Installez Veeam PN sur Ubuntu dans IBM Cloud VPC et connectez-vous avec SSL VPN

Aperçu

Vérifiez la machine réelle avec une telle image.

Confirmation de version

Installez dans cet environnement Ubuntu.

python

# cat /etc/os-release
NAME="Ubuntu"
VERSION="18.04.1 LTS (Bionic Beaver)"
ID=ubuntu
ID_LIKE=debian
PRETTY_NAME="Ubuntu 18.04.1 LTS"
VERSION_ID="18.04"
HOME_URL="https://www.ubuntu.com/"
SUPPORT_URL="https://help.ubuntu.com/"
BUG_REPORT_URL="https://bugs.launchpad.net/ubuntu/"
PRIVACY_POLICY_URL="https://www.ubuntu.com/legal/terms-and-policies/privacy-policy"
VERSION_CODENAME=bionic
UBUNTU_CODENAME=bionic

Installation

Suivez le guide ici pour installer.

• Install Veeam PN on Ubuntu - Veeam PN User Guide

• Il semble qu'il ne soit plus nécessaire d'ajouter un référentiel WireGuard.

python

# curl -k http://repository.veeam.com/keys/veeam.gpg | apt-key add -
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
  0     0    0     0    0     0      0      0 --:--:-- --:--:-- --:--:--     0
100  5469  100  5469    0     0  17641      0 --:--:-- --:--:-- --:--:-- 17641
OK

python

# echo "deb [arch=amd64] http://repository.veeam.com/pn/public pn stable" > /etc/apt/sources.list.d/veeampn.list
# apt-get update
Hit:1 http://mirrors.adn.networklayer.com/ubuntu bionic InRelease
Hit:2 http://mirrors.adn.networklayer.com/ubuntu bionic-updates InRelease             
Hit:3 http://mirrors.adn.networklayer.com/ubuntu bionic-backports InRelease            
Get:4 http://repository.veeam.com/pn/public pn InRelease [7,581 B]                                           
Hit:5 http://mirrors.adn.networklayer.com/ubuntu bionic-security InRelease        
Get:6 http://repository.veeam.com/pn/public pn/stable amd64 Packages [3,609 B]
Fetched 11.2 kB in 1s (8,616 B/s)     
Reading package lists... Done

python

apt-get -y install veeam-vpn-ui veeam-vpn-svc

Si vous répondez «Oui» sur l'écran ci-dessous, l'installation est terminée.

Connexion / Paramètres initiaux

Accédez au portail Veeam PN pour vous connecter et effectuer les réglages initiaux.

Username: root Mot de passe: "Le même mot de passe que l'utilisateur root Linux est le paramètre par défaut"

Définissez un mot de passe pour le portail Veeam PN.

La première chose que vous devez créer est un hub réseau. (Placez une passerelle de site sur le site que vous souhaitez ajouter comme destination de connexion VPN après cela.)

• Deploying Network Hub - Veeam PN User Guide The first step of the VPN infrastructure configuration is to deploy the network hub. The network hub is the core component in the VPN infrastructure that provides VPN connections and services to remote sites and users. All traffic in the VPN is routed through the network hub.

Définissez le nom de l'organisation requis pour créer un certificat auto-signé.

La création du certificat auto-signé est terminée.

Définissez l'adresse IP ou le nom DNS à publier en tant que point de terminaison de connexion VPN. (Cette fois, définissez l'adresse IP flottante liée à Ubuntu.)

Si cet écran de portail s'affiche à la fin, le paramétrage est terminé.

• Si WireGuard ne démarre pas et que le site à site est arrêté, essayez de réactiver le site à site après un certain temps.

Paramètres du serveur VPN point à site

Vérifiez le cas d'utilisation de VPN point à site sur la machine réelle. Définissez «Ordinateur autonome» à partir de la création «Client».

Définissez le nom de "Client".

Vérifiez le contenu et terminez le réglage.

Ensuite, une fenêtre contextuelle pour télécharger le fichier de configuration OpenVPN pour le client s'affiche.Téléchargez-la et enregistrez-la sur le PC client.

Enfin, ajoutez les paramètres suivants pour ajouter le routage dans le site distant.

echo ' ' >> /etc/veeampn/EndpointOVPN.cfg
echo 'push "route 192.168.250.0 255.255.255.0"' >> /etc/veeampn/EndpointOVPN.cfg

Ensuite, redémarrez le service Point-à-Site avec OFF-> ON pour que les modifications dans le fichier de configuration du serveur prennent effet.

Paramètres du client VPN point à site

Installez le client OpenVPN sur le client VPN.

• How To Install | OpenVPN.JP

Pour macOS, utilisez Tunnelblick | Logiciel serveur client VPN OpenVPN open source gratuit pour macOS.

Enregistrez le fichier khayama-test.ovpn téléchargé précédemment comme destination de connexion.

Lorsque la connexion est terminée, l'écran ci-dessous s'affiche.

• Si vous ne parvenez pas à vous connecter, vérifiez si la communication est autorisée conformément aux règles du groupe de sécurité VPC.

enfin

La connexion SSL-VPN dans Classic Infra d'IBM Cloud n'est actuellement pas disponible sur les VPC, donc si vous avez besoin d'un VPN, Veeam PN a fière allure. De plus, comme les VPN sont souvent configurés dans une configuration unique sur les sites de destination de reprise après sinistre, il semble possible de connecter facilement des sites avec une telle solution.

Référence: Valeur par défaut de / etc / veeampn / EndpointOVPN.cfg

Redémarrez le service point à site pour que les modifications du fichier de configuration du serveur prennent effet.

• Pour changer la bande d'adresse que vous souhaitez attribuer au client, changez server 10.210.0.0 255.255.0.0 --Ajouter push" route 192.168.250.0 255.255.255.0 " `pour ajouter une route vers le site distant au client

/etc/veeampn/EndpointOVPN.cfg

mode server

port 6179
proto udp
server 10.210.0.0 255.255.0.0

dev tun.veeampn

persist-key
persist-tun

topology subnet

auth SHA256
auth-nocache
cipher AES-256-CBC

tls-server
tls-version-min 1.2
tls-cipher TLS-ECDHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-256-GCM-SHA384

remote-cert-tls client

fast-io
mssfix 1380
txqueuelen 1000

sndbuf 1048576
rcvbuf 1048576

keepalive 10 20


management mgmtEndpointOVPN unix
auth-user-pass-optional
management-client-auth
management-hold

<ca>
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----

</ca>

<cert>
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 1 (0x1)
        Signature Algorithm: sha256WithRSAEncryption
        Issuer: C=US, ST=CA, L=SanFrancisco, O=org, OU=Acme, CN=org CA/name=khayama.org/[email protected]
        Validity
            Not Before: Oct 23 08:39:05 2020 GMT
            Not After : Oct 21 08:39:05 2030 GMT
        Subject: C=US, ST=CA, L=SanFrancisco, O=org, OU=Acme, CN=EndpointOVPN/name=khayama.org/[email protected]
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                RSA Public-Key: (2048 bit)
                Modulus:
                    00:
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Basic Constraints: 
                CA:FALSE
            Netscape Cert Type: 
                SSL Server
            Netscape Comment: 
                Easy-RSA Generated Server Certificate
            X509v3 Subject Key Identifier: 
                C9:
            X509v3 Authority Key Identifier: 
                keyid:
                DirName:/C=US/ST=CA/L=SanFrancisco/O=org/OU=Acme/CN=org CA/name=khayama.org/[email protected]
                serial:

            X509v3 Extended Key Usage: 
                TLS Web Server Authentication
            X509v3 Key Usage: 
                Digital Signature, Key Encipherment
            X509v3 Subject Alternative Name: 
                DNS:EndpointOVPN
    Signature Algorithm: sha256WithRSAEncryption
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----

-----END PRIVATE KEY-----
</key>
<dh>
-----BEGIN DH PARAMETERS-----
-----END DH PARAMETERS-----
</dh>