NSX Edge admite IPsec VPN de sitio a sitio entre una instancia de NSX Edge y sitios remotos. El túnel de VPN IPSec está compuesto por dos extremos. El túnel debe ser consistente en ambos lados, lo que incluye las subredes de IP o el estándar de cifrado.

Se deben abrir los siguientes puertos en todos los componentes del túnel de VPN IPSec:
  • Puerto 500. Este puerto se usa cuando no existe ningún dispositivo NAT entre los endpoints.
  • Puerto 4500. Este puerto se usa donde existe algún dispositivo NAT entre los endpoints.

Asegúrese de que las reglas de firewall admiten los paquetes de carga de seguridad encapsuladora (ESP).

Algunos problemas de configuración comunes que pueden causar que el túnel de IPSec falle son los siguientes:
  • La configuración de MTU de vSphere Distributed Switch está establecida muy baja. Una baja configuración de MTU causa una fragmentación de paquetes y resulta en un error de creación del túnel.
  • Algunas soluciones de VPN externas ofrecen un modo de negociación agresivo. NSX Data Center for vSphere solo admite el modo de negociación estándar (modo principal).
  • Las máquinas virtuales están configuradas para la comunicación IPv6 mediante el túnel de VPN IPSec. Actualmente, NSX Data Center for vSphere no admite IPv6.