Клиентский VPN к VMware vCloud Director 5.1

    В VMware vCloud Director, есть два типа внешних сетей — routed network и direct network.

    При создании второго типа сети на VDS создается порт, к которому пробрасывается напрямую машина.
    При создании второго типа сети для каждой организации создается виртуальный роутер — vShield Edge, который позволяет строить site-to-site VPN, делать публикации, пробрасывать порты на внутренние виртуальные машины, быть DHCP, NAT, балансировщиком нагрузки (при том что в 5.1 он может еще ставиться в HA режиме) и прочие полезные функции функции роутера.

    Подробнее про него можно почитать тут.

    Из интерфейса vCloud Director нельзя настроить VPN для подключения к нему с обычных ПК, но иногда это необходимо и чтобы не ставить внутри организации какой-нибудь сервер (будь то OpenVPN или MS TMG) можно настроить vShield так, что он будет служить сервером доступа.
    Настроить может только администратор vSphere — прав у администратора организации в vCloud Director недостаточно. И я покажу, как можно это сделать.



    1) Вначале необходимо создать Edge GW в организации:



    2) Перейдем в vShield Manager, в нем необходимо выбрать Datacenter в котором находится организация и выбрать необходимый vShield Edge.



    Вы можете видеть, что в vShield Manager указывается id организации, в которой находится vShield Edge — это сделано для того, чтобы если вы используете одинаковые имена для Edge — можно было определить к какой организации он относится.
    В поле «interfaces» можно увидеть цифру 3 — это значит, что к vShield Manager-у подключено 3 сетки (одна внешняя из vSphere и две внутренние).
    В поле size можно увидеть что он large — вообще в версии 5.1 можно разворачивать два типа compact и large — отличаются они потребляемыми ресурсами и соответственно максимальной нагрузкой на них, подробнее можно почитать тут.

    3) Выбрав нужный роутер необходимо перейти во вкладку Network virtualization, в ней открываем вкладку VPN и раздел SSL VPN-Plus



    4) Во разделе Server Settings необходимо выбрать внешний IP и порт для подключения пользователей. На vShield Edge можно добавить несколько внешних IP — поэтому нужно выбрать один из них. Так же есть возможность выбора метода шифрования и сертификата, я буду использовать внутренний сертификат Edge.



    5) В следующей вкладке мы настраиваем IP пул, который будет выдаваться клиентам подключающимся по VPN.
    Данная пул IP должен отличаться от внутренних используемых подсети организации в vCloud Director. Во внутренней сети настроены сети с адресациями 10.1.0.0/24 и 10.1.1.0/24 – я укажу для пула IP 10.1.2.0/24.



    Здесь соответственно указан пул, который будет выдаваться, маска и gateway — адрес, который будет присвоен Edge.

    6) Во вкладке «Private Networks» добавим ту сетку, к которой будет доступ подключенным клиентам. В нашем случае это сеть 10.1.1.0/24. Так же необходимо выбрать как будет ходить трафик, по-умолчанию это SSL VPN over Tunnel.



    Тут три параметра, первый – это как будет идти трафик – по туннелю или в обход туннеля, с этим параметром все ясно.
    Второй параметр отвечает за оптимизацию протокола TCP – включенный параметр поможет оптимизировать скорость передачи данных.
    SSL VPN туннель посылает данные на втором (сетевом) уровне стека TCP/IP, а значит что данные четвертого (прикладного) уровня при прохождении через туннель инкапсулироваться и деинкапсулироваться в два потока. А это значит, что может случиться глобальный TCP over TCP при потери пакетов и скорость передачи резко упадет. включенная галочка оптимизации способна решить данную проблему.
    Напоследок нужно указать порты, которые будут открыты для VPN пользователей, если оставить поле пустым – то будут открыты все порты.

    7) Следующим шагом будет аутентификация, можно выбрать локальную, LDAP, AD, RSA-ACE и Radius. Я выбираю локальную, так как не хочу настраивать группы в AD. Так же можно настроить сложность пароля и прочие параметры.

    8) В разделе «Installation Package» указываются параметры приложения, которая будет ставится на локальную машину для подключения к vShield Edge.

    Gateway – внешний IP Edge к которому будет подключение, его мы выбирали в пункте 4.
    Так же можно выбрать, под какую ОС будет скомпилировано приложения — Windows, Linux или MacOS.

    9) Если вы указали в разделе аутентификации локального пользователя — то необходимо его задать.



    10) Следующий пункт «General settings» — в котором можно настроить:

    "
    alt=«image»/>

    11) На этом настройки VPN закончены – теперь нужно включить сервис, нажав Enable на главной вкладке чтобы включить VPN:



    Если все ок – увидим надпись «Service enabled successfully!»

    12) Перейдем по ссылке IP_EDGE/sslvpn-plus и скачивать клиент для подключения. Где IP_EDGE — внешний адрес вашего виртуального коммутатора.
    Увидим следующее окно:



    13) Логинимся под созданным аккаунтом ранее.
    Скачиваем дистрибутив:



    14) Устанавливаем и запускаем SSL VPN-Plus Client.





    15) Вводим логин и пароль для подключения.





    Подключение прошло успешно, проверим получили ли мы IP:



    как видно выше, получен IP из пула.

    16) Теперь для доступа во внутреннюю подсеть 10.1.0.0/24 необходимо настроить правило на vShield Edge.



    На этом настройка закончена.

    Если будет интересно — в следующем посте могу рассказать как построить site-to-site VPN между Cisco router и vShield Edge версий 5.0 — 5.1.
    Ну и если есть какие-либо вопросы, пишите ниже.
    Поделиться публикацией
    Комментарии 4
      0
      А есть возможность поднять такой ВПН сервер при условии что у облака нет внешних IP? т.е. если у меня внешний IP (через который клиенты будут заходить) живёт на другой машине в другой сети, но эта машина локально связана с облаком и с неё можно пробросить нужные порты.

      И второй вопрос: есть вариант с использованием нескольких внешних IP? На случай если один из шлюзов падает, чтобы клиенты таки могли подключиться. А когда все шлюзы живые — чтобы равномерно клиентов между шлюзами разбрасывать.
        0
        по первому вопросу — да. при настройке vcloud director вы указываете внешнюю подсеть — а что она и какая, уже не важно. поэтому если будет работать проброс портов — проблем быть не должно.

        по второму вопросу — про шлюзы вы имеете ввиду vShield Edge? Если да — то его можно ставить в HA режиме — т.е. если одна машина упадет, то будет работать вторая полностью идентичная. По поводу балансировки — vShield так же способен делать балансировку без проблем, недавно как раз тестировали это.

          0
          HA — это в смысле VMware HA?
          Не совсем то. Я имел ввиду когда две разных машины в разных датацентрах приземляют клиентов и перенаправляют трафик в третий ДЦ. Или две эти машины находятся в том же ДЦ, но на разных аплинках. т.е. это железки, физически не привязанные к облаку, автономные рутеры.
            0
            если я правильно понял — то такое можно делать независимо от vCloud Directora и соответственно vShield Edge.
            ну и в крайнем случае через него тоже, просто настраивая роутинг с другими Edge, ну только с тем отличием что он привязан к vCloud Director-у не будет

      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

      Самое читаемое