Si desea conectar una VPN a una puerta de enlace de nivel 1, debe crear un servicio de IPsec en la puerta de enlace y reglas NAT adecuadas para habilitar el tráfico de VPN de IPsec a través de la interfaz de Internet de la puerta de enlace.

En SDDC 1.18 y versiones posteriores, tiene la opción de crear una VPN que finalice en una puerta de enlace de nivel 1 personalizada. Esta configuración es especialmente útil cuando necesita proporcionar acceso a una VPN dedicada a un tenant o un grupo de trabajo específicos.

Para obtener más información, consulte el artículo de VMware Tech Zone Entender el cambio de VPN a NSX de nivel 1 creados por el cliente en VMC on AWS

Requisitos previos

Cree una puerta de enlace de nivel 1 enrutada o con NAT. Consulte Agregar una puerta de enlace de nivel 1 personalizada a un SDDC de VMware Cloud on AWS.

Procedimiento

  1. Inicie sesión en VMware Cloud Services en https://vmc.vmware.com.
  2. Haga clic en Inventario > SDDC, seleccione una tarjeta de SDDC y haga clic en VER DETALLES.
  3. Haga clic en ABRIR NSX MANAGER e inicie sesión con la cuenta de usuario administrador de NSX Manager que se muestra en la página Configuración del SDDC.
  4. (opcional) Solicite una dirección IP pública para el endpoint de VPN.
    En el caso habitual en que desea acceder a esta VPN desde Internet, su endpoint local deberá ser una dirección IP pública. Consulte Solicitar o liberar una dirección IP pública. En este ejemplo, utilizaremos 93.184.216.34 como dirección. Si desea acceder a esta VPN a través de DX o VMware Transit Connect, puede utilizar cualquier dirección IP disponible en la red informática del SDDC.
    Nota: No puede utilizar ninguna subred del CIDR de administración como endpoint local.
  5. Agregue un servicio VPN a la puerta de enlace de nivel 1.
    Haga clic en Redes > VPN. Abra la pestaña Nivel-1 y haga clic en Servicios VPN > AGREGAR SERVICIO > IPSec. Asigne al servicio IPsec un Nombre y seleccione una Puerta de enlace de nivel 1 en el menú desplegable. Haga clic en GUARDAR para crear el servicio.
  6. Cree el endpoint local.
    Abra la pestaña Endpoints locales y haga clic en AGREGAR ENDPOINT LOCAL. Asigne un Nombre al nuevo endpoint local y una Descripción opcional. Para Servicio VPN, utilice el nombre del servicio de IPsec que creó en el paso 5. Para la Dirección IP, utilice la dirección IP pública que solicitó en Paso 4 o cualquier dirección disponible en la red informática del SDDC. Haga clic en GUARDAR para crear el endpoint local.
  7. Configure la VPN.
    Abra la pestaña Sesiones de IPSec y seleccione Basada en ruta o Basada en directiva en el menú desplegable AGREGAR SESIÓN IPSEC.
    1. Para Servicio VPN, utilice el nombre del servicio de IPsec que creó en el paso 5. Para endpoint local, utilice el que creó en el paso 6.
    2. En IP remota, introduzca la dirección de su endpoint de VPN local.
    3. Introduzca la cadena Clave compartida previamente.

      La longitud de clave máxima es de 128 caracteres. Esta clave debe ser idéntica en ambos extremos del túnel VPN.

  8. Especifique el Identificador remoto.
    Deje este campo en blanco para utilizar la IP remota como identificador remoto para negociación de IKE. Si la puerta de enlace de VPN local está detrás de un dispositivo NAT o utiliza una dirección IP diferente para su identificador local, debe introducir esa dirección IP aquí.
  9. Configure los Parámetros de túnel avanzados.
    Parámetro Valor
    Perfil de IKE > Cifrado de IKE Seleccione un cifrado (IKE) de fase 1 que sea compatible con la puerta de enlace de VPN local.
    Perfil de IKE > Algoritmo de resumen de IKE Seleccione un algoritmo de resumen de fase 1 que sea compatible con la puerta de enlace de VPN local. La práctica recomendada consiste en utilizar el mismo algoritmo en Algoritmo de resumen de IKE y en Algoritmo de resumen de túnel.
    Nota:

    Si especifica un cifrado basado en GCM en Cifrado de IKE, establezca Algoritmo de resumen de IKE en Ninguno. La función de resumen es fundamental en el cifrado de GCM. Si usa un cifrado basado en GCM, debe usar IKE V2

    .
    Perfil de IKE > Versión de IKE
    • Especifique IKE V1 para iniciar y aceptar el protocolo IKEv1.
    • Especifique IKE V2 para iniciar y aceptar el protocolo IKEv2. Deberá usar IKEv2 si especificó un Algoritmo de resumen de IKE basado en GCM.
    • Especifique IKE FLEX para aceptar IKEv1 o IKEv2 y, a continuación, inicie con IKEv2. Si se produce un error en el inicio con IKEv2, IKE FLEX no revertirá a IKEv1.
    Perfil de IKE > Diffie Hellman Seleccione un grupo Diffie-Hellman que sea compatible con la puerta de enlace de VPN local. Este valor debe ser idéntico en ambos extremos del túnel VPN. Los números de grupo más altos ofrecen una mejor protección. Se recomienda seleccionar el grupo 14 o superior.
    Perfil de IPsec > Cifrado de túnel Seleccione un cifrado de asociación de seguridad (Security Association, SA) de fase 2 que sea compatible con la puerta de enlace de VPN local.
    Perfil de IPsec Algoritmo de resumen de túnel Seleccione un algoritmo de resumen de fase 2 que sea compatible con la puerta de enlace de VPN local.
    Nota:

    Si especifica un cifrado basado en GCM en Cifrado de túnel, establezca Algoritmo de resumen de túnel en Ninguno. La función de resumen es fundamental en el cifrado de GCM.

    Perfil de IPsec > Confidencialidad directa total Habilite o deshabilite esta opción para que coincida con la configuración de la puerta de enlace de VPN local. Habilitar la confidencialidad directa total evita que se descifren las sesiones (anteriores) registradas si la clave privada se ve comprometida en algún momento.
    Perfil de IPsec > Diffie Hellman Seleccione un grupo Diffie-Hellman que sea compatible con la puerta de enlace de VPN local. Este valor debe ser idéntico en ambos extremos del túnel VPN. Los números de grupo más altos ofrecen una mejor protección. Se recomienda seleccionar el grupo 14 o superior.
    Perfil de DPD > Modo de sondeo de DPD Una opción entre Periódico o A pedido.

    En un modo de sondeo de DPD periódico, se envía un sondeo de DPD cada vez que se alcanza el tiempo del intervalo de sondeo de DPD especificado.

    En un modo de sondeo de DPD a pedido, se envía un sondeo de DPD si no se recibe ningún paquete de IPsec del sitio del mismo nivel después de un periodo de inactividad. El valor de Intervalo de sondeo de DPD determina el periodo de inactividad utilizado.
    Perfil de DPD > Recuento de reintentos Número entero de reintentos permitidos. Son válidos los valores del rango 1 a 100. El recuento predeterminado de reintentos es 10.
    Perfil de DPD > Intervalo de sondeo de DPD Cantidad de segundos que desea que el daemon IKE de NSX espere entre el envío de los sondeos de DPD.

    En un modo de sondeo de DPD periódico, los valores válidos se encuentran entre 3 y 360 segundos. El valor predeterminado es 60 segundos.

    En un modo de sondeo a pedido, los valores válidos se encuentran entre 1 y 10 segundos. El valor predeterminado es 3 segundos.

    Cuando se establece el modo de sondeo de DPD periódico, el daemon IKE envía un sondeo de DPD periódicamente. Si el sitio del mismo nivel responde en medio segundo, el siguiente sondeo de DPD se envía después de alcanzar el tiempo del intervalo de sondeo de DPD configurado. Si el sitio del mismo nivel no responde, el sondeo de DPD se vuelve a enviar después de esperar medio segundo. Si el sitio remoto del mismo nivel sigue sin responder, el daemon IKE vuelve a enviar el sondeo de DPD hasta que se reciba una respuesta o hasta que se alcance el recuento de reintentos. Antes de declarar que el sitio del mismo nivel está fuera de servicio, el daemon IKE vuelve a enviar el sondeo de DPD hasta un máximo de veces especificado en la propiedad Recuento de reintentos. Después de declarar que el sitio del mismo nivel está fuera de servicio, NSX desglosa la asociación de seguridad (security association, SA) en el vínculo del sitio del mismo nivel fuera de servicio.

    Cuando se establece el modo de DPD a pedido, el sondeo de DPD se envía solo si no se recibe tráfico de IPsec desde el sitio del mismo nivel después de alcanzar el tiempo del intervalo de sondeo de DPD configurado.
    Perfil de DPD > Estado de administración Para habilitar o deshabilitar el perfil de DPD, haga clic en el botón de alternancia Estado de administración. De forma predeterminada, el valor se establece en Habilitado. Cuando el perfil de DPD está habilitado, el perfil de DPD se utiliza para todas las sesiones de IPsec en el servicio VPN de IPsec que utiliza el perfil de DPD.
    Fijación de MSS de TCP Para utilizar la Fijación de MSS de TCP para reducir la carga útil de tamaño de segmento máximo (Maximum Segment Size, MSS) de la sesión de TCP durante la conexión de IPsec, cambie esta opción a Habilitado y después seleccione Dirección de MSS de TCP y, opcionalmente, el Valor de MSS de TCP. Consulte Descripción de la fijación de MSS de TCP en la Guía de administración de NSX Data Center.
  10. (opcional) Etiquete la VPN.

    Consulte Agregar etiquetas a un objeto en la Guía de administración de NSX Data Center para obtener más información sobre cómo etiquetar objetos de NSX.

  11. Haga clic en GUARDAR para crear la VPN.
  12. Agregue una regla de firewall de puerta de enlace de cómputo que permita el tráfico de VPN de IPsec a través de la interfaz de Internet de la CGW.
    Abra la pestaña Firewall de puerta de enlace y haga clic en Puerta de enlace de cómputo. Una regla como esta funcionará, pero probablemente será más permisiva de lo que querría para usarla en producción. Considere la posibilidad de restringir los Orígenes a un bloque CIDR que controla o en el cual confía. En este ejemplo, utilizamos la dirección IP pública que obtuvimos en Paso 4 (93.184.216.34) como dirección de Destinos.
    Nombre Orígenes Destinos Servicios Se aplica a Acción
    Acceso a VPN Cualquiera 93.184.216.34 Debe incluir IKE (NAT transversal) , IKE (Intercambio de claves), ESP VPN IPSec Interfaz de Internet Permitir
  13. Cree una regla NAT para que la dirección IP pública de la VPN sea accesible externamente.
    Desplácese hasta Redes > NAT > Internet. Haga clic en Agregar regla NAT y cree una regla NAT como esta.
    Nombre Dirección IP pública Servicio Puerto público IP interna Firewall
    Acceso a VPN 93.184.216.34 Todo el tráfico Cualquiera 93.184.216.34 Hacer coincidir con dirección externa
    La regla debe utilizar la misma dirección (en este ejemplo, su dirección IP pública solicitada en Paso 4) para IP pública e IP interna. El firewall debe corresponder a la dirección externa al examinar los paquetes entrantes.