Wenn Sie ein VPN mit einem Tier-1-Gateway verbinden möchten, müssen Sie einen IPsec-Dienst auf dem Gateway und geeignete NAT-Regeln erstellen, um IPsec-VPN-Datenverkehr über die Internetschnittstelle des Gateways zu aktivieren.
Im SDDC Version 1.18 und höher können Sie ein VPN erstellen, das auf einem benutzerdefinierten Tier-1-Gateway endet. Diese Konfiguration ist besonders nützlich, wenn Sie dedizierten VPN-Zugriff für einen bestimmten Mandanten oder eine bestimmte Arbeitsgruppe bereitstellen müssen.
Weitere Informationen finden Sie im VMware Cloud-Tech Zone-Artikel Understanding VPN to Customer Created NSX T1s in VMC on AWS (Verstehen von VPN für vom Kunden erstellte NSX T1s in VMC on AWS).
Voraussetzungen
Erstellen Sie ein per NAT übersetztes oder geroutetes Tier-1-Gateway. Weitere Informationen hierzu finden Sie unter Hinzufügen eines benutzerdefinierten Tier-1-Gateways zu einem VMware Cloud on AWS-SDDC.
Prozedur
- Melden Sie sich unter https://vmc.vmware.com bei VMware Cloud Services an.
- Klicken Sie auf Bestandsliste > SDDCs, wählen Sie dann eine SDDC-Karte aus und klicken Sie auf DETAILS ANZEIGEN.
- Klicken Sie auf NSX MANAGER ÖFFNEN und melden Sie sich mit dem NSX Manager-Administratorbenutzerkonto an, das auf der Seite SDDC-Einstellungen angezeigt wird.
- (Optional) Anfordern einer öffentlichen IP-Adresse für den VPN-Endpoint.
Im typischen Fall, in dem Sie dieses VPN aus dem Internet erreichen möchten, muss der lokale Endpoint eine öffentliche IP-Adresse sein. Siehe Anfordern oder Freigeben einer öffentlichen IP-Adresse. In diesem Beispiel verwenden wir 93.184.216.34 als diese Adresse. Wenn Sie dieses VPN über DX oder VMware Transit Connect erreichen möchten, können Sie jede verfügbare IP-Adresse im SDDC-Computing-Netzwerk verwenden.Hinweis: Sie können kein Subnetz des Verwaltungs-CIDR als lokalen Endpoint verwenden.
- Fügen Sie dem Tier-1-Gateway einen VPN-Dienst hinzu.
Klicken Sie auf Netzwerk > VPN. Öffnen Sie die Registerkarte Tier-1 und klicken Sie auf VPN-Dienste > DIENST HINZUFÜGEN > IPSec. Geben Sie dem IPsec-Dienst einen Namen und wählen Sie dann ein Tier-1-Gateway aus dem Dropdown-Menü aus. Klicken Sie auf SPEICHERN, um den Dienst zu erstellen.
- Erstellen Sie den lokalen Endpoint.
Öffnen Sie die Registerkarte Lokale Endpoints und klicken Sie auf LOKALEN ENDPOINT HINZUFÜGEN. Geben Sie dem neuen lokalen Endpoint einen Namen und fügen Sie optional eine Beschreibung hinzu. Verwenden Sie für VPN-Dienst den Namen des IPsec-Diensts, den Sie in Schritt 5 erstellt haben. Verwenden Sie für die IP-Adresse die in Schritt 4 angeforderte öffentliche IP-Adresse oder eine beliebige verfügbare Adresse im SDDC-Computing-Netzwerk. Klicken Sie auf SPEICHERN, um den lokalen Endpoint zu erstellen.
- Konfigurieren Sie das VPN.
Öffnen Sie die Registerkarte IPSec-Sitzungen und wählen Sie Routenbasiert oder Richtlinienbasiert im Dropdown-Menü IPSEC-SITZUNG HINZUFÜGEN aus.
- Verwenden Sie für VPN-Dienst den Namen des IPsec-Diensts, den Sie in Schritt 5 erstellt haben. Verwenden Sie für „Lokaler Endpoint“ den in Schritt 6 erstellten Endpoint.
- Geben Sie für Remote-IP die Adresse Ihres lokalen VPN-Endpoints ein.
- Geben Sie die Zeichenfolge für den Pre-Shared Key ein.
Die maximale Schlüssellänge beträgt 128 Zeichen. Dieser Schlüssel muss für beide Enden des VPN-Tunnels identisch sein.
- Geben Sie die Remote-ID an.
Lassen Sie dieses Feld leer, um die Remote-IP als Remote-ID für die IKE-Verhandlung zu verwenden. Wenn sich Ihr lokales VPN-Gateway hinter einem NAT-Gerät befindet und/oder eine andere IP-Adresse als lokale ID verwendet, müssen Sie diese IP-Adresse hier eingeben.
- Konfigurieren Sie unter Erweiterte Tunnelparameter die erweiterten Tunnelparameter.
Parameter Wert IKE-Profil > IKE-Verschlüsselung Wählen Sie eine Verschlüsselung der Phase 1 (IKE) aus, die von Ihrem lokalen VPN-Gateway unterstützt wird. IKE-Profil > IKE-Digest-Algorithmus Wählen Sie einen Digest-Algorithmus der Phase 1 aus, der von Ihrem lokalen VPN-Gateway unterstützt wird. Es wird empfohlen, denselben Algorithmus sowohl für den IKE-Digest-Algorithmus als auch für den Tunnel-Digest-Algorithmus zu verwenden. Hinweis:Wenn Sie eine GCM-basierte Verschlüsselung für IKE-Verschlüsselung angeben, legen Sie IKE-Digest-Algorithmus auf Keiner fest. Die Digest-Funktion ist integraler Bestandteil der GCM-Verschlüsselung. Sie müssen IKE V2 verwenden, wenn Sie eine GCM-basierte Verschlüsselung verwenden
.IKE-Profil > IKE-Version - Geben Sie IKE V1 an, um das IKEv1-Protokoll zu initiieren und zu akzeptieren.
- Geben Sie IKE V2 an, um das IKEv2-Protokoll zu initiieren und zu akzeptieren. Sie müssen IKEv2 verwenden, wenn Sie einen GCM-basierten IKE-Digest-Algorithmus angegeben haben.
- Geben Sie IKE FLEX an, um entweder IKEv1 oder IKEv2 zu akzeptieren, und initiieren Sie dann mit IKEv2. Wenn die IKEv2-Initiierung fehlschlägt, greift IKE FLEX nicht auf IKEv1 zurück.
IKE-Profil > Diffie Hellman Wählen Sie eine Diffie-Hellman-Gruppe aus, die von Ihrem lokalen VPN-Gateway unterstützt wird. Dieser Wert muss für beide Enden des VPN-Tunnels identisch sein. Höhere Gruppennummern bieten einen besseren Schutz. Es wird empfohlen, Gruppe 14 oder höher auszuwählen. IPSec-Profil > Tunnel-Verschlüsselung Wählen Sie eine Sicherheitsverbindung der Phase 2 aus, die von Ihrem lokalen VPN-Gateway unterstützt wird. IPSec-Profil Tunnel-Digest-Algorithmus Wählen Sie einen Digest-Algorithmus der Phase 2 aus, der von Ihrem lokalen VPN-Gateway unterstützt wird. Hinweis:Wenn Sie eine GCM-basierte Verschlüsselung für Tunnelverschlüsselung angeben, legen Sie Tunnel-Digest-Algorithmus auf Keiner fest. Die Digest-Funktion ist integraler Bestandteil der GCM-Verschlüsselung.
IPSec-Profil > Perfect Forward Secrecy Aktivieren oder deaktivieren Sie die Option entsprechend der Einstellung Ihres lokalen VPN-Gateways. Durch die Aktivierung von Perfect Forward Secrecy wird verhindert, dass aufgezeichnete (vergangene) Sitzungen entschlüsselt werden, wenn der private Schlüssel jemals gefährdet sein sollte. IPSec-Profil > Diffie-Hellman Wählen Sie eine Diffie-Hellman-Gruppe aus, die von Ihrem lokalen VPN-Gateway unterstützt wird. Dieser Wert muss für beide Enden des VPN-Tunnels identisch sein. Höhere Gruppennummern bieten einen besseren Schutz. Es wird empfohlen, Gruppe 14 oder höher auszuwählen. DPD-Profil > DPD-Prüfmodus Entweder Periodisch oder On-Demand. Für einen periodischen DPD-Prüfmodus wird jedes Mal ein DPD-Prüfpunkt gesendet, wenn das angegebene DPD-Prüfintervall erreicht ist.
Bei einem bedarfsbasierten DPD-Prüfmodus wird ein DPD-Prüfpunkt gesendet, wenn nach einem Leerlauf kein IPSec-Paket von der Peer-Site empfangen wird. Der Wert in DPD-Prüfintervall bestimmt den verwendeten Leerlaufzeitpunkt.
DPD-Profil > Anzahl der Wiederholungen Ganzzahl für die zulässige Anzahl an Wiederholungen. Werte im Bereich 1 bis 100 sind gültig. Die Standardanzahl für Wiederholungen ist 10. DPD-Profil > DPD-Prüfintervall Die Anzahl der Sekunden, die der NSX IKE-Daemon zwischen dem Senden der DPD-Prüfpunkte warten soll. Für einen periodischen DPD-Prüfmodus liegen die gültigen Werte zwischen 3 und 360 Sekunden. Die Standardeinstellung beträgt 60 Sekunden.
Für einen On-Demand-Prüfmodus liegen die gültigen Werte zwischen 1 und 10 Sekunden. Die Standardeinstellung beträgt 3 Sekunden.
Wenn der periodische DPD-Prüfmodus festgelegt ist, sendet der IKE-Daemon regelmäßig einen DPD-Prüfpunkt. Wenn die Peer-Site innerhalb einer halbe Sekunde antwortet, wird der nächste DPD-Prüfpunkt gesendet, nachdem das konfigurierte DPD-Prüfintervall erreicht wurde. Wenn die Peer-Site nicht antwortet, wird der DPD-Prüfpunkt nach einer halben Sekunde Wartezeit erneut gesendet. Wenn die Remote-Peer-Site weiterhin nicht antwortet, sendet der IKE-Daemon den DPD-Prüfpunkt erneut, bis eine Antwort eingeht oder die Anzahl der Wiederholungen erreicht wurde. Bevor die Peer-Site für tot erklärt wird, sendet der IKE-Daemon den DPD-Prüfpunkt maximal so oft, wie in der Eigenschaft Anzahl der Wiederholungen angegeben. Nachdem die Peer-Site für tot erklärt wurde, bricht NSX die Sicherheitsverbindung (SA) auf dem Link des toten Peers ab.
Wenn der bedarfsbasierte DPD-Modus festgelegt ist, wird der DPD-Prüfpunkt nur gesendet, wenn kein IPSec-Datenverkehr von der Peer-Site empfangen wird, nachdem die konfigurierte Zeit für das DPD-Prüfintervall erreicht wurde.
DPD-Profil > Admin-Status Um das DPD-Profil zu aktivieren oder zu deaktivieren, klicken Sie auf die Umschaltoption Admin-Status. Standardmäßig ist der Wert auf Aktiviert eingestellt. Wenn das DPD-Profil aktiviert ist, wird das DPD-Profil für alle IPSec-Sitzungen im IPSec-VPN-Dienst verwendet, der das DPD-Profil verwendet. TCP MSS-Klemmung Um TCP-MSS-Klemmung zur Reduzierung der maximalen Segmentgröße (MSS) der Nutzlast der TCP-Sitzung während der IPsec-Verbindung zu verwenden, legen Sie diese Option auf Aktiviert fest und wählen Sie dann TCP-MSS-Richtung und optional TCP-MSS-Wert aus. Weitere Informationen finden Sie unter Grundlegendes zur TCP-MSS-Anbindung im Administratorhandbuch für NSX Data Center. - (Optional) Versehen Sie das VPN mit einem Tag.
Weitere Informationen zum Taggen von NSX-Objekten finden Sie unter Hinzufügen von Tags zu einem Objekt im Administratorhandbuch für NSX Data Center.
- Klicken Sie auf SPEICHERN, um das VPN zu erstellen.
- Fügen Sie eine Computing-Gateway-Firewallregel hinzu, die IPsec-VPN-Datenverkehr über die Internetschnittstelle des CGW zulässt.
Öffnen Sie die Registerkarte Gateway-Firewall und klicken Sie auf Computing-Gateway. Eine Regel wie diese funktioniert, ist aber wahrscheinlich permissiver, als Sie es für den Produktionseinsatz benötigen. Sie sollten die Quelle auf einen CIDR-Block beschränken, den Sie als vertrauenswürdig einstufen oder steuern. In diesem Beispiel verwenden wir die öffentliche IP-Adresse, die wir in Schritt 4 (93.184.216.34) als Ziele-Adresse erhalten haben.
Name Quellen Ziele Dienste Angewendet auf Aktion VPN-Zugriff Alle 93.184.216.34 Muss IKE (NAT Traversal) , IKE (Key Exchange) , IPSec-VPN-ESP enthalten Internetschnittstelle Zulassen - Erstellen Sie eine NAT-Regel, um die öffentliche IP-Adresse des VPN extern zugänglich zu machen.
Navigieren Sie zu Netzwerk > NAT > Internet. Klicken Sie auf NAT-Regel hinzufügen und erstellen Sie eine NAT-Regel wie diese.
Name Öffentliche IP Dienst Öffentlicher Port Interne IP Firewall VPN-Zugriff 93.184.216.34 Gesamter Datenverkehr Alle 93.184.216.34 Externe Adresse abgleichen