Wenn Sie ein richtlinienbasiertes IPSec-VPN hinzufügen, werden mithilfe von IPSec-Tunneln mehrere lokale Subnetze, die sich hinter dem NSX Edge-Knoten befinden, mit Peer-Subnetzen in der Remote-VPN-Site verbunden.
Bei den folgenden Schritten wird die Registerkarte IPSec-Sitzungen in der Benutzeroberfläche von NSX Manager verwendet, um eine richtlinienbasierte IPSec-Sitzung zu erstellen. Sie fügen außerdem Informationen für den Tunnel, IKE und DPD-Profile hinzu und wählen einen vorhandenen lokalen Endpoint aus, der mit dem richtlinienbasierten IPSec-VPN verwendet werden soll.
Hinweis:
Sie können auch die IPSec-VPN-Sitzungen sofort, nachdem Sie den IPSec-VPN-Dienst erfolgreich konfiguriert haben, hinzufügen. Sie klicken bei Aufforderung zum Fortfahren mit der IPSec-VPN-Dienstkonfiguration auf Ja und wählen im Bereich „IPSec-Sitzung hinzufügen“ aus. Für die ersten Schritte im folgenden Verfahren wird davon ausgegangen, dass Sie Nein bei der Aufforderung zum Fortfahren mit der IPSec-VPN-Dienstkonfiguration ausgewählt haben. Wenn Sie Ja ausgewählt haben, gehen Sie in den folgenden Schritten weiter zu Schritt 3. Sie werden dann durch die restliche Konfiguration der richtlinienbasierten IPSec-VPN-Sitzung geführt.
Voraussetzungen
- Sie müssen einen IPSec-VPN-Dienst konfiguriert haben, bevor Sie fortfahren können. Siehe Hinzufügen eines NSX IPSec-VPN-Diensts.
- Holen Sie die Informationen für den lokalen Endpoint, die IP-Adresse für die Peer-Site, das lokale Netzwerk-Subnetz und das Remote-Netzwerk-Subnetz ein, die in der richtlinienbasierten IPSec-VPN-Sitzung verwendet werden sollen, die Sie hinzufügen. Informationen zum Erstellen eines lokalen Endpoints finden Sie unter Hinzufügen von lokalen Endpoints.
- Wenn Sie einen vorinstallierten Schlüssel (PSK) für die Authentifizierung verwenden, rufen Sie den PSK-Wert ab.
- Wenn Sie ein Zertifikat für die Authentifizierung verwenden, stellen Sie sicher, dass die notwendigen Serverzertifikate und die entsprechenden ZS-signierten Zertifikate bereits importiert wurden.
Siehe Zertifikate.
- Wenn Sie die von NSX bereitgestellten Standardeinstellungen für den IPSec-Tunnel, IKE oder Dead Peer Detection(DPD)-Profile nicht verwenden möchten, können Sie stattdessen die gewünschten Profile konfigurieren. Weitere Informationen finden Sie unter Hinzufügen von Profilen.
Prozedur
- Melden Sie sich mit Administratorrechten bei NSX Manager an.
- Navigieren zur Registerkarte .
- Wählen Sie aus.
- Geben Sie einen Namen für die richtlinienbasierte IPSec-VPN-Sitzung ein.
- Wählen Sie aus dem Dropdown-Menü VPN-Dienst den IPSec-VPN-Dienst aus, dem Sie diese neue IPSec-Sitzung hinzufügen möchten.
Hinweis: Wenn Sie diese IPSec-Sitzung aus dem Dialogfeld
IPSec-Sitzungen hinzufügen hinzufügen, wird der VPN-Dienst-Name bereits über der Schaltfläche
IPSec-Sitzung hinzufügen angegeben.
- Wählen Sie im Dropdown-Menü einen vorhandenen lokalen Endpoint aus.
Dieser lokale Endpoint-Wert ist erforderlich und identifiziert den lokalen
NSX Edge-Knoten. Wenn Sie einen anderen lokalen Endpoint erstellen möchten, klicken Sie auf das Drei-Punkte-Menü (
) und wählen Sie
Lokalen Endpoint hinzufügen aus.
- Geben Sie in das Textfeld Remote-IP die erforderliche IP-Adresse der Remote-Site ein.
Dieser Wert ist erforderlich.
- Geben Sie eine optionale Beschreibung für diese richtlinienbasierte IPSec-VPN-Sitzung ein.
Die Längenbeschränkung beträgt 1024 Zeichen.
- Klicken Sie zum Aktivieren oder Deaktivieren der IPSec-VPN-Sitzung auf Administrativer Status.
Als Standardwert ist
Enabled
festgelegt. Das bedeutet, dass die IPSec-VPN-Sitzung bis hinunter zum
NSX Edge-Knoten konfiguriert werden muss.
- (Optional) Wählen Sie im Dropdown-Menü Übereinstimmungs-Suite eine Sicherheits-Übereinstimmungs-Suite aus.
Der ausgewählte Standardwert ist
None
. Wenn Sie eine Compliance-Suite auswählen, wird der
Authentifizierungsmodus auf
Certificate
festgelegt und im Abschnitt
Erweiterte Eigenschaften werden die Werte für das
IKE-Profil und das
IPSec-Profil auf die vom System definierten Profile für die ausgewählte Sicherheits-Compliance-Suite festgelegt. Sie können diese vom System definierten Profile nicht bearbeiten.
- Wenn die Übereinstimmungs-Suite auf
None
festgelegt ist, wählen Sie einen Modus aus dem Dropdown-Menü Authentifizierungsmodus aus.
Der verwendete Standard-Authentifizierungsmodus lautet
PSK
, d. h. ein geheimer Schlüssel, der zwischen
NSX Edge und der Remote-Site gemeinsam verwendet wird, wird für die IPSec-VPN-Sitzung benutzt. Wenn Sie
Certificate
auswählen, wird das Sitezertifikat, das zum Konfigurieren des lokalen Endpoints verwendet wurde, für die Authentifizierung verwendet.
Weitere Informationen zur zertifikatbasierten Authentifizierung erhalten Sie unter Verwenden der zertifikatbasierten Authentifizierung für IPSec-VPN-Sitzungen.
- Geben Sie in die Textfelder „Lokale Netzwerke“ und „Remote-Netzwerke“ mindestens eine IP-Subnetzadresse ein, die für diese richtlinienbasierte IPSec-VPN-Sitzung verwendet werden soll.
Diese Subnetze müssen im CIDR-Format vorliegen.
- Wenn der Authentifizierungsmodus auf
PSK
festgelegt ist, geben Sie den Schlüsselwert im Textfeld Vorinstallierter Schlüssel ein.
Dieser geheime Schlüssel kann eine Zeichenfolge mit einer Maximallänge von 128 Zeichen sein.
Vorsicht: Seien Sie beim Freigeben und Speichern eines PSK-Werts vorsichtig, da er vertrauliche Informationen enthält.
- Geben Sie in Remote-ID einen Wert ein, um die Peer-Site anzugeben.
Bei Peer-Sites mit PSK-Authentifizierung muss dieser ID-Wert der IP-Adresse oder dem FQDN der Peer-Site entsprechen. Bei Peer-Sites mit Zertifikatsauthentifizierung muss dieser ID-Wert dem allgemeinen Namen (CN) oder dem definierten Namen (DN) im Zertifikat der Peer-Site entsprechen.
Hinweis: Wenn das Zertifikat der Peer-Site eine E-Mail-Adresse in der DN-Zeichenfolge enthält, z. B.
C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123/[email protected]
dann geben Sie den Wert für
Remote-ID im gleichen Format wie in dem folgenden Beispiel ein.
C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123, [email protected]"
Wenn das Zertifikat der lokalen Site eine E-Mail-Adresse in der DN-Zeichenfolge enthält und die Peer-Site die strongSwan-IPsec-Implementierung verwendet, geben Sie den ID-Wert der lokalen Site in dieser Peer-Site ein. Im Folgenden finden Sie ein Beispiel.
C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123, [email protected]"
- Um die Profile, den Initiierungsmodus, den Modus der TCP-MSS-Klemmung und die Tags, die von der richtlinienbasierten IPSec-VPN-Sitzung verwendet werden, zu ändern, klicken Sie auf Erweiterte Eigenschaften.
Standardmäßig werden die vom System generierte Profile verwendet. Wählen Sie ein anderes verfügbares Profil, wenn Sie nicht die Standardoption verwenden möchten. Wenn Sie ein Profil verwenden möchten, das noch nicht konfiguriert ist, klicken Sie auf das Drei-Punkte-Menü (
), um ein anderes Profil zu erstellen. Siehe
Hinzufügen von Profilen.
- Wenn das Dropdown-Menü IKE-Profile aktiviert ist, wählen Sie das IKE-Profil aus.
- Wählen Sie das IPsec-Tunnelprofil aus, wenn das Dropdown-Menü IPSec-Profile nicht deaktiviert ist.
- Wählen Sie das bevorzugte DPD-Profil aus, wenn das Dropdown-Menü DPD-Profile aktiviert ist.
- Wählen Sie im Dropdown-Menü Initiierungsmodus der Verbindung den bevorzugten Modus aus.
Der Verbindungs-Initiierungsmodus definiert die Richtlinie, die vom lokalen Endpoint bei der Tunnel-Erstellung verwendet wird. Der Standardwert lautet
Initiator. Die folgende Tabelle beschreibt die unterschiedlichen verfügbaren Verbindungs-Initiierungsmodi.
Tabelle 1.
Verbindungs-Initiierungsmodi
Initiierungsmodus der Verbindung |
Beschreibung |
Initiator |
Der Standardwert In diesem Modus initiiert der lokale Endpoint die IPSec-VPN-Tunnel-Erstellung und reagiert auf eingehende Anforderungen des Tunnel-Setups vom Peer-Gateway. |
On Demand |
In diesem Modus initiiert der lokale Endpoint die IPSec-VPN-Tunnel-Erstellung, nachdem das erste Paket, das mit der Richtlinienregel übereinstimmt, empfangen wird. Er reagiert auch auf die eingehende Initiierungsanforderung. |
Respond Only |
Der IPSec-VPN initiiert nie eine Verbindung. Die Peer-Site initiiert immer die Verbindungsanforderung, und der lokale Endpoint reagiert auf diese Verbindungsanfrage. |
- Wenn Sie die maximale Segmentgröße (MSS) für die Nutzlast der TCP-Sitzung während der IPSec-Verbindung reduzieren möchten, aktivieren Sie TCP-MSS-Klemmung, wählen Sie den Wert TCP-MSS-Richtung aus und legen Sie optional den TCP-MSS-Wert fest.
- Wenn Sie diese Sitzung als Teil einer bestimmten Gruppe aufnehmen möchten, geben Sie den Namen des Tags in Tags ein.
- Klicken Sie auf Speichern.
Ergebnisse
Wenn die neue richtlinienbasierte IPSec-VPN-Sitzung erfolgreich konfiguriert wurde, wird sie der Liste verfügbarer IPSec-VPN-Sitzungen hinzugefügt. Sie befindet sich im schreibgeschützten Modus.