Sie müssen einen lokalen Endpoint konfigurieren, der mit der IPSec-VPN verwendet werden soll, die Sie gerade konfigurieren.
Für die folgenden Schritte wird die Registerkarte Lokale Endpoints auf der NSX Manager-Benutzeroberfläche verwendet. Während Sie eine IPSec-VPN-Sitzung hinzufügen, können Sie auch einen lokalen Endpoint erstellen, indem Sie auf das Drei-Punkte-Menü ( ) klicken und Lokalen Endpoint hinzufügen auswählen. Wenn Sie gerade dabei sind, eine IPSec-VPN-Sitzung zu konfigurieren, fahren Sie mit Schritt 3 in den folgenden Schritten fort, die Sie bei der Erstellung eines neuen lokalen Endpoints anleiten sollen.
Voraussetzungen
- Wenn Sie einen zertifikatbasierten Authentifizierungsmodus für die IPSec-VPN-Sitzung verwenden, der den lokalen Endpoint verwenden soll, welchen Sie gerade konfigurieren, rufen Sie die Information über das Zertifikat ab, das der lokale Endpoint verwenden muss.
- Stellen Sie sicher, dass Sie einen IPSec-VPN-Dienst konfiguriert haben, dem dieser lokale Endpoint zugeordnet werden soll.
Prozedur
- Melden Sie sich in Ihrem Browser mit Administratorrechten bei einem NSX Manager unter https://<nsx-manager-ip-address> an.
- Wechseln Sie zu und klicken Sie auf Lokalen Endpoint hinzufügen.
- Geben Sie einen Namen für den lokalen Endpoint ein.
- Wählen Sie im Dropdown-Menü VPN-Dienst den IPSec-VPN-Dienst aus, dem dieser lokale Endpoint zugeordnet werden soll.
- Geben Sie eine IP-Adresse oder einen lokalen Endpoint ein.
Bei einem IPSec-VPN-Dienst, der auf einem Tier-0-Gateway ausgeführt wird, muss sich die lokale Endpoint-IP-Adresse von der IP-Adresse der Uplink-Schnittstelle des Tier-0-Gateways unterscheiden. Die von Ihnen angegebene lokale Endpoint-IP-Adresse ist der Loopback-Schnittstelle für das Tier-0-Gateway zugeordnet und wird auch als routingfähige IP-Adresse über die Uplink-Schnittstelle veröffentlicht. Damit der IPSec-VPN-Dienst auf einem Tier-1-Gateway läuft und die lokale Endpoint-IP-Adresse routingfähig ist, muss das Routen-Advertisement für lokale IPSec-Endpoints in der Tier-1-Gateway-Konfiguration aktiviert sein. Weitere Informationen hierzu finden Sie unter
Tier-1-Gateway hinzufügen.
- Wenn Sie einen zertifikatbasierten Authentifizierungsmodus für die IPSec-VPN-Sitzung verwenden, wählen Sie aus dem Dropdown-Menü Site-Zertifikat das Zertifikat aus, das vom lokalen Endpoint verwendet werden soll.
- (Optional) Optional können Sie eine Beschreibung hinzufügen.
- Geben Sie den Wert für die Lokale ID ein, die zum Identifizieren der lokalen NSX Edge-Instanz verwendet werden soll.
Diese lokale ID ist die Peer-ID auf der Remote-Site. Die lokale ID muss entweder die öffentliche IP-Adresse oder der FQDN der Remote-Site sein. Für IPSec VPN-Sitzungen mit zertifikatsbasierter Authentifizierung, die dem lokalen Endpoint zugeordnet sind, wird die
lokale ID aus dem Zertifikat abgeleitet, das dem lokalen Endpoint zugeordnet ist. Die ID, die im Textfeld
Lokale ID angegeben ist, wird ignoriert. Die vom Zertifikat für eine VPN-Sitzung abgeleitete lokale ID hängt von den im Zertifikat vorhandenen Erweiterungen ab.
-
Wenn die X509v3-Erweiterung X509v3 Subject Alternative Name nicht im Zertifikat vorhanden ist, wird der Distinguished Name (DN) als lokaler ID-Wert verwendet.
Wenn das Zertifikat beispielsweise keine Felder für den alternativen Antragstellernamen (kurz „SAN“ für Englisch „Subject Alternative Name“) enthält und die DN-Zeichenfolge diese ist:
C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123
wird die DN-Zeichenfolge als lokale ID verwendet. Diese lokale ID ist die Peer-ID auf der Remote-Site.
-
Wenn die X509v3-Erweiterung X509v3 Subject Alternative Name im Zertifikat gefunden wird, wird eins der SAN-Felder als lokaler ID-Wert verwendet.
Wenn das Zertifikat über mehrere SAN-Felder verfügt, wird die lokale ID in der folgenden Reihenfolge ausgewählt.
Reihenfolge |
SAN-Feld |
1 |
IP-Adresse |
2 |
DNS |
3 |
E-Mail-Adresse |
Wenn das konfigurierte Site-Zertifikat beispielsweise die folgenden SAN-Felder aufweist:
x509v3 Subject Alternative Name:
DNS:Site123.vmware.com, email:[email protected], IP Address:1.1.1.1
wird die IP-Adresse 1.1.1.1
als lokale ID verwendet. Wenn die IP-Adresse nicht vorhanden ist, wird die DNS-Zeichenfolge verwendet. Wenn weder IP-Adresse noch DNS vorhanden sind, wird die E-Mail-Adresse verwendet.
So zeigen Sie die für eine IPSec-VPN-Sitzung verwendete lokale ID an:
- Navigieren Sie zu und klicken Sie dann auf die Registerkarte IPSec-Sitzungen.
- Erweitern Sie die IPSec-VPN-Sitzung.
- Klicken Sie auf Konfiguration herunterladen, um die Konfigurationsdatei mit der lokalen ID herunterzuladen.
- Wählen Sie aus den Dropdown-Menüs Vertrauenswürdige CA-Zertifikate und Zertifikatswiderrufsliste die entsprechenden Zertifikate aus, die für den lokalen Endpoint erforderlich sind.
- (Optional) Geben Sie ein Tag an.
- Klicken Sie auf Speichern.