Die NSX Data Center for vSphere-Edge-Gateways in einer VMware Cloud Director-Umgebung unterstützen Site-to-Site Internet Protocol Security (IPsec), um sichere VPN-Tunnel zwischen VDC-Organisationsnetzwerken oder zwischen einem VDC-Organisationsnetzwerk und einer externen IP-Adresse einzurichten. Sie können den IPSec-VPN-Dienst auf einem Edge-Gateway konfigurieren.

Die Einrichtung einer IPsec-VPN-Verbindung von einem Remotenetzwerk zum Organisations-VDC ist das häufigste Szenario. Die NSX-Software stellt die IPSec-VPN-Funktionen eines Edge-Gateways bereit, u. a. Unterstützung für Zertifikatsauthentifizierung, vorinstallierter Schlüsselmodus und IP-Unicast-Datenverkehr zwischen dem Edge-Gateway und VPN-Remote-Routern. Sie können auch mehrere Subnetze für die Verbindung über IPsec-Tunnel mit dem internen Netzwerk hinter einem Edge-Gateway konfigurieren. Wenn Sie mehrere Subnetze für die Verbindung über IPsec-Tunnel mit dem internen Netzwerk konfigurieren, dürfen diese Subnetze und das interne Netzwerk hinter dem Edge-Gateway keine überlappenden Adressbereiche aufweisen.

Hinweis: Wenn der lokale und der Remote-Peer eines IPsec-Tunnels überlappende IP-Adressen haben, ist die Datenverkehrsweiterleitung über den Tunnel möglicherweise inkonsistent, abhängig davon, ob lokal verbundene Routen und autoPlumbed-Routen vorhanden sind.

Die folgenden IPsec-VPN-Algorithmen werden unterstützt:

  • AES (AES128-CBC)
  • AES256 (AES256-CBC)
  • Triple DES (3DES192-CBC)
  • AES-GCM (AES128-GCM)
  • DH-2 (Diffie-Hellman-Gruppe 2)
  • DH-5 (Diffie-Hellman-Gruppe 5)
  • DH-14 (Diffie-Hellman-Gruppe 14)
Hinweis: Dynamische Routing-Protokolle werden mit IPsec-VPN nicht unterstützt. Wenn Sie einen IPsec-VPN-Tunnel zwischen einem Edge-Gateway der VDC-Organisation und einem physisches Gateway-VPN an einer Remote-Site konfigurieren, können Sie für diese Verbindung kein dynamisches Routing konfigurieren. Die IP-Adresse dieser Remote-Site kann nicht durch dynamisches Routing auf dem Edge-Gateway-Uplink gelernt werden.

Wie im Thema Überblick über IPSec-VPN im NSX-Administratorhandbuch beschrieben, wird die maximale Anzahl unterstützter Tunnel auf einem Edge-Gateway von seiner konfigurierten Größe bestimmt: „Kompakt“, „Groß“, „Vollständig“, „Vollständig-4“.

Um die Größe Ihrer Edge-Gateway-Konfiguration anzuzeigen, navigieren Sie zum Edge-Gateway und klicken Sie auf den Namen des Edge-Gateways.

Das Konfigurieren von IPsec-VPN auf einem Edge-Gateway ist ein mehrstufiger Prozess.

Hinweis: Wenn eine Firewall zwischen den Tunnel-Endpoints vorhanden ist, müssen Sie nach dem Konfigurieren des IPsec-VPN-Diensts die Firewallregeln aktualisieren, um die folgenden IP-Protokolle und UDP-Ports zuzulassen:
  • IP Protocol ID 50 (ESP)
  • IP Protocol ID 51 (AH)
  • UDP-Port 500 (IKE)
  • UDP-Port 4500

Navigieren zum Bildschirm „IPsec-VPN“

Im Bildschirm IPsec-VPN können Sie den IPsec-VPN-Dienst für ein NSX Data Center for vSphere-Edge-Gateway konfigurieren.

Prozedur

  1. Öffnen Sie „Edge-Gateway-Dienste“.
    1. Klicken Sie in der oberen Navigationsleiste auf Netzwerk und dann auf Edge-Gateways.
    2. Wählen Sie das Edge-Gateway aus, das Sie bearbeiten möchten, und klicken Sie auf Dienste.
  2. Navigieren Sie zu VPN > IPsec-VPN.

Nächste Maßnahme

Verwenden Sie den Bildschirm IPsec-VPN-Sites, um eine IPsec-VPN-Verbindung zu konfigurieren. Mindestens eine Verbindung muss konfiguriert werden, bevor Sie den IPsec-VPN-Dienst auf dem Edge-Gateway aktivieren können. Weitere Informationen finden Sie unter Konfigurieren von IPsec-VPN-Site-Verbindungen für das NSX Data Center for vSphere-Edge-Gateway.

Konfigurieren von IPsec-VPN-Site-Verbindungen für das NSX Data Center for vSphere-Edge-Gateway

Verwenden Sie den Bildschirm IPsec-VPN-Sites im VMware Cloud Director-Mandantenportal, um die Einstellungen zu konfigurieren, die zum Erstellen einer IPsec-VPN-Verbindung zwischen dem Organisations-VDC und einer anderen Site mithilfe der IPSec-VPN-Funktionen des Edge-Gateways benötigt werden.

Wenn Sie eine IPsec-VPN-Verbindung zwischen Sites konfigurieren, konfigurieren Sie die Verbindung aus der Sicht Ihres derzeitigen Standorts. Zum Einrichten einer Verbindung müssen Sie die Konzepte im Zusammenhang mit der VMware Cloud Director-Umgebung verstehen, sodass Sie die VPN-Verbindung ordnungsgemäß konfigurieren.

  • Die lokalen und Peer-Subnetze geben die Netzwerke an, mit denen das VPN eine Verbindung herstellt. Wenn Sie diese Subnetze in den Konfigurationen für IPsec-VPN-Sites angeben, geben Sie einen Netzwerkbereich und keine bestimmte IP-Adresse ein. Verwenden Sie das CIDR-Format, z. B. 192.168.99.0/24.
  • Die Peer-ID ist ein Bezeichner, der das Remotegerät eindeutig identifiziert, das die VPN-Verbindung beendet. In der Regel ist dies die öffentliche IP-Adresse. Bei Peers mit Zertifikatsauthentifizierung muss diese ID als Distinguished Name im Peer-Zertifikat festgelegt sein. Bei PSK-Peers kann diese ID eine beliebige Zeichenfolge sein. NSX empfiehlt die Verwendung des FQDN oder der öffentlichen IP-Adresse des Remotegeräts als Peer-ID. Wenn die IP-Adresse des Peers aus einem anderen VDC-Organisationsnetzwerk stammt, geben Sie die native IP-Adresse des Peers ein. Wenn NAT für den Peer konfiguriert wurde, geben Sie die private IP-Adresse des Peers ein.
  • Der Peer-Endpoint gibt die öffentliche IP-Adresse des Remotegeräts an, zu dem Sie eine Verbindung herstellen. Der Peer-Endpoint kann eine andere Adresse als die Peer-ID haben, wenn das Gateway des Peers nicht direkt über das Internet erreicht werden kann, sondern über ein anderes Gerät verbunden wird. Wenn NAT für den Peer konfiguriert wurde, geben Sie die öffentliche IP-Adresse ein, die das Gerät für NAT verwendet.
  • Mit der lokalen ID wird die öffentliche IP-Adresse des Edge-Gateways des Organisations-VDCs angegeben. Sie können eine IP-Adresse oder einen Hostnamen zusammen mit der Firewall des Edge-Gateways eingeben.
  • Der lokale Endpoint gibt das Netzwerk im Organisation-VDC an, in dem das Edge-Gateway überträgt. In der Regel stellt das externe Netzwerk des Edge-Gateways den lokalen Endpunkt dar.

Voraussetzungen

Prozedur

  1. Öffnen Sie „Edge-Gateway-Dienste“.
    1. Klicken Sie in der oberen Navigationsleiste auf Netzwerk und dann auf Edge-Gateways.
    2. Wählen Sie das Edge-Gateway aus, das Sie bearbeiten möchten, und klicken Sie auf Dienste.
  2. Klicken Sie auf der Registerkarte IPsec-VPN auf IPsec-VPN-Sites.
  3. Klicken Sie auf die Schaltfläche Hinzufügen (Schaltfläche „Erstellen“).
  4. Konfigurieren Sie die Einstellungen für die IPsec-VPN-Verbindung.
    Option Aktion
    Aktiviert Aktivieren Sie diese Verbindung zwischen den zwei VPN-Endpoints.
    PFS (Perfect Forward Secrecy) aktivieren Aktivieren Sie diese Option, damit das System eindeutige öffentliche Schlüssel für alle IPsec-VPN-Sitzungen generiert, die Ihre Benutzer initiieren.

    Durch Aktivieren von PFS wird sichergestellt, dass das System keine Verknüpfung zwischen dem privaten Schlüssel des Edge-Gateways und allen Sitzungsschlüsseln erstellt.

    Die Beschädigung eines Sitzungsschlüssels betrifft nur die Daten, die in der von diesem bestimmten Schlüssel geschützten Sitzung ausgetauscht wurden. Auf andere Daten wirkt sie sich nicht aus. Ein beschädigter privater Schlüssel des Servers kann nicht zum Entschlüsseln von archivierten Sitzungen oder zukünftigen Sitzungen verwendet werden.

    Wenn PFS aktiviert ist, tritt bei IPsec-VPN-Verbindungen mit diesem Edge-Gateway ein leichter Verarbeitungs-Overhead auf.

    Wichtig: Der eindeutige Sitzungsschlüssel darf nicht zum Ableiten von zusätzlichen Schlüsseln verwendet werden. Zudem müssen beide Seiten des IPsec-VPN-Tunnels PFS unterstützen, damit es funktioniert.
    Name (Optional) Geben Sie einen Namen für die Verbindung ein.
    Lokale ID Geben Sie die externe IP-Adresse der Edge-Gateway-Instanz ein, die die öffentliche IP-Adresse des Edge-Gateways ist.

    Die IP-Adresse wird für die Peer-ID in der IPsec-VPN-Konfiguration auf der Remote-Site verwendet.

    Lokaler Endpoint Geben Sie das Netzwerk ein, das der lokale Endpoint für diese Verbindung ist.

    Der lokale Endpoint gibt das Netzwerk im Organisation-VDC an, in dem das Edge-Gateway überträgt. In der Regel ist das externe Netzwerk der lokale Endpoint.

    Wenn Sie unter Verwendung eines vorinstallierten Schlüssels einen IP-zu-IP-Tunnel hinzufügen, können die lokale ID und die ID des lokalen Endpoints identisch sein.

    Lokale Subnetze Geben Sie die Netzwerke ein, die von den Sites gemeinsam genutzt werden sollen, und verwenden Sie zur Eingabe mehrerer Subnetze ein Komma als Trennzeichen.

    Geben Sie einen Netzwerkbereich (keine spezifische IP-Adresse) ein, indem Sie die IP-Adresse im CIDR-Format eingeben, z. B. 192.168.99.0/24.

    Peer-ID Geben Sie eine Peer-ID ein, um die Peer-Site eindeutig zu identifizieren.

    Die Peer-ID ist ein Bezeichner, der das Remotegerät eindeutig identifiziert, das die VPN-Verbindung beendet. In der Regel ist dies die öffentliche IP-Adresse.

    Bei Peers mit Zertifikatsauthentifizierung muss die ID der Distinguished Name im Peer-Zertifikat sein. Bei PSK-Peers kann diese ID eine beliebige Zeichenfolge sein. Eine Best Practice für NSX besteht darin, die öffentliche IP-Adresse oder den FQDN des Remotegeräts als Peer-ID zu verwenden.

    Wenn die IP-Adresse des Peers aus einem anderen VDC-Organisationsnetzwerk stammt, geben Sie die native IP-Adresse des Peers ein. Wenn NAT für den Peer konfiguriert wurde, geben Sie die private IP-Adresse des Peers ein.

    Peer-Endpoint Geben Sie die IP-Adresse oder den FQDN der Peer-Site ein, also die öffentliche Adresse des Remotegeräts, mit dem Sie eine Verbindung herstellen.
    Hinweis: Wenn NAT für den Peer konfiguriert wurde, geben Sie die öffentliche IP-Adresse ein, die das Gerät für NAT verwendet.
    Peer-Subnetze Geben Sie das Remotenetzwerk ein, mit dem das VPN eine Verbindung herstellt, und verwenden Sie zur Eingabe mehrerer Subnetze ein Komma als Trennzeichen.

    Geben Sie einen Netzwerkbereich (keine spezifische IP-Adresse) ein, indem Sie die IP-Adresse im CIDR-Format eingeben, z. B. 192.168.99.0/24.

    Verschlüsselungsalgorithmus Wählen Sie den Typ des Verschlüsselungsalgorithmus im Dropdown-Menü aus.
    Hinweis: Der Verschlüsselungstyp, den Sie auswählen, muss mit dem Verschlüsselungstyp übereinstimmen, der auf dem VPN-Gerät der Remote-Site konfiguriert ist.
    Authentifizierung Wählen Sie eine Authentifizierung aus. Zu den Optionen gehören:
    • PSK

      „Vorinstallierter Schlüssel“ (Pre-Shared Key, PSK) gibt an, dass der vom Edge-Gateway und der Peer-Site gemeinsam verwendete geheime Schlüssel für die Authentifizierung verwendet wird.

    • Zertifikat

      Die Authentifizierung mittels Zertifikat gibt an, dass das auf globaler Ebene definierte Zertifikat für die Authentifizierung verwendet wird. Diese Option ist nicht verfügbar, es sei denn, Sie haben auf der Registerkarte IPsec-VPN im Bildschirm Globale Konfiguration das globale Zertifikat konfiguriert.

    Gemeinsam verwendeten Schlüssel ändern (Optional) Wenn Sie die Einstellungen einer vorhandenen Verbindung aktualisieren, können Sie diese Option aktivieren, um das Feld Vorinstallierter Schlüssel zur Verfügung zu stellen und den gemeinsam verwendeten Schlüssel zu aktualisieren.
    Vorinstallierter Schlüssel Wenn Sie PSK als Authentifizierungstyp ausgewählt haben, geben Sie eine alphanumerische geheime Zeichenfolge ein. Diese Zeichenfolge darf maximal 128 Byte lang sein.
    Hinweis: Der gemeinsam verwendete Schlüssel muss mit dem Schlüssel übereinstimmen, der auf dem VPN-Gerät der Remote-Site konfiguriert ist. Eine Best Practice besteht darin, einen gemeinsam verwendeten Schlüssel zu konfigurieren, wenn anonyme Sites eine Verbindung zum VPN-Dienst herstellen.
    Gemeinsam verwendeten Schlüssel anzeigen (Optional) Aktivieren Sie diese Option, damit der gemeinsam verwendete Schlüssel auf dem Bildschirm angezeigt wird.
    Diffie-Hellman-Gruppe Wählen Sie das kryptographische Schema aus, das es der Peer-Site und dem Edge-Gateway ermöglicht, über einen ungesicherten Kommunikationskanal einen gemeinsamen geheimen Schlüssel einzurichten.
    Hinweis: Die Diffie-Hellman-Gruppe muss mit dem übereinstimmen, was auf dem VPN-Gerät der Remote-Site konfiguriert ist.
    Erweiterung (Optional) Geben Sie eine der folgenden Optionen ein:
    • securelocaltrafficbyip=IP-Adresse zum Umleiten des lokalen Datenverkehrs des Edge-Gateways über den IPSec-VPN-Tunnel.

      Dies ist der Standardwert.

    • passthroughSubnets=PeerSubnetIPAddress, um überlappende Subnetze zu unterstützen.
  5. Klicken Sie auf Behalten.
  6. Klicken Sie auf Änderungen speichern.

Nächste Maßnahme

Konfigurieren Sie die Verbindung für die Remote-Site. Sie müssen die IPsec-VPN-Verbindung auf beiden Seiten der Verbindung konfigurieren: dem Organisations-VDC und der Peer-Site.

Aktivieren Sie den IPsec-VPN-Dienst auf diesem Edge-Gateway. Wenn mindestens eine IPsec-VPN-Verbindung konfiguriert ist, können Sie den Dienst aktivieren. Weitere Informationen finden Sie unter Aktivieren des IPsec-VPN-Diensts auf einem NSX Data Center for vSphere-Edge-Gateway.

Aktivieren des IPsec-VPN-Diensts auf einem NSX Data Center for vSphere-Edge-Gateway

Wenn mindestens eine IPsec-VPN-Verbindung konfiguriert ist, können Sie den IPsec-VPN-Dienst auf dem Edge-Gateway aktivieren.

Voraussetzungen

Prozedur

  1. Klicken Sie auf der Registerkarte „IPsec-VPN“ auf die Option Aktivierungsstatus.
  2. Klicken Sie auf IPSec-VPN-Dienststatus, um den IPSec-VPN-Dienst zu aktivieren.
  3. Klicken Sie auf Änderungen speichern.

Ergebnisse

Der IPsec-VPN-Dienst des Edge-Gateways ist aktiv.

Angeben der globalen IPsec-VPN-Einstellungen

Verwenden Sie den Bildschirm Globale Konfiguration, um Einstellungen für die IPsec-VPN-Authentifizierung auf einer Edge-Gateway-Ebene zu konfigurieren. Auf dieser Seite können Sie einen globalen vorinstallierten Schlüssel festlegen und die Zertifizierungsauthentifizierung aktivieren.

Für Sites, deren Peer-Endpoint auf Beliebig festgelegt ist, wird ein globaler vorinstallierter Schlüssel verwendet.

Voraussetzungen

Prozedur

  1. Öffnen Sie „Edge-Gateway-Dienste“.
    1. Klicken Sie in der oberen Navigationsleiste auf Netzwerk und dann auf Edge-Gateways.
    2. Wählen Sie das Edge-Gateway aus, das Sie bearbeiten möchten, und klicken Sie auf Dienste.
  2. Klicken Sie auf der Registerkarte IPsec-VPN auf die Option Globale Konfiguration.
  3. (Optional) Legen Sie einen globalen vorinstallierten Schlüssel fest:
    1. Aktivieren Sie die Option Gemeinsam verwendeten Schlüssel ändern.
    2. Geben Sie einen vorinstallierten Schlüssel ein.
      Der globale vorinstallierte Schlüssel (Pre-Shared Key, PSK) wird von allen Sites geteilt, deren Peer-Endpoint auf any festgelegt ist. Wenn bereits ein globaler PSK festgelegt ist, wirkt sich das Ändern des PSK in einen leeren Wert mit anschließendem Speichern nicht auf die vorhandene Einstellung aus.
    3. (Optional) Aktivieren Sie optional Gemeinsam verwendeten Schlüssel anzeigen, um den vorinstallierten Schlüssel sichtbar zu machen.
    4. Klicken Sie auf Änderungen speichern.
  4. Konfigurieren Sie die Zertifizierungsauthentifizierung:
    1. Aktivieren Sie die Option Zertifikatsauthentifizierung aktivieren.
    2. Wählen Sie die geeigneten Dienstzertifikate, die Zertifikate der Zertifizierungsstelle und die CRLs aus.
    3. Klicken Sie auf Änderungen speichern.

Nächste Maßnahme

Sie können optional Protokollierung für den IPsec-VPN-Dienst des Edge-Gateways aktivieren. Weitere Informationen finden Sie unter Statistiken und Protokolle für ein NSX Data Center for vSphere-Edge-Gateway.