V tomto návodu vysvětlujeme, jak vytvořit privátní síť, která spojuje dva nebo více cloud servery ve dvou různých datových centrech vytvořením VPN tunelu mezi dvěma routery/ firewally (po jednom v každém datovém centru). Pro router / firewall budeme používat cloud server s
pfSense, jednou ze šablon dostupných v rámci FORPSI Cloud Computingu.
Zde je schéma struktury sítě, kterou na konci získáme:
Po dokončení procesu bude "server1" v "datacentru 1" připojen k "serveru2" v "datacentru 2", výměna dat bude probíhat prostřednictvím chráněného tunelu a servery spolu budou komunikovat pomocí privátní IP adresy, která bude přiřazena každému serveru.
Konkrétně – data, která se přenáší ze "serveru1" do "serveru2" šifruje "pfsense1" a dešifruje "pfsense2", tím pádem data nemohou být dešifrována ani v případě, že údaje jsou předávána prostřednictvím sítě, která není zabezpečená (internet).
Ačkoliv je cesta dat přes internet mezi "datacentrem1" a "datacentrem 2" více komplikovaná, "server1" a "server2" spolu mohou komunikovat odděleně jen přes 2 "hopy" ("pfsense1" a "pfsense2" ).
Tento návod je rozdělen do 4 částí:
- část ukazuje, jak vytvořit chráněný tunel
- část popisuje potřebné kroky, pro připojení serverů Windows ("server1" a / nebo "server2" má operační systém Windows)
- část popisuje potřebné kroky, pro připojení linuxových serverů ("server1" a / nebo "server2" má operační systém Linux)
- dodatek pro ty, kteří potřebují připojit 3 nebo více cloud serverů rozdělených do 3 nebo více různých datových center, pomocí několika point- to-point spojení mezi různými datovými centry (typ MESH sítě)
Před samotným nastavením je třeba splnit toto:
- mít 2 cloud servery ve dvou různých datových centrech, které v této příručce budeme označovat jako "server1" a "server2"
- mít 2 virtuální switche, jeden v každém datovém centru, dále označené jako "virtuální switch 1" a "virtuální switch 2"
- mít 2 cloud servery s pfSense šablonou, dále označené jako "pfsense1" a "pfsense2 "
- mít propojený "server1" a "pfsense1" prostřednictvím "virtuálního switche 1"
- mít propojený "server2" a "pfsense2" prostřednictvím "virtuálního switche 2"
Ke splnění výše uvedených předběžných požadavků je třeba:
- V datovém centru 1:
- vytvořit pfSense cloud server "pfsense1"
- vytvořit virtuální switch "virtuální switch 1"
- připojit druhý síťový adaptér "pfsense1" k "virtuálnímu switchi 1"
- připojit druhý síťový adaptér "server1" k "virtuálnímu switchi 1"
- V datovém centru 1:
- vytvořit pfSense cloud server "pfsense2"
- vytvořit virtuální switch "virtuální switch 2"
- připojit druhý síťový adaptér "pfsense2" k " virtuálnímu switchi 2"
- připojit druhý síťový adaptér "server2" k "virtuálnímu switchi 2"
- 1 - Konfigurace dvou pfSense routerů / firewallů
- 1.1 Nejprve potřebujete znát veřejné IP adresy obou pfSense cloud serverů ( pfsense1 a pfsense2), které jim byly přiřazeny při vytváření.
Server pfSense lze konfigurovat přes webové rozhraní pomocí připojení k webovému administračnímu rozhraní přes váš prohlížeč.
Je-li například při vytváření pfSense cloud serveru přiřazena IP adresa "95.110.156.254", lze:
- 1.1.1 otevřít váš prohlížeč připojením na tuto adresu https://95.110.156.254
- 1.1.2 zadat vaše přihlašovací údaje: zadejte "admin" do pole "Username" a heslo, které jste zvolili při vytváření cloud serveru.
- 2 - Konfigurace "pfsense1"
- 2.1 Přiřaďte IP adresu druhému síťovému adaptéru serveru "pfsense1" ( v našem příkladu budeme používat tuto privátní IP adresu 10.0.1.1)
- 2.1.1 v menu nahoře zvolte "Interfaces" a pak "LAN"
- 2.1.2 na této stránce stačí upravit v "Static IP configuration" pole IP Address - zde zadat hodnotu "10.0.1.1"; pak vyberte z menu vedle "/24", a po dokončení klikněte na "Save" v dolní části stránky
- 3 - Konfigurace pfSense jako OpenVPN serveru
- 3.1 ve webovém administračním rozhraní pfSense zvolte v menu v horní části "VPN" a pak "OpenVPN"
- 3.2 na stránce s údaji "Server" klikněte na symbol " + " v pravém dolním rohu, jak je znázorněno na obrázku níže:
- 3.3 na této stránce je třeba změnit některá výchozí nastavení následujícím způsobem:
- 3.3.1 Server Mode: zvolte "Peer to Peer ( Shared Key )"
- 3.3.2 Tunnel Network : zadejte "10.0.8.0/24"
- 3.3.3 Local Network : zadejte "10.0.1.0/24"
- 3.3.4 Remote Network : zadejte "10.0.2.0/24"
- 3.4 zbývající hodnoty mohou být ponechány nevyplněné nebo s výchozím nastavením
- 3.5 po změně údajů musí strana vypadat takto:
- 3.6 klikněte na "Save" v dolní části stránky
- 3.7 nyní zkopírujte "Shared Key", který byl vytvořen automaticky při předchozím kroku: pro návrat na dříve vytvořenou stránku připojení OpenVPN , klikněte na symbol "e" (Editace) v pravém dolním rohu
- 3.8 najeďte myší do textového pole "Shared Key", označte veškerý obsah, klepněte na něj pravým tlačítkem myši a vyberte "Kopírovat" z rozbalovací nabídky:
- 3.9 uložte si zkopírovaný text do souboru. Tento text představuje ověřovací klíč, který bude použit při konfiguraci OpenVPN na serveru "pfsense2" tak, aby bylo možné se přihlásit při připojování k "pfsense1".
- 4 - Konfigurace firewallu
- 4.1 Konfigurace firewallu pro rozhraní WAN
- 4.1.1 ve webovém administračním rozhraní pfSense zvolte v menu nahoře "Firewall" a pak "Rules"
- 4.1.2 na stránce "WAN" klikněte na symbol " + " v pravém dolním rohu:
- 4.1.3 na této stránce je třeba upravit některé výchozí nastavení následujícím způsobem:
- 4.1.3.1 Protocol : vyberte "UDP"
- 4.1.3.2 Destination port range : zadejte hodnotu "1194" do pole "from:" a do pole "to:"
- 4.1.4 po změně těchto údajů musí strana vypadat jako na následujícím obrázku:
- 4.1.5 klikněte na "Save" v dolní části stránky
- 4.2 Konfigurace firewallu pro rozhraní "OpenVPN"
- 4.2.1 Ve webovém administračním rozhraní pfSense zvolte v menu nahoře "Firewall" a pak "Rules"
- 4.2.2 klikněte na záložku OpenVPN , potom klikněte na symbol " + " v pravém dolním rohu, jak je znázorněno na obrázku níže:
- 4.2.3 na této stránce je třeba upravit některé výchozí nastavení následujícím způsobem:
- 4.2.3.1 Protocol : vyberte "any"
- 4.2.4 po změně tohoto údaje musí strana vypadat jako na následujícím obrázku:
- 4.2.5 klikněte na "Save" v dolní části stránky
- 4.3 Provedení změny v pravidlech firewallu
- 4.3.1 Po dokončení předchozího kroku se dostanete na stránku se seznamem pravidel brány firewall, v pravém horním rohu klikněte na "Apply changes"
- 4.3.2 konfigurace firewallu v pfSense byla dokončena.
- 5 - Konfigurace "pfsense2"
- 5.1 Připojte se k webovému administrátorskému rozhraní "pfSense", jak je uvedeno v kroku 1
- 6 - Přiřazení IP adresy druhému síťovému adaptéru "pfsense2" (v tomto příkladu budeme používat tuto privátní IP adresu 10.0.2.1)
- 6.1 v menu nahoře zvolte "Interfaces" a pak "LAN"
- 6.2 na této stránce jednoduše upravte pole IP adress v části "Static IP configuration" a zadejte tuto hodnotu "10.0.2.1", pak v menu na pravé straně vyberte "/ 24" a pak klikněte na "Save" ve spodní části stránky
- 7 - Konfigurace pfSense jako klienta OpenVPN
- 7.1 ve webovém administračním rozhraní pfSense zvolte v menu nahoře "VPN" a pak "OpenVPN"
- 7.2 zvolte záložku "Client", poté klikněte na symbol " + " v pravém dolním rohu, jak je znázorněno na obrázku níže:
- 7.2.1 Server Mode: zvolte "Peer to Peer ( Shared Key )"
- 7.2.2 Server host or address: zadejte veřejnou IP adresu "psfense1"
- 7.2.3 Shared Key: zrušte zaškrtnutí "Automatically generate a shared key", pak do textového pole vložte Shared Key "pfsense1", který jsme si uložili během procesu konfigurace "pfsense1" ( krok 3.8 a 3.9)
- 7.2.4 Tunnel Networl: zadejte "10.0.8.0/24"
- 7.2.5 Remote Network: zadejte "10.0.1.0/24"
- 7.3 zbylé hodnoty mohou být ponechány nevyplněné nebo s výchozím nastavením
- 7.4 po změně těchto údajů musí strana vypadat jako na následujícím obrázku ( s výjimkou pole "Server host or address"):
- 7.5 klikněte na "Save" v dolní části stránky
- 8 - Konfigurace firewalu
- 8.1 zopakujte všechny kroky z předchozího kroku 4 ( 4.1 , 4.2, 4.3 ) , tentokrát na Cloud Serveru "pfsense2"
- 9 - Konfigurace firewallu
- 9.1 Ověřte spojení mezi "pfsense1" a "pfsense2"
- 9.2 ve webovém administračním rozhraní pfSense vyberte v menu nahoře "Status", pak "OpenVPN"
- 9.3 v "pfsense1" ( OpenVPN server) musí být "Status" na "up", a stránka musí vypadat takto:
- 9.4 v "pfsense2" ( OpenVPN client) musí být "Status" na "up", a stránka musí vypadat takto:
- 9.5 Pokud bylo spojení navázáno, je možné začít konfiguraci serverů "server1" a "server2" ve virtuální síti, pokud tomu tak není, je třeba zkontrolovat všechny předchozí kroky počínaje od kroku 2.