Konfigurieren von IPsec-VPN-Site-Verbindungen für das NSX Data Center for vSphere-Edge-Gateway

Verwenden Sie den Bildschirm IPsec-VPN-Sites im VMware Cloud Director-Mandantenportal, um die Einstellungen zu konfigurieren, die zum Erstellen einer IPsec-VPN-Verbindung zwischen dem Organisations-VDC und einer anderen Site mithilfe der IPSec-VPN-Funktionen des Edge-Gateways benötigt werden.

Wenn Sie eine IPsec-VPN-Verbindung zwischen Sites konfigurieren, konfigurieren Sie die Verbindung aus der Sicht Ihres derzeitigen Standorts. Zum Einrichten einer Verbindung müssen Sie die Konzepte im Zusammenhang mit der VMware Cloud Director-Umgebung verstehen, sodass Sie die VPN-Verbindung ordnungsgemäß konfigurieren.

Die lokalen und Peer-Subnetze geben die Netzwerke an, mit denen das VPN eine Verbindung herstellt. Wenn Sie diese Subnetze in den Konfigurationen für IPsec-VPN-Sites angeben, geben Sie einen Netzwerkbereich und keine bestimmte IP-Adresse ein. Verwenden Sie das CIDR-Format, z. B. 192.168.99.0/24.
Die Peer-ID ist ein Bezeichner, der das Remotegerät eindeutig identifiziert, das die VPN-Verbindung beendet. In der Regel ist dies die öffentliche IP-Adresse. Bei Peers mit Zertifikatsauthentifizierung muss diese ID als Distinguished Name im Peer-Zertifikat festgelegt sein. Bei PSK-Peers kann diese ID eine beliebige Zeichenfolge sein. NSX empfiehlt die Verwendung des FQDN oder der öffentlichen IP-Adresse des Remotegeräts als Peer-ID. Wenn die IP-Adresse des Peers aus einem anderen VDC-Organisationsnetzwerk stammt, geben Sie die native IP-Adresse des Peers ein. Wenn NAT für den Peer konfiguriert wurde, geben Sie die private IP-Adresse des Peers ein.
Der Peer-Endpoint gibt die öffentliche IP-Adresse des Remotegeräts an, zu dem Sie eine Verbindung herstellen. Der Peer-Endpoint kann eine andere Adresse als die Peer-ID haben, wenn das Gateway des Peers nicht direkt über das Internet erreicht werden kann, sondern über ein anderes Gerät verbunden wird. Wenn NAT für den Peer konfiguriert wurde, geben Sie die öffentliche IP-Adresse ein, die das Gerät für NAT verwendet.
Mit der lokalen ID wird die öffentliche IP-Adresse des Edge-Gateways des Organisations-VDCs angegeben. Sie können eine IP-Adresse oder einen Hostnamen zusammen mit der Firewall des Edge-Gateways eingeben.
Der lokale Endpoint gibt das Netzwerk im Organisation-VDC an, in dem das Edge-Gateway überträgt. In der Regel stellt das externe Netzwerk des Edge-Gateways den lokalen Endpunkt dar.

Voraussetzungen

Navigieren zum Bildschirm „IPsec-VPN“.
Konfigurieren von IPsec-VPN.
Wenn Sie beabsichtigen, ein globales Zertifikat als Authentifizierungsmethode zu verwenden, stellen Sie sicher, dass die Zertifikatauthentifizierung im Bildschirm Globale Konfiguration aktiviert ist. Weitere Informationen finden Sie unter Angeben der globalen IPsec-VPN-Einstellungen.

Prozedur

Öffnen Sie „Edge-Gateway-Dienste“.
1. Klicken Sie in der oberen Navigationsleiste auf Netzwerk und dann auf Edge-Gateways.
2. Wählen Sie das Edge-Gateway aus, das Sie bearbeiten möchten, und klicken Sie auf Dienste.
Klicken Sie auf der Registerkarte IPsec-VPN auf IPsec-VPN-Sites.
Klicken Sie auf die Schaltfläche Hinzufügen ().

Konfigurieren Sie die Einstellungen für die IPsec-VPN-Verbindung.

Option	Aktion
Aktiviert	Aktivieren Sie diese Verbindung zwischen den zwei VPN-Endpoints.
PFS (Perfect Forward Secrecy) aktivieren	Aktivieren Sie diese Option, damit das System eindeutige öffentliche Schlüssel für alle IPsec-VPN-Sitzungen generiert, die Ihre Benutzer initiieren. Durch Aktivieren von PFS wird sichergestellt, dass das System keine Verknüpfung zwischen dem privaten Schlüssel des Edge-Gateways und allen Sitzungsschlüsseln erstellt. Die Beschädigung eines Sitzungsschlüssels betrifft nur die Daten, die in der von diesem bestimmten Schlüssel geschützten Sitzung ausgetauscht wurden. Auf andere Daten wirkt sie sich nicht aus. Ein beschädigter privater Schlüssel des Servers kann nicht zum Entschlüsseln von archivierten Sitzungen oder zukünftigen Sitzungen verwendet werden. Wenn PFS aktiviert ist, tritt bei IPsec-VPN-Verbindungen mit diesem Edge-Gateway ein leichter Verarbeitungs-Overhead auf. Wichtig: Der eindeutige Sitzungsschlüssel darf nicht zum Ableiten von zusätzlichen Schlüsseln verwendet werden. Zudem müssen beide Seiten des IPsec-VPN-Tunnels PFS unterstützen, damit es funktioniert.
Name	(Optional) Geben Sie einen Namen für die Verbindung ein.
Lokale ID	Geben Sie die externe IP-Adresse der Edge-Gateway-Instanz ein, die die öffentliche IP-Adresse des Edge-Gateways ist. Die IP-Adresse wird für die Peer-ID in der IPsec-VPN-Konfiguration auf der Remote-Site verwendet.
Lokaler Endpoint	Geben Sie das Netzwerk ein, das der lokale Endpoint für diese Verbindung ist. Der lokale Endpoint gibt das Netzwerk im Organisation-VDC an, in dem das Edge-Gateway überträgt. In der Regel ist das externe Netzwerk der lokale Endpoint. Wenn Sie unter Verwendung eines vorinstallierten Schlüssels einen IP-zu-IP-Tunnel hinzufügen, können die lokale ID und die ID des lokalen Endpoints identisch sein.
Lokale Subnetze	Geben Sie die Netzwerke ein, die von den Sites gemeinsam genutzt werden sollen, und verwenden Sie zur Eingabe mehrerer Subnetze ein Komma als Trennzeichen. Geben Sie einen Netzwerkbereich (keine spezifische IP-Adresse) ein, indem Sie die IP-Adresse im CIDR-Format eingeben, z. B. `192.168.99.0/24`.
Peer-ID	Geben Sie eine Peer-ID ein, um die Peer-Site eindeutig zu identifizieren. Die Peer-ID ist ein Bezeichner, der das Remotegerät eindeutig identifiziert, das die VPN-Verbindung beendet. In der Regel ist dies die öffentliche IP-Adresse. Bei Peers mit Zertifikatsauthentifizierung muss die ID der Distinguished Name im Peer-Zertifikat sein. Bei PSK-Peers kann diese ID eine beliebige Zeichenfolge sein. Eine Best Practice für NSX besteht darin, die öffentliche IP-Adresse oder den FQDN des Remotegeräts als Peer-ID zu verwenden. Wenn die IP-Adresse des Peers aus einem anderen VDC-Organisationsnetzwerk stammt, geben Sie die native IP-Adresse des Peers ein. Wenn NAT für den Peer konfiguriert wurde, geben Sie die private IP-Adresse des Peers ein.
Peer-Endpoint	Geben Sie die IP-Adresse oder den FQDN der Peer-Site ein, also die öffentliche Adresse des Remotegeräts, mit dem Sie eine Verbindung herstellen. Hinweis: Wenn NAT für den Peer konfiguriert wurde, geben Sie die öffentliche IP-Adresse ein, die das Gerät für NAT verwendet.
Peer-Subnetze	Geben Sie das Remotenetzwerk ein, mit dem das VPN eine Verbindung herstellt, und verwenden Sie zur Eingabe mehrerer Subnetze ein Komma als Trennzeichen. Geben Sie einen Netzwerkbereich (keine spezifische IP-Adresse) ein, indem Sie die IP-Adresse im CIDR-Format eingeben, z. B. `192.168.99.0/24`.
Verschlüsselungsalgorithmus	Wählen Sie den Typ des Verschlüsselungsalgorithmus im Dropdown-Menü aus. Hinweis: Der Verschlüsselungstyp, den Sie auswählen, muss mit dem Verschlüsselungstyp übereinstimmen, der auf dem VPN-Gerät der Remote-Site konfiguriert ist.
Authentifizierung	Wählen Sie eine Authentifizierung aus. Zu den Optionen gehören: PSK „Vorinstallierter Schlüssel“ (Pre-Shared Key, PSK) gibt an, dass der vom Edge-Gateway und der Peer-Site gemeinsam verwendete geheime Schlüssel für die Authentifizierung verwendet wird. Zertifikat Die Authentifizierung mittels Zertifikat gibt an, dass das auf globaler Ebene definierte Zertifikat für die Authentifizierung verwendet wird. Diese Option ist nicht verfügbar, es sei denn, Sie haben auf der Registerkarte IPsec-VPN im Bildschirm Globale Konfiguration das globale Zertifikat konfiguriert.
Gemeinsam verwendeten Schlüssel ändern	(Optional) Wenn Sie die Einstellungen einer vorhandenen Verbindung aktualisieren, können Sie diese Option aktivieren, um das Feld Vorinstallierter Schlüssel zur Verfügung zu stellen und den gemeinsam verwendeten Schlüssel zu aktualisieren.
Vorinstallierter Schlüssel	Wenn Sie PSK als Authentifizierungstyp ausgewählt haben, geben Sie eine alphanumerische geheime Zeichenfolge ein. Diese Zeichenfolge darf maximal 128 Byte lang sein. Hinweis: Der gemeinsam verwendete Schlüssel muss mit dem Schlüssel übereinstimmen, der auf dem VPN-Gerät der Remote-Site konfiguriert ist. Eine Best Practice besteht darin, einen gemeinsam verwendeten Schlüssel zu konfigurieren, wenn anonyme Sites eine Verbindung zum VPN-Dienst herstellen.
Gemeinsam verwendeten Schlüssel anzeigen	(Optional) Aktivieren Sie diese Option, damit der gemeinsam verwendete Schlüssel auf dem Bildschirm angezeigt wird.
Diffie-Hellman-Gruppe	Wählen Sie das kryptographische Schema aus, das es der Peer-Site und dem Edge-Gateway ermöglicht, über einen ungesicherten Kommunikationskanal einen gemeinsamen geheimen Schlüssel einzurichten. Hinweis: Die Diffie-Hellman-Gruppe muss mit dem übereinstimmen, was auf dem VPN-Gerät der Remote-Site konfiguriert ist.
Erweiterung	(Optional) Geben Sie eine der folgenden Optionen ein: `securelocaltrafficbyip=IP-Adresse` zum Umleiten des lokalen Datenverkehrs des Edge-Gateways über den IPSec-VPN-Tunnel. Dies ist der Standardwert. `passthroughSubnets=PeerSubnetIPAddress`, um überlappende Subnetze zu unterstützen.

Klicken Sie auf Behalten.
Klicken Sie auf Änderungen speichern.

Nächste Maßnahme

Konfigurieren Sie die Verbindung für die Remote-Site. Sie müssen die IPsec-VPN-Verbindung auf beiden Seiten der Verbindung konfigurieren: dem Organisations-VDC und der Peer-Site.

Aktivieren Sie den IPsec-VPN-Dienst auf diesem Edge-Gateway. Wenn mindestens eine IPsec-VPN-Verbindung konfiguriert ist, können Sie den Dienst aktivieren. Weitere Informationen finden Sie unter Aktivieren des IPsec-VPN-Diensts auf einem NSX Data Center for vSphere-Edge-Gateway.