Verwenden Sie den Bildschirm „Private Netzwerke“ auf der Registerkarte SSL VPN-Plus, um die privaten Netzwerke im VMware Cloud Director Service Provider Admin Portal zu konfigurieren. Die privaten Netzwerke sind diejenigen, auf die die VPN-Clients Zugriff haben sollen, wenn die Remotebenutzer eine Verbindung über ihre VPN-Clients und den SSL-VPN-Tunnel herstellen. Die aktivierten privaten Netzwerke werden in der Routing-Tabelle des VPN-Clients installiert.

Die privaten Netzwerke sind eine Liste aller erreichbaren IP-Netzwerke hinter dem Edge-Gateway, das Datenverkehr für einen VPN-Client verschlüsseln soll, oder das von der Verschlüsselung ausgeschlossen werden soll. Jedes private Netzwerk, das Zugriff über einen SSL-VPN-Tunnel erfordert, muss als separater Eintrag hinzugefügt werden. Unter Verwendung von Techniken zur Routenzusammenfassung können Sie die Anzahl der Einträge einschränken.
  • SSL VPN-Plus ermöglicht Remotebenutzern den Zugriff auf private Netzwerke, basierend auf der Reihenfolge von oben nach unten, in der die IP-Pools in der Tabelle auf dem Bildschirm angezeigt werden. Nachdem Sie die privaten Netzwerke zur Tabelle auf dem Bildschirm hinzugefügt haben, können Sie ihre Positionen in der Tabelle mit den Pfeiltasten nach oben und unten anpassen.
  • Wenn Sie für ein privates Netzwerk „TCP-Optimierung aktivieren“ auswählen, funktionieren möglicherweise einige Anwendungen wie z. B. FTP im aktiven Modus nicht innerhalb dieses Subnetzes. Zum Hinzufügen eines im aktiven Modus konfigurierten FTP-Servers müssen Sie ein weiteres privates Netzwerk für den FTP-Server hinzufügen und die TCP-Optimierung für dieses private Netzwerk deaktivieren. Außerdem muss das private Netzwerk für diesen FTP-Server aktiviert sein und in der Tabelle auf dem Bildschirm über dem TCP-optimierten privaten Netzwerk angezeigt werden.

Voraussetzungen

Prozedur

  1. Klicken Sie auf der Registerkarte SSL VPN-Plus auf Private Netzwerke.
  2. Klicken Sie auf die Schaltfläche Hinzufügen (Schaltfläche „Erstellen“).
  3. Konfigurieren Sie die Einstellungen des privaten Netzwerks.
    Option Aktion
    Netzwerk Geben Sie die IP-Adresse des privaten Netzwerks im CIDR-Format ein, wie z. B. 192169.1.0/24.
    Beschreibung (Optional) Geben Sie eine Beschreibung für das Netzwerk ein.
    Datenverkehr senden Geben Sie an, wie der VPN-Client den Datenverkehr des privaten Netzwerks und des Internets senden soll.
    • Über Tunnel

      Der VPN-Client sendet den Datenverkehr des privaten Netzwerks und des Internets über das Edge-Gateway, auf dem SSL VPN-Plus aktiviert ist.

    • Bypass für Tunnel

      Der VPN-Client umgeht das Edge-Gateway und sendet den Datenverkehr direkt an den privaten Server.

    TCP-Optimierung aktivieren (Optional) Zur bestmöglichen Optimierung der Internetgeschwindigkeit müssen Sie, wenn Sie für das Senden des Datenverkehrs Über Tunnel auswählen, auch die Option TCP-Optimierung aktivieren auswählen.

    Durch die Auswahl dieser Option wird die Leistung von TCP-Paketen innerhalb des VPN-Tunnels verbessert, nicht jedoch die Leistung des UDP-Datenverkehrs.

    Bei einem konventionellen SSL-VPN-Tunnel mit Vollzugriff werden TCP/IP-Daten in einem zweiten TCP/IP-Stack zwecks Verschlüsselung über das Internet übertragen. Diese konventionelle Methode kapselt die Daten der Anwendungsschicht in zwei getrennte TCP-Streams. Wenn Paketverluste auftreten, was selbst unter optimalen Internetbedingungen passieren kann, kommt es zu einer Leistungsbeeinträchtigung mit der Bezeichnung „TCP-over-TCP Meltdown“. Bei Vorliegen von „TCP-over-TCP Meltdown“ korrigieren zwei TCP-Instrumente dasselbe einzelne Paket von IP-Daten, was den Netzwerkdurchsatz beeinträchtigt und Verbindungszeitüberschreitungen verursacht. Durch die Auswahl von TCP-Optimierung aktivieren wird verhindert, dass dieses TCP-over-TCP-Problem auftritt.

    Hinweis: Wenn Sie die TCP-Optimierung aktivieren, gilt Folgendes:
    • Sie müssen die Portnummern eingeben, für die der Internetdatenverkehr optimiert werden soll.
    • Der SSL VPN-Server öffnet die TCP-Verbindung im Namen des VPN-Clients. Wenn der SSL-VPN-Server die TCP-Verbindung öffnet, wird die erste automatisch generierte Edge-Firewallregel angewendet, mit der alle über das Edge-Gateway geöffneten Verbindungen übergeben werden können. Nicht optimierter Datenverkehr wird durch die regulären Edge-Firewallregeln ausgewertet. Mit der standardmäßig generierten TCP-Regel werden beliebige Verbindungen zugelassen.
    Ports Wenn Sie Über Tunnel auswählen, geben Sie einen Bereich von Portnummern ein, die für den Remotebenutzer für den Zugriff auf interne Server geöffnet sein sollen, wie z. B. 20-21 für FTP-Datenverkehr und 80-81 für HTTP-Datenverkehr.

    Um Benutzern uneingeschränkten Zugriff zu gewähren, lassen Sie das Feld leer.

    Status Aktivieren oder deaktivieren Sie das private Netzwerk.
  4. Klicken Sie auf Behalten.
  5. Klicken Sie auf Änderungen speichern, um die Konfiguration im System zu speichern.

Nächste Maßnahme

Fügen Sie einen Authentifizierungsserver hinzu. Weitere Informationen finden Sie unter Konfigurieren eines Authentifizierungsdiensts für SSL VPN-Plus auf einem NSX Data Center for vSphere-Edge-Gateway im VMware Cloud Director Service Provider Admin Portal.

Wichtig: Fügen Sie die entsprechenden Firewallregeln hinzu, um den Netzwerkverkehr zu den privaten Netzwerken, die Sie in diesem Bildschirm hinzugefügt haben, zuzulassen. Weitere Informationen finden Sie unter Hinzufügen einer NSX Data Center for vSphere-Edge-Gateway-Firewallregel im VMware Cloud Director Service Provider Admin Portal.