Um IPSec zwischen zwei Sites einzurichten, müssen Sie die beiden VPN-Endpoints mit übereinstimmenden Attributen konfigurieren. Dieser Artikel hilft Ihnen, die Anforderungen zu verstehen und sicherzustellen, dass die Attribute Ihres IPSec-VPN-Geräteanbieters mit den VPN-bezogenen Attributen Ihrer lokalen IPSec-VPN-Sitzung übereinstimmen.

Jeder IPSec-VPN-Anbieter hat sein eigenes Format, in dem die Konfigurationen akzeptiert werden. In bestimmten Fällen werden für einige Parameter Standardwerte verwendet. Sie können die Funktion Konfiguration herunterladen auf der Benutzeroberfläche für NSX IPSec-VPN-Sitzungen verwenden, die alle VPN-bezogenen Konfigurationen bietet, die Administratoren zum Konfigurieren eines Peer-VPN-Anbietergeräts verwenden können. Die Funktion basiert auf der IPSec-VPN-Sitzung, die für NSX konfiguriert wurde. Die Funktion zeigt alle ausgeblendeten und Standardattribute für die IPSec-VPN-Sitzung an, damit Administratoren das Peer-VPN-Gerät konfigurieren können, das unterschiedliche Standardwerte aufweisen kann. Jede Nichtübereinstimmung bei der Konfiguration kann dazu führen, dass der IPsec-VPN-Tunnel nicht ordnungsgemäß ausgeführt wird.

Wenn Sie wie auf dem Bild zur Schaltfläche „Konfiguration herunterladen“ für IPSec-VPN-Sitzungen gezeigt auf KONFIGURATION HERUNTERLADEN klicken, wird eine Textdatei heruntergeladen, die relevante Attribute enthält, die möglicherweise erforderlich sind, um das Gegenstück zur IPSec-VPN-Sitzung auf dem Peer-VPN-Gerät zu konfigurieren.
Abbildung 1. Schaltfläche „Konfiguration herunterladen“ für IPSec-VPN-Sitzungen
Schaltfläche „Konfiguration herunterladen“ ganz links auf der Seite „IPSec-VPN-Sitzungen“
Vorgehensweise
  1. Stellen Sie sicher, dass Sie einen IPSec-VPN-Serverdienst und eine Sitzung erfolgreich konfiguriert haben, bevor Sie fortfahren.
  2. Wechseln Sie zur Registerkarte Netzwerk > VPN > IPSec-Sitzungen, um auf die Schaltfläche Konfiguration herunterladen zuzugreifen.
  3. Erweitern Sie in der Tabelle der IPSec-VPN-Sitzungen die Zeile für die Sitzung, die Sie zur Konfiguration der IPSec-VPN-Sitzung verwenden möchten. Beispielsweise ist die Zeile Sample_Policy_Based auf dem Bild der Schaltfläche „Konfiguration herunterladen“ für IPSec-VPN-Sitzungen ausgeklappt.
  4. Klicken Sie auf Konfiguration herunterladen und dann im Dialogfeld „Warnung“ auf Ja, um eine Textdatei herunterzuladen.
  5. Verwenden Sie die heruntergeladene Konfigurationsdatei, um die Richtlinien- oder routenbasierten IPSec-VPN-Sitzungsattribute auf dem Peer-VPN-Endpoint zu konfigurieren, um sicherzustellen, dass er die erforderlichen übereinstimmenden Werte enthält.

Die folgende Beispieltextdatei ähnelt der heruntergeladenen Datei. Der Dateiname, Sample_Policy_Based.txt, ist eine richtlinienbasierte IPSec-VPN-Sitzung, die in NSX konfiguriert wurde. Der Name der heruntergeladenen Datei basiert auf dem Namen der Sitzung. Er könnte z. B. <session-name>.txt lauten.

 # Suggestive peer configuration for Policy IPSec Vpn Session
#
# IPSec VPN session path          : /infra/tier-0s/ServerT0_AS/ipsec-vpn-services/IpsecOnServerT0/sessions/SAMPLE_POLICY_BASED
# IPSec VPN session name          : SAMPLE_POLICY_BASED
# IPSec VPN session description   : 
# Tier 0 path                     : /infra/tier-0s/ServerT0_AS
#
# Enforcement point path    : /infra/sites/default/enforcement-points/default
# Enforcement point type    : NSX
#
# Suggestive peer configuration for IPSec VPN Connection
#
# IPSecVPNSession Id         : e7f34d43-c894-4dbb-b7d2-c899f81b1812
# IPSecVPNSession name       : SAMPLE_POLICY_BASED
# IPSecVPNSession description: 
# IPSecVPNSession enabled    : true
# IPSecVPNSession type       : Policy based VPN
# Logical router Id          : 258b91be-b4cb-448a-856e-501d03128877
# Generated Time             : Mon Apr 29 07:07:43 GMT 2024
#
# Internet Key Exchange Configuration [Phase 1]
# Configure the IKE SA as outlined below
IKE version                  : IKE_V2
Connection initiation mode   : INITIATOR
Authentication method        : PSK
Pre shared key               : nsxtVPN!234
Authentication algorithm     : [SHA2_256]
Encryption algorithm         : [AES_128]
SA life time                 : 86400
Negotiation mode             : Not applicable for ikev2
DH group                     : [GROUP14]
Prf Algorithm                : [SHA2_256]
#
# IPsec_configuration [Phase 2]
# Configure the IPsec SA as outlined below
Transform Protocol              : ESP
Authentication algorithm        : 
Sa life time                    : 3600
Encryption algorithm            : [AES_GCM_128]
Encapsulation mode              : TUNNEL_MODE
Enable perfect forward secrecy  : true
Perfect forward secrecy DH group: [GROUP14]
#
# IPsec Dead Peer Detection (DPD) settings
DPD enabled         : true
DPD probe interval  : 60
#
# IPSec VPN Session Configuration
Peer address    : 1.1.1.10 # Peer gateway public IP.
Peer id         : 1.1.1.10
#
Local address   : 200.200.200.1 # Local gateway public IP.
Local id        : 200.200.200.1
#
# Policy Rules
#Rule1
Sources: [192.168.19.0/24]
Destinations: [172.16.18.0/24]

Die Tabelle „Attribute der Konfigurationsdatei für IPSec-VPN-Sitzungen“ enthält die Attribute der Konfigurationsdatei für die VPN-Sitzung Sample_Policy_Based.txt, die bei der Konfiguration von IPSec-VPN auf dem Peer-VPN-Gerät verwendet werden sollen.

Tabelle 1. Attribute der Konfigurationsdatei für IPSec-VPN-Sitzungen
Kategorie Name des Attributs Bedeutung und Wert des Attributs, das auf dem Peer-VPN-Gerät konfiguriert werden soll Konfigurierbarkeit von Peer-Geräten
ISAKMP Phase-1-Parameter IKE-Version IKE-Protokollversion Obligatorisch
Initiierungsmodus der Verbindung Ob das Gerät eine IKE-Verbindung initiiert

Optional

Obligatorisch, wenn NSX IPSec mit Initiierungsmodus für Verbindungen konfiguriert ist = „Nur antworten“.

Authentifizierungsmethode Authentifizierungsmodus für IKE – Vorab freigegebener Schlüssel oder Zertifikat Obligatorisch
Vorab freigegebenen Schlüssel anzeigen Wert des freigegebenen Schlüssels, wenn der Authentifizierungsmodus „PSK“ lautet Obligatorisch
Authentifizierungsalgorithmus Authentifizierungsalgorithmus, der für IKE verwendet werden soll Obligatorisch
Verschlüsselungsalgorithmus. Verschlüsselungsalgorithmus, der für IKE verwendet werden soll Obligatorisch
SA-Lebensdauer Lebensdauer der IKE-Sicherheitsverbindung (IKE Security Association, SA) in Sekunden Optional
Aushandlungsmodus Modus des IKEv1-Protokolls – Nur der Hauptmodus wird unterstützt. Nicht relevant für IKEv2 Obligatorisch
DH-Gruppe Diffie-Hellman-Gruppe für IKE-SA-Aushandlung Obligatorisch
Ps-Zf-Algorithmus Pseudo-Zufallsfunktion, die für die IKE-SA-Aushandlung verwendet werden soll Obligatorisch
Peer-Adresse IP-Adresse des VPN-Endpoints auf der NSX-Seite Obligatorisch
Peer-ID Identität des VPN-Endpoints auf der NSX-Seite Obligatorisch
Lokale Adresse

Adresse des VPN-Endpoints auf der Seite des Peer-Endpoints (in der Konfiguration auf der NSX-Seite)

Obligatorisch
Lokale ID Identität des VPN-Endpoints, der auf der Seite des Peer-Endpoints konfiguriert werden soll Obligatorisch
ISAKMP Phase-2-Parameter Transformationsprotokoll Transformationsprotokoll Transformationsprotokoll
Authentifizierungsalgorithmus Integritätsschutzalgorithmus für IPSec-Pakete Obligatorisch
SA-Lebensdauer

Lebensdauer der IPSec-SA in Sekunden.

Schlüssel werden aktualisiert, wenn der Ablauf der SA-Lebensdauer bevorsteht.

Optional
Verschlüsselungsalgorithmus. Verschlüsselungsschutz für IPSec-Pakete Obligatorisch
Kapselungsmodus Modus für IPSec-Tunnel (Tunnel oder Transport) Obligatorisch. Nur der Tunnelmodus wird unterstützt.
Perfekte Weiterleitungsgeheimhaltung aktivieren PFS (aktiviert oder inaktiv) Obligatorisch
DH-Gruppe für Perfekte Weiterleitungsgeheimhaltung Für PFS zu verwendende DH-Gruppe Obligatorisch
Quellen

Gilt für richtlinienbasiertes VPN. Dies ist das Subnetz oder die Subnetze hinter dem Peer-VPN-Endpoint.

Obligatorisch für richtlinienbasiertes VPN
Ziele

Gilt für richtlinienbasiertes VPN. Dies ist das Subnetz oder die Subnetze hinter dem NSX-VPN-Endpoint, für den der Datenverkehr über IPSec getunnelt werden muss.

Obligatorisch für richtlinienbasiertes VPN
Weitere Parameter DPD aktiviert Ob die Erkennung ausgefallener Peers aktiviert ist Optional
Häufigkeit, mit der DPD durchgeführt wird (in Sekunden) Optional