Die SSL VPN-Plus-Dienste für ein NSX Data Center for vSphere-Edge-Gateway in der VMware Cloud Director-Umgebung ermöglichen Remotebenutzern die sichere Verbindung mit den privaten Netzwerken und Anwendungen in den Organisations-VDCs, die von diesem Edge-Gateway gestützt werden. Sie können verschiedene SSL VPN-Plus-Dienste auf dem Edge-Gateway konfigurieren.
In Ihrer VMware Cloud Director-Umgebung unterstützt die SSL VPN-Plus-Funktion des Edge-Gateways den Netzwerkzugriffsmodus. Remote-Benutzer müssen einen SSL-Client installieren, um sichere Verbindungen und Zugriff auf die Netzwerke und Anwendungen hinter dem Edge-Gateway herzustellen. Im Rahmen der SSL VPN-Plus-Konfiguration des Edge-Gateways fügen Sie die Installationspakete für das Betriebssystem hinzu und konfigurieren bestimmte Parameter. Weitere Informationen finden Sie unter Hinzufügen eines Installationspakets für den SSL VPN-Plus Client auf einem NSX Data Center for vSphere-Edge-Gateway mithilfe des VMware Cloud Director Tenant Portal.
Das Konfigurieren von SSL VPN-Plus auf einem Edge-Gateway ist ein mehrstufiger Prozess.
Voraussetzungen
Vergewissern Sie sich, dass alle für SSL VPN-Plus erforderlichen SSL-Zertifikate zum Bildschirm Zertifikate hinzugefügt wurden. Weitere Informationen finden Sie unter SSL-Zertifikatsverwaltung auf einem NSX Data Center for vSphere-Edge-Gateway mithilfe des VMware Cloud Director Tenant Portal.
Navigieren zum Bildschirm „SSL-VPN Plus“ eines NSX Data Center for vSphere-Edge-Gateways im VMware Cloud Director Tenant Portal
Sie können zum Bildschirm „SSL-VPN Plus“ navigieren, um mit der Konfiguration des SSL-VPN Plus-Diensts für ein NSX Data Center for vSphere-Edge-Gateway in VMware Cloud Director zu beginnen.
Prozedur
- Öffnen Sie „Edge-Gateway-Dienste“.
- Wählen Sie im primären linken Navigationsbereich Netzwerk und wählen Sie dann in der oberen Navigationsleiste der Seite die Option Edge-Gateways.
- Wählen Sie das Edge-Gateway aus, das Sie bearbeiten möchten, und klicken Sie auf Dienste.
- Klicken Sie auf die Registerkarte SSL VPN-Plus.
Nächste Maßnahme
Konfigurieren Sie die SSL VPN-Plus-Standardeinstellungen im Bildschirm Allgemein. Weitere Informationen finden Sie unter Anpassen der allgemeinen SSL VPN-Plus-Einstellungen für ein NSX Data Center for vSphere-Edge-Gateway im VMware Cloud Director Tenant Portal.
Konfigurieren der SSL-VPN-Servereinstellungen auf einem NSX Data Center for vSphere-Edge-Gateway mithilfe des VMware Cloud Director Tenant Portal
Mit diesen Servereinstellungen wird der SSL VPN-Server konfiguriert, wie z. B. die IP-Adresse und der Port, der vom Dienst überwacht wird, die Schlüsselliste des Diensts und das Dienstzertifikat. Beim Herstellen einer Verbindung mit dem NSX Data Center for vSphere-Edge-Gateway in VMware Cloud Director geben die Remotebenutzer dieselbe IP-Adresse und den Port an, die Sie in diesen Servereinstellungen festgelegt haben.
Wenn Ihr Edge-Gateway mit mehreren Overlay-IP-Adressnetzwerken für die externe Schnittstelle konfiguriert ist, kann sich die IP-Adresse, die Sie für den SSL VPN-Server auswählen, von der für die standardmäßige externe Schnittstelle des Edge-Gateways unterscheiden.
Beim Konfigurieren der SSL-VPN-Servereinstellungen müssen Sie den Verschlüsselungsalgorithmus auswählen, der für den SSL-VPN-Tunnel verwendet werden soll. Sie können eine oder mehrere Verschlüsselungen auswählen. Gehen Sie bei der Auswahl der Verschlüsselungen sorgfältig vor und berücksichtigen Sie die Vor- und Nachteile der verschiedenen Verschlüsselungen.
Standardmäßig verwendet das System das selbstsignierte Standardzertifikat, das das System für jedes Edge-Gateway als Standard-Serveridentitätszertifikat für den SSL-VPN-Tunnel generiert. Statt dieses Standardzertifikats können Sie auch ein digitales Zertifikat verwenden, das Sie dem System im Bildschirm Zertifikate hinzugefügt haben.
Voraussetzungen
- Vergewissern Sie sich, dass die unter Konfigurieren von SSL VPN-Plus auf einem NSX Data Center for vSphere-Edge-Gateway mithilfe des VMware Cloud Director Tenant Portal beschriebenen Voraussetzungen erfüllt sind.
- Wenn Sie ein anderes Dienstzertifikat als das Standardzertifikat verwenden möchten, importieren Sie das erforderliche Zertifikat in das System. Weitere Informationen finden Sie unter Hinzufügen eines Dienstzertifikats zum Edge-Gateway mithilfe des VMware Cloud Director Tenant Portal.
- Navigieren zum Bildschirm „SSL-VPN Plus“ eines NSX Data Center for vSphere-Edge-Gateways im VMware Cloud Director Tenant Portal.
Prozedur
Nächste Maßnahme
Fügen Sie einen IP-Pool hinzu, sodass Remotebenutzern IP-Adressen zugewiesen werden, wenn sie eine Verbindung über SSL VPN-Plus herstellen. Weitere Informationen finden Sie unter Erstellen eines IP-Pools für die Verwendung mit SSL VPN-Plus auf einem NSX Data Center for vSphere-Edge-Gateway im VMware Cloud Director Tenant Portal.
Erstellen eines IP-Pools für die Verwendung mit SSL VPN-Plus auf einem NSX Data Center for vSphere-Edge-Gateway im VMware Cloud Director Tenant Portal
Den Remotebenutzern werden virtuelle IP-Adressen aus den statischen IP-Pools zugewiesen, die Sie über den Bildschirm IP-Pools auf der Registerkarte SSL VPN-Plus im VMware Cloud Director Tenant Portal konfigurieren.
Jeder in diesem Bildschirm hinzugefügte IP-Pool führt zu einem IP-Adress-Subnetz, das auf dem Edge-Gateway konfiguriert ist. Die in diesen IP-Pools verwendeten IP-Adressbereiche müssen sich von allen anderen auf dem Edge-Gateway konfigurierten Netzwerken unterscheiden.
Voraussetzungen
Prozedur
- Klicken Sie auf der Registerkarte SSL VPN-Plus auf IP-Pools.
- Klicken Sie auf die Schaltfläche Erstellen ().
- Konfigurieren Sie die Einstellungen des IP-Pools.
Option Aktion IP-Bereich Geben Sie einen IP-Adressbereich für diesen IP-Pool ein, wie z. B. 127.0.0.1–127.0.0.9.. Diese IP-Adressen werden VPN-Clients zugewiesen, wenn sie sich authentifizieren und eine Verbindung mit dem SSL-VPN-Tunnel herstellen.
Netzmaske Geben Sie die Netzmaske des IP-Pools ein, wie z. B. 255.255.255.0. Gateway Geben Sie die IP-Adresse ein, die das Edge-Gateway erstellen soll, und weisen Sie sie als Gateway-Adresse für diesen IP-Pool zu. Beim Erstellen des IP-Pools wird ein virtueller Adapter auf der Edge-Gateway-VM erstellt und diese IP-Adresse auf dieser virtuellen Schnittstelle konfiguriert. Diese IP-Adresse kann eine beliebige IP-Adresse innerhalb des Subnetzes sein, die nicht auch im Bereich des Feldes IP-Bereich liegt.
Beschreibung (Optional) Geben Sie eine Beschreibung für diesen IP-Pool ein. Status Wählen Sie aus, ob dieser IP-Pool aktiviert oder deaktiviert werden soll. Primäres DNS (Optional) Geben Sie den Namen des primären DNS-Servers ein, der für die Namensauflösung für diese virtuellen IP-Adressen verwendet wird. Sekundäres DNS (Optional) Geben Sie den Namen des zu verwendenden sekundären DNS-Servers ein. DNS-Suffix (Optional) Geben Sie das DNS-Suffix für die Domäne, in der die Clientsysteme gehostet werden, für eine domänenbasierte Hostnamensauflösung ein. WINS-Server (Optional) Geben Sie die Adresse des WINS-Servers entsprechend den Anforderungen Ihrer Organisation ein. - Klicken Sie auf Behalten.
Ergebnisse
Nächste Maßnahme
Fügen Sie private Netzwerke hinzu, auf die die Remotebenutzer bei der Verbindungsherstellung mit SSL VPN-Plus zugreifen können. Weitere Informationen finden Sie unter Hinzufügen eines privaten Netzwerks für die Verwendung mit SSL VPN-Plus auf einem NSX Data Center for vSphere-Edge-Gateway im VMware Cloud Director Tenant Portal.
Hinzufügen eines privaten Netzwerks für die Verwendung mit SSL VPN-Plus auf einem NSX Data Center for vSphere-Edge-Gateway im VMware Cloud Director Tenant Portal
Verwenden Sie den Bildschirm „Private Netzwerke“ auf der Registerkarte SSL VPN-Plus, um die privaten Netzwerke im VMware Cloud Director Tenant Portal zu konfigurieren. Die privaten Netzwerke sind diejenigen, auf die die VPN-Clients Zugriff haben sollen, wenn die Remotebenutzer eine Verbindung über ihre VPN-Clients und den SSL-VPN-Tunnel herstellen. Die aktivierten privaten Netzwerke werden in der Routing-Tabelle des VPN-Clients installiert.
- SSL VPN-Plus ermöglicht Remotebenutzern den Zugriff auf private Netzwerke, basierend auf der Reihenfolge von oben nach unten, in der die IP-Pools in der Tabelle auf dem Bildschirm angezeigt werden. Nachdem Sie die privaten Netzwerke zur Tabelle auf dem Bildschirm hinzugefügt haben, können Sie ihre Positionen in der Tabelle mit den Pfeiltasten nach oben und unten anpassen.
- Wenn Sie für ein privates Netzwerk „TCP-Optimierung aktivieren“ auswählen, funktionieren möglicherweise einige Anwendungen wie z. B. FTP im aktiven Modus nicht innerhalb dieses Subnetzes. Zum Hinzufügen eines im aktiven Modus konfigurierten FTP-Servers müssen Sie ein weiteres privates Netzwerk für den FTP-Server hinzufügen und die TCP-Optimierung für dieses private Netzwerk deaktivieren. Außerdem muss das private Netzwerk für diesen FTP-Server aktiviert sein und in der Tabelle auf dem Bildschirm über dem TCP-optimierten privaten Netzwerk angezeigt werden.
Voraussetzungen
Prozedur
- Klicken Sie auf der Registerkarte SSL VPN-Plus auf Private Netzwerke.
- Klicken Sie auf die Schaltfläche Hinzufügen ().
- Konfigurieren Sie die Einstellungen des privaten Netzwerks.
Option Aktion Netzwerk Geben Sie die IP-Adresse des privaten Netzwerks im CIDR-Format ein, wie z. B. 192169.1.0/24. Beschreibung (Optional) Geben Sie eine Beschreibung für das Netzwerk ein. Datenverkehr senden Geben Sie an, wie der VPN-Client den Datenverkehr des privaten Netzwerks und des Internets senden soll. - Über Tunnel
Der VPN-Client sendet den Datenverkehr des privaten Netzwerks und des Internets über das Edge-Gateway, auf dem SSL VPN-Plus aktiviert ist.
- Bypass für Tunnel
Der VPN-Client umgeht das Edge-Gateway und sendet den Datenverkehr direkt an den privaten Server.
TCP-Optimierung aktivieren (Optional) Zur bestmöglichen Optimierung der Internetgeschwindigkeit müssen Sie, wenn Sie für das Senden des Datenverkehrs Über Tunnel auswählen, auch die Option TCP-Optimierung aktivieren auswählen. Durch die Auswahl dieser Option wird die Leistung von TCP-Paketen innerhalb des VPN-Tunnels verbessert, nicht jedoch die Leistung des UDP-Datenverkehrs.
Bei einem konventionellen SSL-VPN-Tunnel mit Vollzugriff werden TCP/IP-Daten in einem zweiten TCP/IP-Stack zwecks Verschlüsselung über das Internet übertragen. Diese konventionelle Methode kapselt die Daten der Anwendungsschicht in zwei getrennte TCP-Streams. Wenn Paketverluste auftreten, was selbst unter optimalen Internetbedingungen passieren kann, kommt es zu einer Leistungsbeeinträchtigung mit der Bezeichnung „TCP-over-TCP Meltdown“. Bei Vorliegen von „TCP-over-TCP Meltdown“ korrigieren zwei TCP-Instrumente dasselbe einzelne Paket von IP-Daten, was den Netzwerkdurchsatz beeinträchtigt und Verbindungszeitüberschreitungen verursacht. Durch die Auswahl von TCP-Optimierung aktivieren wird verhindert, dass dieses TCP-over-TCP-Problem auftritt.
Hinweis: Wenn Sie die TCP-Optimierung aktivieren, gilt Folgendes:- Sie müssen die Portnummern eingeben, für die der Internetdatenverkehr optimiert werden soll.
- Der SSL VPN-Server öffnet die TCP-Verbindung im Namen des VPN-Clients. Wenn der SSL-VPN-Server die TCP-Verbindung öffnet, wird die erste automatisch generierte Edge-Firewallregel angewendet, mit der alle über das Edge-Gateway geöffneten Verbindungen übergeben werden können. Nicht optimierter Datenverkehr wird durch die regulären Edge-Firewallregeln ausgewertet. Mit der standardmäßig generierten TCP-Regel werden beliebige Verbindungen zugelassen.
Ports Wenn Sie Über Tunnel auswählen, geben Sie einen Bereich von Portnummern ein, die für den Remotebenutzer für den Zugriff auf interne Server geöffnet sein sollen, wie z. B. 20-21 für FTP-Datenverkehr und 80-81 für HTTP-Datenverkehr. Um Benutzern uneingeschränkten Zugriff zu gewähren, lassen Sie das Feld leer.
Status Aktivieren oder deaktivieren Sie das private Netzwerk. - Über Tunnel
- Klicken Sie auf Behalten.
- Klicken Sie auf Änderungen speichern, um die Konfiguration im System zu speichern.
Nächste Maßnahme
Fügen Sie einen Authentifizierungsserver hinzu. Weitere Informationen finden Sie unter Konfigurieren eines Authentifizierungsdiensts für SSL VPN-Plus auf einem NSX Data Center for vSphere-Edge-Gateway im VMware Cloud Director Tenant Portal.
Konfigurieren eines Authentifizierungsdiensts für SSL VPN-Plus auf einem NSX Data Center for vSphere-Edge-Gateway im VMware Cloud Director Tenant Portal
Verwenden Sie den Bildschirm Authentifizierung auf der Registerkarte SSL VPN-Plus, um einen lokalen Authentifizierungsserver für den SSL VPN-Dienst des Edge-Gateways einzurichten und optional die Authentifizierung von Clientzertifikaten zu aktivieren. VMware Cloud Director verwendet diesen Authentifizierungsserver zur Authentifizierung der Benutzer, die eine Verbindung herstellen. Alle Benutzer, die im lokalen Authentifizierungsserver konfiguriert sind, werden authentifiziert.
Es kann nur ein lokaler SSL-VPN-Plus-Authentifizierungsserver auf dem Edge-Gateway konfiguriert werden. Wenn Sie auf + Lokal klicken und weitere Authentifizierungsserver angeben, wird beim Versuch, die Konfiguration zu speichern, eine Fehlermeldung angezeigt.
Die maximale Zeit für die Authentifizierung über SSL-VPN beträgt drei (3) Minuten. Dieser Maximalwert wird durch die Nichtauthentifizierungs-Zeitüberschreitung festgelegt, die standardmäßig 3 Minuten beträgt und nicht konfigurierbar ist. Wenn mehrere Authentifizierungsserver in der Autorisierungskette vorhanden sind und die Benutzerauthentifizierung länger als 3 Minuten dauert, wird der Benutzer infolgedessen nicht authentifiziert.
Voraussetzungen
- Navigieren zum Bildschirm „SSL-VPN Plus“ eines NSX Data Center for vSphere-Edge-Gateways im VMware Cloud Director Tenant Portal.
- Hinzufügen eines privaten Netzwerks für die Verwendung mit SSL VPN-Plus auf einem NSX Data Center for vSphere-Edge-Gateway im VMware Cloud Director Tenant Portal.
- Wenn Sie die Clientzertifikatauthentifizierung aktivieren möchten, stellen Sie sicher, dass ein CA-Zertifikat zum Edge-Gateway hinzugefügt wurde. Weitere Informationen finden Sie unter Hinzufügen eines CA-Zertifikats zum Edge-Gateway für die Überprüfung der Vertrauenswürdigkeit von SSL-Zertifikaten mithilfe des VMware Cloud Director Tenant Portal.
Prozedur
- Klicken Sie auf die Registerkarte SSL VPN-Plus und anschließend auf Authentifizierung.
- Klicken Sie auf Lokal.
- Konfigurieren Sie die Einstellungen des Authentifizierungsservers.
- (Optional) Aktivieren und konfigurieren Sie die Kennwortrichtlinie.
Option Beschreibung Kennwortrichtlinie aktivieren Aktivieren Sie die Durchsetzung der Einstellungen für die Kennwortrichtlinie, die Sie hier konfigurieren. Kennwortlänge Geben Sie die zulässige minimale und maximale Zeichenanzahl für die Kennwortlänge ein. Mindestanzahl Buchstaben (Optional) Geben Sie die Mindestanzahl von Buchstabe ein, die für das Kennwort erforderlich sind. Mindestanzahl Ziffern (Optional) Geben Sie die Mindestanzahl von numerischen Zeichen ein, die für das Kennwort erforderlich sind. Mindestanzahl Sonderzeichen (Optional) Geben Sie die Mindestanzahl der Sonderzeichen ein, beispielsweise kaufmännisches Und-Zeichen (&), Hashtag (#), Prozentzeichen (%) usw., die für das Kennwort erforderlich sind. Kennwort darf keine Benutzer-ID enthalten (Optional) Aktivieren Sie diese Option, um durchzusetzen, dass das Kennwort nicht die Benutzer-ID enthalten darf. Kennwort läuft ab in (Optional) Geben Sie die maximale Gültigkeitsdauer in Tagen für ein Kennwort ein, bevor der Benutzer es ändern muss. Ablaufbenachrichtigung in (Optional) Geben Sie die Anzahl der Tage vor dem Wert Kennwort läuft ab in ein, bei dem der Benutzer benachrichtigt wird, dass das Kennwort in Kürze abläuft. - (Optional) Aktivieren und konfigurieren Sie die Kontosperrungsrichtlinie.
Option Beschreibung Kontosperrungsrichtlinie aktivieren Aktivieren Sie die Durchsetzung der Einstellungen für die Kontosperrungsrichtlinie, die Sie hier konfigurieren. Wiederholungsanzahl Geben Sie die Anzahl der Zugriffsversuche ein, die ein Benutzer auf sein Konto hat. Wiederholungsdauer Geben Sie das Zeitintervall in Minuten ein, nach dessen Ablauf das Konto des Benutzers bei fehlgeschlagenen Anmeldeversuchen gesperrt wird. Wenn Sie beispielsweise für Wiederholungsanzahl den Wert 5 und für Wiederholungsdauer 1 Minute festlegen, wird das Konto des Benutzers nach 5 fehlgeschlagenen Anmeldeversuchen innerhalb einer Minute gesperrt.
Sperrdauer Geben Sie den Zeitraum ein, für den das Benutzerkonto gesperrt bleibt. Nach Ablauf dieses Zeitraums wird die Kontosperre automatisch aufgehoben.
- Aktivieren Sie im Abschnitt „Status“ diesen Authentifizierungsserver.
- (Optional) Konfigurieren Sie die sekundäre Authentifizierung.
Optionen Beschreibung Diesen Server für die sekundäre Authentifizierung verwenden (Optional) Geben Sie an, ob der Server als zweite Authentifizierungsebene verwendet werden soll. Sitzung bei Fehlschlag der Authentifizierung beenden (Optional) Geben Sie an, ob die VPN-Sitzung beendet werden soll, wenn die Authentifizierung fehlschlägt. - Klicken Sie auf Behalten.
- (Optional) Aktivieren und konfigurieren Sie die Kennwortrichtlinie.
- (Optional) Um die Clientzertifikatauthentifizierung zu aktivieren, klicken Sie auf Zertifikat ändern, aktivieren Sie die Umschaltoption für die Aktivierung und wählen Sie das zu verwendende CA-Zertifikat aus. Klicken Sie anschließend auf OK.
Nächste Maßnahme
Fügen Sie dem lokalen Authentifizierungsserver lokale Benutzer hinzu, damit diese eine Verbindung mit SSL VPN-Plus herstellen können. Weitere Informationen finden Sie unter Hinzufügen von SSL VPN-Plus-Benutzern zum lokalen SSL VPN-Plus-Authentifizierungsserver auf einem NSX Data Center for vSphere-Edge-Gateway mithilfe des VMware Cloud Director Tenant Portal.
Erstellen Sie ein Installationspaket, das den SSL-Client enthält, damit Remotebenutzer ihn auf ihren lokalen Systemen installieren können. Weitere Informationen finden Sie unter Hinzufügen eines Installationspakets für den SSL VPN-Plus Client auf einem NSX Data Center for vSphere-Edge-Gateway mithilfe des VMware Cloud Director Tenant Portal.
Hinzufügen von SSL VPN-Plus-Benutzern zum lokalen SSL VPN-Plus-Authentifizierungsserver auf einem NSX Data Center for vSphere-Edge-Gateway mithilfe des VMware Cloud Director Tenant Portal
Verwenden Sie zum Hinzufügen von Konten für Ihre Remotebenutzer zum lokalen Authentifizierungsserver für den SSL VPN-Dienst des NSX Data Center for vSphere-Edge-Gateways den Bildschirm Benutzer auf der Registerkarte SSL VPN-Plus im VMware Cloud Director Tenant Portal.
Voraussetzungen
Prozedur
- Klicken Sie auf der Registerkarte SSL VPN-Plus auf Benutzer.
- Klicken Sie auf die Schaltfläche Erstellen ().
- Konfigurieren Sie die folgenden Optionen für den Benutzer:
Option Beschreibung Benutzer-ID Geben Sie die Benutzer-ID ein. Kennwort Geben Sie ein Kennwort für den Benutzer ein. Kennwort erneut eingeben Geben Sie das Kennwort erneut ein. Vorname (Optional) Geben Sie den Vornamen des Benutzers ein. Nachname (Optional) Geben Sie den Nachnamen des Benutzers ein. Beschreibung (Optional) Geben Sie eine Beschreibung für den Benutzer ein. Aktiviert Geben Sie an, ob der Benutzer aktiviert oder deaktiviert ist. Kennwort läuft nie ab (Optional) Geben Sie an, ob für diesen Benutzer dasselbe Kennwort beibehalten werden soll. Kennwortänderung erlauben (Optional) Geben Sie an, ob der Benutzer das Kennwort ändern kann. Kennwort bei der nächsten Anmeldung ändern (Optional) Geben Sie an, ob dieser Benutzer das Kennwort bei der nächsten Anmeldung ändern muss. - Klicken Sie auf Behalten.
- Wiederholen Sie die Schritte, um weitere Benutzer hinzuzufügen.
Nächste Maßnahme
Fügen Sie dem lokalen Authentifizierungsserver lokale Benutzer hinzu, damit diese eine Verbindung mit SSL VPN-Plus herstellen können. Weitere Informationen finden Sie unter Hinzufügen von SSL VPN-Plus-Benutzern zum lokalen SSL VPN-Plus-Authentifizierungsserver auf einem NSX Data Center for vSphere-Edge-Gateway mithilfe des VMware Cloud Director Tenant Portal.
Erstellen Sie ein Installationspaket mit dem SSL-Client, damit Remotebenutzer diesen auf ihren lokalen Systemen installieren können. Weitere Informationen finden Sie unter Hinzufügen eines Installationspakets für den SSL VPN-Plus Client auf einem NSX Data Center for vSphere-Edge-Gateway mithilfe des VMware Cloud Director Tenant Portal.
Hinzufügen eines Installationspakets für den SSL VPN-Plus Client auf einem NSX Data Center for vSphere-Edge-Gateway mithilfe des VMware Cloud Director Tenant Portal
Zum Erstellen benannter Installationspakete des SSL VPN-Plus Clients für die Remotebenutzer verwenden Sie den Bildschirm „Installationspakete“ auf der Registerkarte SSL VPN-Plus im VMware Cloud Director Tenant Portal.
Sie können dem NSX Data Center for vSphere-Edge-Gateway ein Installationspaket des SSL VPN-Plus-Clients hinzufügen. Neue Benutzer werden zum Herunterladen und Installieren dieses Pakets aufgefordert, wenn sie sich anmelden, um die VPN-Verbindung zum ersten Mal zu nutzen. Diese Clientinstallationspakete können nach dem Hinzufügen vom FQDN der öffentlichen Schnittstelle des Edge-Gateways heruntergeladen werden.
Sie können Installationspakete erstellen, die unter Windows-, Linux- und Mac-Betriebssysteme ausgeführt werden. Wenn Sie unterschiedliche Installationsparameter pro SSL VPN-Client benötigen, erstellen Sie ein Installationspaket für jede Konfiguration.
Voraussetzungen
Prozedur
- Klicken Sie auf der Registerkarte SSL VPN-Plus im Mandantenportal auf Installationspakete.
- Klicken Sie auf die Schaltfläche Hinzufügen ().
- Konfigurieren Sie die Einstellungen für das Installationspaket.
Option Beschreibung Profilname Geben Sie einen Profilnamen für dieses Installationspaket ein. Dieser Name wird dem Remotebenutzer angezeigt, um diese SSL-VPN-Verbindung zum Edge-Gateway zu identifizieren.
Gateway Geben Sie die IP-Adresse oder den FQDN der öffentlichen Schnittstelle des Edge-Gateways ein. Die IP-Adresse oder der FQDN, die bzw. den Sie eingeben, ist an den SSL-VPN-Client gebunden. Wenn der Client auf dem lokalen System des Remotebenutzers installiert ist, wird diese IP-Adresse bzw. dieser FQDN auf diesem SSL VPN-Client angezeigt.
Um zusätzliche Edge-Gateway-Uplink-Schnittstellen an diesen SSL-VPN-Client zu binden, klicken Sie auf die Schaltfläche Hinzufügen (), um Zeilen hinzuzufügen und ihre Schnittstellen-IP-Adressen oder FQDNs und Ports einzugeben.
Port (Optional) Um den Portwert des angezeigten Standardwerts zu ändern, doppelklicken Sie auf den Wert und geben Sie einen neuen Wert ein. Windows
Linux
Mac
Wählen Sie die Betriebssysteme aus, für die Sie die Installationspakete erstellen möchten. Beschreibung (Optional) Geben Sie eine Beschreibung für den Benutzer ein. Aktiviert Geben Sie an, ob dieses Paket aktiviert oder deaktiviert ist. - Wählen Sie die Installationsparameter für Windows aus.
Option Beschreibung Client bei der Anmeldung starten Startet den SSL-VPN-Client, wenn sich der Remotebenutzer beim lokalen System anmeldet. Kennwortspeicherung erlauben Lässt zu, dass der Client das Kennwort des Benutzers speichert. Unbeaufsichtigten Installationsmodus aktivieren Blendet die Installationsbefehle der Remotebenutzer aus. SSL-Client-Netzwerkadapter ausblenden Blendet den VMware SSL VPN-Plus-Adapter aus, der zusammen mit dem Installationspaket des SSL-VPN-Clients auf dem Computer des Remotebenutzers installiert wird. Taskleistensymbol für Client ausblenden Mit dieser Option können Sie das SSL VPN-Taskleistensymbol, das angibt, ob die VPN-Verbindung aktiv ist oder nicht, ausblenden. Desktopsymbol erstellen Erstellt auf dem Desktop des Benutzers ein Symbol zum Aufrufen des SSL-Clients. Unbeaufsichtigten Betriebsmodus aktivieren Blendet das Fenster mit der Information, dass die Installation abgeschlossen ist, aus. Validierung des Serversicherheitszertifikats Der SSL VPN-Client prüft das SSL VPN-Serverzertifikat, bevor die sichere Verbindung hergestellt wird. - Klicken Sie auf Behalten.
Nächste Maßnahme
Bearbeiten Sie die Clientkonfiguration. Weitere Informationen finden Sie unter Bearbeiten der SSL VPN-Plus Client-Konfiguration auf einem NSX Data Center for vSphere-Edge-Gateway mithilfe des VMware Cloud Director Tenant Portal.
Bearbeiten der SSL VPN-Plus Client-Konfiguration auf einem NSX Data Center for vSphere-Edge-Gateway mithilfe des VMware Cloud Director Tenant Portal
Verwenden Sie zum Anpassen der Reaktion des SSL VPN-Client-Tunnels bei Anmeldung des Remotebenutzers bei SSL VPN den Bildschirm Client-Konfiguration auf der Registerkarte SSL VPN-Plus im VMware Cloud Director Tenant Portal.
Voraussetzungen
Prozedur
Anpassen der allgemeinen SSL VPN-Plus-Einstellungen für ein NSX Data Center for vSphere-Edge-Gateway im VMware Cloud Director Tenant Portal
Das System legt standardmäßig einige SSL VPN-Plus-Einstellungen für ein Edge-Gateway in Ihrer VMware Cloud Director-Umgebung fest. Auf dem Bildschirm Allgemeine Einstellungen auf der Registerkarte SSL VPN-Plus im VMware Cloud Director-Mandantenportal können Sie diese Einstellungen anpassen.
Voraussetzungen
Prozedur
- Klicken Sie auf der Registerkarte SSL VPN-Plus auf Allgemeine Einstellungen.
- Bearbeiten Sie die allgemeinen Einstellungen entsprechend den Anforderungen Ihrer Organisation.
Option Beschreibung Mehrere Anmeldungen mit demselben Benutzernamen verhindern Aktivieren Sie diese Einstellung, um einen Remotebenutzer auf eine aktive Anmeldungssitzung unter demselben Benutzernamen zu beschränken. Komprimierung Aktivieren Sie diese Einstellung, um die TCP-basierte intelligente Datenkomprimierung zu aktivieren und die Datenübertragungsgeschwindigkeit zu erhöhen. Protokollierung aktivieren Aktivieren Sie diese Einstellung, um ein Protokoll des Datenverkehrs bereitzustellen, der über das SSL VPN-Gateway geleitet wird. Die Protokollierung ist standardmäßig aktiviert.
Virtuelle Tastatur erzwingen Aktivieren Sie diese Einstellung, um festzulegen, dass Remotebenutzer nur für die Eingabe von Anmeldeinformationen eine virtuelle Tastatur (Bildschirmtastatur) verwenden müssen. Tasten der virtuellen Tastatur zufällig anordnen Aktivieren Sie diese Einstellung, damit für die virtuelle Tastatur ein zufallsgeneriertes Tastenlayout verwendet wird. Sitzungszeitüberschreitung bei Leerlauf Geben Sie die Zeitüberschreitung der Sitzung bei Leerlauf in Minuten ein. Wenn während des angegebenen Zeitraums in der Sitzung eines Benutzers keine Aktivität stattfindet, wird die Sitzung des Benutzers getrennt. Der Standardwert des Systems ist 10 Minuten.
Benutzerbenachrichtigung Geben Sie die Nachricht ein, die Remotebenutzern nach der Anmeldung angezeigt werden soll. Öffentlichen URL-Zugriff aktivieren Aktivieren Sie diese Einstellung, damit Remotebenutzer auf Sites zugreifen können, die nicht explizit von Ihnen für den Zugriff durch Remotebenutzer konfiguriert wurden. Erzwungene Zeitüberschreitung aktivieren Aktivieren Sie diese Einstellung, damit das System die Verbindung zu Remotebenutzern trennt, nachdem der Zeitraum verstrichen ist, den Sie im Feld Erzwungene Zeitüberschreitung angegeben haben. Erzwungene Zeitüberschreitung Geben Sie das Zeitlimit in Minuten ein. Dieses Feld wird angezeigt, wenn die Umschaltoption Erzwungene Zeitüberschreitung aktivieren aktiviert ist.
- Klicken Sie auf Änderungen speichern.