Os edge gateways do NSX Data Center for vSphere em um ambiente do VMware Cloud Director oferecem suporte à Segurança de Protocolo IP (IPsec) site a site para proteger os túneis VPN entre as redes de centros de dados virtuais da organização ou entre uma rede de centros de dados virtuais da organização e um endereço IP externo. É possível configurar o serviço VPN IPsec num edge gateway.

A configuração de uma conexão VPN IPsec a partir de uma rede remota para o seu datacenter virtual da organização é o cenário mais comum. O software NSX fornece recursos de VPN IPsec de edge gateway, incluindo suporte para autenticação de certificado, modo de chave pré-compartilhada e tráfego unicast de IP entre si e roteadores VPN remotos. Você também pode configurar várias sub-redes para se conectar por meio de túneis IPsec à rede interna atrás de um edge gateway. Quando você configura várias sub-redes para se conectar por meio de túneis IPsec à rede interna, essas sub-redes e a rede interna atrás do edge gateway não devem ter intervalos de endereços que se sobrepõem.

Observação: Se o peer local e remoto em um túnel IPsec tiver endereços IP sobrepostos, o encaminhamento de tráfego pelo túnel pode não ser consistente, dependendo se as rotas conectadas localmente e se as rotas de conexão automática existem.

Os seguintes algoritmos de VPN IPsec são compatíveis:

  • AES (AES128-CBC)
  • AES256 (AES256-CBC)
  • DES triplo (3DES192-CBC)
  • AES-GCM (AES128-GCM)
  • DH-2 (Grupo Diffie-Hellman 2)
  • DH-5 (Grupo Diffie-Hellman 5)
  • DH-14 (Grupo Diffie-Hellman 14)
Observação: Os protocolos de roteamento dinâmico não são compatíveis com VPN IPsec. Quando você configura um túnel VPN IPsec entre um edge gateway do datacenter virtual da organização e um VPN de gateway físico num local remoto, não é possível configurar o roteamento dinâmico para essa conexão. O endereço IP desse site remoto não pode ser aprendido pelo roteamento dinâmico no uplink do edge gateway.

Conforme descrito no tópico Visão geral de VPN IPSec no Guia de administração do NSX, o número máximo de túneis suportados em um edge gateway é determinado pelo tamanho configurado: compacto, grande, muito grande e quádruplo.

Para exibir o tamanho da configuração do seu edge gateway, navegue até o edge gateway e clique em seu nome.

A configuração do VPN IPsec num edge gateway é um processo de várias etapas.

Observação: Se um firewall estiver entre os endpoints do túnel, depois que você configurar o serviço VPN IPsec, atualize as regras de firewall para permitir os seguintes protocolos IP e portas UDP:
  • ID do protocolo IP 50 (ESP)
  • ID do protocolo IP 51 (AH)
  • Porta UDP 500 (IKE)
  • Porta UDP 4500

Navegar até a tela IPsec VPN em um edge gateway do NSX Data Center for vSphere no VMware Cloud Director Tenant Portal

Na tela VPN IPsec, você pode começar a configurar o serviço VPN IPsec para um edge gateway do NSX Data Center for vSphere.

Procedimento

  1. Abra Serviços de Edge Gateway.
    1. No painel de navegação esquerdo primário, selecione Rede e, na barra de navegação superior da página, selecione Edge Gateways.
    2. Selecione o edge gateway que você deseja editar e clique em Serviços.
  2. Navegue até VPN > VPN IPsec.

O que Fazer Depois

Use a tela Sites VPN IPsec para configurar uma conexão VPN IPsec. Pelo menos uma conexão deve ser configurada para que você possa habilitar o serviço VPN IPsec no edge gateway. Consulte Configurar as conexões de sites VPN IPsec para o edge gateway do NSX Data Center for vSphere no VMware Cloud Director Tenant Portal.

Configurar as conexões de sites VPN IPsec para o edge gateway do NSX Data Center for vSphere no VMware Cloud Director Tenant Portal

Use a tela Sites VPN IPsec no portal do tenant do VMware Cloud Director para definir as configurações necessárias para criar uma conexão VPN IPsec entre o data center virtual da organização e outro site usando os recursos de VPN IPsec do edge gateway.

Ao configurar uma conexão VPN IPsec entre sites, você configura a conexão do ponto de vista do seu local atual. A configuração da conexão requer que você entenda os conceitos no contexto do ambiente VMware Cloud Director para configurar a conexão VPN corretamente.

  • As sub-redes locais e de peer especificam as redes às quais a VPN se conecta. Ao especificar essas sub-redes nas configurações dos sites VPN IPsec, insira um intervalo de rede, e não um endereço IP específico. Use o formato CIDR, como 192.168.99.0/24.
  • O ID de peer é um identificador que identifica exclusivamente o dispositivo remoto que encerra a conexão VPN, normalmente seu endereço IP público. Para os peers que usam a autenticação de certificado, esse ID deve ser o nome diferenciado definido no certificado do peer. Para peers PSK, esse ID pode ser qualquer cadeia de caracteres. Uma prática recomendada do NSX é usar o endereço IP público do dispositivo remoto ou o FQDN como o ID do peer. Se o endereço IP do peer for de outra rede de data center virtual de organização, insira o endereço IP nativo do peer. Se a NAT estiver configurada para o peer, insira o endereço IP privado do peer.
  • O endpoint do peer especifica o endereço IP público do dispositivo remoto ao qual você está se conectando. O endpoint do peer pode ser um endereço diferente do ID do par quando o gateway do par não está diretamente acessível na Internet, mas se conectar por meio de outro dispositivo. Se a NAT estiver configurada para o peer, insira o endereço IP público que os dispositivos usam para a NAT.
  • O ID local especifica o endereço IP público do edge gateway do data center virtual da organização. Você pode inserir um endereço IP ou um nome de host junto com o firewall do edge gateway.
  • O endpoint local especifica a rede no data center virtual da organização no qual o edge gateway faz transmissões. Normalmente, a rede externa do edge gateway é o endpoint local.

Pré-requisitos

Procedimento

  1. Abra Serviços de Edge Gateway.
    1. No painel de navegação esquerdo primário, selecione Rede e, na barra de navegação superior da página, selecione Edge Gateways.
    2. Selecione o edge gateway que você deseja editar e clique em Serviços.
  2. Na guia VPN IPsec, clique em Sites VPN IPsec.
  3. Clique no botão Adicionar (botão Criar).
  4. Defina as configurações de conexões de VPN IPsec.
    Opção Ação
    Ativado Habilite essa conexão entre os dois endpoints de VPN.
    Ativar Perfect Forward Secrecy (PFS) Habilite essa opção para que o sistema gere chaves públicas exclusivas para todas as sessões de VPN IPsec que os seus usuários iniciarem.

    Habilitar o PFS garante que o sistema não crie um link entre a chave privada do edge gateway e cada chave de sessão.

    O comprometimento de uma chave de sessão não afetará os dados que não sejam os dados trocados na sessão específica protegida por essa chave específica. Não é possível usar o comprometimento da chave privada do servidor para descriptografar sessões arquivadas ou sessões futuras.

    Quando o PFS está habilitado, as conexões de VPN IPsec com esse edge gateway apresentam uma pequena sobrecarga de processamento.

    Importante: As chaves de sessão exclusivas não devem ser usadas para derivar qualquer chave adicional. Além disso, ambos os lados do túnel VPN IPsec devem oferecer suporte ao PFS para que ele funcione.
    Nome (Opcional) Insira um nome para a conexão.
    ID Local Insira o endereço IP externo da instância do edge gateway, que é o endereço IP público desse edge gateway.

    O endereço IP é aquele usado para o ID do peer na configuração de VPN IPsec no site remoto.

    Endpoint Local Insira a rede que é o endpoint local dessa conexão.

    O endpoint local especifica a rede no data center virtual da organização no qual o edge gateway faz transmissões. Normalmente, a rede externa é o endpoint local.

    Se você adicionar um túnel de IP para IP usando uma chave pré-compartilhada, o ID local e o IP do endpoint local poderão ser os mesmos.

    Sub-Redes Locais Insira as redes a serem compartilhadas entre os sites e use uma vírgula como separador para inserir várias sub-redes.

    Insira um intervalo de rede (e não um endereço IP específico) inserindo o endereço IP no formato CIDR. Por exemplo, 192.168.99.0/24.

    ID de Peer Insira uma ID de peer para identificar exclusivamente o site do peer.

    O ID de peer é um identificador que assinala exclusivamente o dispositivo remoto que encerra a conexão VPN, normalmente seu endereço IP público.

    Para os peers que usam autenticação de certificado, o ID deve ser o nome diferenciado no certificado do peer. Para peers PSK, esse ID pode ser qualquer cadeia de caracteres. Uma prática recomendada do NSX é usar o endereço IP público ou o FQDN do dispositivo remoto como o ID do peer.

    Se o endereço IP do peer for de outra rede de data center virtual de organização, insira o endereço IP nativo do peer. Se a NAT estiver configurada para o peer, insira o endereço IP privado do peer.

    Endpoint de Peer Insira o endereço IP ou o FQDN do site do peer, que é o endereço público do dispositivo remoto ao qual você está se conectando.
    Observação: Quando a NAT estiver configurada para o peer, insira o endereço IP público que o dispositivo usa para a NAT.
    Sub-Redes de Peer Insira a rede remota à qual a VPN se conecta e use uma vírgula como separador para inserir várias sub-redes.

    Insira um intervalo de rede (e não um endereço IP específico) inserindo o endereço IP no formato CIDR. Por exemplo, 192.168.99.0/24.

    Algoritmo de Criptografia Selecione o tipo de algoritmo de criptografia no menu suspenso.
    Observação: O tipo de criptografia selecionado deve corresponder ao tipo de criptografia configurado no dispositivo de VPN do site remoto.
    Autenticação Selecione uma autenticação. As opções são:
    • PSK

      A chave pré-compartilhada (PSK) especifica que a chave secreta compartilhada entre o edge gateway e o site do peer deve ser usada para autenticação.

    • Certificado

      A autenticação de certificado especifica que o certificado definido no nível global deve ser usado para autenticação. Essa opção só estará disponível se você tiver configurado o certificado global na tela Configuração Global da guia VPN IPsec.

    Alterar Chave Compartilhada (Opcional) Ao atualizar as configurações de uma conexão existente, você pode ativar essa opção para tornar o campo Chave Pré-compartilhada disponível e, assim, poder atualizar a chave compartilhada.
    Chave Pré-Compartilhada Se você selecionou PSK como tipo de autenticação, digite uma cadeia de caracteres de segredo alfanumérica, que pode ter um comprimento máximo de 128 bytes.
    Observação: A chave compartilhada deve corresponder à chave configurada no dispositivo de VPN do site remoto. Uma prática recomendada é configurar uma chave compartilhada quando sites anônimos forem ser conectados ao serviço de VPN.
    Exibir Chave Compartilhada (Opcional) Habilite essa opção para tornar a chave compartilhada visível na tela.
    Grupo Diffie-Hellman Selecione o esquema de criptografia que permite que o site do peer e esse edge gateway estabeleçam um segredo compartilhado em um canal de comunicação inseguro.
    Observação: O Grupo Diffie-Hellman deve corresponder ao que está configurado no dispositivo de VPN do site remoto.
    Extensão (Opcional) Digite uma das seguintes opções:
    • securelocaltrafficbyip=IPAddress para redirecionar o tráfego local do edge gateway pelo túnel de VPN IPsec.

      Esse é o valor padrão.

    • passthroughSubnets=PeerSubnetIPAddress para oferecer suporte a sub-redes sobrepostas.
  5. Clique em Manter.
  6. Clique em Salvar alterações.

O que Fazer Depois

Configure a conexão para o site remoto. Você deve configurar a conexão de VPN IPsec em ambos os lados da conexão: no data center virtual da organização e no site do peer.

Habilite o serviço de VPN IPsec nesse edge gateway. É possível habilitar o serviço quando pelo menos uma conexão de VPN IPsec está configurada. Consulte Ativar o serviço de VPN IPsec em um edge gateway do NSX Data Center for vSphere no VMware Cloud Director Tenant Portal.

Ativar o serviço de VPN IPsec em um edge gateway do NSX Data Center for vSphere no VMware Cloud Director Tenant Portal

Quando pelo menos uma conexão de VPN IPsec está configurada, você pode habilitar o serviço de VPN IPsec no edge gateway.

Pré-requisitos

Procedimento

  1. Na guia VPN IPsec, clique em Status de Ativação.
  2. Clique em Status do Serviço de VPN IPsec para habilitar o serviço de VPN IPsec.
  3. Clique em Salvar alterações.

Resultados

O serviço de VPN IPsec do edge gateway está ativo.

Especificar configurações globais de VPN IPsec em um edge gateway do NSX no VMware Cloud Director Tenant Portal

Use a tela Configuração Global para definir as configurações de autenticação de VPN IPsec em um nível de edge gateway. Nessa tela, você pode definir uma chave pré-compartilhada global e habilitar a autenticação de certificação.

Uma chave pré-compartilhada global é usada para esses sites cujo endpoint do peer está definido como qualquer.

Pré-requisitos

Procedimento

  1. Abra Serviços de Edge Gateway.
    1. No painel de navegação esquerdo primário, selecione Rede e, na barra de navegação superior da página, selecione Edge Gateways.
    2. Selecione o edge gateway que você deseja editar e clique em Serviços.
  2. Na guia VPN IPsec, clique em Configuração Global.
  3. (Opcional) Defina uma chave pré-compartilhada global:
    1. Habilite a opção Alterar Chave Compartilhada.
    2. Insira uma chave pré-compartilhada.
      A chave pré-compartilhada global (PSK) é compartilhada por todos os sites cujo endpoint de peer está definido como any. Se uma PSK global já estiver definida, altere a PSK para um valor vazio e salvá-la não terá efeito sobre a configuração existente.
    3. (Opcional) Opcionalmente, habilite Exibir Chave Compartilhada para tornar a chave pré-compartilhada visível.
    4. Clique em Salvar alterações.
  4. Configure a autenticação de certificação:
    1. Ative Ativar Autenticação de Certificado.
    2. Selecione os certificados de serviço, certificados de CA e CRLs apropriados.
    3. Clique em Salvar alterações.

O que Fazer Depois

Opcionalmente, você pode habilitar o registro em log para o serviço VPN IPsec do edge gateway. Consulte Estatísticas e logs de um edge gateway do NSX Data Center for vSphere no VMware Cloud Director Tenant Portal.