Die NSX Data Center for vSphere-Edge-Gateways in einer VMware Cloud Director-Umgebung unterstützen Site-to-Site Internet Protocol Security (IPsec), um sichere VPN-Tunnel zwischen VDC-Organisationsnetzwerken oder zwischen einem VDC-Organisationsnetzwerk und einer externen IP-Adresse einzurichten. Sie können den IPSec-VPN-Dienst auf einem Edge-Gateway konfigurieren.
Die Einrichtung einer IPsec-VPN-Verbindung von einem Remotenetzwerk zum Organisations-VDC ist das häufigste Szenario. Die NSX-Software stellt die IPSec-VPN-Funktionen eines Edge-Gateways bereit, u. a. Unterstützung für Zertifikatsauthentifizierung, vorinstallierter Schlüsselmodus und IP-Unicast-Datenverkehr zwischen dem Edge-Gateway und VPN-Remote-Routern. Sie können auch mehrere Subnetze für die Verbindung über IPsec-Tunnel mit dem internen Netzwerk hinter einem Edge-Gateway konfigurieren. Wenn Sie mehrere Subnetze für die Verbindung über IPsec-Tunnel mit dem internen Netzwerk konfigurieren, dürfen diese Subnetze und das interne Netzwerk hinter dem Edge-Gateway keine überlappenden Adressbereiche aufweisen.
Die folgenden IPsec-VPN-Algorithmen werden unterstützt:
- AES (AES128-CBC)
- AES256 (AES256-CBC)
- Triple DES (3DES192-CBC)
- AES-GCM (AES128-GCM)
- DH-2 (Diffie-Hellman-Gruppe 2)
- DH-5 (Diffie-Hellman-Gruppe 5)
- DH-14 (Diffie-Hellman-Gruppe 14)
Wie im Thema Überblick über IPSec-VPN im NSX-Administratorhandbuch beschrieben, wird die maximale Anzahl unterstützter Tunnel auf einem Edge-Gateway von seiner konfigurierten Größe bestimmt: „Kompakt“, „Groß“, „Vollständig“, „Vollständig-4“.
Um die Größe Ihrer Edge-Gateway-Konfiguration anzuzeigen, navigieren Sie zum Edge-Gateway und klicken Sie auf den Namen des Edge-Gateways.
Das Konfigurieren von IPsec-VPN auf einem Edge-Gateway ist ein mehrstufiger Prozess.
- IP Protocol ID 50 (ESP)
- IP Protocol ID 51 (AH)
- UDP-Port 500 (IKE)
- UDP-Port 4500
Navigieren zum Bildschirm „IPsec-VPN“
Im Bildschirm IPsec-VPN können Sie den IPsec-VPN-Dienst für ein NSX Data Center for vSphere-Edge-Gateway konfigurieren.
Prozedur
- Öffnen Sie „Edge-Gateway-Dienste“.
- Klicken Sie in der oberen Navigationsleiste auf Netzwerk und dann auf Edge-Gateways.
- Wählen Sie das Edge-Gateway aus, das Sie bearbeiten möchten, und klicken Sie auf Dienste.
- Navigieren Sie zu .
Nächste Maßnahme
Verwenden Sie den Bildschirm IPsec-VPN-Sites, um eine IPsec-VPN-Verbindung zu konfigurieren. Mindestens eine Verbindung muss konfiguriert werden, bevor Sie den IPsec-VPN-Dienst auf dem Edge-Gateway aktivieren können. Weitere Informationen finden Sie unter Konfigurieren von IPsec-VPN-Site-Verbindungen für das NSX Data Center for vSphere-Edge-Gateway.
Konfigurieren von IPsec-VPN-Site-Verbindungen für das NSX Data Center for vSphere-Edge-Gateway
Verwenden Sie den Bildschirm IPsec-VPN-Sites im VMware Cloud Director-Mandantenportal, um die Einstellungen zu konfigurieren, die zum Erstellen einer IPsec-VPN-Verbindung zwischen dem Organisations-VDC und einer anderen Site mithilfe der IPSec-VPN-Funktionen des Edge-Gateways benötigt werden.
Wenn Sie eine IPsec-VPN-Verbindung zwischen Sites konfigurieren, konfigurieren Sie die Verbindung aus der Sicht Ihres derzeitigen Standorts. Zum Einrichten einer Verbindung müssen Sie die Konzepte im Zusammenhang mit der VMware Cloud Director-Umgebung verstehen, sodass Sie die VPN-Verbindung ordnungsgemäß konfigurieren.
- Die lokalen und Peer-Subnetze geben die Netzwerke an, mit denen das VPN eine Verbindung herstellt. Wenn Sie diese Subnetze in den Konfigurationen für IPsec-VPN-Sites angeben, geben Sie einen Netzwerkbereich und keine bestimmte IP-Adresse ein. Verwenden Sie das CIDR-Format, z. B. 192.168.99.0/24.
- Die Peer-ID ist ein Bezeichner, der das Remotegerät eindeutig identifiziert, das die VPN-Verbindung beendet. In der Regel ist dies die öffentliche IP-Adresse. Bei Peers mit Zertifikatsauthentifizierung muss diese ID als Distinguished Name im Peer-Zertifikat festgelegt sein. Bei PSK-Peers kann diese ID eine beliebige Zeichenfolge sein. NSX empfiehlt die Verwendung des FQDN oder der öffentlichen IP-Adresse des Remotegeräts als Peer-ID. Wenn die IP-Adresse des Peers aus einem anderen VDC-Organisationsnetzwerk stammt, geben Sie die native IP-Adresse des Peers ein. Wenn NAT für den Peer konfiguriert wurde, geben Sie die private IP-Adresse des Peers ein.
- Der Peer-Endpoint gibt die öffentliche IP-Adresse des Remotegeräts an, zu dem Sie eine Verbindung herstellen. Der Peer-Endpoint kann eine andere Adresse als die Peer-ID haben, wenn das Gateway des Peers nicht direkt über das Internet erreicht werden kann, sondern über ein anderes Gerät verbunden wird. Wenn NAT für den Peer konfiguriert wurde, geben Sie die öffentliche IP-Adresse ein, die das Gerät für NAT verwendet.
- Mit der lokalen ID wird die öffentliche IP-Adresse des Edge-Gateways des Organisations-VDCs angegeben. Sie können eine IP-Adresse oder einen Hostnamen zusammen mit der Firewall des Edge-Gateways eingeben.
- Der lokale Endpoint gibt das Netzwerk im Organisation-VDC an, in dem das Edge-Gateway überträgt. In der Regel stellt das externe Netzwerk des Edge-Gateways den lokalen Endpunkt dar.
Voraussetzungen
- Navigieren zum Bildschirm „IPsec-VPN“.
- Konfigurieren von IPsec-VPN.
- Wenn Sie beabsichtigen, ein globales Zertifikat als Authentifizierungsmethode zu verwenden, stellen Sie sicher, dass die Zertifikatauthentifizierung im Bildschirm Globale Konfiguration aktiviert ist. Weitere Informationen finden Sie unter Angeben der globalen IPsec-VPN-Einstellungen.
Prozedur
- Öffnen Sie „Edge-Gateway-Dienste“.
- Klicken Sie in der oberen Navigationsleiste auf Netzwerk und dann auf Edge-Gateways.
- Wählen Sie das Edge-Gateway aus, das Sie bearbeiten möchten, und klicken Sie auf Dienste.
- Klicken Sie auf der Registerkarte IPsec-VPN auf IPsec-VPN-Sites.
- Klicken Sie auf die Schaltfläche Hinzufügen ().
- Konfigurieren Sie die Einstellungen für die IPsec-VPN-Verbindung.
Option Aktion Aktiviert Aktivieren Sie diese Verbindung zwischen den zwei VPN-Endpoints. PFS (Perfect Forward Secrecy) aktivieren Aktivieren Sie diese Option, damit das System eindeutige öffentliche Schlüssel für alle IPsec-VPN-Sitzungen generiert, die Ihre Benutzer initiieren. Durch Aktivieren von PFS wird sichergestellt, dass das System keine Verknüpfung zwischen dem privaten Schlüssel des Edge-Gateways und allen Sitzungsschlüsseln erstellt.
Die Beschädigung eines Sitzungsschlüssels betrifft nur die Daten, die in der von diesem bestimmten Schlüssel geschützten Sitzung ausgetauscht wurden. Auf andere Daten wirkt sie sich nicht aus. Ein beschädigter privater Schlüssel des Servers kann nicht zum Entschlüsseln von archivierten Sitzungen oder zukünftigen Sitzungen verwendet werden.
Wenn PFS aktiviert ist, tritt bei IPsec-VPN-Verbindungen mit diesem Edge-Gateway ein leichter Verarbeitungs-Overhead auf.
Wichtig: Der eindeutige Sitzungsschlüssel darf nicht zum Ableiten von zusätzlichen Schlüsseln verwendet werden. Zudem müssen beide Seiten des IPsec-VPN-Tunnels PFS unterstützen, damit es funktioniert.Name (Optional) Geben Sie einen Namen für die Verbindung ein. Lokale ID Geben Sie die externe IP-Adresse der Edge-Gateway-Instanz ein, die die öffentliche IP-Adresse des Edge-Gateways ist. Die IP-Adresse wird für die Peer-ID in der IPsec-VPN-Konfiguration auf der Remote-Site verwendet.
Lokaler Endpoint Geben Sie das Netzwerk ein, das der lokale Endpoint für diese Verbindung ist. Der lokale Endpoint gibt das Netzwerk im Organisation-VDC an, in dem das Edge-Gateway überträgt. In der Regel ist das externe Netzwerk der lokale Endpoint.
Wenn Sie unter Verwendung eines vorinstallierten Schlüssels einen IP-zu-IP-Tunnel hinzufügen, können die lokale ID und die ID des lokalen Endpoints identisch sein.
Lokale Subnetze Geben Sie die Netzwerke ein, die von den Sites gemeinsam genutzt werden sollen, und verwenden Sie zur Eingabe mehrerer Subnetze ein Komma als Trennzeichen. Geben Sie einen Netzwerkbereich (keine spezifische IP-Adresse) ein, indem Sie die IP-Adresse im CIDR-Format eingeben, z. B. 192.168.99.0/24.
Peer-ID Geben Sie eine Peer-ID ein, um die Peer-Site eindeutig zu identifizieren. Die Peer-ID ist ein Bezeichner, der das Remotegerät eindeutig identifiziert, das die VPN-Verbindung beendet. In der Regel ist dies die öffentliche IP-Adresse.
Bei Peers mit Zertifikatsauthentifizierung muss die ID der Distinguished Name im Peer-Zertifikat sein. Bei PSK-Peers kann diese ID eine beliebige Zeichenfolge sein. Eine Best Practice für NSX besteht darin, die öffentliche IP-Adresse oder den FQDN des Remotegeräts als Peer-ID zu verwenden.
Wenn die IP-Adresse des Peers aus einem anderen VDC-Organisationsnetzwerk stammt, geben Sie die native IP-Adresse des Peers ein. Wenn NAT für den Peer konfiguriert wurde, geben Sie die private IP-Adresse des Peers ein.
Peer-Endpoint Geben Sie die IP-Adresse oder den FQDN der Peer-Site ein, also die öffentliche Adresse des Remotegeräts, mit dem Sie eine Verbindung herstellen. Hinweis: Wenn NAT für den Peer konfiguriert wurde, geben Sie die öffentliche IP-Adresse ein, die das Gerät für NAT verwendet.Peer-Subnetze Geben Sie das Remotenetzwerk ein, mit dem das VPN eine Verbindung herstellt, und verwenden Sie zur Eingabe mehrerer Subnetze ein Komma als Trennzeichen. Geben Sie einen Netzwerkbereich (keine spezifische IP-Adresse) ein, indem Sie die IP-Adresse im CIDR-Format eingeben, z. B. 192.168.99.0/24.
Verschlüsselungsalgorithmus Wählen Sie den Typ des Verschlüsselungsalgorithmus im Dropdown-Menü aus. Hinweis: Der Verschlüsselungstyp, den Sie auswählen, muss mit dem Verschlüsselungstyp übereinstimmen, der auf dem VPN-Gerät der Remote-Site konfiguriert ist.Authentifizierung Wählen Sie eine Authentifizierung aus. Zu den Optionen gehören: - PSK
„Vorinstallierter Schlüssel“ (Pre-Shared Key, PSK) gibt an, dass der vom Edge-Gateway und der Peer-Site gemeinsam verwendete geheime Schlüssel für die Authentifizierung verwendet wird.
- Zertifikat
Die Authentifizierung mittels Zertifikat gibt an, dass das auf globaler Ebene definierte Zertifikat für die Authentifizierung verwendet wird. Diese Option ist nicht verfügbar, es sei denn, Sie haben auf der Registerkarte IPsec-VPN im Bildschirm Globale Konfiguration das globale Zertifikat konfiguriert.
Gemeinsam verwendeten Schlüssel ändern (Optional) Wenn Sie die Einstellungen einer vorhandenen Verbindung aktualisieren, können Sie diese Option aktivieren, um das Feld Vorinstallierter Schlüssel zur Verfügung zu stellen und den gemeinsam verwendeten Schlüssel zu aktualisieren. Vorinstallierter Schlüssel Wenn Sie PSK als Authentifizierungstyp ausgewählt haben, geben Sie eine alphanumerische geheime Zeichenfolge ein. Diese Zeichenfolge darf maximal 128 Byte lang sein. Hinweis: Der gemeinsam verwendete Schlüssel muss mit dem Schlüssel übereinstimmen, der auf dem VPN-Gerät der Remote-Site konfiguriert ist. Eine Best Practice besteht darin, einen gemeinsam verwendeten Schlüssel zu konfigurieren, wenn anonyme Sites eine Verbindung zum VPN-Dienst herstellen.Gemeinsam verwendeten Schlüssel anzeigen (Optional) Aktivieren Sie diese Option, damit der gemeinsam verwendete Schlüssel auf dem Bildschirm angezeigt wird. Diffie-Hellman-Gruppe Wählen Sie das kryptographische Schema aus, das es der Peer-Site und dem Edge-Gateway ermöglicht, über einen ungesicherten Kommunikationskanal einen gemeinsamen geheimen Schlüssel einzurichten. Hinweis: Die Diffie-Hellman-Gruppe muss mit dem übereinstimmen, was auf dem VPN-Gerät der Remote-Site konfiguriert ist.Erweiterung (Optional) Geben Sie eine der folgenden Optionen ein: securelocaltrafficbyip=
IP-Adresse zum Umleiten des lokalen Datenverkehrs des Edge-Gateways über den IPSec-VPN-Tunnel.Dies ist der Standardwert.
passthroughSubnets=
PeerSubnetIPAddress, um überlappende Subnetze zu unterstützen.
- PSK
- Klicken Sie auf Behalten.
- Klicken Sie auf Änderungen speichern.
Nächste Maßnahme
Konfigurieren Sie die Verbindung für die Remote-Site. Sie müssen die IPsec-VPN-Verbindung auf beiden Seiten der Verbindung konfigurieren: dem Organisations-VDC und der Peer-Site.
Aktivieren Sie den IPsec-VPN-Dienst auf diesem Edge-Gateway. Wenn mindestens eine IPsec-VPN-Verbindung konfiguriert ist, können Sie den Dienst aktivieren. Weitere Informationen finden Sie unter Aktivieren des IPsec-VPN-Diensts auf einem NSX Data Center for vSphere-Edge-Gateway.
Aktivieren des IPsec-VPN-Diensts auf einem NSX Data Center for vSphere-Edge-Gateway
Wenn mindestens eine IPsec-VPN-Verbindung konfiguriert ist, können Sie den IPsec-VPN-Dienst auf dem Edge-Gateway aktivieren.
Voraussetzungen
- Navigieren zum Bildschirm „IPsec-VPN“.
- Stellen Sie sicher, dass mindestens eine IPsec-VPN-Verbindung für dieses Edge-Gateway konfiguriert ist. Weitere Informationen finden Sie in den unter Konfigurieren von IPsec-VPN-Site-Verbindungen für das NSX Data Center for vSphere-Edge-Gateway beschriebenen Schritten.
Prozedur
- Klicken Sie auf der Registerkarte „IPsec-VPN“ auf die Option Aktivierungsstatus.
- Klicken Sie auf IPSec-VPN-Dienststatus, um den IPSec-VPN-Dienst zu aktivieren.
- Klicken Sie auf Änderungen speichern.
Ergebnisse
Der IPsec-VPN-Dienst des Edge-Gateways ist aktiv.
Angeben der globalen IPsec-VPN-Einstellungen
Verwenden Sie den Bildschirm Globale Konfiguration, um Einstellungen für die IPsec-VPN-Authentifizierung auf einer Edge-Gateway-Ebene zu konfigurieren. Auf dieser Seite können Sie einen globalen vorinstallierten Schlüssel festlegen und die Zertifizierungsauthentifizierung aktivieren.
Für Sites, deren Peer-Endpoint auf Beliebig festgelegt ist, wird ein globaler vorinstallierter Schlüssel verwendet.
Voraussetzungen
- Wenn Sie die Zertifikatsauthentifizierung aktivieren möchten, stellen Sie sicher, dass auf dem Bildschirm Zertifikate mindestens ein Dienstzertifikat sowie entsprechende von einer Zertifizierungsstelle signierte Zertifikate angezeigt werden. Selbstsignierte Zertifikate können nicht für IPSec-VPNs verwendet werden. Weitere Informationen finden Sie unter Hinzufügen eines Dienstzertifikats zum Edge-Gateway.
- Navigieren zum Bildschirm „IPsec-VPN“.
Prozedur
- Öffnen Sie „Edge-Gateway-Dienste“.
- Klicken Sie in der oberen Navigationsleiste auf Netzwerk und dann auf Edge-Gateways.
- Wählen Sie das Edge-Gateway aus, das Sie bearbeiten möchten, und klicken Sie auf Dienste.
- Klicken Sie auf der Registerkarte IPsec-VPN auf die Option Globale Konfiguration.
- (Optional) Legen Sie einen globalen vorinstallierten Schlüssel fest:
- Aktivieren Sie die Option Gemeinsam verwendeten Schlüssel ändern.
- Geben Sie einen vorinstallierten Schlüssel ein.
Der globale vorinstallierte Schlüssel (Pre-Shared Key, PSK) wird von allen Sites geteilt, deren Peer-Endpoint auf any festgelegt ist. Wenn bereits ein globaler PSK festgelegt ist, wirkt sich das Ändern des PSK in einen leeren Wert mit anschließendem Speichern nicht auf die vorhandene Einstellung aus.
- (Optional) Aktivieren Sie optional Gemeinsam verwendeten Schlüssel anzeigen, um den vorinstallierten Schlüssel sichtbar zu machen.
- Klicken Sie auf Änderungen speichern.
- Konfigurieren Sie die Zertifizierungsauthentifizierung:
- Aktivieren Sie die Option Zertifikatsauthentifizierung aktivieren.
- Wählen Sie die geeigneten Dienstzertifikate, die Zertifikate der Zertifizierungsstelle und die CRLs aus.
- Klicken Sie auf Änderungen speichern.
Nächste Maßnahme
Sie können optional Protokollierung für den IPsec-VPN-Dienst des Edge-Gateways aktivieren. Weitere Informationen finden Sie unter Statistiken und Protokolle für ein NSX Data Center for vSphere-Edge-Gateway.