Die Einstellungen für das Edge-Cloud-VPN werden aus dem mit dem Edge verknüpften Profil übernommen und können auf der Registerkarte Edge-Gerät (Edge Device) angezeigt werden. Auf der Edge-Ebene können Sie diese aus einem Profil übernommenen Einstellungen außer Kraft setzen und Tunnelparameter konfigurieren.
- Navigieren Sie im SD-WAN-Dienst des Unternehmensportals zu .
- Wählen Sie einen Edge aus, für den Sie die Nicht-SD-WAN-Ziel-Einstellungen überschreiben möchten, und klicken Sie dann auf den Link Anzeigen (View) unter der Spalte Gerät (Device). Die Einstellungsseite Gerät (Device) wird für den ausgewählten Edge angezeigt.
- Navigieren Sie zum Bereich VPN-Dienste (VPN Services) und erweitern Sie Nicht-SD-WAN-Ziel über Edge (Non SD-WAN Destination via Edge).
- Aktivieren Sie das Kontrollkästchen Überschreiben (Override), um die vom Profil übernommenen Nicht-SD-WAN-Ziel-Einstellungen nach Bedarf zu überschreiben.
Hinweis: Alle Konfigurationsänderungen an den Einstellungen für Zweigstelle-zu-Nicht-SD-WAN-Ziel über Gateway (Branch to Non SD-WAN Destinations via Gateway) können nur auf der zugeordneten Profilebene vorgenommen werden.
- Klicken Sie in der Spalte Action (Aktion) auf +, um Tunnel hinzuzufügen. Das Popup-Fenster Tunnel hinzufügen (Add Tunnel) wird angezeigt.
- Geben Sie die folgenden Details zum Konfigurieren eines Tunnels zur Nicht-SD-WAN-Ziel ein:
Option Beschreibung Authentifizierungsmethode (Authentication Method) Wählen Sie entweder PSK oder Zertifikat (Certificate) als Authentifizierungsmethode aus. Hinweis: Der Authentifizierungsmodus Zertifikat (Certificate) ist nur dann verfügbar, wenn die Systemeigenschaftsession.options.enableNsdPkiIPv6Config
auf „Wahr (True)“ festgelegt ist.Öffentlicher WAN-Link (Public WAN Link) Wählen Sie aus dem Dropdown-Menü einen WAN-Link aus. Typ der lokalen Kennung (Local Identification Type) Wählen Sie im Dropdown-Menü einen der lokalen Authentifizierungstypen aus: - FQDN: Der vollqualifizierte Domänenname oder der Hostname. Beispiel: vmware.com.
- Benutzer-FQDN (User FQDN): Der vollqualifizierte Domänenname in Form einer E-Mail-Adresse. Beispiel: [email protected].
- IPv4: Die zur Kommunikation mit dem lokalen Gateway verwendete IP-Adresse.
- IPv6: Die zur Kommunikation mit dem lokalen Gateway verwendete IP-Adresse.
Hinweis:- Diese Werte sind nur verfügbar, wenn Sie den Authentifizierungsmodus (Authentication Mode) als PSK auswählen.
- Der IPv6-Typ der lokalen Kennung (Local Identification Type) zeigt den Wert DER_ASN1_DN an, wenn der Authentifizierungsmodus (Authentication Mode) auf Zertifikat (Certificate) festgelegt ist. Ebenso ist IPv6 nur verfügbar, wenn die Systemeigenschaft
session.options.enableNsdPkiIPv6Config
auf True festgelegt ist.
Lokale Kennung (Local Identification) Mit der lokalen Authentifizierungs-ID werden das Format und die Identifizierung des lokalen Gateways festgelegt. Geben Sie für den ausgewählten Typ der lokalen Kennung (Local Identification Type) einen gültigen Wert ein. Die akzeptierten Werte sind IP-Adresse, Benutzer-FQDN (E-Mail-Adresse) und FQDN (Hostname oder Domänenname). Der Standardwert ist die lokale IPv4- oder IPv6-Adresse. Hinweis: Das Konfigurieren von Lokale Kennung (Local Identification) in Strongswan ist optional. Wenn diese Option nicht konfiguriert ist, verwendet Strongswan den Wert aus dem Zertifikat.PSK Geben Sie den vorinstallierten Schlüssel (Pre-Shared Key, PSK) in das Textfeld ein. Dies ist der Sicherheitsschlüssel für die Authentifizierung über den Tunnel. Typ der Remote-Kennung (Remote Identification Type) Das Feld wird nur angezeigt, wenn Zertifikat (Certificate) für Authentifizierungsmethode (Authentication Method) ausgewählt ist. Derzeit wird nur der Typ DER_ASN1_DN unterstützt. Remote-Kennung (Remote Identification) Das Feld wird nur angezeigt, wenn Zertifikat (Certificate) für Authentifizierungsmethode (Authentication Method) ausgewählt ist. Die Remote-Authentifizierungs-ID definiert das Format und die Kennung des Remote-Gateways. Geben Sie für den ausgewählten Typ der Remote-Kennung (Remote Identification Type) einen gültigen Wert ein. Die akzeptierten Werte sind IP-Adresse, Benutzer-FQDN (E-Mail-Adresse) und FQDN (Hostname oder Domänenname). Der Standardwert ist die lokale IPv4- oder IPv6-Adresse. Hinweis: Das Konfigurieren von Remote-Kennung (Remote Identification) in Strongswan ist optional. Wenn diese Option nicht konfiguriert ist, verwendet Strongswan den Wert aus dem Zertifikat.Primäre öffentliche IP des Ziels (Destination Primary Public IP) Geben Sie die öffentliche IP-Adresse für das primäre VPN-Gateway des Ziels ein. Sekundäre öffentliche IP des Ziels (Destination Secondary Public IP) Geben Sie die öffentliche IP-Adresse für das sekundäre VPN-Gateway des Ziels ein. Hinweis:- Wenn Sie für die Authentifizierungsmethode (Authentication Method) die Option Zertifikat (Certificate) auswählen, zeigen der Typ der lokalen Kennung (Local Identification Type) und der Typ der Remote-Kennung (Remote Identification Type) standardmäßig den Wert DER_ASN1_DN an.
- Die Felder Lokale Kennung (Local Identification) und Remote-Kennung (Remote Identification) müssen im DER_ASN1_DN-Format konfiguriert werden. Die Werte FQDN, Benutzer-FQDN (User FQDN), IPv4 und IPv6 sind für die zukünftige Verwendung reserviert.
- Klicken Sie auf Speichern (Save), um die Änderungen zu speichern.