Configuración de SSL VPN-Plus con NSX Edge
Hola, en este nuevo post vamos a configurar una VPN SSL para que los usuarios remotos puedan tener una conexión segura a una red privada de organización a través de un NSX EDGE. Los usuarios remotos podrán tener acceso remoto a servidores y aplicaciones de la red privada de organización.
Antes de iniciar, se recomienda mirar los requisitos previos y compatibilidades de sistemas operativos soportados con el cliente SSL VPN-PLUS de NSX EDGE para ello nos guiamos de la siguiente tabla: (más información, SSL VPN-Plus Overview)
| SISTEMA OPERATIVO | VERSIONES SOPORTADAS |
| Windows | 8, 10 (including Windows 10 Secure Boot option enabled) |
| Mac OS Sierra | 10.12.6 |
| Mac OS High Sierra | 10.13.4 |
| Mac OS Mojave | 10.14.2 to 10.14.6 (supported in NSX 6.4.4 and later) |
| Linux Fedora | 26, 28 |
| Linux CentOS | 6.0, 7.5 |
| Linux Ubuntu | 18.04 |
Importante:
- El Cliente SSL VPN-PLUS no es soportado en computadores que usan procesadores ARM.
- Asegurarse que la última versión de controlador Npcap (0.9983 o superior) esté instalado en el computador Windows, si tenemos una versión antigua, la función de reconexión automática no funcionará correctamente.
- Para que la interfaz de usuario funcione en Linux, debemos instalar las siguientes librerías: Linux TCL, TK y Network Security Services (NSS).
Configuración de servicio de autenticación:
Para iniciar con la configuración, nos dirigimos al NSX EDGE de nuestra organización y el damos click en servicios, que desplegará la pantalla de administración y en la pestaña SSL VPN-PLUS y luego en Autenticación creamos una política de autenticación de acuerdo a las necesidades y normas de seguridad de cada organización.
Habilitamos la política de contraseñas, la política de bloqueo de cuentas y por último el estado de la política de autenticación.
Verificamos que se hayan realizado los cambios:
Habilitar y configurar servidor SSL:
Nos ubicamos en la pestaña configuración de servidor y procedemos a habilitar, escogemos la dirección IP Pública que el NSX EDGE tiene configurada como puerta de enlace público y recomiendo cambiar el puerto de comunicación que en nuestro ejemplo es el 60003 TCP, escogemos el método de cifrado y habilitamos la política de Logging.
Esta configuración creará automáticamente una regla de firewall habilitando el puerto colocado en este caso 60003 en donde se ata el servicio de SSL VPN.
Configuración de Pool de IPs:
Una vez que el servidor SSL VPN se haya habilitado, seleccionamos la pestaña de IP Pools para crear un rango de IPs que será usado por la VPN, agregando un rango de IPs en nuestro ejemplo 192.168.200.0/24 con un pool 192.168.200.100-192.168.200.120 y gateway 192.168.200.1. Las opciones de DNS no son requeridas por el momento.
Habilitamos el grupo para que pueda ser usado por el servidor SSL VPN y damos en OK.
Verificando que las configuraciones se muestran continuamos.
Configuración de redes privadas:
En este paso tenemos que dar permiso de conectividad a las redes internas de organización que deseamos acceder, para ello agregamos una nueva red privada, colocamos la red que deseamos ingresar en nuestro ejemplo 192.168.100.0/24, escogemos Over Tunnel y habilitamos.
Luego de la configuración se comprueba que estén los cambios.
Configuración de Usuarios:
Seleccionamos la pestaña de usuarios y agregamos una cuenta de usuario para la conectividad de la VPN-PLUS SSL, se configuran las opciones de contraseña y se habilita al usuario para que pueda conectarse a través de la VPN. En nuestro caso el usuario es uservpn
Configuración de paquete de instalación:
Vamos a configurar el instalador que será descargado por el usuario habilitado, este se instala en el sistema operativo y nos ayudará con la conexión a la VPN. Considerar que si se hacen cambios en los gateways o puertos de servicio de la VPN que configuramos previamente, debemos generar otro paquete de instalación. Habilitamos cualquier parámetro necesario que se requiera (depende del administrador de la Organización).
Se da click en la pestaña paquete de instalación y agregamos un nuevo perfil.
Revisamos que este creada la política y habilitada.
Configuración de Cliente VPN:
En la pestaña de configuración de cliente se configura las opciones del cliente de VPN, el modo túnel debe estar configurado en Split para permitir conexiones simultaneas, pero se puede colocar en modo full si así demanda la aplicación. Se puede configurar exclusiones de subnets en este apartado.
Configuración general:
Se pueden tener otras opciones generales para la conectividad de los usuarios de la VPN, como por ejemplo: evitar varias sesiones de VPN con un mismo usuario o forzar teclados virtuales, tiempos de inactividades de conexión y habilitación de registros. Depende del administrador de la Organización.
Una vez finalizados los pasos en el lado de la Nube, procedemos a descargarnos el instalador a través de la pagina Web configurada previamente y la instalación del cliente SSL VPN-PLUS de NSX EDGE.
Colocando la dirección IP pública y puerto que definimos y configuramos previamente, colocamos el usuario y contraseña habilitado para ingresar a la VPN.
Colocando las credenciales, procedemos a descargar el instalador configurado previamente, este instalador contendrá los datos para la comunicación con la VPN-PLUS SSL.
Una vez instalado el Cliente en nuestro PC, vamos a conectarnos con las credenciales que hemos configurado.
La conexión se establece y podemos validar en el ícono de la barra de tareas que esté conectado.
Luego damos click derecho y procedemos a verificar las estadísticas de conexión.
Finalmente,
Las configuraciones varían de acuerdo a las políticas internas del cliente y a los clientes que el administrador va a generar.
La conexión SSL VPN-PLUS se la realizará usando el enlace de internet contratado, tomar en cuenta el correcto dimensionamiento del ancho de banda.
Tags: Tecnología, Cloud, VMwareCloudDirector, vCD10.2, NSX , NSX-V, CloudDirector, tenant, organizacion, VPN, SSL , VPN-PLUS