edge.
Нажмите Services.
Откройте вкладку SSL VPN-Plus → Authentication.
Нажмите +Local.
Настройте и включите сервер аутентификации. При настройке можно выбрать политики для генерирования новых паролей и настроить опции по блокировке пользовательских аккаунтов (например, количество повторных попыток при неправильном вводе пароля), подробнее в инструкции Configure an Authentication Service for SSL VPN-Plus on an NSX Data Center for vSphere Edge Gateway документации VMware.
Нажмите Keep.
Откройте вкладку SSL VPN-Plus → Server Settings.
В полях IP Address и Port укажите адрес и порт, на котором сервер будет слушать входящие соединения.
Включите тумблер Enable Logging.
В блоке Cipher List отметьте необходимые алгоритмы шифрования.
Опционально: чтобы изменить сертификат, который будет использовать сервер, нажмите CHANGE SERVER CERTIFICATE.
Включите тумблер Enable.
Нажмите Save changes.
Откройте вкладку SSL VPN-Plus → Users.
Нажмите +.
В поле User ID введите идентификатор пользователя.
В поле Password введите пароль пользователя.
Чтобы включить пользователя, включите тумблер Enabled.
Нажмите Keep.
Откройте вкладку SSL VPN-Plus → Installation Packages.
Для создания инсталлятора, который сможет скачать для установки удаленный сотрудник, нажмите +.
В поле Profile Name введите название профиля инсталляционного пакета.
В поле Gateway введите адрес сервера, его можно посмотреть на вкладке SSL VPN-Plus → Server Settings → IP Address.
В поле Port введите порт сервера, его можно посмотреть на вкладке SSL VPN-Plus → Server Settings → Port.
Выберите инсталляционные пакеты для различных ОС. Пакет для Windows создается по умолчанию и доступен всегда.
Опционально: чтобы VPN-клиент был добавлен в автозагрузку на удаленной машине, отметьте чекбокс start client on logon (только для Windows).
Опционально: чтобы создать иконку VPN-клиента на рабочем столе, отметьте чекбокс create desktop icon (только для Windows).
Опционально: чтобы валидировать сертификат сервера при подключении, отметьте чекбокс server security certificate validation (только для Windows).
Откройте вкладку SSL VPN-Plus → IP Pools.
Нажмите +.
В поле IP Range укажите диапазон адресов, которые будут выдаваться пользователям при подключении.
В поле Netmask укажите маску сети.
В поле Gateway укажите шлюз сети.
Опционально: настройте сервера DNS и WINS.
Откройте вкладку Private Networks.
Нажмите +.
В поле Network добавьте локальную сеть, к которой будет доступ у удаленных пользователей.
В поле Send traffic выберите способ отправки трафика:
- over tunnel — через туннель;
- bypass tunnel — напрямую в обход туннеля.
Если вы выбрали способ отправки трафика выбрали вариант over tunnel, отметьте чекбокс Enable TCP Optimization.
Подключить созданный установочный пакет
- Откройте веб-браузер, используя заданные при настройке Firewall внешний адрес и порт.
- Введите учетные данные пользователя. После успешной авторизации откроется список созданных установочных пакетов, доступных для загрузки.
- Скачайте созданный установочный пакет.
- Распакуйте скачанный архив.
- Установите клиент.
- Запустите клиент.
- В окне авторизации нажмите Login.
- В окне проверки сертификата нажмите Yes.
- Введите учетные данные пользователя.
Подключить NSX L2 VPN
При переезде на другую географическую площадку виртуальная машина сохранит настройки IP-адресации и не потеряет связность с другими машинами, находящимися в одном с ней L2-домене. Эту функцию можно использовать, если есть две виртуальные машины, находящиеся в разных виртуальных дата-центрах и регионах.
Первая ВМ имеет адрес 10.10.10.2/24
, вторая ВМ — 10.10.10.200/24
.
Связываемые в один broadcast-домен площадки должны быть построены на платформе NSX. Возможно использование NSX Edge standalone, подробнее в документации VMware Customer Connect (для просмотра требуется регистрация на сайте).
Из панели управления откройте панель Cloud Director: Облако на базе VMware → Cloud Director.
Откройте страницу виртуального дата-центра.
Перейдите в раздел Networking → Networks.
Нажмите New.
Создайте сеть с параметрами:
- Scope — выберите Current Organization Virtual Data Center;
- Network Type — выберите Routed;
- Interface Type — выберите subinterface;
- Gateway CIDR — укажите
10.10.10.1/24
.
Откройте вкладку Data Centers → Virtual Data Center.
Откройте страницу второго виртуального дата-центра.
Добавьте сеть с такими же параметрами.
Настроить сервер NSX L2 VPN
- Из панели управления откройте панель Cloud Director: Облако на базе VMware → Cloud Director.
- Откройте страницу виртуального дата-центра.
- Перейдите в раздел Networking → Edges.
- Откройте страницу нужного Edge.
- Нажмите Services.
- Откройте вкладку VPN → L2VPN.
- Включите тумблер L2VPN.
- В поле L2VPN mode выберите Server.
- На вкладке Server Global введите внешний IP-адрес Egde-роутера, на котором будет слушаться порт для туннеля. По умолчанию сокет откроется на 443 порту, но его можно изменить.
- Отметьте настройки шифрования для туннеля.
- Откройте вкладку Server Sites.
- Нажмите +.
- Включите тумблер Enabled.
- Введите название пира.
- Введите имя и пароль пользователя.
- В поле Egress Optimization Gateway Address введите адрес шлюза для того, чтобы не происходил конфликт IP-адресов, так как шлюз у созданных сетей имеет один и тот же адрес.
- Нажмите Select sub-interfaces.
- Выберите нужный сабинтерфейс.
- Сохраните настройки. В настройках появится созданный клиентский сайт.
Настроить клиент NSX L2 VPN
- Из панели управления откройте панель Cloud Director: Облако на базе VMware → Cloud Director.
- Откройте страницу виртуального дата-центра.
- Перейдите в раздел Networking → Edges.
- Откройте страницу нужного Edge.
- Нажмите Services.
- Откройте вкладку VPN → L2VPN.
- Включите тумблер L2VPN.
- В поле L2VPN mode выберите Client.
- На вкладке Client Global укажите адрес и порт NSX Edge первого виртуального дата-центра, который был указан в полях Listening IP и Port на стороне сервера.
- Настройте шифрование так же, как на сервере, чтобы его настройки согласовались при поднятии туннеля.
- Нажмите SELECT SUB-INTERFACES.
- Выберите сабинтерфейс, через который будет строиться туннель для L2VPN.
- В поле Egress Optimization Gateway Address введите адрес шлюза.
- В поле User Id введите имя пользователя.
- В поле Password введите пароль.
- В поле Confirm Password подтвердите пароль.
- Сохраните настройки.
- На любом Edge-роутере на вкладке Statistics → L2VPN проверьте туннель.