Os serviços SSL VPN-Plus para um edge gateway do NSX Data Center for vSphere em um ambiente do VMware Cloud Director permitem que os usuários remotos se conectem com segurança às redes privadas e aos aplicativos nos centros de dados virtuais da organização com suporte por esse edge gateway. Você pode configurar vários serviços SSL VPN-Plus num edge gateway.
No seu ambiente VMware Cloud Director, o recurso SSL VPN-Plus de edge gateway oferece suporte ao modo de acesso à rede. Os usuários remotos devem instalar um cliente SSL para fazer conexões seguras e acessar as redes e aplicativos atrás do edge gateway. Como parte da configuração do SSL VPN-Plus do edge gateway, você adiciona os pacotes de instalação para o sistema operacional e configura determinados parâmetros. Consulte Adicionar um pacote de instalação do cliente de SSL VPN-Plus para obter mais detalhes.
A configuração do SSL VPN-Plus em um edge gateway é um processo de várias etapas.
Pré-requisitos
Verifique se todos os certificados SSL necessários para o SSL VPN-Plus foram adicionados à tela Certificados. Consulte Gerenciamento de certificado SSL em um edge gateway do NSX Data Center for vSphere.
Navegar até a tela SSL-VPN Plus
Você pode navegar até a tela SSL-VPN Plus para começar a configurar o serviço SSL-VPN Plus para um edge gateway do NSX Data Center for vSphere.
Procedimento
- Abra Serviços de Edge Gateway.
- Na barra de navegação superior, clique em Rede e, depois, em Edge Gateways.
- Selecione o edge gateway que você deseja editar e clique em Serviços.
- Clique na guia SSL VPN-Plus.
O que Fazer Depois
Na tela Geral, defina as configurações padrão de SSL VPN-Plus. Consulte Personalizar as configurações gerais de SSL VPN-Plus para um edge gateway do NSX Data Center for vSphere.
Definir configurações do servidor VPN SSL
Essas configurações do servidor definem o servidor VPN SSL, como o endereço IP e a porta na qual o serviço escuta, a lista de codificação do serviço e seu certificado de serviço. Ao se conectarem ao edge gateway do NSX Data Center for vSphere, os usuários remotos especificam o mesmo endereço IP e a porta definidos nessas configurações de servidor.
Se o seu edge gateway estiver configurado com várias redes de endereços IP sobrepostas em sua interface externa, o endereço IP selecionado para o servidor VPN SSL poderá ser diferente da interface externa padrão do edge gateway.
Ao definir as configurações do servidor VPN SSL, você deve escolher quais algoritmos de criptografia usar para o túnel VPN SSL. Você pode escolher uma ou mais criptografias. Escolha cuidadosamente as criptografias de acordo com os pontos fortes e fracos das suas seleções.
Por padrão, o sistema usa o certificado autoassinado padrão que ele gera para cada edge gateway como o certificado de identidade do servidor padrão para o túnel VPN SSL. Em vez disso, você pode optar por usar um certificado digital adicionado ao sistema na tela Certificados.
Pré-requisitos
- Verifique se você cumpriu com os pré-requisitos descritos em Configurar o SSL VPN-Plus.
- Se você optar por usar um certificado de serviço diferente do padrão, importe o certificado necessário para o sistema. Consulte Adicionar um certificado de serviço ao edge gateway.
- Navegar até a tela SSL-VPN Plus.
Procedimento
O que Fazer Depois
Adicione um pool de IPs para que os usuários remotos recebam endereços IP ao se conectarem usando o SSL VPN-Plus. Consulte Criar um pool de IPs para uso com SSL VPN-Plus em um edge gateway do NSX Data Center for vSphere.
Criar um pool de IPs para uso com SSL VPN-Plus em um edge gateway do NSX Data Center for vSphere
Os usuários remotos recebem endereços IP virtuais dos pools de IPs estáticos que você configura usando a tela Pools de IPs na guia SSL VPN-Plus.
Cada pool de IPs adicionado nessa tela resulta em uma sub-rede de endereços IP configurada no edge gateway. Os intervalos de endereços IP usados nesses pools de IPs devem ser diferentes de todas as outras redes configuradas no edge gateway.
Pré-requisitos
Procedimento
- Na guia SSL VPN-Plus, clique em Pools de IPS.
- Clique no botão Criar ().
- Defina as configurações do pool de IPs.
Opção Ação Intervalo de IPs Insira um intervalo de endereços IP para este pool de IPs, como 127.0.0.1-127.0.0.9.. Esses endereços IP serão atribuídos aos clientes VPN quando eles autenticarem e se conectarem ao túnel VPN SSL.
Máscara de Rede Insira a máscara de rede do pool de IPs, como 255.255.255.0. Gateway Insira o endereço IP que você deseja que o edge gateway crie e atribua como o endereço de gateway para este pool de IPs. Quando o pool de IPs é criado, um adaptador virtual é criado na máquina virtual do edge gateway, e esse endereço IP é configurado nessa interface virtual. Esse endereço IP pode ser qualquer IP dentro da sub-rede que também não esteja no intervalo do campo Intervalo de IPs.
Descrição (Opcional) Insira uma descrição para este pool de IPs. Status Selecione se deseja ativar ou desativar este pool de IPs. DNS Primário (Opcional) Insira o nome do servidor DNS primário que será usado para a resolução de nomes desses endereços IP virtuais. DNS Secundário (Opcional) Insira o nome do servidor DNS secundário a ser usado. Sufixo DNS (Opcional) Insira o sufixo DNS para o domínio no qual os sistemas cliente estão hospedados, para resolução de nome de host baseada em domínio. Servidor WINS (Opcional) Insira o endereço do servidor WINS conforme as necessidades da sua organização. - Clique em Manter.
Resultados
O que Fazer Depois
Adicione redes privadas que você deseja que sejam acessíveis aos usuários remotos que se conectam com o SSL VPN-Plus. Consulte Adicionar uma rede privada para uso com SSL VPN-Plus em um edge gateway do NSX Data Center for vSphere.
Adicionar uma rede privada para uso com SSL VPN-Plus em um edge gateway do NSX Data Center for vSphere
Use a tela Redes privadas na guia SSL VPN-Plus para configurar as redes privadas. As redes privadas são aquelas às quais você deseja que os clientes VPN tenham acesso quando os usuários remotos se conectam usando seus clientes VPN e o túnel VPN SSL. As redes privadas ativadas serão instaladas na tabela de roteamento do cliente VPN.
- O SSL VPN-Plus permite que usuários remotos acessem redes privadas com base na ordem de cima para baixo na qual os pools de IPs aparecem na tabela na tela. Depois de adicionar as redes privadas à tabela na tela, você pode ajustar suas posições na tabela usando as setas para cima e para baixo.
- Se você selecionar para ativar a otimização de TCP para uma rede privada, alguns aplicativos, como o FTP no modo ativo, poderão não funcionar nessa sub-rede. Para adicionar um servidor FTP configurado no modo ativo, você deve adicionar outra rede privada para esse servidor FTP e desativar a otimização de TCP para essa rede privada. Além disso, a rede privada desse servidor FTP deve ser ativada e exibida na tabela na tela acima da rede privada otimizada para TCP.
Pré-requisitos
Procedimento
- Na guia SSL VPN-Plus, clique em Redes Privadas.
- Clique no botão Adicionar ().
- Defina as configurações de rede privada.
Opção Ação Rede Digite o endereço IP da rede privada em um formato CIDR, como 192169.1.0/24. Descrição (Opcional) Digite uma descrição para a rede. Enviar Tráfego Especifique como deseja que o cliente VPN envie a rede privada e o tráfego de Internet. - Pelo Túnel
O cliente VPN envia a rede privada e o tráfego de Internet por meio do edge gateway ativado para SSL VPN-Plus.
- Ignorar Túnel
O cliente VPN ignora o edge gateway e envia o tráfego diretamente para o servidor privado.
Ativar Otimização de TCP (Opcional) Para otimizar a velocidade da Internet, ao selecionar Pelo Túnel para enviar o tráfego, você também deve selecionar Ativar Otimização de TCP Selecionar essa opção melhora o desempenho dos pacotes TCP no túnel VPN, mas não melhora o desempenho do tráfego UDP.
O túnel de VPNs SSL de acesso completo convencional envia dados de TCP/IP em uma segunda pilha TCP/IP para criptografia pela Internet. Esse método convencional encapsula os dados da camada de aplicativo em dois fluxos de TCP separados. Quando ocorre a perda de pacotes, o que pode acontecer mesmo em condições de Internet ideais, ocorre um efeito de degradação de desempenho chamado “TCP-over-TCP meltdown”. Nesse efeito, dois instrumentos TCP corrigem o mesmo pacote único de dados IP, o que reduz a taxa de transferência da rede e causa tempos limite de conexão. Selecionar Ativar Otimização de TCP elimina o risco de esse problema ocorrer.
Observação: Quando você ativa a otimização de TCP:- Você deve inserir os números de porta para otimizar o tráfego de Internet.
- O servidor VPN SSL abre a conexão TCP em nome do cliente VPN. Quando o servidor VPN SSL abre a conexão TCP, a primeira regra de firewall do edge gerada automaticamente é aplicada, o que permite que todas as conexões abertas do edge gateway sejam aprovadas. O tráfego que não é otimizado é avaliado pelas regras de firewall do edge comuns. A regra TCP gerada padrão permite qualquer conexão.
Portas Quando você selecionar Pelo Túnel, digite um intervalo de números de porta que deseja abrir para o usuário remoto acessar os servidores internos, como 20-21, para o tráfego de FTP, e 80-81, para o tráfego HTTP. Para conceder acesso irrestrito aos usuários, deixe o campo em branco.
Status Ative ou desative a rede privada. - Pelo Túnel
- Clique em Manter.
- Clique em Salvar alterações para salvar a configuração no sistema.
O que Fazer Depois
Adicione um servidor de autenticação. Consulte Configurar um serviço de autenticação para SSL VPN-Plus em um edge gateway do NSX Data Center for vSphere.
Configurar um serviço de autenticação para SSL VPN-Plus em um edge gateway do NSX Data Center for vSphere
Use a tela Autenticação na guia SSL VPN-Plus para configurar um servidor de autenticação local para o serviço SSL VPN do edge gateway e, se desejar, habilite a autenticação de certificado de cliente. Este servidor de autenticação é usado para autenticar os usuários conectados. Todos os usuários configurados no servidor de autenticação local serão autenticados.
Você pode ter apenas um servidor de autenticação do SSL VPN-Plus local configurado no edge gateway. Se você clicar em + LOCAL e especificar servidores de autenticação adicionais, uma mensagem de erro será exibida quando tentar salvar a configuração.
O tempo máximo de autenticação por VPN SSL é de três (3) minutos. Esse máximo é determinado pelo tempo limite de não autenticação, que é de três minutos por padrão e não é configurável. Como resultado, se você tiver vários servidores de autenticação na autorização da cadeia e a autenticação do usuário demorar mais de três minutos, o usuário não será autenticado.
Pré-requisitos
- Navegar até a tela SSL-VPN Plus.
- Adicionar uma rede privada para uso com SSL VPN-Plus em um edge gateway do NSX Data Center for vSphere.
- Se você pretende habilitar a autenticação de certificados de cliente, verifique se um certificado de CA foi adicionado ao edge gateway. Consulte Adicionar um certificado de CA ao Edge Gateway para verificação de confiança do certificado SSL.
Procedimento
- Clique na guia SSL VPN-Plus e Autenticação.
- Clique em Local.
- Defina as configurações do servidor de autenticação.
- (Opcional) Habilite e configure a política de senha.
Opção Descrição Ativar política de senha Ative a aplicação das configurações de política de senha que você configurar aqui. Tamanho da Senha Insira o número mínimo e máximo de caracteres permitidos para a senha. Nº mínimo de letras (Opcional) Digite o número mínimo de caracteres alfabéticos necessários na senha. Nº mínimo de dígitos (Opcional) Digite o número mínimo de caracteres numéricos necessários na senha. Nº mínimo de caracteres especiais (Opcional) Digite o número mínimo de caracteres especiais, como e comercial (&), marca hash (#), sinal de porcentagem (%) e assim por diante, que são necessários na senha. Senha não deve conter a ID de usuário (Opcional) Ative esta opção para que a senha não contenha a ID de usuário. Senha expira em (Opcional) Digite o número máximo de dias que uma senha pode existir antes de o usuário ter de alterá-la. Notificação de expiração em (Opcional) Digite o número de dias antes da expiração da senha em Senha expira em para que o usuário seja notificado de que a senha está prestes a expirar. - (Opcional) Habilite e configure a política de bloqueio de conta.
Opção Descrição Ativar política de bloqueio de conta Ative a aplicação das configurações de política de bloqueio de conta que você configurar aqui. Contagem de Tentativas Insira o número de vezes que um usuário pode tentar acessar sua conta. Duração da Nova Tentativa Insira o período de tempo em minutos em que a conta de usuário é bloqueada devido a tentativas de login malsucedidas. Por exemplo, se você especificar o Contagem de Tentativas como 5 e Duração da Nova Tentativa como 1 minuto, a conta do usuário será bloqueada após cinco tentativas de login malsucedidas dentro de um minuto.
Duração do Bloqueio Insira o período de tempo durante o qual a conta de usuário permanecerá bloqueada. Após esse tempo, a conta será desbloqueada automaticamente.
- Na seção Status, habilite este servidor de autenticação.
- (Opcional) Configure a autenticação secundária.
Opções Descrição Usar este servidor para autenticação secundária (Opcional) Especifique se o servidor deve ser usado como o segundo nível de autenticação. Encerrar sessão se houver falha na autenticação (Opcional) Especifique se deseja encerrar a sessão VPN quando a autenticação falhar. - Clique em Manter.
- (Opcional) Habilite e configure a política de senha.
- (Opcional) Para habilitar a autenticação de certificação do cliente, clique em Alterar certificado e, em seguida, ative a alternância de ativação, selecione o certificado de CA a ser usado e clique em OK.
O que Fazer Depois
Adicione usuários locais ao servidor de autenticação local para que eles possam se conectar ao SSL VPN-Plus. Consulte Adicionar usuários do SSL VPN-Plus ao servidor de autenticação do SSL VPN-Plus local.
Crie um pacote de instalação contendo o cliente SSL para que os usuários remotos possam instalá-lo em seus sistemas locais. Consulte Adicionar um pacote de instalação do cliente de SSL VPN-Plus.
Adicionar usuários do SSL VPN-Plus ao servidor de autenticação do SSL VPN-Plus local
Use a tela Usuários na guia SSL VPN-Plus para adicionar contas de usuários remotos ao servidor de autenticação local para o serviço SSL VPN do edge gateway do NSX Data Center for vSphere.
Pré-requisitos
Procedimento
- Na guia SSL VPN-Plus, clique em Usuários.
- Clique no botão Criar ().
- Configure as seguintes opções para o usuário.
Opção Descrição ID de usuário Insira a ID de usuário. Senha Insira a senha do usuário. Digite a senha novamente Insira a senha novamente. Nome (Opcional) Insira o nome do usuário. Sobrenome (Opcional) Insira o sobrenome do usuário. Descrição (Opcional) Insira uma descrição para o usuário. Ativado Especifique se o usuário está ativado ou desativado. Senha nunca expira (Opcional) Especifique se a mesma senha deve ser mantida para este usuário para sempre. Permitir alteração de senha (Opcional) Especifique se deseja permitir que o usuário altere a senha. Alterar senha no próximo login (Opcional) Especifique se deseja que esse usuário altere a senha no próximo login. - Clique em Manter.
- Repita as etapas para adicionar outros usuários.
O que Fazer Depois
Adicione usuários locais ao servidor de autenticação local para que eles possam se conectar ao SSL VPN-Plus. Consulte Adicionar usuários do SSL VPN-Plus ao servidor de autenticação do SSL VPN-Plus local.
Crie um pacote de instalação contendo o cliente SSL para que os usuários remotos possam instalá-lo em seus sistemas locais. Consulte Adicionar um pacote de instalação do cliente de SSL VPN-Plus.
Adicionar um pacote de instalação do cliente de SSL VPN-Plus
Use a tela Pacotes de Instalação na guia SSL VPN-Plus para criar pacotes de instalação nomeados do cliente SSL VPN-Plus para os usuários remotos.
Você pode adicionar um pacote de instalação de cliente SSL VPN-Plus ao edge gateway do NSX Data Center for vSphere. Novos usuários são solicitados a baixar e instalar esse pacote quando fazem login para usar a conexão VPN pela primeira vez. Quando adicionados, esses pacotes de instalação de cliente podem ser baixados do FQDN usando a interface pública do edge gateway.
Você pode criar pacotes de instalação executados nos sistemas operacionais Windows, Linux e Mac. Se precisar de parâmetros de instalação diferentes por cliente VPN SSL, crie um pacote de instalação para cada configuração.
Pré-requisitos
Procedimento
- Na guia SSL VPN-Plus no portal de tenant, clique em Pacotes de Instalação.
- Clique no botão Adicionar ().
- Defina as configurações do pacote de instalação.
Opção Descrição Nome do Perfil Insira um nome de perfil para este pacote de instalação. Esse nome é exibido para o usuário remoto para identificar essa conexão VPN SSL com o edge gateway.
Gateway Insira o endereço IP ou FQDN da interface pública do edge gateway. O endereço IP ou FQDN que você inserir estará vinculado ao cliente VPN SSL. Quando o cliente é instalado no sistema local do usuário remoto, esse endereço IP ou FQDN é exibido nesse cliente VPN SSL.
Para vincular interfaces de uplink de edge gateway adicionais a esse cliente VPN SSL, clique no botão Adicionar () para adicionar linhas e digitar os endereços IP de interface ou FQDNs e portas.
Porta (Opcional) Para modificar o valor da porta do padrão exibido, clique duas vezes no valor e insira um novo valor. Windows
Linux
Mac
Selecione os sistemas operacionais para os quais você deseja criar os pacotes de instalação. Descrição (Opcional) Digite uma descrição para o usuário. Ativado Especifique se este pacote está ativado ou desativado. - Selecione os parâmetros de instalação para o Windows.
Opção Descrição Iniciar cliente no logon Inicia o cliente VPN SSL quando o usuário remoto faz login no sistema local. Permitir memorização de senha Permite que o cliente memorize a senha do usuário. Ativar instalação no modo silencioso Oculta os comandos de instalação dos usuários remotos. Ocultar adaptador de rede do cliente SSL Oculta o adaptador de SSL VPN-Plus da VMware, que está instalado no computador do usuário remoto com o pacote de instalação do cliente VPN SSL. Ocultar ícone de bandeja do sistema do cliente Oculta o ícone da bandeja VPN SSL que indica se a conexão VPN está ativa ou não. Criar ícone da área de trabalho Cria um ícone na área de trabalho do usuário para invocar o cliente SSL. Ativar operação no modo silencioso Oculta a janela que indica que a instalação foi concluída. Validação do certificado de segurança do servidor O cliente VPN SSL valida o certificado do servidor VPN SSL antes de estabelecer a conexão segura. - Clique em Manter.
O que Fazer Depois
Edite a configuração do cliente. Consulte Editar configuração do cliente SSL VPN-Plus.
Editar configuração do cliente SSL VPN-Plus
Use a tela Configuração do Cliente na guia SSL VPN-Plus para personalizar a forma como o túnel de cliente VPN SSL responde quando o usuário remoto faz login na VPN SSL.
Pré-requisitos
Procedimento
Personalizar as configurações gerais de SSL VPN-Plus para um edge gateway do NSX Data Center for vSphere
Por padrão, o sistema define algumas configurações de SSL VPN-Plus em um edge gateway no seu ambiente VMware Cloud Director. Você pode usar a tela Configurações Gerais na guia SSL VPN-Plus no portal do tenant do VMware Cloud Director para personalizar essas configurações.
Pré-requisitos
Procedimento
- Na guia SSL VPN-Plus, clique em Configurações Gerais.
- Edite as configurações gerais conforme necessário para as necessidades da sua organização.
Opção Descrição Impedir vários logins com o mesmo nome de usuário Ative para restringir um usuário remoto a ter apenas uma sessão de login ativa com o mesmo nome de usuário. Compactação Ative para habilitar a compactação inteligente de dados baseada em TCP e melhorar a velocidade de transferência de dados. Ativar Log Ative para manter um log do tráfego que passa pelo gateway VPN SSL. O registro em log está habilitado por padrão.
Forçar teclado virtual Ative para exigir que os usuários remotos usem um teclado virtual (na tela) apenas para inserir informações de login. Tornar aleatórias as chaves do teclado virtual Ative para que o teclado virtual use um layout de teclas aleatório. Tempo limite de sessão ociosa Insira o tempo limite ocioso da sessão, em minutos. Se não houver atividade em uma sessão de usuário pelo período de tempo especificado, o sistema desconectará a sessão do usuário. O padrão do sistema é de 10 minutos.
Notificação do usuário Digite a mensagem a ser exibida aos usuários remotos após o login. Ativar acesso à URL pública Ative para permitir que usuários remotos acessem sites que não estão explicitamente configurados por você para acesso remoto de usuários. Ativar tempo limite forçado Ative para que o sistema desconecte usuários remotos após o período de tempo especificado no campo Tempo limite forçado. Tempo limite forçado Digite o período de tempo limite em minutos. Este campo é exibido quando o botão de alternância Ativar tempo limite forçado está ativado.
- Clique em Salvar alterações.