Los servicios VPN-Plus de SSL para una puerta de enlace Edge de NSX Data Center for vSphere en un entorno de VMware Cloud Director permiten a los usuarios remotos conectarse de forma segura a las aplicaciones y las redes privadas de los centros de datos virtuales de organización respaldados por esa puerta de enlace Edge. Es posible configurar varios servicios VPN-Plus de SSL en la puerta de enlace Edge.
En el entorno VMware Cloud Director, la capacidad VPN-Plus de SSL de la puerta de enlace Edge es compatible con el modo de acceso a la red. Los usuarios remotos deben instalar un cliente SSL para establecer conexiones seguras y tener acceso a las redes y las aplicaciones detrás de la puerta de enlace Edge. Como parte de la configuración de VPN-Plus de SSL de la puerta de enlace Edge, debe agregar los paquetes de instalación para el sistema operativo y configurar determinados parámetros. Consulte Agregar un paquete de instalación del cliente VPN-Plus de SSL para obtener más detalles.
La configuración de VPN-Plus de SSL en una puerta de enlace Edge es un proceso de varios pasos.
Requisitos previos
Compruebe que todos los certificados SSL necesarios para VPN-Plus de SSL se agregaron a la pantalla Certificados. Consulte Administración de certificados SSL en una puerta de enlace Edge de NSX Data Center for vSphere.
Desplazarse a la pantalla VPN-Plus de SSL
Es posible desplazarse hasta la pantalla VPN-Plus de SSL para comenzar a configurar el servicio VPN-Plus de SSL para una puerta de enlace Edge de NSX Data Center for vSphere.
Procedimiento
- Abra los servicios de puerta de enlace Edge.
- En la barra de navegación superior, haga clic en Redes y, a continuación, haga clic en Puertas de enlace Edge.
- Seleccione la puerta de enlace Edge que desea editar y haga clic en Servicios.
- Haga clic en la pestaña VPN-Plus de SSL.
Qué hacer a continuación
En la pantalla General, configure los ajustes predeterminados de VPN-Plus de SSL. Consulte Personalizar la configuración general de VPN-Plus de SSL para una puerta de enlace Edge de NSX Data Center for vSphere.
Configurar ajustes de un servidor VPN de SSL
Esta configuración de servidor permite determinar los ajustes para el servidor VPN de SSL, como la dirección IP y el puerto de escucha para el servicio, la lista de cifrado del servicio y su certificado de servicio. Al conectarse a la puerta de enlace Edge de NSX Data Center for vSphere, los usuarios remotos especifican la misma dirección IP y el puerto que se establecieron en esta configuración de servidor.
Si la puerta de enlace Edge se configuró con varias redes de direcciones IP superpuestas en la interfaz externa, la dirección IP que seleccione para el servidor VPN de SSL puede ser diferente a la de la interfaz externa predeterminada de la puerta de enlace Edge.
Al determinar la configuración de un servidor VPN de SSL, debe elegir los algoritmos de cifrado que se utilizarán para el túnel VPN de SSL. Puede elegir uno o varios cifrados. Elija cuidadosamente los cifrados de acuerdo con los puntos fuertes y débiles de sus selecciones.
De forma predeterminada, el sistema utiliza el certificado autofirmado predeterminado que el sistema genera para cada puerta de enlace Edge como el certificado de identidad de servidor predeterminado para el túnel VPN de SSL. En lugar de esta opción predeterminada, puede utilizar un certificado digital que haya agregado al sistema en la pantalla Certificados.
Requisitos previos
- Compruebe que cumple con los requisitos previos descritos en Configurar VPN-Plus de SSL.
- Si decide utilizar un certificado de servicio diferente al predeterminado, importe el certificado requerido en el sistema. Consulte Agregar un certificado de servicio a la puerta de enlace Edge.
- Desplazarse a la pantalla VPN-Plus de SSL.
Procedimiento
Qué hacer a continuación
Agregue un grupo de direcciones IP para que se asignen direcciones IP a los usuarios remotos cuando se conecten con VPN-Plus de SSL. Consulte Crear un grupo de direcciones IP para usarlo con VPN-Plus de SSL en una puerta de enlace Edge de NSX Data Center for vSphere.
Crear un grupo de direcciones IP para usarlo con VPN-Plus de SSL en una puerta de enlace Edge de NSX Data Center for vSphere
Se asignan direcciones IP virtuales a los usuarios remotos desde los grupos de direcciones IP estáticas que se configuran en la pantalla Grupos de direcciones IP de la pestaña VPN-Plus de SSL.
Cada grupo de direcciones IP agregado a esta pantalla hace que se configure una subred de direcciones IP en la puerta de enlace Edge. Los intervalos de IP utilizados en estos grupos de direcciones IP deben ser diferentes de los de todas las otras redes configuradas en la puerta de enlace Edge.
Requisitos previos
Procedimiento
- En la pestaña VPN-Plus de SSL, haga clic en Grupos de direcciones IP.
- Haga clic en el botón Crear ().
- Establezca la configuración del grupo de direcciones IP.
Opción Acción Rango de IP Introduzca un rango de direcciones IP para este grupo de direcciones IP (por ejemplo, 127.0.0.1-127.0.0.9.). Estas direcciones IP se asignarán a los clientes VPN cuando se autentiquen y se conecten al túnel VPN de SSL.
Máscara de red Introduzca la máscara de red del grupo de direcciones IP (por ejemplo, 255.255.255.0). Puerta de enlace Introduzca la dirección IP que desea que la puerta de enlace Edge cree y asígnela como la dirección de puerta de enlace para este grupo de direcciones IP. Cuando se crea el grupo de direcciones IP, se crea un adaptador virtual en la máquina virtual de la puerta de enlace Edge y se configura esta dirección IP en esa interfaz virtual. Esta dirección IP puede ser cualquier IP dentro de la subred que no sea parte también del intervalo en el campo Rango de IP.
Descripción (Opcional) Introduzca una descripción para este grupo de direcciones IP. Estado Seleccione si desea activar o desactivar este grupo de direcciones IP. DNS primario (Opcional) Introduzca el nombre del servidor DNS primario que se utilizará para la resolución de nombres de estas direcciones IP virtuales. DNS secundario (Opcional) Introduzca el nombre del servidor DNS secundario que se usará. Sufijo DNS (Opcional) Introduzca el sufijo DNS del dominio en el que se alojan los sistemas del cliente para la resolución de nombres de host basada en dominios. Servidor WINS (Opcional) Introduzca la dirección del servidor WINS que satisfaga las necesidades de la organización. - Haga clic en Conservar.
Resultados
Qué hacer a continuación
Agregue las redes privadas a las que desea que los usuarios remotos puedan acceder mediante VPN-Plus de SSL. Consulte Agregar una red privada para usarla con VPN-Plus de SSL en una puerta de enlace Edge de NSX Data Center for vSphere.
Agregar una red privada para usarla con VPN-Plus de SSL en una puerta de enlace Edge de NSX Data Center for vSphere
Utilice la pantalla Redes privadas de la pestaña VPN-Plus de SSL para configurar las redes privadas. Las redes privadas son las recomendadas para el acceso de los clientes VPN, cuando los usuarios remotos se conectan mediante sus clientes VPN y el túnel VPN de SSL. Las redes privadas activadas se instalarán en la tabla de enrutamiento del cliente VPN.
- VPN-Plus de SSL permite que los usuarios remotos accedan a redes privadas según el orden de arriba abajo en que se muestran los grupos de direcciones IP en la tabla en pantalla. Después de agregar las redes privadas a la tabla en pantalla, puede ajustar sus posiciones en la tabla con las flechas hacia arriba y hacia abajo.
- Si decide activar la optimización de TCP para una red privada, puede que algunas aplicaciones, como FTP configurado en modo activo, no funcionen en esa subred. Para agregar un servidor FTP configurado en modo activo, debe agregar otra red privada para ese servidor FTP y desactivar la optimización de TCP para esa red privada. Además, la red privada para dicho servidor FTP debe estar activada y aparecer en la tabla en pantalla por encima de la red privada optimizada para TCP.
Requisitos previos
Procedimiento
- En la pestaña VPN-Plus de SSL, haga clic en Redes privadas.
- Haga clic en el botón Agregar ().
- Configure los ajustes de red privada.
Opción Acción Red Escriba la dirección IP de la red privada en formato CIDR (por ejemplo, 192169.1.0/24). Descripción (Opcional) Escriba una descripción para la red. Enviar tráfico Especifique la manera en la que desea que el cliente VPN envíe el tráfico de Internet y de red privada. - A través del túnel
El cliente VPN envía el tráfico de Internet y de red privada a través de la puerta de enlace Edge activada para VPN-Plus de SSL.
- Omitir el túnel
El cliente VPN omite la puerta de enlace Edge y envía el tráfico directamente al servidor privado.
Habilitar optimización de TCP (Opcional) Para optimizar la velocidad de Internet de la mejor manera, cuando selecciona A través del túnel para enviar el tráfico, también debe seleccionar Habilitar optimización de TCP La selección de esta opción mejora el rendimiento de los paquetes TCP en el túnel VPN, pero no mejora el rendimiento del tráfico UDP.
El túnel VPN de SSL convencional de acceso completo envía datos de TCP/IP en una segunda pila de TCP/IP para el cifrado a través de Internet. Este método convencional encapsula los datos de la capa de aplicaciones en dos flujos de TCP distintos. Cuando se genera una pérdida de paquetes, lo que es posible incluso en condiciones óptimas de Internet, se produce un efecto de degradación de rendimiento denominado colapso de TCP sobre TCP. En un colapso de TCP sobre TCP, dos instrumentos TCP corrigen el mismo paquete de datos de IP, lo que socava el rendimiento de red y agota los tiempos de espera de conexión. La selección de Habilitar optimización de TCP elimina el riesgo de que se produzca este problema de TCP sobre TCP.
Nota: Cuando se activa la optimización de TCP:- Debe especificar los números de puerto para los que se optimizará el tráfico de Internet.
- El servidor VPN de SSL abre la conexión TCP en nombre del cliente VPN. Cuando el servidor VPN de SSL abre la conexión TCP, se aplica la primera regla de firewall de Edge generada automáticamente, lo que permite que se aprueben todas las conexiones abiertas desde la puerta de enlace Edge. El tráfico no optimizado se evalúa con las reglas de firewall de Edge tradicionales. La regla TCP generada de forma predeterminada permite cualquier conexión.
Puertos Si selecciona A través del túnel, escriba el rango de números de puertos que desea abrir para que el usuario remoto acceda a los servidores internos, como 20-21 para el tráfico de FTP y 80-81 para el tráfico de HTTP. Para otorgar acceso sin restricciones a los usuarios, deje el campo en blanco.
Estado Active o desactive la red privada. - A través del túnel
- Haga clic en Conservar.
- Haga clic en Guardar cambios para guardar la configuración en el sistema.
Qué hacer a continuación
Agregue un servidor de autenticación. Consulte Configurar un servicio de autenticación para VPN-Plus de SSL en una puerta de enlace Edge de NSX Data Center for vSphere.
Configurar un servicio de autenticación para VPN-Plus de SSL en una puerta de enlace Edge de NSX Data Center for vSphere
Utilice la pantalla Autenticación en la pestaña VPN-Plus de SSL para configurar un servidor de autenticación local para el servicio VPN de SSL de la puerta de enlace Edge y, de forma opcional, habilitar la autenticación del certificado de cliente. Este servidor de autenticación se utiliza para autenticar los usuarios que se conectan. Se autenticarán todos los usuarios configurados en el servidor de autenticación local.
Puede tener un solo servidor de autenticación local de VPN-Plus de SSL configurado en la puerta de enlace Edge. Si hace clic en + LOCAL y especifica servidores de autenticación adicionales, se mostrará un mensaje de error al intentar guardar la configuración.
El tiempo máximo para autenticar a través de VPN de SSL es tres (3) minutos. Este valor máximo se determina según el tiempo de espera sin autenticación, el cual es 3 minutos de forma predeterminada y no es configurable. Como resultado, si tiene varios servidores de autenticación en la autorización en cadena y la autenticación de usuario tarda más de 3 minutos, el usuario no se autenticará.
Requisitos previos
- Desplazarse a la pantalla VPN-Plus de SSL.
- Agregar una red privada para usarla con VPN-Plus de SSL en una puerta de enlace Edge de NSX Data Center for vSphere.
- Si planea habilitar la autenticación del certificado del cliente, compruebe que se haya añadido un certificado de CA a la puerta de enlace Edge. Consulte Agregar un certificado de CA a la puerta de enlace Edge para la verificación de confianza de certificados SSL.
Procedimiento
- Haga clic en la pestaña VPN-Plus de SSL y en Autenticación.
- Haga clic en Local.
- Configure los ajustes del servidor de autenticación.
- (opcional) Habilite y configure la política de contraseña.
Opción Descripción Habilitar política de contraseñas Active la aplicación de la configuración de la política de contraseñas que configure aquí. Longitud de la contraseña Introduzca las cantidades mínima y máxima de caracteres que se permiten para la contraseña. Cantidad mínima de letras (Opcional) Escriba la cantidad mínima de caracteres alfabéticos que se requieren en la contraseña. Cantidad mínima de dígitos (Opcional) Escriba la cantidad mínima de caracteres numéricos que se requieren en la contraseña. Cantidad mínima de caracteres especiales (Opcional) Escriba la cantidad mínima de caracteres especiales, como la Y comercial (&), la almohadilla (#), el signo de porcentaje (%), entre otros, que sean necesarios en la contraseña. La contraseña no debe contener el ID de usuario (Opcional) Habilite esta opción para exigir que la contraseña no contenga el identificador de usuario. La contraseña caduca en (Opcional) Escriba la cantidad máxima de días de vigencia de la contraseña, antes de que el usuario deba cambiarla. Notificación de caducidad en (Opcional) Escriba la cantidad de días antes del valor de La contraseña caduca en que se notifica al usuario que la contraseña está a punto de caducar. - (opcional) Habilite y configure la política de bloqueo de cuentas.
Opción Descripción Habilitar política de bloqueo de cuentas Active la aplicación de la configuración de la política de bloqueo de cuentas que configure aquí. Recuento de reintentos Introduzca la cantidad de veces que un usuario puede intentar acceder a la cuenta. Duración del reintento Introduzca el período en minutos durante el que la cuenta del usuario se bloquea tras intentos de inicio de sesión incorrectos. Por ejemplo, si especifica Recuento de reintentos como 5 y Duración del reintento como 1 minuto, la cuenta del usuario se bloqueará tras 5 intentos de inicio de sesión incorrectos en 1 minuto.
Duración del bloqueo Introduzca el período durante el cual la cuenta del usuario permanecerá bloqueada. Una vez transcurrido ese tiempo, la cuenta se desbloqueará automáticamente.
- En la sección Estado, habilite este servidor de autenticación.
- (opcional) Configure la autenticación secundaria.
Opciones Descripción Usar este servidor para la autenticación secundaria (Opcional) Especifique si desea utilizar el servidor como segundo nivel de autenticación. Finalizar sesión si la autenticación no es correcta (Opcional) Especifique si desea cerrar la sesión de VPN cuando se produzca un error en la autenticación. - Haga clic en Conservar.
- (opcional) Habilite y configure la política de contraseña.
- (opcional) Para habilitar la autenticación de certificación de clientes, haga clic en Cambiar certificado, active el botón de alternancia de habilitación, seleccione el certificado de CA que desea utilizar y haga clic en Aceptar.
Qué hacer a continuación
Agregue usuarios locales al servidor de autenticación local para que puedan conectarse con VPN-Plus de SSL. Consulte Añadir usuarios de VPN-Plus de SSL al servidor local de autenticación de VPN-Plus de SSL.
Cree un paquete de instalación que contenga el cliente SSL para que los usuarios remotos puedan instalarlo en los sistemas locales. Consulte Agregar un paquete de instalación del cliente VPN-Plus de SSL.
Añadir usuarios de VPN-Plus de SSL al servidor local de autenticación de VPN-Plus de SSL
Utilice la pantalla Usuarios en la pestaña VPN-Plus de SSL para agregar cuentas de usuarios remotos al servidor local de autenticación para el servicio VPN de SSL de la puerta de enlace Edge de NSX Data Center for vSphere.
Requisitos previos
Procedimiento
- En la pestaña VPN-Plus de SSL, haga clic en Usuarios.
- Haga clic en el botón Crear ().
- Configure las siguientes opciones para el usuario.
Opción Descripción ID de usuario Introduzca el identificador del usuario. Contraseña Introduzca una contraseña para el usuario. Vuelva a escribir la contraseña Vuelva a introducir la contraseña. Nombre (Opcional) Introduzca el nombre del usuario. Apellido (Opcional) Introduzca el apellido del usuario. Descripción (Opcional) Introduzca una descripción para el usuario. Habilitado Especifique si el usuario está activado o desactivado. La contraseña nunca caduca (Opcional) Especifique si desea conservar la misma contraseña para este usuario durante un tiempo indefinido. Permitir cambio de contraseña (Opcional) Especifique si desea permitir que el usuario cambie la contraseña. Cambiar contraseña la próxima vez que se inicie sesión (Opcional) Especifique si desea que este usuario cambie la contraseña la próxima vez que inicie sesión. - Haga clic en Conservar.
- Repita los pasos para agregar más usuarios.
Qué hacer a continuación
Agregue usuarios locales al servidor de autenticación local para que puedan conectarse con VPN-Plus de SSL. Consulte Añadir usuarios de VPN-Plus de SSL al servidor local de autenticación de VPN-Plus de SSL.
Cree un paquete de instalación que contenga el cliente SSL para que los usuarios remotos puedan instalarlo en los sistemas locales. Consulte Agregar un paquete de instalación del cliente VPN-Plus de SSL.
Agregar un paquete de instalación del cliente VPN-Plus de SSL
Utilice la pantalla Paquetes de instalación de la pestaña VPN-Plus de SSL para crear paquetes de instalación con nombre del cliente VPN-Plus de SSL para los usuarios remotos.
Puede agregar un paquete de instalación del cliente VPN-Plus de SSL a la puerta de enlace Edge de NSX Data Center for vSphere. Se le pedirá a los nuevos usuarios que descarguen e instalen este paquete cuando inicien sesión para utilizar la conexión de VPN por primera vez. Cuando se agregan, estos paquetes de instalación del cliente se pueden descargar desde el FQDN de la interfaz pública de la puerta de enlace Edge.
Puede crear paquetes de instalación que se ejecuten en sistemas operativos Windows, Linux y Mac. Si necesita parámetros de instalación diferentes para cada cliente VPN de SSL, cree un paquete de instalación para cada configuración.
Requisitos previos
Procedimiento
- En la pestaña VPN-Plus de SSL del portal para tenants, haga clic en Paquetes de instalación.
- Haga clic en el botón Agregar ().
- Configure los ajustes del paquete de instalación.
Opción Descripción Nombre del perfil Introduzca un nombre de perfil para este paquete de instalación. Este nombre se mostrará al usuario remoto para identificar esta conexión VPN de SSL para la puerta de enlace Edge.
Puerta de enlace Introduzca la dirección IP o el FQDN de la interfaz pública de la puerta de enlace Edge. La dirección IP o el FQDN que se introduzcan están enlazados al cliente VPN de SSL. Cuando se instale el cliente en el sistema local del usuario remoto, se mostrará esta dirección IP o FQDN en ese cliente VPN de SSL.
Para enlazar interfaces de vínculo superior de puerta de enlace Edge adicionales a este cliente VPN de SSL, haga clic en el botón Agregar () para agregar filas, y especifique los puertos y las direcciones IP o los FQDN de la interfaz.
Puerto (Opcional) Para modificar el valor de puerto predeterminado que se muestra, haga doble clic en el valor e introduzca uno nuevo. Windows
Linux
Mac
Seleccione los sistemas operativos para los que desea crear paquetes de instalación. Descripción (Opcional) Escriba una descripción para el usuario. Habilitado Especifique si este paquete está activado o desactivado. - Seleccione los parámetros de instalación de Windows.
Opción Descripción Iniciar cliente al iniciar sesión Se inicia el cliente VPN de SSL cuando el usuario remoto inicia sesión en el sistema local. Permitir recordar la contraseña El cliente puede recordar la contraseña de usuario. Habilitar instalación en modo silencioso Se ocultan los comandos de instalación de los usuarios remotos. Ocultar adaptador de red del cliente SSL Se oculta el adaptador de VPN-Plus de SSL de VMware, el cual se instala en el equipo del usuario remoto junto con el paquete de instalación del cliente VPN de SSL. Ocultar icono de la bandeja del sistema del cliente Se oculta el icono de la bandeja de VPN de SSL que indica si la conexión VPN está activa o no. Crear icono en el escritorio Se crea un icono en el escritorio del usuario para invocar el cliente SSL. Habilitar funcionamiento en modo silencioso Se oculta la ventana en la que se indica que se completó la instalación. Validación del certificado de seguridad del servidor El cliente VPN de SSL valida el certificado de servidor VPN de SSL antes de establecer la conexión segura. - Haga clic en Conservar.
Qué hacer a continuación
Edite la configuración del cliente. Consulte Editar la configuración del cliente VPN-Plus de SSL.
Editar la configuración del cliente VPN-Plus de SSL
Utilice la pantalla Configuración del cliente de la pestaña VPN-Plus de SSL para personalizar el modo en el que el túnel del cliente VPN de SSL debe responder cuando el usuario remoto inicia sesión en VPN de SSL.
Requisitos previos
Procedimiento
Personalizar la configuración general de VPN-Plus de SSL para una puerta de enlace Edge de NSX Data Center for vSphere
De forma predeterminada, el sistema establece algunos ajustes de VPN-Plus de SSL para una puerta de enlace Edge en el entorno de VMware Cloud Director. Puede utilizar la pantalla Configuración general en la pestaña VPN-Plus de SSL en el portal para tenants de VMware Cloud Director para personalizar esta configuración.
Requisitos previos
Procedimiento
- En la pestaña VPN-Plus de SSL, haga clic en Configuración general.
- Edite la configuración general según corresponda para satisfacer las necesidades de la organización.
Opción Descripción Evitar varios inicios de sesión con el mismo nombre de usuario Active esta opción para restringir un usuario remoto de modo que disponga de una sola sesión de inicio de sesión activa con el mismo nombre de usuario. Compresión Active esta opción para habilitar la compresión de datos inteligente basada en TCP y aumentar la velocidad de la transferencia de datos. Habilitar registro Active esta opción para mantener un registro del tráfico que pasa por la puerta de enlace VPN de SSL. El registro está habilitado de forma predeterminada.
Forzar teclado virtual Active esta opción para exigir que los usuarios remotos utilicen un teclado virtual (en pantalla) solamente para introducir información de inicio de sesión. Aleatorizar las teclas del teclado virtual Active esta opción para que el teclado virtual tenga un diseño de teclas aleatorio. Tiempo de espera de sesión inactiva Introduzca el tiempo de espera de sesión inactiva en minutos. Si no se detecta ninguna actividad en una sesión de usuario durante el período especificado, el sistema desconectará la sesión de usuario. El valor predeterminado del sistema es 10 minutos.
Notificación del usuario Escriba el mensaje que se mostrará a los usuarios remotos después de iniciar sesión. Habilitar acceso a la URL pública Active esta opción para permitir que los usuarios remotos accedan a sitios que no se configuraron explícitamente para el acceso de usuarios remotos. Habilitar tiempo de espera forzado Active esta opción para que el sistema desconecte a los usuarios remotos después de que se cumpla el período que especifique en el campo Tiempo de espera forzado. Tiempo de espera forzado Escriba el período de tiempo de espera en minutos. Este campo se muestra cuando se activa el botón de alternancia Habilitar tiempo de espera forzado.
- Haga clic en Guardar cambios.