Use a tela Sites VPN IPsec no portal do tenant do VMware Cloud Director para definir as configurações necessárias para criar uma conexão VPN IPsec entre o data center virtual da organização e outro site usando os recursos de VPN IPsec do edge gateway.

Ao configurar uma conexão VPN IPsec entre sites, você configura a conexão do ponto de vista do seu local atual. A configuração da conexão requer que você entenda os conceitos no contexto do ambiente VMware Cloud Director para configurar a conexão VPN corretamente.

  • As sub-redes locais e de peer especificam as redes às quais a VPN se conecta. Ao especificar essas sub-redes nas configurações dos sites VPN IPsec, insira um intervalo de rede, e não um endereço IP específico. Use o formato CIDR, como 192.168.99.0/24.
  • O ID de peer é um identificador que identifica exclusivamente o dispositivo remoto que encerra a conexão VPN, normalmente seu endereço IP público. Para os peers que usam a autenticação de certificado, esse ID deve ser o nome diferenciado definido no certificado do peer. Para peers PSK, esse ID pode ser qualquer cadeia de caracteres. Uma prática recomendada do NSX é usar o endereço IP público do dispositivo remoto ou o FQDN como o ID do peer. Se o endereço IP do peer for de outra rede de data center virtual de organização, insira o endereço IP nativo do peer. Se a NAT estiver configurada para o peer, insira o endereço IP privado do peer.
  • O endpoint do peer especifica o endereço IP público do dispositivo remoto ao qual você está se conectando. O endpoint do peer pode ser um endereço diferente do ID do par quando o gateway do par não está diretamente acessível na Internet, mas se conectar por meio de outro dispositivo. Se a NAT estiver configurada para o peer, insira o endereço IP público que os dispositivos usam para a NAT.
  • O ID local especifica o endereço IP público do edge gateway do data center virtual da organização. Você pode inserir um endereço IP ou um nome de host junto com o firewall do edge gateway.
  • O endpoint local especifica a rede no data center virtual da organização no qual o edge gateway faz transmissões. Normalmente, a rede externa do edge gateway é o endpoint local.

Pré-requisitos

Procedimento

  1. Abra Serviços de Edge Gateway.
    1. Na barra de navegação superior, clique em Rede e, depois, em Edge Gateways.
    2. Selecione o edge gateway que você deseja editar e clique em Serviços.
  2. Na guia VPN IPsec, clique em Sites VPN IPsec.
  3. Clique no botão Adicionar (botão Criar).
  4. Defina as configurações de conexões de VPN IPsec.
    Opção Ação
    Ativado Habilite essa conexão entre os dois endpoints de VPN.
    Ativar Perfect Forward Secrecy (PFS) Habilite essa opção para que o sistema gere chaves públicas exclusivas para todas as sessões de VPN IPsec que os seus usuários iniciarem.

    Habilitar o PFS garante que o sistema não crie um link entre a chave privada do edge gateway e cada chave de sessão.

    O comprometimento de uma chave de sessão não afetará os dados que não sejam os dados trocados na sessão específica protegida por essa chave específica. Não é possível usar o comprometimento da chave privada do servidor para descriptografar sessões arquivadas ou sessões futuras.

    Quando o PFS está habilitado, as conexões de VPN IPsec com esse edge gateway apresentam uma pequena sobrecarga de processamento.

    Importante: As chaves de sessão exclusivas não devem ser usadas para derivar qualquer chave adicional. Além disso, ambos os lados do túnel VPN IPsec devem oferecer suporte ao PFS para que ele funcione.
    Nome (Opcional) Insira um nome para a conexão.
    ID Local Insira o endereço IP externo da instância do edge gateway, que é o endereço IP público desse edge gateway.

    O endereço IP é aquele usado para o ID do peer na configuração de VPN IPsec no site remoto.

    Endpoint Local Insira a rede que é o endpoint local dessa conexão.

    O endpoint local especifica a rede no data center virtual da organização no qual o edge gateway faz transmissões. Normalmente, a rede externa é o endpoint local.

    Se você adicionar um túnel de IP para IP usando uma chave pré-compartilhada, o ID local e o IP do endpoint local poderão ser os mesmos.

    Sub-Redes Locais Insira as redes a serem compartilhadas entre os sites e use uma vírgula como separador para inserir várias sub-redes.

    Insira um intervalo de rede (e não um endereço IP específico) inserindo o endereço IP no formato CIDR. Por exemplo, 192.168.99.0/24.

    ID de Peer Insira uma ID de peer para identificar exclusivamente o site do peer.

    O ID de peer é um identificador que assinala exclusivamente o dispositivo remoto que encerra a conexão VPN, normalmente seu endereço IP público.

    Para os peers que usam autenticação de certificado, o ID deve ser o nome diferenciado no certificado do peer. Para peers PSK, esse ID pode ser qualquer cadeia de caracteres. Uma prática recomendada do NSX é usar o endereço IP público ou o FQDN do dispositivo remoto como o ID do peer.

    Se o endereço IP do peer for de outra rede de data center virtual de organização, insira o endereço IP nativo do peer. Se a NAT estiver configurada para o peer, insira o endereço IP privado do peer.

    Endpoint de Peer Insira o endereço IP ou o FQDN do site do peer, que é o endereço público do dispositivo remoto ao qual você está se conectando.
    Observação: Quando a NAT estiver configurada para o peer, insira o endereço IP público que o dispositivo usa para a NAT.
    Sub-Redes de Peer Insira a rede remota à qual a VPN se conecta e use uma vírgula como separador para inserir várias sub-redes.

    Insira um intervalo de rede (e não um endereço IP específico) inserindo o endereço IP no formato CIDR. Por exemplo, 192.168.99.0/24.

    Algoritmo de Criptografia Selecione o tipo de algoritmo de criptografia no menu suspenso.
    Observação: O tipo de criptografia selecionado deve corresponder ao tipo de criptografia configurado no dispositivo de VPN do site remoto.
    Autenticação Selecione uma autenticação. As opções são:
    • PSK

      A chave pré-compartilhada (PSK) especifica que a chave secreta compartilhada entre o edge gateway e o site do peer deve ser usada para autenticação.

    • Certificado

      A autenticação de certificado especifica que o certificado definido no nível global deve ser usado para autenticação. Essa opção só estará disponível se você tiver configurado o certificado global na tela Configuração Global da guia VPN IPsec.

    Alterar Chave Compartilhada (Opcional) Ao atualizar as configurações de uma conexão existente, você pode ativar essa opção para tornar o campo Chave Pré-compartilhada disponível e, assim, poder atualizar a chave compartilhada.
    Chave Pré-Compartilhada Se você selecionou PSK como tipo de autenticação, digite uma cadeia de caracteres de segredo alfanumérica, que pode ter um comprimento máximo de 128 bytes.
    Observação: A chave compartilhada deve corresponder à chave configurada no dispositivo de VPN do site remoto. Uma prática recomendada é configurar uma chave compartilhada quando sites anônimos forem ser conectados ao serviço de VPN.
    Exibir Chave Compartilhada (Opcional) Habilite essa opção para tornar a chave compartilhada visível na tela.
    Grupo Diffie-Hellman Selecione o esquema de criptografia que permite que o site do peer e esse edge gateway estabeleçam um segredo compartilhado em um canal de comunicação inseguro.
    Observação: O Grupo Diffie-Hellman deve corresponder ao que está configurado no dispositivo de VPN do site remoto.
    Extensão (Opcional) Digite uma das seguintes opções:
    • securelocaltrafficbyip=IPAddress para redirecionar o tráfego local do edge gateway pelo túnel de VPN IPsec.

      Esse é o valor padrão.

    • passthroughSubnets=PeerSubnetIPAddress para oferecer suporte a sub-redes sobrepostas.
  5. Clique em Manter.
  6. Clique em Salvar alterações.

O que Fazer Depois

Configure a conexão para o site remoto. Você deve configurar a conexão de VPN IPsec em ambos os lados da conexão: no data center virtual da organização e no site do peer.

Habilite o serviço de VPN IPsec nesse edge gateway. É possível habilitar o serviço quando pelo menos uma conexão de VPN IPsec está configurada. Consulte Ativar o serviço de VPN IPsec em um edge gateway do NSX Data Center for vSphere no VMware Cloud Director Tenant Portal.