VAPP NATT setup

Architettura

Sono presenti due Virtual Appliance, la prima, un Application Delivery Controller (ADC) che effettuerà LoadBalancing NAT-Traversal (che chiameremo NATT) tra la rete pubblica e DMZ mentre l'altra conterrà la componente VPN (che chiameremo VPN server) tra la DMZ e la rete intranet, la quale permetterà di accedere ai sistemi informatici aziendali (vedi Figura 1). All'interno di quest'ultima è stato installato Easy RSA, che verrà utilizzato per la creazione e verifica dei certificati. Quando un client si vuole collegare alla VPN, passerà prima per NAT-T il quale ha un listener pubblico che ascolta in porta 45483. Tutte le connessioni a questa porta verranno inoltrate verso VPN server in porta 1194. A questo punto verrà controllato il certificato del client che si vuole collegare alla VPN e, se valido, VPN server assegnerà al client un indirizzo IP 10.8.0.X. Non appena il client riceverà l'assegnazione dell'IP, potrà accedere alla rete intranet aziendale. Questa architettura permette di separare completamente i due ambienti pubblico e intranet utilizzando la DMZ come fascia di sicurezza.

image1

Figura 1: VPN

Per assicurare che la VPN rimanga sempre operativa, VPN server può essere duplicato e gli deve essere assegnato un indirizzo IP diverso da quello precedente. Attraverso il bilanciatore di Oplon ADC se un VPN server smette di funzionare per qualsiasi motivo, anche per manutenzione, il traffico verrà inoltrato nell'altro VPN server mantenendo la continuità operativa(vedi Figura 2).

image2

Figura 2: VPN balanced

Compatibility Matrix e dimensionamento licenze Freeware

Le VAPP distribuite e disponibili direttamente dal download sono per le più diffuse piattaforme virtuali oggi sul mercato, altre immagini virtuali possono essere richieste a Oplon attraverso e-mail: customercare@oplon.net.

Immagini direttamente disponibili dal sito:

  • VMware Compatibility ESXi 5.1 and later (con OS di base "Powered by CentOS")

  • Virtual BOX all versions (con OS di base "Powered by CentOS")

Le Virtual appliance sono licenziate per queste risorse:

  • CPU = max 2

  • RAM = max 5120MB

Se si assegnano più risorse l'application delivery controller non eseguirà lo start

Virtual Appliance import

L'import della VAPP è facilitato dagli strumenti dei sistemi di virtualizzazione. Ogni sistema di virtualizzazione mette a disposizione una console per effettuare l'operazione.

Una volta importata la VAPP il sistema è pronto per effettuare il primo setup compatibilmente all'ambiente del datacenter.

È consigliabile importare la Virtual Appliance con funzionalità HDD "thin" o simile in modo da consumare lo spazio disco solamente per quanto è necessario al sistema per funzionare.

NOTA: Durante l'import è importante aver cura di scegliere, nei diversi sistemi di virtualizzazione, un import con rigenerazione dei MAC address delle schede virtuali. In questo modo le macchine virtuali non entreranno in conflitto.

Impostazione schede di rete prima dello start

Una volta importata la VAPP nel sistema di virtualizzazione è necessario inserirla nel contesto operativo.

Sia la VAPP che eseguirà NAT-T sia la VAPP che eseguirà il VPN server dovranno essere dotate di due interfacce di rete.

La VAPP NAT-T dovrà essere impostata con una interfaccia di rete che si affaccia nella rete Internet e l'altra che si affaccia alla DMZ

image1

La VAPP VPN server sarò impostata con una interfaccia verso la DMZ e l'altra verso l'intranet aziendale.

image1

Questa configurazione permette di mantenere separato il modo Internet dal mondo Intranet.

Impostazione del numero di CPU core

Una volta importata la VAPP e configurato le interfacce di rete nel sistema di virtualizzazione è necessario inserirla nel contesto operativo assegnando le risorse.

Le VAPP sono preconfigurate per quanto riguarda lo spazio disco e la memoria. L'unico parametro da modificare è il numero di CPU che è impostato dalla fabbrica al minimo cioè 1.

Se l'ambiente virtuale dispone di più CPU core è consigliabile impostare 2 CPU.

Una volta verificati questo parametro è possibile eseguire lo start della macchina virtuale.

Setup indirizzi di rete

Allo start il sistema richiederà login e password amministrativo:

  • Login: administrator

  • Password: adminadmin

Una volta arrivati al prompt di console predisporsi per eseguire i comandi da root:

  • sudo -i

  • Password: adminadmin

Per impostare gli indirizzi di rete è disponibile il tool da console nmtui che permette di effettuare in maniera semplice l'impostazione delle network.

image3

Impostazione ADC Management

Dopo aver a assegnato gli indirizzi ip alle schede di rete impostare i parametro e le credenziali LBL

image4

Con il comando lblhelp è possibile richiedere la lista delle funzioni disponibili.

image5 Eseguendo lblsetup il sistema richiederà l'impostazione della password dell'amministratore. La VAPP è preimpostata con la password: adminadmin

Il sistema di configurazione iniziale è stato ridotto al minimo nella console per permettere una semplice impostazione delle funzioni con cui poi effettuare la connessione attraverso Oplon Global Distributed Gateway dove è possibile effettuare la configurazione estesa. Per default le console eseguono un bind su tutti gli indirizzi disponibili:

image6

Di seguito la spiegazione delle richieste effettuate dalla console:

Management address: (default 0.0.0.0)

  • È l'indirizzo da cui è possibile collegarsi dall'esterno con Oplon Management Console Management port: (default 54443). È assolutamente consigliato impostare un indirizzo interno di management (DMZ). È scosigliato utilizzare 0.0.0.0 oppure un indirizzo esposto in Internet.

  • È la porta da cui è possibile collegarsi dall'esterno con Oplon Web Console (default 54443, non modificare se non strettamente necessario)

  • Global Distributed Gateway def. port (default 4444)

È la porta da cui è possibile collegarsi dall'esterno con Oplon Global Distributed Gateway. È possibile modificare questa porta attraverso la console web del processo Global Distributed Gateway.

  • Type LBL root username and password: È l'impostazione del login di amministratore root con cui sarà possibile eseguire da Oplon Web console il setup completo ed impostare o cancellare altri utenti

  • Type primary system name and password for system delegation.

Imposta il login la password dell'utente delegato primario per effettuare operazioni tra più sistemi Oplon SAAI (è consigliato impostare un login associato ad una password di sola conoscenza del personale adibito alla security o comunque non disponibile a tutto il personale).

NOTA: Il programma di setup esce automaticamente dopo 3 minuti dallo start

Per ragioni di sicurezza, consigliamo di modificare l'indirizzo, login e password rispetto ai default indicati.

image7

Una volta impostati login e password è possibile eseguire l'uscita con salvataggio.

Mettiamo in sicurezza l'ingresso SSH

Da prompt come utente root impostare l'SSH daemon ad accettare le connessioni solamente dalla rete DMZ ed escludere quindi la possibilità di accedere da Internet al sistema operativo:

vi /etc/ssh/sshd_config

Cercare ListenAddress che è impostato a 0.0.0.0 (cioè tutti gli indirizzi e quindi compreso l'indirizzo esposto in Internet)

image8

Modificare ListenAddress con l'indirizzo della rete DMZ e togliere il commento dalla linea (eliminare #)

image9

Una volta modificato l'indirizzo di listen eseguire il restart del Daemon nella seguente maniera:

systemctl restart sshd.service

Impostazione Data e Ora timezone del sistema operativo

È importante impostare data e ora perché i sistemi di encryption controllano che la data e l'ora di sistema e se disallineata potrebbero no nfunzionare.

Per quanto descritto è quindi consigliabile impostare la data e l'ora del sistema con valori il più vicino possibile alla data e all'ora correnti. L'utilizzo dell'allineamento tramite protocollo NTP è consigliato.

Per cambiare il timezone è disponibile il comando lbltimezone che, in dipendenza del sistema operativo di base utilizzato, avrà la propria interfaccia di setup o le indicazioni per effettuare la modifica.

Per l'Italia impostare da root:

#timedatectl property set-timezone Europe/Rome, New York

Impostazione Keyboard del sistema operativo

Per cambiare la keyboard della console è disponibile il comando lblkeyboard che, in dipendenza del sistema operativo di base utilizzato, avrà la propria interfaccia di setup o le indicazioni per effettuare la modifica.

image10

Primo login da Oplon Global Distributed Gateway NAT-T

Dalla console è possibile verificare l'attuale configurazione ed indirizzo DHCP associato attraverso i normali comandi Linux (ip addr).

Il sistema Oplon Monitor e Oplon Global Distributed Gateway sono per default impostati per accettare connessioni da tutte le reti es:

image7

sufficiente quindi, verificare con il comando ip addr un indirizzo disponibile ed eseguire il login da Oplon Management Console, LBL Web Console o da Oplon Global Distributed Gateway sull'indirizzo specificato es.:

image11

Per l'accesso ai servizi Oplon Global Distributed Gateway digitare: https://x.x.x.x:4444 (dove x.x.x.x è un qualsiasi indirizzo del sistema se non avete modificato l'indirizzo 0.0.0.0 oppure l'indirizzo da voi scelto con lblsetup).

Digitare il login "root" con la password prescelta con lblsetup:

image12

volta eseguito il login apparirà la dashboard che permetterà di impostare la componente NAT-T.

image13

Impostazione licenza gratuita VPN edition

L'Application Delivery Controller ha già impostato una licenza gratuita illimitata se deve essere utilizzato per applicazioni WEB.

Nel caso si voglia utilizzare anche la componente per il tunnel VPN (NAT-T) è necessario inserire la licenza gratuita scaricabile dal sito Oplon www.oplon.net .

ATTENZIONE: La licenza gratuita è valida per Virtual Appliance con massimo 2 vCPU e 5GB RAM. Se si superano queste soglie il sistema non parte.

Per impostare la licenza è sufficiente eseguire dopo il login web:

Modules -> ADC & GLB -> LBL ADC Platform Edition -> Edit

image14

In alto a destra selezionare Actions-Install license e quindi caricare la licenza license.xml

image15

image16

Eseguire lo stop del modulo

image17

Una volta che il modulo si è fermato eseguire Start Module

image18

Impostazione Listener NAT-T rete pubblica

Impostare l'indirizzo della rete pubblica, cioè la rete esposta in Internet sul Listener dell'Application Deliveri Controller predisposto ad accettare connessioni NAT Traversal. Il Listener è già stato preconfigurato dalla fabbrica, è sufficiente impostare solamente l'indirizzo.

image1

ADC Settings->ADCs->Edit del modulo A10_LBLGoPlatform

image19

Espandere il pannello listener e modificare l'indirizzo da 0.0.0.0 con l'indirizzo dell'interfaccia Internet

image20

Impostazione tunnel NAT-T per inoltro traffico al VPN server

image1

Quindi cercare l'endpoint che sarà impostato con l'indirizzo DMZ del VPN server.

Endpoints->Search-> digitare VPM-> Edit dell'endpoint A10_LBLGoPlatform

image21

Modificare l'indirizzo da 127.0.0.1 con l'indirizzo di listen del VPN server

image22

Salvare la configurazione

image23

Eseguire il reinit per rendere operativa la nuova configurazione

image24