Die Einstellungen für das Edge-Cloud-VPN werden aus dem mit dem Edge verknüpften Profil übernommen und können auf der Registerkarte Edge-Gerät (Edge Device) angezeigt werden. Auf Edge-Ebene können Sie die aus einem Profil übernommenen Einstellungen für „Zweigstelle-zu-Nicht-SD-WAN-Ziel über Edge (Branch to Non SD-WAN Destination via Edge)“ außer Kraft setzen und Tunnelparameter (Auswahl der WAN-Verbindung und Pro-Tunnel-Anmeldedaten) konfigurieren.
- Navigieren Sie im Unternehmensportal zu .
- Wählen Sie einen Edge aus, für den Sie die Nicht-SD-WAN-Ziel-Einstellungen außer Kraft setzen möchten, und klicken Sie dann auf den Link Anzeigen (View) unter der Spalte Gerät (Device). Die Seite „Geräteeinstellung (Device Setting)“ für den ausgewählten Edge wird angezeigt.
- Navigieren Sie zum Bereich VPN-Dienste (VPN Services) und erweitern Sie Nicht-SD-WAN-Ziel über Edge (Non SD-WAN Destination via Edge).
- Aktivieren Sie das Kontrollkästchen Überschreiben (Override), um die vom Profil übernommenen Nicht-SD-WAN-Ziel-Einstellungen nach Bedarf zu überschreiben.
Hinweis: Alle Konfigurationsänderungen an den Einstellungen für Zweigstelle-zu-Nicht-SD-WAN-Ziel über Gateway (Branch to Non SD-WAN Destinations via Gateway) können nur auf der zugeordneten Profilebene vorgenommen werden.
- Klicken Sie in der Spalte Action (Aktion) auf +, um Tunnel hinzuzufügen. Das Popup-Fenster Tunnel hinzufügen (Add Tunnel) wird angezeigt.
- Geben Sie die folgenden Details zum Konfigurieren eines Tunnels zur Nicht-SD-WAN-Ziel ein:
Option Beschreibung Authentifizierungsmethode Wählen Sie entweder PSK oder Zertifikat (Certificate) als Authentifizierungsmethode aus. Hinweis: Der Authentifizierungsmodus Zertifikat (Certificate) ist nur dann verfügbar, wenn die Systemeigenschaftsession.options.enableNsdPkiIPv6Config
auf „Wahr (True)“ festgelegt ist.Öffentlicher WAN-Link (Public WAN Link) Wählen Sie aus dem Dropdown-Menü einen WAN-Link aus. Typ der lokalen Kennung (Local Identification Type) Wählen Sie im Dropdown-Menü einen der lokalen Authentifizierungstypen aus: - FQDN: Der vollqualifizierte Domänenname oder der Hostname. Beispiel: vmware.com.
- Benutzer-FQDN (User FQDN): Der vollqualifizierte Domänenname in Form einer E-Mail-Adresse. Beispiel: [email protected].
- IPv4: Die zur Kommunikation mit dem lokalen Gateway verwendete IP-Adresse.
- IPv6: Die zur Kommunikation mit dem lokalen Gateway verwendete IP-Adresse.
Hinweis: Der IPv6-Typ der lokalen Kennung ist nur verfügbar, wenn die Systemeigenschaft
session.options.enableNsdPkiIPv6Config
auf „Wahr (True)“ festgelegt ist.
Hinweis: Wenn Sie für Authentifizierungsmethode (Authentication Method) die Option Zertifikat (Certificate) auswählen, wird DER_ASN1_DN für Typ der lokalen Kennung (Local Identification Type) angezeigt. Typ der lokalen Kennung (Local Identification Type) muss mit dem Antragstellernamen des lokalen Zertifikats übereinstimmen.Lokale Kennung (Local Identification) Mit der lokalen Authentifizierungs-ID werden das Format und die Identifizierung des lokalen Gateways festgelegt. Geben Sie für den ausgewählten Typ der lokalen Kennung (Local Identification Type) einen gültigen Wert ein. Die akzeptierten Werte sind IP-Adresse, Benutzer-FQDN (E-Mail-Adresse) und FQDN (Hostname oder Domänenname). Der Standardwert ist die lokale IPv4-Adresse. Hinweis: Das Konfigurieren von Lokale Kennung (Local Identification) in Strongswan ist optional. Wenn diese Option nicht konfiguriert ist, verwendet Strongswan den Wert aus dem Zertifikat.PSK Geben Sie den vorinstallierten Schlüssel (Pre-Shared Key, PSK) in das Textfeld ein. Dies ist der Sicherheitsschlüssel für die Authentifizierung über den Tunnel. Typ der Remote-Kennung Das Feld wird nur angezeigt, wenn Zertifikat (Certificate) für Authentifizierungsmethode (Authentication Method) ausgewählt ist. Derzeit wird nur der Typ DER_ASN1_DN unterstützt. Remote-Kennung Das Feld wird nur angezeigt, wenn Zertifikat (Certificate) für Authentifizierungsmethode (Authentication Method) ausgewählt ist. Die Remote-Authentifizierungs-ID definiert das Format und die Kennung des Remote-Gateways. Geben Sie für den ausgewählten Typ der Remote-Kennung (Remote Identification Type) einen gültigen Wert ein. Die akzeptierten Werte sind IP-Adresse, Benutzer-FQDN (E-Mail-Adresse) und FQDN (Hostname oder Domänenname). Der Standardwert ist die lokale IPv4-Adresse. Hinweis: Das Konfigurieren von Remote-Kennung (Remote Identification) in Strongswan ist optional. Wenn diese Option nicht konfiguriert ist, verwendet Strongswan den Wert aus dem Zertifikat.Primäre öffentliche IP des Ziels (Destination Primary Public IP) Geben Sie die öffentliche IP-Adresse für das primäre VPN-Gateway des Ziels ein. Sekundäre öffentliche IP des Ziels (Destination Secondary Public IP) Geben Sie die öffentliche IP-Adresse für das sekundäre VPN-Gateway des Ziels ein. - Klicken Sie auf Speichern (Save).