В начале этого года корпорация Veeam официально заявила о выпуске продукта Veeam PN (Powered Network) Version 1. Это облегченный вариант программно настраиваемой сети SDN, пользоваться которым можно бесплатно. И хотя данный продукт был задуман как часть более масштабного решения, предназначенного для расширения возможностей сетевых подключений Microsoft Azure, Veeam PN можно развертывать и в качестве автономного инструмента. В отдельных случаях Veeam PN может сыграть важную роль в качестве такого средства.

Уже в ходе тестирования рассматриваемого продукта на ранних стадиях его разработки стало ясно, что существует возможность обеспечения доступа с помощью домашних устройств, без необходимости развертывания и настройки относительно сложных VPN-сетей либо решений для дистанционного доступа.

На рынке представлено множество продуктов, выполняющих те же задачи, что и Veeam PN. Но решение VPN, разработанное компанией Veeam, имеет важное отличие: оно спроектировано специально для выполнения определенной задачи и отличается простотой использования, а кроме того, для его установки потребуется всего лишь несколько щелчков мышью. В основе базовой технологии Veeam PN лежит продукт OpenVPN, что само по себе гарантирует доверие со стороны пользователей. Еще одно значительное преимущество использования OpenVPN состоит в том, что любой клиент Windows, macOS или Linux сможет взаимодействовать с файлами настройки, созданными для установления соединений «точка-сайт».

Обзор средств дистанционного подключения

Мобильные пользователи должны иметь возможность простого доступа к системам, расположенным в домашней лаборатории или в офисе. Я, например, бываю в разъездах довольно часто, и мне нужен доступ, при котором я не был бы вынужден полагаться на публикацию службы на своем маршрутизаторе начального уровня Belkin. Кроме того, у меня нет статического IP-адреса, что всегда оказывается проблемой для удаленных служб, когда находишься в дороге. Дома я работаю на настольной системе, своей главной рабочей станции Windows. На ней также установлена система VMware Workstation. Кроме того, я располагаю сервером SuperMicro 5028D-TNT4, на котором установлен гипервизор ESXi и работает налаженная лаборатория ESXi. Мне нужен и доступ к упомянутой рабочей станции Windows хотя бы с помощью RDP, и доступ к управлению vCenter, SuperMicro IPMI и другим системам, функционирующим в подсети 192.168.1.0/24.

Как явствует из схемы на рисунке, мне также хотелось бы иметь прямой доступ к вложенной среде ESXi, в частности в сетях 172.17.0.1/24 и 172.17.1.1/24. С помощью клиента Tunnelblick OpenVPN Client, установленного на моем ноутбуке Macbook Pro, я могу устанавливать соединение «точка-сайт» с Veeam PN Hub, а этот хаб в свою очередь по каналу site-to-site соединен с каждой из подсетей, к которым я намерен подключаться.

 

Схема подключения к домашней сети
Рисунок. Схема подключения к домашней сети

Развертывание и настройка Veeam PN

Прежде всего необходимо загрузить руководство по Veeam PN с сайта Veeam.com. В этой базе знаний Veeam содержится информация о том, где можно получить файл загрузки, а также как развертывать и настраивать продукт для первого использования. Если у вас нет подсети, оснащенной средствами для работы с протоколом DHCP, в которой вы могли бы развернуть данное устройство, можете настраивать сеть со статическим IP; для этого нужно открыть консоль виртуальной машины, войти в систему с учетными данными, используемыми по умолчанию, и модифицировать файл the/etc/networking/interface.

Необходимые компоненты:

  • Veeam PN Hub Appliance x 1;
  • Veeam PN Site Gateway x число сайтов/подсетей;
  • OpenVPN Client.

Файл для загрузки имеет объем 1,5 Гбайт. При развертывании виртуальная машина имеет базовую спецификацию из одного виртуального процессора, 1 Гбайт виртуальной оперативной памяти и 16 Гбайт для хранилища; если настроить потребление, то на начальном этапе оно может составлять чуть более 5 Гбайт.

Требования к сети:

  • Veeam PN Hub Appliance — входящие порты TCP/UDP 1194, 6179 и TCP 443;
  • Veeam PN Site Gateway — исходящий доступ по меньшей мере к TCP/UDP 1194;
  • OpenVPN Client — исходящий доступ по меньшей мере к TCP/UDP 6179.

Отмечу, что в рамках первоначальной настройки вы можете указать протокол и порты «сайт-сайт» и «точка-сайт». Это удобно, если развертывание выполняется в защищенной среде и вы хотите, чтобы устройство Veeam PN осуществляло прослушивание на различных номерах портов, как показано на экране 1.

 

Настройка портов
Экран 1. Настройка портов

В моей системе Veeam PN Hub Appliance развернут в среде Azure главным образом потому, что именно в ней я смог произвести первоначальное тестирование продукта. Теоретически она представляет собой централизованный и обладающий высокой доступностью узел, который может служить конечной точкой всех соединений «сайт-сайт». Этот центральный хаб можно размещать где угодно, и, если соединение HTTPS создано корректно, вы сможете обратиться к веб-интерфейсу и приступить к настройке своего сайта, а также автономных клиентов.

Настройка клиентов сайта («сайт-сайт»)

Для завершения настройки шлюза Veeam PN Site Gateway вам понадобится зарегистрировать сайты с Veeam PN Hub Appliance (экран 2). В процессе регистрации клиента Veeam PN генерирует файл настройки, содержащий параметры соединений VPN для этого клиента. Для установки шлюзов Site Gateways следует использовать файл настройки (загружаемый в формате XML). Когда я готовил пояснения для рисунка, мне пришлось зарегистрировать три отдельных варианта клиентских настроек, как показано на экране 3.

 

Настройка шлюза
Экран 2. Настройка шлюза

 

Созданные тестовые варианты настроек
Экран 3. Созданные тестовые варианты настроек

Завершив регистрацию, я развернул на основе инфраструктуры своего домашнего офиса три шлюза Veeam PN Site Gateways, как показано на схеме — по одному для каждого сайта или подсети, которую я хотел расширить, включив в нее центральный хаб. Один шлюз я развернул на экземпляре системы Windows VMware Workstation в подсети 192.168.1.0/24 и, как показано на экране 4, развернул два шлюза Site Gateways в своей вложенной лаборатории ESXi в подсетях 172.17.0.0/24 и 172.17.0.1/24 соответственно.

 

Интерфейс управления Veeam PN Site Gateways
Экран 4. Интерфейс управления Veeam PN Site Gateways 

Оттуда в каждый соответствующий шлюз Site Gateway я импортировал файл настройки сайта, сгенерированный из центрального Hub Appliance, и после всего лишь трех щелчков мышью в каждом случае все три сети были подключены с помощью соединения «сайт-сайт» к центральному хабу.

Настройка удаленных клиентов («точка-сайт»)

Последний этап в предлагаемой мною схеме подключения мобильного пользователя к домашнему офису и домашней лаборатории сводится к регистрации автономного клиента из центрального узла Hub Appliance. И снова, поскольку Veeam PN строится на основе технологии OpenVPN, в данном случае мы получаем файл настройки OVPN, содержащий все детали, необходимые для создания соединения «точка-сайт». Отмечу, кстати, что при этом ввод имени пользователя, а также пароля не предусматривается, ибо в Veeam PN для проверки подлинности используется механизм аутентификации SSL (экран 5).

 

Регистрация удаленного клиента
Экран 5. Регистрация удаленного клиента

Сейчас на своем ноутбуке MacBook Pro я использую клиент Tunnelblick OpenVPN Client. Я пришел к выводу, что это отличный клиент, и совершенно ясно, что, поскольку речь идет об OpenVPN, в моем распоряжении имеется множество других клиентов практически для любой платформы, с которой можно работать. После того как клиент импортировал файл настройки OVPN, я смог подтвердить свои права доступа к конечной точке Hub Appliance, ибо маршрутизация «сайт-сайт» была включена в сетевые настройки.

Как показано на экране 6, были добавлены статические маршруты 192.168.1.0, 172.17.0.0 и 172.17.0.1. Они были настроены на использование применяемого по умолчанию шлюза туннельных интерфейсов, расположенного на центральном узле Hub Appliance. Это означает, что теперь с помощью своего ноутбука MacBook Pro я могу обратиться к любому устройству, подключенному к любой из трех упомянутых подсетей, в какой бы точке мира я ни находился. В данном случае я могу по протоколу RDP подключиться к своей рабочей станции Windows и соединиться через vCenter или SSH с хостами ESXi.

 

Интерфейс настройки на клиентской системе
Экран 6. Интерфейс настройки на клиентской системе

Итак, для установки и расширения сети домашнего офиса с использованием Veeam PN, точнее, реализованных в этом продукте средств подключения к сети с целью получения доступа к системам и службам через VPN «точка-сайт», мною были предприняты следующие действия:

  • развертывание и настройка Veeam PN Hub Appliance;
  • регистрация сайтов;
  • регистрация конечных точек;
  • развертывание и настройка шлюза Veeam PN Site Gateway;
  • установка конечной точки и подключение к Hub Appliance.

Для выполнения этих действий, включая развертывание файла загрузки, может потребоваться менее 15 минут. Среди других процессов, которые порой занимают часы, а также предполагают использование более сложного набора команд и этапов настройки, рассматриваемый процесс выделяется организованностью и эффективностью. Именно благодаря своей простоте данное решение оказывается весьма полезным для пользователей домашних лабораторий, желающих иметь простой и быстрый доступ к своим системам. Да что там говорить, оно просто работает!

К тому же решение Veeam PN предоставляется бесплатно и его можно загрузить в удобном для вас формате. Я использую его на протяжении нескольких месяцев. Продукт не вызывает никаких нареканий и придает дополнительную гибкость решению Veeam PN.