VMware Tunnel-Proxy kann anhand eines der beiden folgenden Konfigurationsmodelle konfiguriert werden:

  • Einfach (eine Ebene) mit einem VMware Tunnel-Proxy-Endpoint

  • Relay-Endpoint (mehrere Ebenen) mit einem VMware Tunnel-Proxy-Relay und einem VMware Tunnel-Proxy-Endpoint

Tabelle 1. Portanforderungen für eine Konfiguration mit einem einfachen VMware Tunnel Proxy-Endpoint

Quelle

Ziel

Protokoll

Port

Verifizierung

Hinweise

Geräte (aus Internet und WLAN-Verbindung)

VMware Tunnel-Proxy-Endpoint

HTTPS

2020*

Führen Sie den folgenden Befehl nach der Installation aus: netstat -tlpn | grep [Port]

Geräte stellen über den angegebenen Port eine Verbindung mit dem für VMware Tunnel konfigurierten öffentlichen DNS her.

VMware Tunnel-Proxy-Endpoint

AirWatch Cloud Messaging Server

HTTPS

SaaS: 443

Lokal: 2001*

curl -Ivv https://<AWCM URL>:<port>/awcm/status/ping

Die erwartete Antwort lautet HTTP 200 OK.

Damit der VMware Tunnel-Proxy die Workspace ONE UEM Console zu Konformitäts- und Nachverfolgungszwecken abfragen kann. Mindestens TLS 1.2 muss unterstützt werden.

VMware Tunnel-Proxy-Endpoint

UEM-REST-API

  • SaaS‡: https://asXXX.awmdm.com oder https://asXXX.airwatchportals.com

  • Lokal†: Meistens Gerätedienste oder Konsolenserver

HTTP oder HTTPS

SaaS: 443

Lokal: 2001*

curl -Ivv https://<API URL>/api/mdm/ping Die erwartete Antwort ist HTTP 401 unauthorized

Der VMware Tunnel-Proxy muss mit der UEM-REST-API zur Initialisierung kommunizieren. Wechseln Sie in der Workspace ONE UEM Console zu Gruppen und Einstellungen > Alle Einstellungen > System > Erweitert > Website-URLs, um die REST-API-URL festzulegen. Diese Seite ist für Workspace ONE UEM-SaaS-Kunden nicht verfügbar. Für Workspace ONE UEM-SaaS-Kunden entspricht die REST-API-URL am häufigsten der Console-URL oder der Gerätedienst-URL.

VMware Tunnel-Proxy-Endpoint

Interne Ressourcen

HTTP, HTTPS oder TCP

80, 443, alle TCP-Ports

Stellen Sie sicher, dass der VMware Tunnel-Proxy-Endpoint auf interne Ressourcen über den erforderlichen Port zugreifen kann.

Damit Anwendungen, die VMware Tunnel-Proxy verwenden, auf interne Ressourcen zugreifen können. Die genauen Endpoints oder Ports werden durch den Standort dieser Ressourcen bestimmt.

VMware Tunnel-Proxy-Endpoint

Syslog-Server

UDP

514*

Workspace ONE UEM Console

VMware Tunnel-Proxy-Endpoint

HTTPS

2020*

Lokale† Kunden können die Verbindung mit dem Telnet-Befehl testen: telnet <Tunnel ProxyURL><port>

Dies ist für eine erfolgreiche „Testverbindung“ zum VMware Tunnel-Proxy-Endpoint von der Workspace ONE UEM Console aus erforderlich.

Tabelle 2. Portanforderungen für eine Konfiguration mit einem VMware Tunnel-Proxy-Relay-Endpoint

Quelle

Ziel

Protokoll

Port

Verifizierung

Hinweise

Geräte (aus Internet und WLAN-Verbindung)

VMware Tunnel-Proxy-Relay

HTTPS

2020*

Führen Sie den folgenden Befehl nach der Installation aus: netstat -tlpn | grep [Port]

Geräte stellen über den angegebenen Port eine Verbindung mit dem für VMware Tunnel konfigurierten öffentlichen DNS her.

VMware Tunnel-Proxy-Relay

AirWatch Cloud Messaging Server

HTTP oder HTTPS

SaaS: 443

Lokal: 2001*

curl -Ivv https://<AWCM URL>:<port>/awcm/status/ping

Die erwartete Antwort lautet HTTP 200 OK.

Damit der VMware Tunnel-Proxy die Workspace ONE UEM Console zu Konformitäts- und Nachverfolgungszwecken abfragen kann. Mindestens TLS 1.2 muss unterstützt werden.

VMware Tunnel-Proxy-Relay

UEM-REST-API

  • SaaS‡: https://asXXX.awmdm.com oder https://asXXX.airwatchportals.com

  • Lokal†: Meistens Gerätedienste oder Konsolenserver

HTTP oder HTTPS

SaaS: 443

Lokal: 2001*

curl -Ivv https://<API URL>/api/mdm/ping Die erwartete Antwort ist HTTP 401 unauthorized

Der VMware Tunnel-Proxy-Relay erfordert nur bei der ersten Bereitstellung Zugriff auf die UEM-REST-API.

Der VMware Tunnel-Proxy muss mit der UEM-REST-API zur Initialisierung kommunizieren. Wechseln Sie in der Workspace ONE UEM Console zu Gruppen und Einstellungen > Alle Einstellungen > System > Erweitert > Website-URLs, um die REST-API-URL festzulegen. Diese Seite ist für Workspace ONE UEM-SaaS-Kunden nicht verfügbar. Für Workspace ONE UEM-SaaS-Kunden entspricht die REST-API-URL am häufigsten der Console-URL oder der Gerätedienst-URL.

VMware Tunnel-Proxy-Endpoint

UEM-REST-API

  • SaaS‡: https://asXXX.awmdm.com oder https://asXXX.airwatchportals.com

  • Lokal†: Meistens Gerätedienste oder Konsolenserver

HTTP oder HTTPS

SaaS: 443

Lokal: 2001*

curl -Ivv https://<API URL>/api/mdm/ping Die erwartete Antwort ist HTTP 401 unauthorized

Der VMware Tunnel-Proxy-Relay erfordert nur bei der ersten Bereitstellung Zugriff auf die UEM-REST-API.

Der VMware Tunnel-Proxy muss mit der UEM-REST-API zur Initialisierung kommunizieren. Wechseln Sie in der Workspace ONE UEM Console zu Gruppen und Einstellungen > Alle Einstellungen > System > Erweitert > Website-URLs, um die REST-API-URL festzulegen. Diese Seite ist für Workspace ONE UEM-SaaS-Kunden nicht verfügbar. Für Workspace ONE UEM-SaaS-Kunden entspricht die REST-API-URL am häufigsten der Console-URL oder der Gerätedienst-URL.

VMware Tunnel-Proxy-Relay

VMware Tunnel-Proxy-Endpoint

HTTPS

2010*

Telnet vom VMware Tunnel-Proxy-Relay zum VMware Tunnel-Proxy-Endpoint auf Port 2010.

Zum Weiterleiten von Geräteanforderungen vom Relay an den Endpoint-Server. Mindestens TLS 1.2 muss unterstützt werden.

VMware Tunnel-Proxy-Endpoint

Interne Ressourcen

HTTP, HTTPS oder TCP

80, 443, alle TCP-Ports

Stellen Sie sicher, dass der VMware Tunnel-Proxy-Endpoint auf interne Ressourcen über den erforderlichen Port zugreifen kann.

Damit Anwendungen, die VMware Tunnel-Proxy verwenden, auf interne Ressourcen zugreifen können. Die genauen Endpoints oder Ports werden durch den Standort dieser Ressourcen bestimmt.

VMware Tunnel-Proxy-Endpoint

Syslog-Server

UDP

514*

Workspace ONE UEM Console

VMware Tunnel-Proxy-Relay

HTTPS

2020*

Lokale† Kunden können die Verbindung mit dem Telnet-Befehl testen: telnet <Tunnel ProxyURL><port>

Dies ist für eine erfolgreiche „Testverbindung“ zum VMware Tunnel-Proxy-Relay von der Workspace ONE UEM Console aus erforderlich.

HINWEISE

  • * Dieser Port kann je nach den Einschränkungen Ihrer Umgebung geändert werden.

  • † Lokal entspricht dem Standort der Workspace ONE UEM Console.

  • ‡ Für SaaS-Kunden, die die ausgehende Kommunikation auf die Whitelist setzen müssen, werden die aktuellen IP-Bereiche im folgenden Artikel der VMware Knowledge Base aufgeführt: https://support.workspaceone.com/articles/115001662168-.