NSX Edge unterstützt Site-to-Site-IPSec-VPN zwischen einer NSX Edge-Instanz und Remote-Sites. Der IPSec-VPN-Tunnel umfasst zwei Enden. Der Tunnel muss auf beiden Seiten konsistent sein, einschließlich der IP-Subnetze und des Verschlüsselungsstandards.

Die folgenden Ports müssen auf allen Komponenten des IPSec-VPN-Tunnels offen sein:
  • Port 500 Dieser Port wird verwendet, wenn sich kein NAT-Gerät zwischen den Endpoints befindet.
  • Port 4500 Dieser Port wird verwendet, wenn sich zwischen den Endpoints ein NAT-Gerät befindet.

Stellen Sie sicher, dass die Firewallregeln ESP-Pakete (Encapsulating Security Payload) zulassen.

Einige häufig auftretende Probleme aufgrund falscher Konfigurationen, die IPSec-Tunnelfehler verursachen können, lauten wie folgt:
  • MTU-Konfiguration auf dem vSphere Distributed Switch ist zu niedrig festgelegt. Die niedrige MTU-Konfiguration führt zur Paketfragmentierung und zu einem Fehler bei der Tunnelerstellung.
  • Einige Drittanbieter-VPN-Lösungen bieten einen aggressiven Aushandlungsmodus. NSX Data Center for vSphere unterstützt nur den Standard-Aushandlungsmodus (Hauptmodus).
  • Virtuelle Maschinen sind für die IPv6-Kommunikation über den IPSec-VPN-Tunnel konfiguriert. IPv6 wird von NSX Data Center for vSphere derzeit nicht unterstützt.