Debe configurar un endpoint local para usarlo con la VPN de IPSec que va a configurar.

Los siguientes pasos utilizan la pestaña Endpoints locales de la interfaz de usuario de NSX Manager. También puede crear un endpoint local durante en el proceso de adición de una sesión de VPN de IPSec. Para ello, haga clic en el menú de tres puntos ( Tres puntos negros alineados verticalmente. Al hacer clic en este icono, se muestra un menú de subcomandos.) y seleccione Agregar endpoint local. Si se encuentra en pleno proceso de configuración de una sesión de VPN de IPSec, vaya al paso 3 de la lista para continuar con la creación de un nuevo endpoint local.

Requisitos previos

  • Si utiliza un modo de autenticación basada en certificados para la sesión de VPN de IPSec que usará el endpoint local que va a configurar, obtenga la información del certificado que debe usar el endpoint local.
  • Asegúrese de haber configurado un servicio de VPN de IPSec al que se asociará este endpoint local.

Procedimiento

  1. Con privilegios de administrador, inicie sesión en NSX Manager.
  2. Desplácese hasta Redes > VPN > Endpoints locales, y haga clic en Agregar endpoint local.
  3. Escriba un nombre para el endpoint local.
  4. En el menú desplegable Servicio VPN, seleccione el servicio VPN de IPSec con el que se asociará este endpoint local.
  5. Introduzca una dirección IP para el endpoint local.

    Para un servicio VPN de IPSec que se ejecuta en una puerta de enlace de nivel 0, la dirección IP del endpoint local debe ser diferente de la dirección IP de la interfaz de enlace superior de la puerta de enlace de nivel 0. La dirección IP del endpoint local que proporcione está asociada con la interfaz de bucle invertido para la puerta de enlace de nivel 0 y también se publica como una dirección IP enrutable a través de la interfaz de enlace superior.

    Para un servicio VPN de IPSec que se ejecuta en una puerta de enlace de nivel 1, la dirección IP del endpoint local debe ser diferente de la dirección IP de la interfaz de enlace superior de la puerta de enlace de nivel 1. Para que la dirección IP del endpoint local se pueda enrutar, el anuncio de rutas para los endpoints locales de IPSec debe estar habilitado en la configuración de la puerta de enlace de nivel 1. Consulte Agregar una puerta de enlace de nivel 1 para obtener más información.

  6. Si utiliza el modo de autenticación basada en certificados para la sesión de VPN de IPSec, en el menú desplegable Certificado del sitio, seleccione el certificado que utilizará el endpoint local.
  7. (opcional) De forma opcional, puede agregar una descripción en Descripción.
  8. Introduzca el valor del Identificador local que se utiliza para identificar la instancia local de NSX Edge.
    Este identificador local está configurado como identificador remoto en el sitio remoto. El identificador local debe ser la dirección IP o el FQDN del sitio local. Para las sesiones de VPN IPSec con autenticación basada en certificados y asociadas al endpoint local, el ID local se derivará del certificado asociado al endpoint local. Se omitirá el identificador especificado en el cuadro de texto Identificador local. El identificador local derivado del certificado para una sesión de VPN depende de las extensiones presentes en el certificado.
    • Si la extensión X509v3 Subject Alternative Name de X509v3 no está presente en el certificado, se utilizará el nombre distintivo (DN) como el valor del identificador local.

      Por ejemplo, el certificado no tiene ningún campo Nombre alternativo del sujeto (SAN) y su cadena de DN es:

      C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123

      A continuación, la cadena de DN se utilizará como identificador local. Este identificador local es el identificador del sitio remoto de mismo nivel.

    • Si la extensión X509v3 X509v3 Subject Alternative Name se encuentra en el certificado, se tomará uno de los campos de SAN como el valor del identificador local.

      Si el certificado tiene varios campos SAN, se utilizará el siguiente orden para seleccionar el identificador local.

      Ordenar Campo SAN
      1 Dirección IP
      2 DNS
      3 Dirección de correo electrónico

      Por ejemplo, si el certificado del sitio configurado tiene los siguientes campos de SAN:

      x509v3 Subject Alternative Name:
      DNS:Site123.vmware.com, email:[email protected], IP Address:1.1.1.1

      A continuación, la dirección IP 1.1.1.1 se utilizará como identificador local. Si la dirección IP no está disponible, se utilizará la cadena DNS. Y si la dirección IP y el DNS no están disponibles, se utilizará la dirección de correo electrónico.

    Para ver el identificador local que se utiliza para una sesión de VPN de IPSec, haga lo siguiente:

    1. Vaya a Redes > VPN y haga clic en la pestaña Sesiones de IPSec.
    2. Expanda la sesión de VPN de IPSec.
    3. Haga clic en Descargar configuración para descargar el archivo de configuración que contiene el identificador local.
  9. En los menús desplegables Certificados de CA de confianza y Lista de revocación de certificados, seleccione los certificados adecuados necesarios para el endpoint local.
  10. (opcional) Especifique una etiqueta.
  11. Haga clic en Guardar.