Architettura
Sono presenti due Virtual Appliance, la prima, un Application Delivery
Controller (ADC) che effettuerà LoadBalancing NAT-Traversal (che
chiameremo NATT) tra la rete pubblica e DMZ mentre l'altra conterrà
la componente VPN (che chiameremo VPN server) tra la DMZ e la rete
intranet, la quale permetterà di accedere ai sistemi informatici
aziendali (vedi Figura 1).
All'interno di quest'ultima è stato installato Easy RSA, che verrà
utilizzato per la creazione e verifica dei certificati.
Quando un client si vuole collegare alla VPN, passerà prima per NAT-T
il quale ha un listener pubblico che ascolta in porta 45483
. Tutte le
connessioni a questa porta verranno inoltrate verso VPN server in
porta 1194
. A questo punto verrà controllato il certificato del client
che si vuole collegare alla VPN e, se valido, VPN server assegnerà al
client un indirizzo IP 10.8.0.X
.
Non appena il client riceverà l'assegnazione dell'IP, potrà accedere
alla rete intranet aziendale.
Questa architettura permette di separare completamente i due ambienti
pubblico e intranet utilizzando la DMZ come fascia di sicurezza.
Figura 1: VPN
Per assicurare che la VPN rimanga sempre operativa, VPN server può essere duplicato e gli deve essere assegnato un indirizzo IP diverso da quello precedente. Attraverso il bilanciatore di Oplon ADC se un VPN server smette di funzionare per qualsiasi motivo, anche per manutenzione, il traffico verrà inoltrato nell'altro VPN server mantenendo la continuità operativa(vedi Figura 2).
Figura 2: VPN balanced
Compatibility Matrix e dimensionamento licenze Freeware
Le VAPP distribuite e disponibili direttamente dal download sono per le più diffuse piattaforme virtuali oggi sul mercato, altre immagini virtuali possono essere richieste a Oplon attraverso e-mail: customercare@oplon.net.
Immagini direttamente disponibili dal sito:
VMware Compatibility ESXi 5.1 and later (con OS di base "Powered by CentOS")
Virtual BOX all versions (con OS di base "Powered by CentOS")
Le Virtual appliance sono licenziate per queste risorse:
CPU = max 2
RAM = max 5120MB
Se si assegnano più risorse l'application delivery controller non eseguirà lo start
Virtual Appliance import
L'import della VAPP è facilitato dagli strumenti dei sistemi di virtualizzazione. Ogni sistema di virtualizzazione mette a disposizione una console per effettuare l'operazione.
Una volta importata la VAPP il sistema è pronto per effettuare il primo setup compatibilmente all'ambiente del datacenter.
È consigliabile importare la Virtual Appliance con funzionalità HDD "thin" o simile in modo da consumare lo spazio disco solamente per quanto è necessario al sistema per funzionare.
NOTA: Durante l'import è importante aver cura di scegliere, nei diversi sistemi di virtualizzazione, un import con rigenerazione dei MAC address delle schede virtuali. In questo modo le macchine virtuali non entreranno in conflitto.
Impostazione schede di rete prima dello start
Una volta importata la VAPP nel sistema di virtualizzazione è necessario inserirla nel contesto operativo.
Sia la VAPP che eseguirà NAT-T sia la VAPP che eseguirà il VPN server dovranno essere dotate di due interfacce di rete.
La VAPP NAT-T dovrà essere impostata con una interfaccia di rete che si affaccia nella rete Internet e l'altra che si affaccia alla DMZ
La VAPP VPN server sarò impostata con una interfaccia verso la DMZ e l'altra verso l'intranet aziendale.
Questa configurazione permette di mantenere separato il modo Internet dal mondo Intranet.
Impostazione del numero di CPU core
Una volta importata la VAPP e configurato le interfacce di rete nel sistema di virtualizzazione è necessario inserirla nel contesto operativo assegnando le risorse.
Le VAPP sono preconfigurate per quanto riguarda lo spazio disco e la memoria. L'unico parametro da modificare è il numero di CPU che è impostato dalla fabbrica al minimo cioè 1.
Se l'ambiente virtuale dispone di più CPU core è consigliabile impostare 2 CPU.
Una volta verificati questo parametro è possibile eseguire lo start della macchina virtuale.
Setup indirizzi di rete
Allo start il sistema richiederà login e password amministrativo:
Login: administrator
Password: adminadmin
Una volta arrivati al prompt di console predisporsi per eseguire i comandi da root:
sudo -i
Password: adminadmin
Per impostare gli indirizzi di rete è disponibile il tool da console
nmtui
che permette di effettuare in maniera semplice
l'impostazione delle network.
Impostazione ADC Management
Dopo aver a assegnato gli indirizzi ip alle schede di rete impostare i parametro e le credenziali LBL
Con il comando lblhelp
è possibile richiedere la lista delle funzioni
disponibili.
Eseguendo
lblsetup
il sistema richiederà
l'impostazione della password dell'amministratore. La VAPP è
preimpostata con la password: adminadmin
Il sistema di configurazione iniziale è stato ridotto al minimo nella console per permettere una semplice impostazione delle funzioni con cui poi effettuare la connessione attraverso Oplon Global Distributed Gateway dove è possibile effettuare la configurazione estesa. Per default le console eseguono un bind su tutti gli indirizzi disponibili:
Di seguito la spiegazione delle richieste effettuate dalla console:
Management address: (default 0.0.0.0
)
È l'indirizzo da cui è possibile collegarsi dall'esterno con Oplon Management Console Management port: (default
54443
). È assolutamente consigliato impostare un indirizzo interno di management (DMZ). È scosigliato utilizzare0.0.0.0
oppure un indirizzo esposto in Internet.È la porta da cui è possibile collegarsi dall'esterno con Oplon Web Console (default
54443
, non modificare se non strettamente necessario)Global Distributed Gateway def. port (default
4444
)
È la porta da cui è possibile collegarsi dall'esterno con Oplon Global Distributed Gateway. È possibile modificare questa porta attraverso la console web del processo Global Distributed Gateway.
Type LBL root username and password: È l'impostazione del login di amministratore root con cui sarà possibile eseguire da Oplon Web console il setup completo ed impostare o cancellare altri utenti
Type primary system name and password for system delegation.
Imposta il login la password dell'utente delegato primario per effettuare operazioni tra più sistemi Oplon SAAI (è consigliato impostare un login associato ad una password di sola conoscenza del personale adibito alla security o comunque non disponibile a tutto il personale).
NOTA: Il programma di setup esce automaticamente dopo 3 minuti dallo start
Per ragioni di sicurezza, consigliamo di modificare l'indirizzo, login e password rispetto ai default indicati.
Una volta impostati login e password è possibile eseguire l'uscita con salvataggio.
Mettiamo in sicurezza l'ingresso SSH
Da prompt come utente root impostare l'SSH daemon ad accettare le connessioni solamente dalla rete DMZ ed escludere quindi la possibilità di accedere da Internet al sistema operativo:
vi /etc/ssh/sshd_config
Cercare ListenAddress che è impostato a 0.0.0.0
(cioè tutti gli
indirizzi e quindi compreso l'indirizzo esposto in Internet)
Modificare ListenAddress con l'indirizzo della rete DMZ e togliere il
commento dalla linea (eliminare #
)
Una volta modificato l'indirizzo di listen eseguire il restart del Daemon nella seguente maniera:
systemctl restart sshd.service
Impostazione Data e Ora timezone del sistema operativo
È importante impostare data e ora perché i sistemi di encryption controllano che la data e l'ora di sistema e se disallineata potrebbero no nfunzionare.
Per quanto descritto è quindi consigliabile impostare la data e l'ora del sistema con valori il più vicino possibile alla data e all'ora correnti. L'utilizzo dell'allineamento tramite protocollo NTP è consigliato.
Per cambiare il timezone è disponibile il comando lbltimezone che, in dipendenza del sistema operativo di base utilizzato, avrà la propria interfaccia di setup o le indicazioni per effettuare la modifica.
Per l'Italia impostare da root:
#timedatectl property set-timezone Europe/Rome, New York
Impostazione Keyboard del sistema operativo
Per cambiare la keyboard della console è disponibile il comando lblkeyboard che, in dipendenza del sistema operativo di base utilizzato, avrà la propria interfaccia di setup o le indicazioni per effettuare la modifica.
Primo login da Oplon Global Distributed Gateway NAT-T
Dalla console è possibile verificare l'attuale configurazione ed
indirizzo DHCP associato attraverso i normali comandi Linux (ip addr
).
Il sistema Oplon Monitor e Oplon Global Distributed Gateway sono per default impostati per accettare connessioni da tutte le reti es:
sufficiente quindi, verificare con il comando ip addr
un indirizzo
disponibile ed eseguire il login da Oplon Management Console, LBL Web
Console o da Oplon Global Distributed Gateway sull'indirizzo specificato
es.:
Per l'accesso ai servizi Oplon Global Distributed Gateway digitare:
https://x.x.x.x:4444
(dove x.x.x.x
è un qualsiasi indirizzo del sistema se non avete
modificato l'indirizzo 0.0.0.0
oppure l'indirizzo da voi scelto con
lblsetup).
Digitare il login "root" con la password prescelta con lblsetup
:
volta eseguito il login apparirà la dashboard che permetterà di impostare la componente NAT-T.
Impostazione licenza gratuita VPN edition
L'Application Delivery Controller ha già impostato una licenza gratuita illimitata se deve essere utilizzato per applicazioni WEB.
Nel caso si voglia utilizzare anche la componente per il tunnel VPN (NAT-T) è necessario inserire la licenza gratuita scaricabile dal sito Oplon www.oplon.net .
ATTENZIONE: La licenza gratuita è valida per Virtual Appliance con massimo 2 vCPU e 5GB RAM. Se si superano queste soglie il sistema non parte.
Per impostare la licenza è sufficiente eseguire dopo il login web:
Modules -> ADC & GLB -> LBL ADC Platform Edition -> Edit
In alto a destra selezionare Actions-Install license e quindi caricare
la licenza license.xml
Eseguire lo stop del modulo
Una volta che il modulo si è fermato eseguire Start Module
Impostazione Listener NAT-T rete pubblica
Impostare l'indirizzo della rete pubblica, cioè la rete esposta in Internet sul Listener dell'Application Deliveri Controller predisposto ad accettare connessioni NAT Traversal. Il Listener è già stato preconfigurato dalla fabbrica, è sufficiente impostare solamente l'indirizzo.
ADC Settings->ADCs->Edit del modulo A10_LBLGoPlatform
Espandere il pannello listener e modificare l'indirizzo da 0.0.0.0
con
l'indirizzo dell'interfaccia Internet
Impostazione tunnel NAT-T per inoltro traffico al VPN server
Quindi cercare l'endpoint che sarà impostato con l'indirizzo DMZ del VPN server.
Endpoints->Search-> digitare VPM-> Edit dell'endpoint A10_LBLGoPlatform
Modificare l'indirizzo da 127.0.0.1
con l'indirizzo di listen del VPN
server
Salvare la configurazione
Eseguire il reinit per rendere operativa la nuova configurazione