Os edge gateways do NSX Data Center for vSphere em um ambiente do VMware Cloud Director oferecem suporte à Segurança de Protocolo IP (IPsec) site a site para proteger os túneis VPN entre as redes de centros de dados virtuais da organização ou entre uma rede de centros de dados virtuais da organização e um endereço IP externo. É possível configurar o serviço VPN IPsec num edge gateway.
A configuração de uma conexão VPN IPsec a partir de uma rede remota para o seu datacenter virtual da organização é o cenário mais comum. O software NSX fornece recursos de VPN IPsec de edge gateway, incluindo suporte para autenticação de certificado, modo de chave pré-compartilhada e tráfego unicast de IP entre si e roteadores VPN remotos. Você também pode configurar várias sub-redes para se conectar por meio de túneis IPsec à rede interna atrás de um edge gateway. Quando você configura várias sub-redes para se conectar por meio de túneis IPsec à rede interna, essas sub-redes e a rede interna atrás do edge gateway não devem ter intervalos de endereços que se sobrepõem.
Os seguintes algoritmos de VPN IPsec são compatíveis:
- AES (AES128-CBC)
- AES256 (AES256-CBC)
- DES triplo (3DES192-CBC)
- AES-GCM (AES128-GCM)
- DH-2 (Grupo Diffie-Hellman 2)
- DH-5 (Grupo Diffie-Hellman 5)
- DH-14 (Grupo Diffie-Hellman 14)
Conforme descrito no tópico Visão geral de VPN IPSec no Guia de administração do NSX, o número máximo de túneis suportados em um edge gateway é determinado pelo tamanho configurado: compacto, grande, muito grande e quádruplo.
Para exibir o tamanho da configuração do seu edge gateway, navegue até o edge gateway e clique em seu nome.
A configuração do VPN IPsec num edge gateway é um processo de várias etapas.
- ID do protocolo IP 50 (ESP)
- ID do protocolo IP 51 (AH)
- Porta UDP 500 (IKE)
- Porta UDP 4500
Navegar até a tela VPN IPsec
Na tela VPN IPsec, você pode começar a configurar o serviço VPN IPsec para um edge gateway do NSX Data Center for vSphere.
Procedimento
- Abra Serviços de Edge Gateway.
- Na barra de navegação superior, clique em Rede e, depois, em Edge Gateways.
- Selecione o edge gateway que você deseja editar e clique em Serviços.
- Navegue até .
O que Fazer Depois
Use a tela Sites VPN IPsec para configurar uma conexão VPN IPsec. Pelo menos uma conexão deve ser configurada para que você possa habilitar o serviço VPN IPsec no edge gateway. Consulte Configurar as conexões de sites VPN IPsec para o edge gateway do NSX Data Center for vSphere.
Configurar as conexões de sites VPN IPsec para o edge gateway do NSX Data Center for vSphere
Use a tela Sites VPN IPsec no portal do tenant do VMware Cloud Director para definir as configurações necessárias para criar uma conexão VPN IPsec entre o data center virtual da organização e outro site usando os recursos de VPN IPsec do edge gateway.
Ao configurar uma conexão VPN IPsec entre sites, você configura a conexão do ponto de vista do seu local atual. A configuração da conexão requer que você entenda os conceitos no contexto do ambiente VMware Cloud Director para configurar a conexão VPN corretamente.
- As sub-redes locais e de peer especificam as redes às quais a VPN se conecta. Ao especificar essas sub-redes nas configurações dos sites VPN IPsec, insira um intervalo de rede, e não um endereço IP específico. Use o formato CIDR, como 192.168.99.0/24.
- O ID de peer é um identificador que identifica exclusivamente o dispositivo remoto que encerra a conexão VPN, normalmente seu endereço IP público. Para os peers que usam a autenticação de certificado, esse ID deve ser o nome diferenciado definido no certificado do peer. Para peers PSK, esse ID pode ser qualquer cadeia de caracteres. Uma prática recomendada do NSX é usar o endereço IP público do dispositivo remoto ou o FQDN como o ID do peer. Se o endereço IP do peer for de outra rede de data center virtual de organização, insira o endereço IP nativo do peer. Se a NAT estiver configurada para o peer, insira o endereço IP privado do peer.
- O endpoint do peer especifica o endereço IP público do dispositivo remoto ao qual você está se conectando. O endpoint do peer pode ser um endereço diferente do ID do par quando o gateway do par não está diretamente acessível na Internet, mas se conectar por meio de outro dispositivo. Se a NAT estiver configurada para o peer, insira o endereço IP público que os dispositivos usam para a NAT.
- O ID local especifica o endereço IP público do edge gateway do data center virtual da organização. Você pode inserir um endereço IP ou um nome de host junto com o firewall do edge gateway.
- O endpoint local especifica a rede no data center virtual da organização no qual o edge gateway faz transmissões. Normalmente, a rede externa do edge gateway é o endpoint local.
Pré-requisitos
- Navegar até a tela VPN IPsec.
- Configurar VPN IPsec.
- Se você pretende usar um certificado global como o método de autenticação, verifique se a autenticação de certificado está habilitada na tela Configuração Global. Consulte Especificar configurações de VPN IPsec globais.
Procedimento
- Abra Serviços de Edge Gateway.
- Na barra de navegação superior, clique em Rede e, depois, em Edge Gateways.
- Selecione o edge gateway que você deseja editar e clique em Serviços.
- Na guia VPN IPsec, clique em Sites VPN IPsec.
- Clique no botão Adicionar ().
- Defina as configurações de conexões de VPN IPsec.
Opção Ação Ativado Habilite essa conexão entre os dois endpoints de VPN. Ativar Perfect Forward Secrecy (PFS) Habilite essa opção para que o sistema gere chaves públicas exclusivas para todas as sessões de VPN IPsec que os seus usuários iniciarem. Habilitar o PFS garante que o sistema não crie um link entre a chave privada do edge gateway e cada chave de sessão.
O comprometimento de uma chave de sessão não afetará os dados que não sejam os dados trocados na sessão específica protegida por essa chave específica. Não é possível usar o comprometimento da chave privada do servidor para descriptografar sessões arquivadas ou sessões futuras.
Quando o PFS está habilitado, as conexões de VPN IPsec com esse edge gateway apresentam uma pequena sobrecarga de processamento.
Importante: As chaves de sessão exclusivas não devem ser usadas para derivar qualquer chave adicional. Além disso, ambos os lados do túnel VPN IPsec devem oferecer suporte ao PFS para que ele funcione.Nome (Opcional) Insira um nome para a conexão. ID Local Insira o endereço IP externo da instância do edge gateway, que é o endereço IP público desse edge gateway. O endereço IP é aquele usado para o ID do peer na configuração de VPN IPsec no site remoto.
Endpoint Local Insira a rede que é o endpoint local dessa conexão. O endpoint local especifica a rede no data center virtual da organização no qual o edge gateway faz transmissões. Normalmente, a rede externa é o endpoint local.
Se você adicionar um túnel de IP para IP usando uma chave pré-compartilhada, o ID local e o IP do endpoint local poderão ser os mesmos.
Sub-Redes Locais Insira as redes a serem compartilhadas entre os sites e use uma vírgula como separador para inserir várias sub-redes. Insira um intervalo de rede (e não um endereço IP específico) inserindo o endereço IP no formato CIDR. Por exemplo, 192.168.99.0/24.
ID de Peer Insira uma ID de peer para identificar exclusivamente o site do peer. O ID de peer é um identificador que assinala exclusivamente o dispositivo remoto que encerra a conexão VPN, normalmente seu endereço IP público.
Para os peers que usam autenticação de certificado, o ID deve ser o nome diferenciado no certificado do peer. Para peers PSK, esse ID pode ser qualquer cadeia de caracteres. Uma prática recomendada do NSX é usar o endereço IP público ou o FQDN do dispositivo remoto como o ID do peer.
Se o endereço IP do peer for de outra rede de data center virtual de organização, insira o endereço IP nativo do peer. Se a NAT estiver configurada para o peer, insira o endereço IP privado do peer.
Endpoint de Peer Insira o endereço IP ou o FQDN do site do peer, que é o endereço público do dispositivo remoto ao qual você está se conectando. Observação: Quando a NAT estiver configurada para o peer, insira o endereço IP público que o dispositivo usa para a NAT.Sub-Redes de Peer Insira a rede remota à qual a VPN se conecta e use uma vírgula como separador para inserir várias sub-redes. Insira um intervalo de rede (e não um endereço IP específico) inserindo o endereço IP no formato CIDR. Por exemplo, 192.168.99.0/24.
Algoritmo de Criptografia Selecione o tipo de algoritmo de criptografia no menu suspenso. Observação: O tipo de criptografia selecionado deve corresponder ao tipo de criptografia configurado no dispositivo de VPN do site remoto.Autenticação Selecione uma autenticação. As opções são: - PSK
A chave pré-compartilhada (PSK) especifica que a chave secreta compartilhada entre o edge gateway e o site do peer deve ser usada para autenticação.
- Certificado
A autenticação de certificado especifica que o certificado definido no nível global deve ser usado para autenticação. Essa opção só estará disponível se você tiver configurado o certificado global na tela Configuração Global da guia VPN IPsec.
Alterar Chave Compartilhada (Opcional) Ao atualizar as configurações de uma conexão existente, você pode ativar essa opção para tornar o campo Chave Pré-compartilhada disponível e, assim, poder atualizar a chave compartilhada. Chave Pré-Compartilhada Se você selecionou PSK como tipo de autenticação, digite uma cadeia de caracteres de segredo alfanumérica, que pode ter um comprimento máximo de 128 bytes. Observação: A chave compartilhada deve corresponder à chave configurada no dispositivo de VPN do site remoto. Uma prática recomendada é configurar uma chave compartilhada quando sites anônimos forem ser conectados ao serviço de VPN.Exibir Chave Compartilhada (Opcional) Habilite essa opção para tornar a chave compartilhada visível na tela. Grupo Diffie-Hellman Selecione o esquema de criptografia que permite que o site do peer e esse edge gateway estabeleçam um segredo compartilhado em um canal de comunicação inseguro. Observação: O Grupo Diffie-Hellman deve corresponder ao que está configurado no dispositivo de VPN do site remoto.Extensão (Opcional) Digite uma das seguintes opções: securelocaltrafficbyip=
IPAddress para redirecionar o tráfego local do edge gateway pelo túnel de VPN IPsec.Esse é o valor padrão.
passthroughSubnets=
PeerSubnetIPAddress para oferecer suporte a sub-redes sobrepostas.
- PSK
- Clique em Manter.
- Clique em Salvar alterações.
O que Fazer Depois
Configure a conexão para o site remoto. Você deve configurar a conexão de VPN IPsec em ambos os lados da conexão: no data center virtual da organização e no site do peer.
Habilite o serviço de VPN IPsec nesse edge gateway. É possível habilitar o serviço quando pelo menos uma conexão de VPN IPsec está configurada. Consulte Habilitar o serviço de VPN IPsec em um edge gateway do NSX Data Center for vSphere.
Habilitar o serviço de VPN IPsec em um edge gateway do NSX Data Center for vSphere
Quando pelo menos uma conexão de VPN IPsec está configurada, você pode habilitar o serviço de VPN IPsec no edge gateway.
Pré-requisitos
- Navegar até a tela VPN IPsec.
- Verifique se pelo menos uma conexão de VPN IPsec está configurada para esse edge gateway. Consulte as etapas descritas em Configurar as conexões de sites VPN IPsec para o edge gateway do NSX Data Center for vSphere.
Procedimento
- Na guia VPN IPsec, clique em Status de Ativação.
- Clique em Status do Serviço de VPN IPsec para habilitar o serviço de VPN IPsec.
- Clique em Salvar alterações.
Resultados
O serviço de VPN IPsec do edge gateway está ativo.
Especificar configurações de VPN IPsec globais
Use a tela Configuração Global para definir as configurações de autenticação de VPN IPsec em um nível de edge gateway. Nessa tela, você pode definir uma chave pré-compartilhada global e habilitar a autenticação de certificação.
Uma chave pré-compartilhada global é usada para esses sites cujo endpoint do peer está definido como qualquer.
Pré-requisitos
- Se pretende habilitar a autenticação de certificado, verifique se tem pelo menos um certificado de serviço e os certificados assinados pela autoridade de certificação correspondentes na tela Certificados. Certificados autoassinados não podem ser usados para VPNs IPsec. Consulte Adicionar um certificado de serviço ao edge gateway.
- Navegar até a tela VPN IPsec.
Procedimento
- Abra Serviços de Edge Gateway.
- Na barra de navegação superior, clique em Rede e, depois, em Edge Gateways.
- Selecione o edge gateway que você deseja editar e clique em Serviços.
- Na guia VPN IPsec, clique em Configuração Global.
- (Opcional) Defina uma chave pré-compartilhada global:
- Habilite a opção Alterar Chave Compartilhada.
- Insira uma chave pré-compartilhada.
A chave pré-compartilhada global (PSK) é compartilhada por todos os sites cujo endpoint de peer está definido como any. Se uma PSK global já estiver definida, altere a PSK para um valor vazio e salvá-la não terá efeito sobre a configuração existente.
- (Opcional) Opcionalmente, habilite Exibir Chave Compartilhada para tornar a chave pré-compartilhada visível.
- Clique em Salvar alterações.
- Configure a autenticação de certificação:
- Ative Ativar Autenticação de Certificado.
- Selecione os certificados de serviço, certificados de CA e CRLs apropriados.
- Clique em Salvar alterações.
O que Fazer Depois
Opcionalmente, você pode habilitar o registro em log para o serviço VPN IPsec do edge gateway. Consulte Estatísticas e logs para um Edge Gateway do NSX Data Center for vSphere.