Es necesario configurar al menos una dirección IP externa en NSX Edge para ofrecer el servicio de IPsec VPN.

Procedimiento

  1. Inicie sesión en vSphere Web Client.
  2. Haga clic en Redes y seguridad (Networking & Security) y, a continuación, en Instancias de NSX Edge (NSX Edges).
  3. Haga doble clic en un dispositivo NSX Edge.
  4. Haga clic en la pestaña Supervisar (Monitor) y seleccione la pestaña VPN.
  5. Haga clic en IPsec VPN.
  6. Haga clic en el icono Agregar (Add) (agregar) .
  7. Escriba un nombre para IPsec VPN.
  8. Introduzca la dirección IP de la instancia de NSX Edge en Identificador local (Local Id). Este será el identificador del mismo nivel en el sitio remoto.
  9. Introduzca la dirección IP para el extremo local.

    Si desea agregar un túnel IP a IP con una clave precompartida, el identificador local y la dirección IP para el extremo local pueden ser iguales.

  10. Introduzca en formato CIDR las subredes para compartir contenido entre los sitios. Utilice la coma como separador para especificar varias subredes.
  11. Introduzca el identificador del mismo nivel para identificar de forma exclusiva el sitio del mismo nivel. Para los elementos del mismo nivel con autenticación por certificado, este identificador debe ser el nombre común indicado en el certificado para el elemento del mismo nivel. Para los elementos del mismo nivel con PSK, este identificador puede ser cualquier cadena. VMware recomienda utilizar la dirección IP pública de la red VPN o un nombre FQDN para el servicio VPN como identificador del mismo nivel.
  12. Introduzca la dirección IP para el sitio del mismo nivel en Extremo de elemento del mismo nivel (Peer Endpoint). Si se deja esto en blanco, NSX Edge esperará a que el dispositivo del mismo nivel solicite una conexión.
  13. Introduzca en formato CIDR la dirección IP interna de la subred del mismo nivel. Utilice la coma como separador para especificar varias subredes.
  14. Seleccione el algoritmo de cifrado.
  15. En Método de autenticación (Authentication Method), seleccione una de las siguientes opciones:

    Opción

    Descripción

    PSK (Pre Shared Key) (Clave precompartida [PSK])

    Se indica que se utilizará la clave secreta compartida entre NSX Edge y el sitio del mismo nivel para la autenticación. La clave secreta puede ser una cadena con un máximo de 128 bytes de longitud.

    Certificado (Certificate)

    Se indica que se utilizará el certificado definido en el nivel global para la autenticación.

  16. Introduzca la clave compartida si algún sitio anónimo se conectará al servicio de VPN.
  17. Haga clic en Mostrar clave compartida (Display Shared Key) para mostrar la clave en el sitio del mismo nivel.
  18. En Grupo Diffie-Hellman (Diffie-Hellman [DH] Group), seleccione el esquema criptográfico con el cual el sitio del mismo nivel y NSX Edge podrán establecer un secreto compartido mediante un canal de comunicaciones no seguro.
  19. En Extensión (Extension), introduzca una de las siguientes opciones:
    • securelocaltrafficbyip=direcciónIP para redirigir el tráfico local de Edge mediante el túnel IPsec VPN. Este es el valor predeterminado.

    • passthroughSubnets=direcciónIPDeSubredDelMismoNivel para admitir la superposición de subredes.

  20. Haga clic en Aceptar (OK).

    NSX Edge creará un túnel desde la subred local hasta la subred del mismo nivel.

Qué hacer a continuación

Habilite el servicio de IPsec VPN.