Sie müssen einen lokalen Endpoint konfigurieren, der mit der IPSec-VPN verwendet werden soll, die Sie gerade konfigurieren.

Für die folgenden Schritte wird die Registerkarte Lokale Endpoints auf der NSX Manager-Benutzeroberfläche verwendet. Sie können auch einen lokalen Endpoint erstellen, während Sie eine IPSec-VPN-Sitzung hinzufügen, indem Sie auf das Drei-Punkte-Menü klicken ( Drei schwarze Punkte, die vertikal ausgerichtet sind. Wenn Sie auf dieses Symbol klicken, wird ein Menü mit Unterbefehlen angezeigt. ) und Lokalen Endpoint hinzufügen auswählen. Wenn Sie gerade dabei sind, eine IPSec-VPN-Sitzung zu konfigurieren, fahren Sie mit Schritt 3 in den folgenden Schritten fort, die Sie bei der Erstellung eines neuen lokalen Endpoints anleiten sollen.

Voraussetzungen

  • Wenn Sie einen zertifikatbasierten Authentifizierungsmodus für die IPSec-VPN-Sitzung verwenden, der den lokalen Endpoint verwenden soll, welchen Sie gerade konfigurieren, rufen Sie die Information über das Zertifikat ab, das der lokale Endpoint verwenden muss.
  • Stellen Sie sicher, dass Sie einen IPSec-VPN-Dienst konfiguriert haben, dem dieser lokale Endpoint zugeordnet werden soll.

Prozedur

  1. Melden Sie sich mit Administratorrechten bei NSX Manager an.
  2. Wechseln Sie zu Netzwerk > VPN > Lokale Endpoints und klicken Sie auf Lokalen Endpoint hinzufügen.
  3. Geben Sie einen Namen für den lokalen Endpoint ein.
  4. Wählen Sie im Dropdown-Menü VPN-Dienst den IPSec-VPN-Dienst aus, dem dieser lokale Endpoint zugeordnet werden soll.
  5. Geben Sie eine IP-Adresse oder einen lokalen Endpoint ein.

    Bei einem IPSec-VPN-Dienst, der auf einem Tier-0-Gateway ausgeführt wird, muss sich die lokale Endpoint-IP-Adresse von der IP-Adresse der Uplink-Schnittstelle des Tier-0-Gateways unterscheiden. Die von Ihnen angegebene lokale Endpoint-IP-Adresse ist der Loopback-Schnittstelle für das Tier-0-Gateway zugeordnet und wird auch als routingfähige IP-Adresse über die Uplink-Schnittstelle veröffentlicht.

    Bei einem IPSec-VPN-Dienst, der auf einem Tier-1-Gateway ausgeführt wird, muss sich die lokale Endpoint-IP-Adresse von der IP-Adresse der Uplink-Schnittstelle des Tier-1-Gateways unterscheiden. Damit die IP-Adresse des lokalen Endpoints routingfähig ist, muss die Routenankündigung für lokale IPSec-Endpoints in der Tier-1-Gateway-Konfiguration aktiviert sein. Weitere Informationen hierzu finden Sie unter Hinzufügen eines NSX-Tier-1-Gateways.

  6. Wenn Sie einen zertifikatbasierten Authentifizierungsmodus für die IPSec-VPN-Sitzung verwenden, wählen Sie aus dem Dropdown-Menü Site-Zertifikat das Zertifikat aus, das vom lokalen Endpoint verwendet werden soll.
  7. (Optional) Optional können Sie eine Beschreibung hinzufügen.
  8. Geben Sie den Wert für die Lokale ID ein, die zum Identifizieren der lokalen NSX Edge-Instanz verwendet werden soll.
    Diese lokale ID ist als Remote-ID auf der Remote-Site konfiguriert. Die lokale ID muss entweder die IP-Adresse oder der FQDN der lokalen Site sein. Für IPSec VPN-Sitzungen mit zertifikatsbasierter Authentifizierung, die dem lokalen Endpoint zugeordnet sind, wird die lokale ID aus dem Zertifikat abgeleitet, das dem lokalen Endpoint zugeordnet ist. Die ID, die im Textfeld Lokale ID angegeben ist, wird ignoriert. Die vom Zertifikat für eine VPN-Sitzung abgeleitete lokale ID hängt von den im Zertifikat vorhandenen Erweiterungen ab.
    • Wenn die X509v3-Erweiterung X509v3 Subject Alternative Name nicht im Zertifikat vorhanden ist, wird der Distinguished Name (DN) als lokaler ID-Wert verwendet.

      Wenn das Zertifikat beispielsweise keine Felder für den alternativen Antragstellernamen (kurz „SAN“ für Englisch „Subject Alternative Name“) enthält und die DN-Zeichenfolge diese ist:

      C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123

      wird die DN-Zeichenfolge als lokale ID verwendet. Diese lokale ID ist die Peer-ID auf der Remote-Site.

    • Wenn die X509v3-Erweiterung X509v3 Subject Alternative Name im Zertifikat gefunden wird, wird eins der SAN-Felder als lokaler ID-Wert verwendet.

      Wenn das Zertifikat über mehrere SAN-Felder verfügt, wird die lokale ID in der folgenden Reihenfolge ausgewählt.

      Reihenfolge SAN-Feld
      1 IP-Adresse
      2 DNS
      3 E-Mail-Adresse

      Wenn das konfigurierte Site-Zertifikat beispielsweise die folgenden SAN-Felder aufweist:

      x509v3 Subject Alternative Name:
      DNS:Site123.vmware.com, email:[email protected], IP Address:1.1.1.1

      wird die IP-Adresse 1.1.1.1 als lokale ID verwendet. Wenn die IP-Adresse nicht vorhanden ist, wird die DNS-Zeichenfolge verwendet. Wenn weder IP-Adresse noch DNS vorhanden sind, wird die E-Mail-Adresse verwendet.

    So zeigen Sie die für eine IPSec-VPN-Sitzung verwendete lokale ID an:

    1. Navigieren Sie zu Netzwerk > VPN und klicken Sie dann auf die Registerkarte IPSec-Sitzungen.
    2. Erweitern Sie die IPSec-VPN-Sitzung.
    3. Klicken Sie auf Konfiguration herunterladen, um die Konfigurationsdatei herunterzuladen, die die lokale ID als jene Remote-ID enthält, die am Remote-VPN-Endpoint konfiguriert werden soll.
  9. Wählen Sie aus den Dropdown-Menüs Vertrauenswürdige CA-Zertifikate und Zertifikatswiderrufsliste die entsprechenden Zertifikate aus, die für den lokalen Endpoint erforderlich sind.
  10. (Optional) Geben Sie ein Tag an.
  11. Klicken Sie auf Speichern.