Installieren Sie Veeam PN unter Ubuntu in IBM Cloud VPC und stellen Sie eine Verbindung mit SSL VPN her

Überblick

Überprüfen Sie die tatsächliche Maschine mit einem solchen Bild.

Versionsbestätigung

Installieren Sie in dieser Ubuntu-Umgebung.

python

# cat /etc/os-release
NAME="Ubuntu"
VERSION="18.04.1 LTS (Bionic Beaver)"
ID=ubuntu
ID_LIKE=debian
PRETTY_NAME="Ubuntu 18.04.1 LTS"
VERSION_ID="18.04"
HOME_URL="https://www.ubuntu.com/"
SUPPORT_URL="https://help.ubuntu.com/"
BUG_REPORT_URL="https://bugs.launchpad.net/ubuntu/"
PRIVACY_POLICY_URL="https://www.ubuntu.com/legal/terms-and-policies/privacy-policy"
VERSION_CODENAME=bionic
UBUNTU_CODENAME=bionic

Installation

Folgen Sie der Anleitung hier, um zu installieren.

• Install Veeam PN on Ubuntu - Veeam PN User Guide

• Es scheint nicht mehr erforderlich zu sein, ein WireGuard-Repository hinzuzufügen.

python

# curl -k http://repository.veeam.com/keys/veeam.gpg | apt-key add -
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
  0     0    0     0    0     0      0      0 --:--:-- --:--:-- --:--:--     0
100  5469  100  5469    0     0  17641      0 --:--:-- --:--:-- --:--:-- 17641
OK

python

# echo "deb [arch=amd64] http://repository.veeam.com/pn/public pn stable" > /etc/apt/sources.list.d/veeampn.list
# apt-get update
Hit:1 http://mirrors.adn.networklayer.com/ubuntu bionic InRelease
Hit:2 http://mirrors.adn.networklayer.com/ubuntu bionic-updates InRelease             
Hit:3 http://mirrors.adn.networklayer.com/ubuntu bionic-backports InRelease            
Get:4 http://repository.veeam.com/pn/public pn InRelease [7,581 B]                                           
Hit:5 http://mirrors.adn.networklayer.com/ubuntu bionic-security InRelease        
Get:6 http://repository.veeam.com/pn/public pn/stable amd64 Packages [3,609 B]
Fetched 11.2 kB in 1s (8,616 B/s)     
Reading package lists... Done

python

apt-get -y install veeam-vpn-ui veeam-vpn-svc

Wenn Sie auf dem Bildschirm unten mit "Ja" antworten, ist die Installation abgeschlossen.

Login / Grundeinstellungen

Greifen Sie auf das Veeam PN-Portal zu, um sich anzumelden und erste Einstellungen vorzunehmen.

Username: root Passwort: "Das gleiche Passwort wie der Linux-Root-Benutzer ist die Standardeinstellung."

Legen Sie ein beliebiges Passwort für das Veeam PN-Portal fest.

Das erste, was Sie erstellen müssen, ist ein Netzwerk-Hub. (Platzieren Sie anschließend ein Site-Gateway an der Site, die Sie als VPN-Verbindungsziel hinzufügen möchten.)

• Deploying Network Hub - Veeam PN User Guide The first step of the VPN infrastructure configuration is to deploy the network hub. The network hub is the core component in the VPN infrastructure that provides VPN connections and services to remote sites and users. All traffic in the VPN is routed through the network hub.

Legen Sie den Organisationsnamen fest, der zum Erstellen eines selbstsignierten Zertifikats erforderlich ist.

Die Erstellung des selbstsignierten Zertifikats ist abgeschlossen.

Legen Sie die IP-Adresse oder den DNS-Namen fest, die als VPN-Verbindungsendpunkt veröffentlicht werden sollen. (Setzen Sie diesmal die Floating-IP an Ubuntu.)

Wenn dieser Portalbildschirm am Ende angezeigt wird, ist die Einstellung abgeschlossen.

• Wenn WireGuard nicht gestartet werden kann und Site-to-Site gestoppt wird, aktivieren Sie Site-to-Site nach einer Weile erneut.

Point-to-Site-VPN-Servereinstellungen

Überprüfen Sie den Anwendungsfall von Point-to-Site-VPN auf dem tatsächlichen Computer. Stellen Sie "Standalone Computer" aus der "Client" -Erstellung ein.

Stellen Sie den Namen "Client" ein.

Überprüfen Sie den Inhalt und schließen Sie die Einstellung ab.

Anschließend wird ein Popup zum Herunterladen der OpenVPN-Einstellungsdatei für den Client angezeigt. Laden Sie diese herunter und speichern Sie sie auf dem Client-PC.

Fügen Sie abschließend die folgenden Einstellungen hinzu, um das Routing innerhalb des Remote-Standorts hinzuzufügen.

echo ' ' >> /etc/veeampn/EndpointOVPN.cfg
echo 'push "route 192.168.250.0 255.255.255.0"' >> /etc/veeampn/EndpointOVPN.cfg

Starten Sie dann den Point-to-Site-Dienst mit AUS-> EIN neu, damit die Änderungen in der Serverkonfigurationsdatei wirksam werden.

Point-to-Site-VPN-Client-Einstellungen

Installieren Sie den OpenVPN-Client auf dem VPN-Client.

• How To Install | OpenVPN.JP

Verwenden Sie für macOS Tunnelblick | Kostenlose Open Source OpenVPN VPN-Client-Server-Software für macOS.

Registrieren Sie die zuvor heruntergeladene khayama-test.ovpn als Verbindungsziel.

Wenn die Verbindung hergestellt ist, wird der folgende Bildschirm angezeigt.

• Wenn Sie keine Verbindung herstellen können, prüfen Sie, ob die Kommunikation gemäß den Regeln der VPC-Sicherheitsgruppe zulässig ist.

schließlich

Die SSL-VPN-Verbindung in der Classic Infra von IBM Cloud ist derzeit auf VPC nicht verfügbar. Wenn Sie also VPN benötigen, sieht Veeam PN großartig aus. Da VPNs an Disaster Recovery-Zielstandorten häufig in einer einzigen Konfiguration konfiguriert werden, scheint es außerdem möglich zu sein, Standorte mit einer solchen Lösung problemlos zu verbinden.

Referenz: Standardwert von / etc / veeampn / EndpointOVPN.cfg

Starten Sie den Point-to-Site-Dienst neu, damit die Änderungen in der Serverkonfigurationsdatei wirksam werden.

• Um das Adressband zu ändern, das Sie dem Client zuweisen möchten, ändern Sie "Server 10.210.0.0 255.255.0.0"
• Fügen Sie "push" route 192.168.250.0 255.255.255.0 "" hinzu, um dem Client eine Route zum Remote-Standort hinzuzufügen

/etc/veeampn/EndpointOVPN.cfg

mode server

port 6179
proto udp
server 10.210.0.0 255.255.0.0

dev tun.veeampn

persist-key
persist-tun

topology subnet

auth SHA256
auth-nocache
cipher AES-256-CBC

tls-server
tls-version-min 1.2
tls-cipher TLS-ECDHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-256-GCM-SHA384

remote-cert-tls client

fast-io
mssfix 1380
txqueuelen 1000

sndbuf 1048576
rcvbuf 1048576

keepalive 10 20


management mgmtEndpointOVPN unix
auth-user-pass-optional
management-client-auth
management-hold

<ca>
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----

</ca>

<cert>
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 1 (0x1)
        Signature Algorithm: sha256WithRSAEncryption
        Issuer: C=US, ST=CA, L=SanFrancisco, O=org, OU=Acme, CN=org CA/name=khayama.org/[email protected]
        Validity
            Not Before: Oct 23 08:39:05 2020 GMT
            Not After : Oct 21 08:39:05 2030 GMT
        Subject: C=US, ST=CA, L=SanFrancisco, O=org, OU=Acme, CN=EndpointOVPN/name=khayama.org/[email protected]
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                RSA Public-Key: (2048 bit)
                Modulus:
                    00:
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Basic Constraints: 
                CA:FALSE
            Netscape Cert Type: 
                SSL Server
            Netscape Comment: 
                Easy-RSA Generated Server Certificate
            X509v3 Subject Key Identifier: 
                C9:
            X509v3 Authority Key Identifier: 
                keyid:
                DirName:/C=US/ST=CA/L=SanFrancisco/O=org/OU=Acme/CN=org CA/name=khayama.org/[email protected]
                serial:

            X509v3 Extended Key Usage: 
                TLS Web Server Authentication
            X509v3 Key Usage: 
                Digital Signature, Key Encipherment
            X509v3 Subject Alternative Name: 
                DNS:EndpointOVPN
    Signature Algorithm: sha256WithRSAEncryption
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----

-----END PRIVATE KEY-----
</key>
<dh>
-----BEGIN DH PARAMETERS-----
-----END DH PARAMETERS-----
</dh>