Die SSL VPN-Plus-Dienste für ein NSX Data Center for vSphere-Edge-Gateway in einer VMware Cloud Director-Umgebung ermöglichen Remotebenutzern die sichere Verbindung mit den privaten Netzwerken und Anwendungen in den Organisations-VDCs, die von diesem Edge-Gateway gestützt werden. Sie können verschiedene SSL VPN-Plus-Dienste auf dem Edge-Gateway konfigurieren.

In Ihrer VMware Cloud Director-Umgebung unterstützt die SSL VPN-Plus-Funktion des Edge-Gateways den Netzwerkzugriffsmodus. Remote-Benutzer müssen einen SSL-Client installieren, um sichere Verbindungen und Zugriff auf die Netzwerke und Anwendungen hinter dem Edge-Gateway herzustellen. Im Rahmen der SSL VPN-Plus-Konfiguration des Edge-Gateways fügen Sie die Installationspakete für das Betriebssystem hinzu und konfigurieren bestimmte Parameter. Weitere Informationen finden Sie unter Hinzufügen eines Installationspakets des SSL VPN-Plus-Clients.

Das Konfigurieren von SSL VPN-Plus auf einem Edge-Gateway ist ein mehrstufiger Prozess.

Voraussetzungen

Vergewissern Sie sich, dass alle für SSL VPN-Plus erforderlichen SSL-Zertifikate zum Bildschirm Zertifikate hinzugefügt wurden. Weitere Informationen finden Sie unter SSL-Zertifikatsverwaltung auf einem NSX Data Center for vSphere-Edge-Gateway.

Hinweis: Auf einem Edge-Gateway ist Port 443 der Standardport für HTTPS. Für die SSL VPN-Funktionalität muss der HTTPS-Port des Edge-Gateways für externe Netzwerke zugänglich sein. Der SSL VPN-Client benötigt die IP-Adresse und den Port des Edge-Gateways, die im Bildschirm „Servereinstellungen“ auf der Registerkarte SSL VPN-Plus konfiguriert werden, um über das Clientsystem erreichbar zu sein. Weitere Informationen finden Sie unter Konfigurieren der SSL-VPN-Servereinstellungen.

Navigieren zum Bildschirm „SSL-VPN Plus“

Sie können zum Bildschirm „SSL-VPN Plus“ navigieren, um mit der Konfiguration des SSL-VPN Plus-Diensts für ein NSX Data Center for vSphere-Edge-Gateway zu beginnen.

Prozedur

  1. Öffnen Sie „Edge-Gateway-Dienste“.
    1. Klicken Sie in der oberen Navigationsleiste auf Netzwerk und dann auf Edge-Gateways.
    2. Wählen Sie das Edge-Gateway aus, das Sie bearbeiten möchten, und klicken Sie auf Dienste.
  2. Klicken Sie auf die Registerkarte SSL VPN-Plus.

Nächste Maßnahme

Konfigurieren Sie die SSL VPN-Plus-Standardeinstellungen im Bildschirm Allgemein. Weitere Informationen finden Sie unter Anpassen der allgemeinen SSL VPN-Plus-Einstellungen für ein NSX Data Center for vSphere-Edge-Gateway.

Konfigurieren der SSL-VPN-Servereinstellungen

Mit diesen Servereinstellungen wird der SSL VPN-Server konfiguriert, wie z. B. die IP-Adresse und der Port, der vom Dienst überwacht wird, die Schlüsselliste des Diensts und das Dienstzertifikat. Beim Herstellen einer Verbindung mit dem NSX Data Center for vSphere-Edge-Gateway geben die Remotebenutzer dieselbe IP-Adresse und den Port an, die bzw. den Sie in diesen Servereinstellungen festlegen.

Wenn Ihr Edge-Gateway mit mehreren Overlay-IP-Adressnetzwerken für die externe Schnittstelle konfiguriert ist, kann sich die IP-Adresse, die Sie für den SSL VPN-Server auswählen, von der für die standardmäßige externe Schnittstelle des Edge-Gateways unterscheiden.

Beim Konfigurieren der SSL-VPN-Servereinstellungen müssen Sie den Verschlüsselungsalgorithmus auswählen, der für den SSL-VPN-Tunnel verwendet werden soll. Sie können eine oder mehrere Verschlüsselungen auswählen. Gehen Sie bei der Auswahl der Verschlüsselungen sorgfältig vor und berücksichtigen Sie die Vor- und Nachteile der verschiedenen Verschlüsselungen.

Standardmäßig verwendet das System das selbstsignierte Standardzertifikat, das das System für jedes Edge-Gateway als Standard-Serveridentitätszertifikat für den SSL-VPN-Tunnel generiert. Statt dieses Standardzertifikats können Sie auch ein digitales Zertifikat verwenden, das Sie dem System im Bildschirm Zertifikate hinzugefügt haben.

Voraussetzungen

Prozedur

  1. Klicken Sie im Bildschirm SSL VPN-Plus auf Servereinstellungen.
  2. Klicken Sie auf Aktiviert.
  3. Wählen Sie im Dropdown-Menü eine IP-Adresse aus.
  4. (Optional) Geben Sie eine TCP-Portnummer ein.
    Die TCP-Portnummer wird vom SSL-Clientinstallationspaket verwendet. Standardmäßig verwendet das System Port 443. Dies ist der Standardport für HTTPS/SSL-Datenverkehr. Es ist zwar eine Portnummer erforderlich, Sie können aber einen beliebigen TCP-Port für die Kommunikation festlegen.
    Hinweis: Der SSL VPN-Client benötigt die an dieser Stelle konfigurierte IP-Adresse und den Port, um über die Clientsysteme der Remotebenutzer erreichbar zu sein. Stellen Sie bei einer Änderung der Standardeinstellung für die Portnummer sicher, dass die Kombination aus IP-Adresse und Port über die Systeme der vorgesehenen Benutzer erreichbar ist.
  5. Wählen Sie in der Schlüsselliste eine Verschlüsselungsmethode aus.
  6. Konfigurieren Sie die Syslog-Protokollierungsrichtlinie des Diensts.
    Die Protokollierung ist standardmäßig aktiviert. Sie können den Grad der Nachrichten, die protokolliert werden sollen, ändern oder die Protokollierung deaktivieren.
  7. (Optional) Wenn Sie anstelle des vom System generierten selbstsignierten Standardzertifikats ein Dienstzertifikat verwenden möchten, klicken Sie auf Server-Zertifikat ändern, wählen Sie ein Zertifikat aus und klicken Sie auf OK.
  8. Klicken Sie auf Änderungen speichern.

Nächste Maßnahme

Hinweis: Die von Ihnen festgelegte Edge-Gateway-IP-Adresse und die TCP-Portnummer müssen für die Remotebenutzer erreichbar sein. Fügen Sie eine Edge-Gateway-Firewallregel hinzu, die Zugriff auf die in diesem Verfahren konfigurierte SSL VPN-Plus-IP-Adresse und den Port gestattet. Weitere Informationen finden Sie unter Hinzufügen einer Firewallregel für NSX Data Center for vSphere Edge-Gateways.

Fügen Sie einen IP-Pool hinzu, sodass Remotebenutzern IP-Adressen zugewiesen werden, wenn sie eine Verbindung über SSL VPN-Plus herstellen. Weitere Informationen finden Sie unter Erstellen eines IP-Pools für die Verwendung mit SSL VPN-Plus auf einem NSX Data Center for vSphere-Edge-Gateway.

Erstellen eines IP-Pools für die Verwendung mit SSL VPN-Plus auf einem NSX Data Center for vSphere-Edge-Gateway

Den Remotebenutzern werden virtuelle IP-Adressen aus den statischen IP-Pools zugewiesen, die Sie über den Bildschirm IP-Pools auf der Registerkarte SSL VPN-Plus konfigurieren.

Jeder in diesem Bildschirm hinzugefügte IP-Pool führt zu einem IP-Adress-Subnetz, das auf dem Edge-Gateway konfiguriert ist. Die in diesen IP-Pools verwendeten IP-Adressbereiche müssen sich von allen anderen auf dem Edge-Gateway konfigurierten Netzwerken unterscheiden.

Hinweis: SSL VPN-Plus weist den Remotebenutzern basierend auf der Reihenfolge, in der die IP-Pools in der Tabelle auf dem Bildschirm angezeigt werden, IP-Adressen aus den IP-Pools zu. Nachdem Sie die IP-Pools zur Tabelle auf dem Bildschirm hinzugefügt haben, können Sie ihre Positionen in der Tabelle mit den Pfeiltasten nach oben und unten anpassen.

Voraussetzungen

Prozedur

  1. Klicken Sie auf der Registerkarte SSL VPN-Plus auf IP-Pools.
  2. Klicken Sie auf die Schaltfläche Erstellen (Schaltfläche „Erstellen“).
  3. Konfigurieren Sie die Einstellungen des IP-Pools.
    Option Aktion
    IP-Bereich Geben Sie einen IP-Adressbereich für diesen IP-Pool ein, wie z. B. 127.0.0.1–127.0.0.9..

    Diese IP-Adressen werden VPN-Clients zugewiesen, wenn sie sich authentifizieren und eine Verbindung mit dem SSL-VPN-Tunnel herstellen.

    Netzmaske Geben Sie die Netzmaske des IP-Pools ein, wie z. B. 255.255.255.0.
    Gateway Geben Sie die IP-Adresse ein, die das Edge-Gateway erstellen soll, und weisen Sie sie als Gateway-Adresse für diesen IP-Pool zu.

    Beim Erstellen des IP-Pools wird ein virtueller Adapter auf der Edge-Gateway-VM erstellt und diese IP-Adresse auf dieser virtuellen Schnittstelle konfiguriert. Diese IP-Adresse kann eine beliebige IP-Adresse innerhalb des Subnetzes sein, die nicht auch im Bereich des Feldes IP-Bereich liegt.

    Beschreibung (Optional) Geben Sie eine Beschreibung für diesen IP-Pool ein.
    Status Wählen Sie aus, ob dieser IP-Pool aktiviert oder deaktiviert werden soll.
    Primäres DNS (Optional) Geben Sie den Namen des primären DNS-Servers ein, der für die Namensauflösung für diese virtuellen IP-Adressen verwendet wird.
    Sekundäres DNS (Optional) Geben Sie den Namen des zu verwendenden sekundären DNS-Servers ein.
    DNS-Suffix (Optional) Geben Sie das DNS-Suffix für die Domäne, in der die Clientsysteme gehostet werden, für eine domänenbasierte Hostnamensauflösung ein.
    WINS-Server (Optional) Geben Sie die Adresse des WINS-Servers entsprechend den Anforderungen Ihrer Organisation ein.
  4. Klicken Sie auf Behalten.

Ergebnisse

Die IP-Pool-Konfiguration wird zur Tabelle auf dem Bildschirm hinzugefügt.

Nächste Maßnahme

Fügen Sie private Netzwerke hinzu, auf die die Remotebenutzer bei der Verbindungsherstellung mit SSL VPN-Plus zugreifen können. Weitere Informationen finden Sie unter Hinzufügen eines privaten Netzwerks für die Verwendung mit SSL VPN-Plus auf einem NSX Data Center for vSphere-Edge-Gateway.

Hinzufügen eines privaten Netzwerks für die Verwendung mit SSL VPN-Plus auf einem NSX Data Center for vSphere-Edge-Gateway

Verwenden Sie den Bildschirm „Private Netzwerke“ auf der Registerkarte SSL VPN-Plus, um die privaten Netzwerke zu konfigurieren. Die privaten Netzwerke sind diejenigen, auf die die VPN-Clients Zugriff haben sollen, wenn die Remotebenutzer eine Verbindung über ihre VPN-Clients und den SSL-VPN-Tunnel herstellen. Die aktivierten privaten Netzwerke werden in der Routing-Tabelle des VPN-Clients installiert.

Die privaten Netzwerke sind eine Liste aller erreichbaren IP-Netzwerke hinter dem Edge-Gateway, das Datenverkehr für einen VPN-Client verschlüsseln soll, oder das von der Verschlüsselung ausgeschlossen werden soll. Jedes private Netzwerk, das Zugriff über einen SSL-VPN-Tunnel erfordert, muss als separater Eintrag hinzugefügt werden. Unter Verwendung von Techniken zur Routenzusammenfassung können Sie die Anzahl der Einträge einschränken.
  • SSL VPN-Plus ermöglicht Remotebenutzern den Zugriff auf private Netzwerke, basierend auf der Reihenfolge von oben nach unten, in der die IP-Pools in der Tabelle auf dem Bildschirm angezeigt werden. Nachdem Sie die privaten Netzwerke zur Tabelle auf dem Bildschirm hinzugefügt haben, können Sie ihre Positionen in der Tabelle mit den Pfeiltasten nach oben und unten anpassen.
  • Wenn Sie für ein privates Netzwerk „TCP-Optimierung aktivieren“ auswählen, funktionieren möglicherweise einige Anwendungen wie z. B. FTP im aktiven Modus nicht innerhalb dieses Subnetzes. Zum Hinzufügen eines im aktiven Modus konfigurierten FTP-Servers müssen Sie ein weiteres privates Netzwerk für den FTP-Server hinzufügen und die TCP-Optimierung für dieses private Netzwerk deaktivieren. Außerdem muss das private Netzwerk für diesen FTP-Server aktiviert sein und in der Tabelle auf dem Bildschirm über dem TCP-optimierten privaten Netzwerk angezeigt werden.

Voraussetzungen

Prozedur

  1. Klicken Sie auf der Registerkarte SSL VPN-Plus auf Private Netzwerke.
  2. Klicken Sie auf die Schaltfläche Hinzufügen (Schaltfläche „Erstellen“).
  3. Konfigurieren Sie die Einstellungen des privaten Netzwerks.
    Option Aktion
    Netzwerk Geben Sie die IP-Adresse des privaten Netzwerks im CIDR-Format ein, wie z. B. 192169.1.0/24.
    Beschreibung (Optional) Geben Sie eine Beschreibung für das Netzwerk ein.
    Datenverkehr senden Geben Sie an, wie der VPN-Client den Datenverkehr des privaten Netzwerks und des Internets senden soll.
    • Über Tunnel

      Der VPN-Client sendet den Datenverkehr des privaten Netzwerks und des Internets über das Edge-Gateway, auf dem SSL VPN-Plus aktiviert ist.

    • Bypass für Tunnel

      Der VPN-Client umgeht das Edge-Gateway und sendet den Datenverkehr direkt an den privaten Server.

    TCP-Optimierung aktivieren (Optional) Zur bestmöglichen Optimierung der Internetgeschwindigkeit müssen Sie, wenn Sie für das Senden des Datenverkehrs Über Tunnel auswählen, auch die Option TCP-Optimierung aktivieren auswählen.

    Durch die Auswahl dieser Option wird die Leistung von TCP-Paketen innerhalb des VPN-Tunnels verbessert, nicht jedoch die Leistung des UDP-Datenverkehrs.

    Bei einem konventionellen SSL-VPN-Tunnel mit Vollzugriff werden TCP/IP-Daten in einem zweiten TCP/IP-Stack zwecks Verschlüsselung über das Internet übertragen. Diese konventionelle Methode kapselt die Daten der Anwendungsschicht in zwei getrennte TCP-Streams. Wenn Paketverluste auftreten, was selbst unter optimalen Internetbedingungen passieren kann, kommt es zu einer Leistungsbeeinträchtigung mit der Bezeichnung „TCP-over-TCP Meltdown“. Bei Vorliegen von „TCP-over-TCP Meltdown“ korrigieren zwei TCP-Instrumente dasselbe einzelne Paket von IP-Daten, was den Netzwerkdurchsatz beeinträchtigt und Verbindungszeitüberschreitungen verursacht. Durch die Auswahl von TCP-Optimierung aktivieren wird verhindert, dass dieses TCP-over-TCP-Problem auftritt.

    Hinweis: Wenn Sie die TCP-Optimierung aktivieren, gilt Folgendes:
    • Sie müssen die Portnummern eingeben, für die der Internetdatenverkehr optimiert werden soll.
    • Der SSL VPN-Server öffnet die TCP-Verbindung im Namen des VPN-Clients. Wenn der SSL-VPN-Server die TCP-Verbindung öffnet, wird die erste automatisch generierte Edge-Firewallregel angewendet, mit der alle über das Edge-Gateway geöffneten Verbindungen übergeben werden können. Nicht optimierter Datenverkehr wird durch die regulären Edge-Firewallregeln ausgewertet. Mit der standardmäßig generierten TCP-Regel werden beliebige Verbindungen zugelassen.
    Ports Wenn Sie Über Tunnel auswählen, geben Sie einen Bereich von Portnummern ein, die für den Remotebenutzer für den Zugriff auf interne Server geöffnet sein sollen, wie z. B. 20-21 für FTP-Datenverkehr und 80-81 für HTTP-Datenverkehr.

    Um Benutzern uneingeschränkten Zugriff zu gewähren, lassen Sie das Feld leer.

    Status Aktivieren oder deaktivieren Sie das private Netzwerk.
  4. Klicken Sie auf Behalten.
  5. Klicken Sie auf Änderungen speichern, um die Konfiguration im System zu speichern.

Nächste Maßnahme

Fügen Sie einen Authentifizierungsserver hinzu. Weitere Informationen finden Sie unter Konfigurieren eines Authentifizierungsdiensts für SSL VPN-Plus auf einem NSX Data Center for vSphere-Edge-Gateway.

Wichtig: Fügen Sie die entsprechenden Firewallregeln hinzu, um den Netzwerkverkehr zu den privaten Netzwerken, die Sie in diesem Bildschirm hinzugefügt haben, zuzulassen. Weitere Informationen finden Sie unter Hinzufügen einer Firewallregel für NSX Data Center for vSphere Edge-Gateways.

Konfigurieren eines Authentifizierungsdiensts für SSL VPN-Plus auf einem NSX Data Center for vSphere-Edge-Gateway

Verwenden Sie den Bildschirm Authentifizierung auf der Registerkarte SSL VPN-Plus, um einen lokalen Authentifizierungsserver für den SSL VPN-Dienst des Edge-Gateways einzurichten und optional die Authentifizierung von Clientzertifikaten zu aktivieren. Dieser Authentifizierungsserver wird zur Authentifizierung der Benutzer, die eine Verbindung herstellen, verwendet. Alle Benutzer, die im lokalen Authentifizierungsserver konfiguriert sind, werden authentifiziert.

Es kann nur ein lokaler SSL-VPN-Plus-Authentifizierungsserver auf dem Edge-Gateway konfiguriert werden. Wenn Sie auf + Lokal klicken und weitere Authentifizierungsserver angeben, wird beim Versuch, die Konfiguration zu speichern, eine Fehlermeldung angezeigt.

Die maximale Zeit für die Authentifizierung über SSL-VPN beträgt drei (3) Minuten. Dieser Maximalwert wird durch die Nichtauthentifizierungs-Zeitüberschreitung festgelegt, die standardmäßig 3 Minuten beträgt und nicht konfigurierbar ist. Wenn mehrere Authentifizierungsserver in der Autorisierungskette vorhanden sind und die Benutzerauthentifizierung länger als 3 Minuten dauert, wird der Benutzer infolgedessen nicht authentifiziert.

Voraussetzungen

Prozedur

  1. Klicken Sie auf die Registerkarte SSL VPN-Plus und anschließend auf Authentifizierung.
  2. Klicken Sie auf Lokal.
  3. Konfigurieren Sie die Einstellungen des Authentifizierungsservers.
    1. (Optional) Aktivieren und konfigurieren Sie die Kennwortrichtlinie.
      Option Beschreibung
      Kennwortrichtlinie aktivieren Aktivieren Sie die Durchsetzung der Einstellungen für die Kennwortrichtlinie, die Sie hier konfigurieren.
      Kennwortlänge Geben Sie die zulässige minimale und maximale Zeichenanzahl für die Kennwortlänge ein.
      Mindestanzahl Buchstaben (Optional) Geben Sie die Mindestanzahl von Buchstabe ein, die für das Kennwort erforderlich sind.
      Mindestanzahl Ziffern (Optional) Geben Sie die Mindestanzahl von numerischen Zeichen ein, die für das Kennwort erforderlich sind.
      Mindestanzahl Sonderzeichen (Optional) Geben Sie die Mindestanzahl der Sonderzeichen ein, beispielsweise kaufmännisches Und-Zeichen (&), Hashtag (#), Prozentzeichen (%) usw., die für das Kennwort erforderlich sind.
      Kennwort darf keine Benutzer-ID enthalten (Optional) Aktivieren Sie diese Option, um durchzusetzen, dass das Kennwort nicht die Benutzer-ID enthalten darf.
      Kennwort läuft ab in (Optional) Geben Sie die maximale Gültigkeitsdauer in Tagen für ein Kennwort ein, bevor der Benutzer es ändern muss.
      Ablaufbenachrichtigung in (Optional) Geben Sie die Anzahl der Tage vor dem Wert Kennwort läuft ab in ein, bei dem der Benutzer benachrichtigt wird, dass das Kennwort in Kürze abläuft.
    2. (Optional) Aktivieren und konfigurieren Sie die Kontosperrungsrichtlinie.
      Option Beschreibung
      Kontosperrungsrichtlinie aktivieren Aktivieren Sie die Durchsetzung der Einstellungen für die Kontosperrungsrichtlinie, die Sie hier konfigurieren.
      Wiederholungsanzahl Geben Sie die Anzahl der Zugriffsversuche ein, die ein Benutzer auf sein Konto hat.
      Wiederholungsdauer Geben Sie das Zeitintervall in Minuten ein, nach dessen Ablauf das Konto des Benutzers bei fehlgeschlagenen Anmeldeversuchen gesperrt wird.

      Wenn Sie beispielsweise für Wiederholungsanzahl den Wert 5 und für Wiederholungsdauer 1 Minute festlegen, wird das Konto des Benutzers nach 5 fehlgeschlagenen Anmeldeversuchen innerhalb einer Minute gesperrt.

      Sperrdauer Geben Sie den Zeitraum ein, für den das Benutzerkonto gesperrt bleibt.

      Nach Ablauf dieses Zeitraums wird die Kontosperre automatisch aufgehoben.

    3. Aktivieren Sie im Abschnitt „Status“ diesen Authentifizierungsserver.
    4. (Optional) Konfigurieren Sie die sekundäre Authentifizierung.
      Optionen Beschreibung
      Diesen Server für die sekundäre Authentifizierung verwenden (Optional) Geben Sie an, ob der Server als zweite Authentifizierungsebene verwendet werden soll.
      Sitzung bei Fehlschlag der Authentifizierung beenden (Optional) Geben Sie an, ob die VPN-Sitzung beendet werden soll, wenn die Authentifizierung fehlschlägt.
    5. Klicken Sie auf Behalten.
  4. (Optional) Um die Clientzertifikatauthentifizierung zu aktivieren, klicken Sie auf Zertifikat ändern, aktivieren Sie die Umschaltoption für die Aktivierung und wählen Sie das zu verwendende CA-Zertifikat aus. Klicken Sie anschließend auf OK.

Nächste Maßnahme

Fügen Sie dem lokalen Authentifizierungsserver lokale Benutzer hinzu, damit diese eine Verbindung mit SSL VPN-Plus herstellen können. Weitere Informationen finden Sie unter Hinzufügen von SSL VPN-Plus-Benutzern zum lokalen SSL VPN-Plus-Authentifizierungsserver.

Erstellen Sie ein Installationspaket, das den SSL-Client enthält, damit Remotebenutzer ihn auf ihren lokalen Systemen installieren können. Weitere Informationen finden Sie unter Hinzufügen eines Installationspakets des SSL VPN-Plus-Clients.

Hinzufügen von SSL VPN-Plus-Benutzern zum lokalen SSL VPN-Plus-Authentifizierungsserver

Verwenden Sie den Bildschirm Benutzer auf der Registerkarte SSL VPN-Plus, um dem lokalen Authentifizierungsserver für den SSL VPN-Dienst des NSX Data Center for vSphere-Edge-Gateways Konten für Remotebenutzer hinzuzufügen.

Hinweis: Wenn noch kein lokaler Authentifizierungsserver konfiguriert wurde, wird durch das Hinzufügen eines Benutzers im Bildschirm Benutzer automatisch ein lokaler Authentifizierungsserver mit Standardwerten hinzugefügt. Über die Schaltfläche „Bearbeiten“ im Bildschirm Authentifizierung können Sie die Standardwerte anzeigen und bearbeiten. Informationen zur Verwendung des Bildschirms Authentifizierung finden Sie unter Konfigurieren eines Authentifizierungsdiensts für SSL VPN-Plus auf einem NSX Data Center for vSphere-Edge-Gateway.

Voraussetzungen

Navigieren zum Bildschirm „SSL-VPN Plus“.

Prozedur

  1. Klicken Sie auf der Registerkarte SSL VPN-Plus auf Benutzer.
  2. Klicken Sie auf die Schaltfläche Erstellen (Schaltfläche „Erstellen“).
  3. Konfigurieren Sie die folgenden Optionen für den Benutzer:
    Option Beschreibung
    Benutzer-ID Geben Sie die Benutzer-ID ein.
    Kennwort Geben Sie ein Kennwort für den Benutzer ein.
    Kennwort erneut eingeben Geben Sie das Kennwort erneut ein.
    Vorname (Optional) Geben Sie den Vornamen des Benutzers ein.
    Nachname (Optional) Geben Sie den Nachnamen des Benutzers ein.
    Beschreibung (Optional) Geben Sie eine Beschreibung für den Benutzer ein.
    Aktiviert Geben Sie an, ob der Benutzer aktiviert oder deaktiviert ist.
    Kennwort läuft nie ab (Optional) Geben Sie an, ob für diesen Benutzer dasselbe Kennwort beibehalten werden soll.
    Kennwortänderung erlauben (Optional) Geben Sie an, ob der Benutzer das Kennwort ändern kann.
    Kennwort bei der nächsten Anmeldung ändern (Optional) Geben Sie an, ob dieser Benutzer das Kennwort bei der nächsten Anmeldung ändern muss.
  4. Klicken Sie auf Behalten.
  5. Wiederholen Sie die Schritte, um weitere Benutzer hinzuzufügen.

Nächste Maßnahme

Fügen Sie dem lokalen Authentifizierungsserver lokale Benutzer hinzu, damit diese eine Verbindung mit SSL VPN-Plus herstellen können. Weitere Informationen finden Sie unter Hinzufügen von SSL VPN-Plus-Benutzern zum lokalen SSL VPN-Plus-Authentifizierungsserver.

Erstellen Sie ein Installationspaket mit dem SSL-Client, damit Remotebenutzer diesen auf ihren lokalen Systemen installieren können. Weitere Informationen finden Sie unter Hinzufügen eines Installationspakets des SSL VPN-Plus-Clients.

Hinzufügen eines Installationspakets des SSL VPN-Plus-Clients

Verwenden Sie den Bildschirm „Installationspakete“ auf der Registerkarte SSL VPN-Plus, um benannte Installationspakete des SSL VPN-Plus-Clients für die Remotebenutzer zu erstellen.

Sie können dem NSX Data Center for vSphere-Edge-Gateway ein Installationspaket des SSL VPN-Plus-Clients hinzufügen. Neue Benutzer werden zum Herunterladen und Installieren dieses Pakets aufgefordert, wenn sie sich anmelden, um die VPN-Verbindung zum ersten Mal zu nutzen. Diese Clientinstallationspakete können nach dem Hinzufügen vom FQDN der öffentlichen Schnittstelle des Edge-Gateways heruntergeladen werden.

Sie können Installationspakete erstellen, die unter Windows-, Linux- und Mac-Betriebssysteme ausgeführt werden. Wenn Sie unterschiedliche Installationsparameter pro SSL VPN-Client benötigen, erstellen Sie ein Installationspaket für jede Konfiguration.

Voraussetzungen

Navigieren zum Bildschirm „SSL-VPN Plus“

Prozedur

  1. Klicken Sie auf der Registerkarte SSL VPN-Plus im Mandantenportal auf Installationspakete.
  2. Klicken Sie auf die Schaltfläche Hinzufügen (Schaltfläche „Erstellen“).
  3. Konfigurieren Sie die Einstellungen für das Installationspaket.
    Option Beschreibung
    Profilname Geben Sie einen Profilnamen für dieses Installationspaket ein.

    Dieser Name wird dem Remotebenutzer angezeigt, um diese SSL-VPN-Verbindung zum Edge-Gateway zu identifizieren.

    Gateway Geben Sie die IP-Adresse oder den FQDN der öffentlichen Schnittstelle des Edge-Gateways ein.

    Die IP-Adresse oder der FQDN, die bzw. den Sie eingeben, ist an den SSL-VPN-Client gebunden. Wenn der Client auf dem lokalen System des Remotebenutzers installiert ist, wird diese IP-Adresse bzw. dieser FQDN auf diesem SSL VPN-Client angezeigt.

    Um zusätzliche Edge-Gateway-Uplink-Schnittstellen an diesen SSL-VPN-Client zu binden, klicken Sie auf die Schaltfläche Hinzufügen (Schaltfläche „Erstellen“), um Zeilen hinzuzufügen und ihre Schnittstellen-IP-Adressen oder FQDNs und Ports einzugeben.

    Port (Optional) Um den Portwert des angezeigten Standardwerts zu ändern, doppelklicken Sie auf den Wert und geben Sie einen neuen Wert ein.

    Windows

    Linux

    Mac

    		Wählen Sie die Betriebssysteme aus, für die Sie die Installationspakete erstellen möchten.
    Beschreibung (Optional) Geben Sie eine Beschreibung für den Benutzer ein.
    Aktiviert Geben Sie an, ob dieses Paket aktiviert oder deaktiviert ist.
  4. Wählen Sie die Installationsparameter für Windows aus.
    Option Beschreibung
    Client bei der Anmeldung starten Startet den SSL-VPN-Client, wenn sich der Remotebenutzer beim lokalen System anmeldet.
    Kennwortspeicherung erlauben Lässt zu, dass der Client das Kennwort des Benutzers speichert.
    Unbeaufsichtigten Installationsmodus aktivieren Blendet die Installationsbefehle der Remotebenutzer aus.
    SSL-Client-Netzwerkadapter ausblenden Blendet den VMware SSL VPN-Plus-Adapter aus, der zusammen mit dem Installationspaket des SSL-VPN-Clients auf dem Computer des Remotebenutzers installiert wird.
    Taskleistensymbol für Client ausblenden Mit dieser Option können Sie das SSL VPN-Taskleistensymbol, das angibt, ob die VPN-Verbindung aktiv ist oder nicht, ausblenden.
    Desktopsymbol erstellen Erstellt auf dem Desktop des Benutzers ein Symbol zum Aufrufen des SSL-Clients.
    Unbeaufsichtigten Betriebsmodus aktivieren Blendet das Fenster mit der Information, dass die Installation abgeschlossen ist, aus.
    Validierung des Serversicherheitszertifikats Der SSL VPN-Client prüft das SSL VPN-Serverzertifikat, bevor die sichere Verbindung hergestellt wird.
  5. Klicken Sie auf Behalten.

Nächste Maßnahme

Bearbeiten Sie die Clientkonfiguration. Weitere Informationen finden Sie unter Bearbeiten der SSL VPN-Plus-Client-Konfiguration.

Bearbeiten der SSL VPN-Plus-Client-Konfiguration

Verwenden Sie den Bildschirm Client-Konfiguration auf der Registerkarte SSL VPN-Plus, um die Reaktion des SSL VPN-Client-Tunnels anzupassen, wenn sich der Remotebenutzer bei SSL VPN anmeldet.

Voraussetzungen

Navigieren zum Bildschirm „SSL-VPN Plus“

Prozedur

  1. Klicken Sie auf der Registerkarte SSL VPN-Plus auf Client-Konfiguration.
  2. Wählen Sie den Tunneling-Modus aus.
    • Im Split-Tunnel-Modus fließt nur der VPN-Datenverkehr über das Edge-Gateway.
    • Im Full-Tunnel-Modus wird das Edge-Gateway zum Standard-Gateway des Remotebenutzers und der gesamte Datenverkehr (z. B. VPN, lokal und Internet) wird über dieses Gateway geleitet.
  3. Geben Sie bei Verwendung des Full-Tunnel-Modus die IP-Adresse für das Standard-Gateway ein, das von den Clients der Remotebenutzer verwendet wird. Wählen Sie optional aus, ob der Datenverkehr im lokalen Subnetz von der Leitung über den VPN-Tunnel ausgeschlossen werden soll.
  4. (Optional) Deaktivieren Sie die automatische erneute Verbindungsherstellung.
    Automatische erneute Verbindungsherstellung aktivieren ist standardmäßig aktiviert. Wenn die automatische erneute Verbindungsherstellung aktiviert ist, verbindet der SSL VPN-Client Benutzer, deren Verbindung getrennt wurde, automatisch erneut.
  5. (Optional) Aktivieren Sie optional auch die Möglichkeit für den Client, Remotebenutzer zu benachrichtigen, wenn ein Client-Upgrade verfügbar ist.
    Diese Option ist standardmäßig deaktiviert. Wenn Sie diese Option aktivieren, können Remotebenutzer das Upgrade installieren.
  6. Klicken Sie auf Änderungen speichern.

Anpassen der allgemeinen SSL VPN-Plus-Einstellungen für ein NSX Data Center for vSphere-Edge-Gateway

Das System legt standardmäßig einige SSL VPN-Plus-Einstellungen für ein Edge-Gateway in Ihrer VMware Cloud Director-Umgebung fest. Auf dem Bildschirm Allgemeine Einstellungen auf der Registerkarte SSL VPN-Plus im VMware Cloud Director-Mandantenportal können Sie diese Einstellungen anpassen.

Voraussetzungen

Navigieren zum Bildschirm „SSL-VPN Plus“.

Prozedur

  1. Klicken Sie auf der Registerkarte SSL VPN-Plus auf Allgemeine Einstellungen.
  2. Bearbeiten Sie die allgemeinen Einstellungen entsprechend den Anforderungen Ihrer Organisation.
    Option Beschreibung
    Mehrere Anmeldungen mit demselben Benutzernamen verhindern Aktivieren Sie diese Einstellung, um einen Remotebenutzer auf eine aktive Anmeldungssitzung unter demselben Benutzernamen zu beschränken.
    Komprimierung Aktivieren Sie diese Einstellung, um die TCP-basierte intelligente Datenkomprimierung zu aktivieren und die Datenübertragungsgeschwindigkeit zu erhöhen.
    Protokollierung aktivieren Aktivieren Sie diese Einstellung, um ein Protokoll des Datenverkehrs bereitzustellen, der über das SSL VPN-Gateway geleitet wird.

    Die Protokollierung ist standardmäßig aktiviert.

    Virtuelle Tastatur erzwingen Aktivieren Sie diese Einstellung, um festzulegen, dass Remotebenutzer nur für die Eingabe von Anmeldeinformationen eine virtuelle Tastatur (Bildschirmtastatur) verwenden müssen.
    Tasten der virtuellen Tastatur zufällig anordnen Aktivieren Sie diese Einstellung, damit für die virtuelle Tastatur ein zufallsgeneriertes Tastenlayout verwendet wird.
    Sitzungszeitüberschreitung bei Leerlauf Geben Sie die Zeitüberschreitung der Sitzung bei Leerlauf in Minuten ein.

    Wenn während des angegebenen Zeitraums in der Sitzung eines Benutzers keine Aktivität stattfindet, wird die Sitzung des Benutzers getrennt. Der Standardwert des Systems ist 10 Minuten.

    Benutzerbenachrichtigung Geben Sie die Nachricht ein, die Remotebenutzern nach der Anmeldung angezeigt werden soll.
    Öffentlichen URL-Zugriff aktivieren Aktivieren Sie diese Einstellung, damit Remotebenutzer auf Sites zugreifen können, die nicht explizit von Ihnen für den Zugriff durch Remotebenutzer konfiguriert wurden.
    Erzwungene Zeitüberschreitung aktivieren Aktivieren Sie diese Einstellung, damit das System die Verbindung zu Remotebenutzern trennt, nachdem der Zeitraum verstrichen ist, den Sie im Feld Erzwungene Zeitüberschreitung angegeben haben.
    Erzwungene Zeitüberschreitung Geben Sie das Zeitlimit in Minuten ein.

    Dieses Feld wird angezeigt, wenn die Umschaltoption Erzwungene Zeitüberschreitung aktivieren aktiviert ist.

  3. Klicken Sie auf Änderungen speichern.