Les services VPN-Plus SSL d'une passerelle Edge NSX Data Center for vSphere dans votre environnement VMware Cloud Director permettent aux utilisateurs distants de se connecter en toute sécurité aux réseaux privés et aux applications des centres de données virtuels d'organisation reposant sur cette passerelle Edge. Vous pouvez configurer divers services VPN-Plus SSL sur la passerelle Edge.

Dans votre environnement VMware Cloud Director, la fonctionnalité SSL VPN-Plus de la passerelle Edge prend en charge le mode d'accès réseau. Les utilisateurs distants doivent installer un client SSL pour établir des connexions sécurisées et accéder aux réseaux et applications situés derrière la passerelle Edge. Dans le cadre de la configuration de SSL VPN-Plus de la passerelle Edge, vous devez ajouter les modules d'installation du système d'exploitation et configurer certains paramètres. Consultez Ajouter un module d'installation de client VPN-Plus SSL sur une passerelle Edge NSX Data Center for vSphere à l'aide du VMware Cloud Director Service Provider Admin Portal pour plus d'informations.

La configuration de SSL VPN-Plus sur une passerelle Edge est un processus à plusieurs étapes.

Conditions préalables

Vérifiez que tous les certificats SSL nécessaires pour VPN-Plus SSL ont été ajoutés à l'écran Certificats. Reportez-vous à Gestion des certificats SSL sur une passerelle Edge NSX Data Center for vSphere à l'aide de votre VMware Cloud Director Service Provider Admin Portal.

Note : Sur une passerelle Edge, le port 443 est le port par défaut pour HTTPS. Pour la fonctionnalité SSL VPN, le port HTTPS de la passerelle Edge doit être accessible depuis les réseaux externes. Le client SSL VPN impose que l'adresse IP et le port de la passerelle Edge qui sont configurés dans l'écran Paramètres du serveur dans l'onglet VPN-Plus SSL soient accessibles depuis le système client. Reportez-vous à Configurer les paramètres du serveur VPN SSL sur une passerelle Edge NSX Data Center for vSphere à l'aide du VMware Cloud Director Service Provider Admin Portal.

Accéder à l'écran VPN-Plus SSL d'une passerelle Edge NSX Data Center for vSphere dans le VMware Cloud Director Service Provider Admin Portal

Vous pouvez accéder à l'écran VPN-Plus SSL afin de commencer à configurer le service VPN-Plus SSL pour une passerelle Edge NSX Data Center for vSphere dans VMware Cloud Director.

Procédure

  1. Ouvrez les services de passerelle Edge.
    1. Dans le panneau de navigation de gauche principal, sélectionnez Ressources et, dans la barre de navigation supérieure de la page, sélectionnez l'onglet Ressources de cloud.
    2. Dans le panneau secondaire de gauche, sélectionnez Passerelles Edge.
    3. Cliquez sur le bouton radio situé en regard du nom de la passerelle Edge cible, puis sur Services.
  2. Cliquez sur l'onglet VPN-Plus SSL.

Que faire ensuite

Configurez les paramètres SSL VPN-Plus par défaut dans l'écran Général. Reportez-vous à Personnaliser les paramètres VPN-Plus SSL généraux pour une passerelle Edge NSX Data Center for vSphere dans le VMware Cloud Director Service Provider Admin Portal.

Configurer les paramètres du serveur VPN SSL sur une passerelle Edge NSX Data Center for vSphere à l'aide du VMware Cloud Director Service Provider Admin Portal

Ces paramètres de serveur configurent le serveur SSL VPN, comme l'adresse IP et le port sur lequel le service écoute, la liste de chiffrements du service et son certificat de service. Lorsque vous vous connectez à la passerelle Edge NSX Data Center for vSphere dans VMware Cloud Director, les utilisateurs distants spécifient la même adresse IP et le même port que vous définissez dans ces paramètres de serveur.

Si votre passerelle Edge est configurée avec plusieurs réseaux d'adresses IP en superposition sur son interface externe, l'adresse IP que vous sélectionnez pour le serveur SSL VPN peut être différente de celle de l'interface externe par défaut de la passerelle Edge.

Lors de la configuration des paramètres du serveur SSL VPN, vous devez choisir quels algorithmes de chiffrement utiliser pour le tunnel SSL VPN. Vous pouvez choisir un ou plusieurs chiffrements. Choisissez soigneusement les chiffrements selon les points forts et les faiblesses de vos sélections.

Par défaut, le système utilise le certificat autosigné généré par défaut par le système pour chaque passerelle Edge en tant que certificat d'identité de serveur par défaut pour le tunnel SSL VPN. Au lieu de cette valeur par défaut, vous pouvez choisir d'utiliser un certificat numérique que vous avez ajouté au système sur l'écran Certificats.

Conditions préalables

Procédure

  1. Dans l'écran VPN-Plus SSL, cliquez sur Paramètres du serveur.
  2. Cliquez sur Activé.
  3. Sélectionnez une adresse IP dans le menu déroulant.
  4. (Facultatif) Entrez un numéro de port TCP.
    Le numéro de port TCP est utilisé par le module d'installation du client SSL. Par défaut, le système utilise le port 443, qui est le port par défaut pour le trafic HTTPS/SSL. Même si le numéro de port est requis, vous pouvez définir n'importe quel port TCP pour les communications.
    Note : Le client SSL VPN impose que l'adresse IP et le port configurés ici soient accessibles depuis les systèmes clients des utilisateurs distants. Si vous modifiez le numéro de port par défaut, assurez-vous que la combinaison d'adresse IP et de port soit accessible à partir des systèmes des utilisateurs concernés.
  5. Sélectionnez une méthode de chiffrement dans la liste de chiffrements.
  6. Configurez la stratégie de journalisation Syslog du service.
    La journalisation est activée par défaut. Vous pouvez modifier le niveau de messages pour journaliser ou désactiver la journalisation.
  7. (Facultatif) Si vous souhaitez utiliser un certificat de service plutôt que le certificat autosigné généré par le système par défaut, cliquez sur Modifier le certificat du serveur, sélectionnez un certificat, puis cliquez sur OK.
  8. Cliquez sur Enregistrer les modifications.

Que faire ensuite

Note : Les utilisateurs distants doivent pouvoir accéder à l'adresse IP de la passerelle Edge et au numéro de port TCP que vous définissez. Ajoutez une règle de pare-feu de passerelle Edge qui autorise l'accès à l'adresse IP et au port SSL VPN-Plus configurés dans cette procédure. Reportez-vous à Ajouter une règle de pare-feu de passerelle Edge NSX Data Center for vSphere dans le VMware Cloud Director Service Provider Admin Portal.

Ajoutez un pool d'adresses IP afin que les utilisateurs distants obtiennent des adresses IP lorsqu'ils se connectent à l'aide de SSL VPN-Plus. Reportez-vous à Créer un pool d'adresses IP utilisable avec VPN-Plus SSL sur une passerelle Edge NSX Data Center for vSphere dans le VMware Cloud Director Service Provider Admin Portal.

Créer un pool d'adresses IP utilisable avec VPN-Plus SSL sur une passerelle Edge NSX Data Center for vSphere dans le VMware Cloud Director Service Provider Admin Portal

Les utilisateurs distants obtiennent des adresses IP virtuelles à partir des pools d'adresses IP statiques que vous configurez à l'aide de l'écran Pools d'adresses IP dans l'onglet VPN-Plus SSL du VMware Cloud Director Service Provider Admin Portal.

Chaque pool d'adresses IP ajouté dans cet écran entraîne la configuration d'un sous-réseau d'adresses IP sur la passerelle Edge. Les plages d'adresses IP utilisées dans ces pools d'adresses IP doivent être différentes de tous les autres réseaux configurés sur la passerelle Edge.

Note : Le SSL VPN attribue des adresses IP aux utilisateurs distants à partir des pools d'adresses IP selon l'ordre dans lequel les pools d'adresses IP apparaissent dans le tableau à l'écran. Une fois les pools d'adresses IP ajoutés au tableau à l'écran, vous pouvez ajuster leurs positions dans le tableau à l'aide des flèches vers le haut et vers le bas.

Conditions préalables

Procédure

  1. Dans l'onglet VPN-Plus SSL, cliquez sur Pools d'adresses IP.
  2. Cliquez sur le bouton Créer (bouton Créer).
  3. Configurez les paramètres du pool d'adresses IP.
    Option Action
    Plage d'adresses IP Entrez une plage d'adresses IP pour ce pool d'adresses IP, par exemple 127.0.0.1-127.0.0.9.

    Ces adresses IP seront attribuées à des clients VPN lorsqu'ils s'authentifient et se connectent au tunnel SSL VPN.

    Masque réseau Entrez le masque de réseau du pool d'adresses IP, par exemple 255.255.255.0.
    Passerelle Entrez l'adresse IP que vous souhaitez que la passerelle Edge crée et attribue en tant qu'adresse de passerelle pour ce pool d'adresses IP.

    Lorsque le pool d'adresses IP est créé, un adaptateur virtuel est créé sur la machine virtuelle de la passerelle Edge et cette adresse IP est configurée sur cette interface virtuelle. Cette adresse IP peut être n'importe quelle adresse IP dans le sous-réseau qui ne figure pas également dans la plage indiquée dans le champ Plage IP.

    Description (Facultatif) Entrez une description pour ce pool d'adresses IP.
    État Indiquez si vous voulez activer ou désactiver ce pool d'adresses IP.
    DNS primaire (Facultatif) Entrez le nom du serveur DNS principal qui sera utilisé pour la résolution de noms pour ces adresses IP virtuelles.
    DNS secondaire (Facultatif) Entrez le nom du serveur DNS secondaire à utiliser.
    Suffixe DNS (Facultatif) Entrez le suffixe DNS du domaine sur lequel les systèmes clients sont hébergés, pour la résolution de noms d'hôtes basée sur un domaine.
    Serveur WINS (Facultatif) Entrez l'adresse du serveur WINS en fonction des besoins de votre organisation.
  4. Cliquez sur Conserver.

Résultats

La configuration du pool d'adresses IP est ajoutée au tableau à l'écran.

Que faire ensuite

Ajoutez les réseaux privés que vous souhaitez rendre accessibles à vos utilisateurs distants se connectant avec SSL VPN-Plus. Reportez-vous à Ajouter un réseau privé pour une utilisation avec VPN-Plus SSL sur une passerelle Edge NSX Data Center for vSphere dans le VMware Cloud Director Service Provider Admin Portal.

Ajouter un réseau privé pour une utilisation avec VPN-Plus SSL sur une passerelle Edge NSX Data Center for vSphere dans le VMware Cloud Director Service Provider Admin Portal

Utilisez l'écran Réseaux privés dans l'onglet VPN-Plus SSL pour configurer les réseaux privés dans le VMware Cloud Director Service Provider Admin Portal. Les réseaux privés sont ceux auxquels vous souhaitez donner accès aux clients VPN lorsque les utilisateurs distants se connectent à l'aide de leurs clients VPN et du tunnel SSL VPN. Les réseaux privés activés seront installés dans la table de routage du client VPN.

Les réseaux privés correspondent à la liste de tous les réseaux IP accessibles derrière la passerelle Edge dont vous souhaitez chiffrer le trafic pour un client VPN ou que vous souhaitez exclure du chiffrage. Chaque réseau privé qui nécessite un accès via un tunnel SSL VPN doit être ajouté en tant qu'entrée distincte. Vous pouvez utiliser des techniques de synthèse de route pour limiter le nombre d'entrées.
  • SSL VPN-Plus permet aux utilisateurs distants d'accéder aux réseaux privés selon l'ordre de haut en bas dans lequel les pools d'adresses IP figurent dans le tableau à l'écran. Une fois les réseaux privés ajoutés au tableau à l'écran, vous pouvez ajuster leurs positions dans le tableau en utilisant les flèches vers le haut et vers le bas.
  • Si vous choisissez d'activer l'optimisation TCP pour un réseau privé, certaines applications telles que le FTP en mode actif risquent de ne pas fonctionner dans ce sous-réseau. Pour ajouter un serveur FTP configuré en mode actif, vous devez ajouter un autre réseau privé pour ce serveur FTP et désactiver l'optimisation TCP pour ce réseau privé. En outre, le réseau privé pour ce serveur FTP doit être activé et figurer dans le tableau à l'écran au-dessus du réseau privé optimisé pour TCP.

Conditions préalables

Procédure

  1. Dans l'onglet VPN-Plus SSL, cliquez sur Réseaux privés.
  2. Cliquez sur le bouton Ajouter (bouton Créer).
  3. Configurez les paramètres du réseau privé.
    Option Action
    Réseau Tapez l'adresse IP du réseau privé au format CIDR, par exemple 192.169.1.0/24.
    Description (Facultatif) Tapez une description du réseau.
    Envoyer le trafic Spécifiez comment le client VPN doit envoyer le trafic sur le réseau privé et sur Internet.
    • Par tunnel

      Le client VPN envoie le trafic sur le réseau privé et sur Internet par le biais de la passerelle Edge compatible avec le SSL VPN-Plus.

    • Contourner le tunnel

      Le client VPN contourne la passerelle Edge et envoie le trafic directement au serveur privé.

    Activer l'optimisation TCP (Facultatif) Pour optimiser encore plus la vitesse sur Internet, lorsque vous sélectionnez l'option Par tunnel pour envoyer le trafic, vous devez également sélectionner Activer l'optimisation TCP.

    La sélection de cette option améliore les performances des paquets TCP dans le tunnel VPN, mais n'améliore pas les performances du trafic UDP.

    Le tunnel des SSL VPN à accès complet traditionnels envoie les données TCP/IP dans une seconde pile TCP/IP pour le chiffrement sur Internet. Cette méthode conventionnelle encapsule les données de la couche d'application dans deux flux TCP distincts. Lors d'une perte de paquets, laquelle peut survenir même dans des conditions optimales de connexion à Internet, un effet de dégradation des performances appelé effondrement TCP sur TCP se produit. Lors d'un effondrement TCP sur TCP, deux instruments TCP corrigent le même paquet de données IP, altérant le débit du réseau et entraînant des expirations de délai de connexion. La sélection de l'option Activer l'optimisation TCP élimine le risque de ce problème TCP sur TCP.

    Note : Lorsque vous activez l'optimisation TCP :
    • Vous devez entrer les numéros de ports pour lesquels vous souhaitez optimiser le trafic Internet.
    • Le serveur SSL VPN ouvre la connexion TCP pour le compte du client VPN. Lorsque la connexion TCP est ouverte par le serveur SSL VPN, la première règle de pare-feu Edge automatiquement générée est appliquée, ce qui permet le passage de toutes les connexions ouvertes à partir de la passerelle Edge. Le trafic qui n'est pas optimisé est évalué par les règles de pare-feu Edge régulières. La règle TCP générée par défaut est d'autoriser toutes les connexions.
    Ports Lorsque vous sélectionnez l'option Par tunnel, saisissez une plage de numéros de ports que vous souhaitez ouvrir pour permettre à l'utilisateur distant d'accéder aux serveurs internes, par exemple 20-21 pour le trafic FTP et 80-81 pour le trafic HTTP.

    Pour fournir un accès non restreint aux utilisateurs, laissez ce champ vide.

    État Activez ou désactivez le réseau privé.
  4. Cliquez sur Conserver.
  5. Cliquez sur Enregistrer les modifications pour enregistrer la configuration dans le système.

Que faire ensuite

Ajoutez un serveur d'authentification. Reportez-vous à Configurer un service d'authentification pour VPN-Plus SSL sur une passerelle Edge NSX Data Center for vSphere dans le VMware Cloud Director Service Provider Admin Portal.

Important : Ajoutez les règles de pare-feu correspondantes pour autoriser le trafic réseau vers les réseaux privés que vous avez ajoutés dans cet écran. Reportez-vous à Ajouter une règle de pare-feu de passerelle Edge NSX Data Center for vSphere dans le VMware Cloud Director Service Provider Admin Portal.

Configurer un service d'authentification pour VPN-Plus SSL sur une passerelle Edge NSX Data Center for vSphere dans le VMware Cloud Director Service Provider Admin Portal

Utilisez l'écran Authentification dans l'onglet VPN-Plus SSL pour configurer un serveur d'authentification local pour le service VPN SSL de la passerelle Edge et éventuellement activer l'authentification du certificat client. VMware Cloud Director utilise ce serveur d'authentification pour authentifier les utilisateurs qui se connectent. Tous les utilisateurs configurés dans le serveur d'authentification local seront authentifiés.

Un seul serveur d'authentification VPN-Plus SSL local peut être configuré sur la passerelle Edge. Si vous cliquez sur + LOCAL et spécifiez des serveurs d'authentification supplémentaires, un message d'erreur s'affiche lorsque vous tentez d'enregistrer la configuration.

Le délai maximal pour s'authentifier via SSL VPN est de 3 minutes. Cette valeur maximale est déterminée par le délai d'expiration de non-authentification, qui est de 3 minutes par défaut et n'est pas configurable. Par conséquent, si vous avez plusieurs serveurs d'authentification dans l'autorisation en chaîne et que l'authentification de l'utilisateur met plus de 3 minutes, l'utilisateur n'est pas authentifié.

Conditions préalables

Procédure

  1. Cliquez sur l'onglet SSL VPN-Plus, puis sur Authentification.
  2. Cliquez sur Local.
  3. Configurez les paramètres du serveur d'authentification.
    1. (Facultatif) Activez et configurez la stratégie de mot de passe.
      Option Description
      Activer la stratégie de mot de passe Activez l'application des paramètres de stratégie de mot de passe que vous configurez ici.
      Longueur du mot de passe Entrez la valeur minimale et la valeur maximale autorisées pour le nombre de caractères de la longueur du mot de passe.
      Nb minimal de caractères alphabétiques (Facultatif) Entrez le nombre minimal de caractères alphabétiques requis dans le mot de passe.
      Nb minimal de chiffres (Facultatif) Entrez le nombre minimal de caractères numériques requis dans le mot de passe.
      Nb minimal de caractères spéciaux (Facultatif) Entrez le nombre minimal de caractères spéciaux, tels que l'esperluette (&), le mot-dièse (#), le symbole de pourcentage (%), et ainsi de suite, qui sont requis dans le mot de passe.
      Le mot de passe ne doit pas contenir l'identifiant utilisateur (Facultatif) Activez l'option imposant que le mot de passe ne puisse pas contenir l'ID d'utilisateur.
      Le mot de passe expire dans (Facultatif) Tapez le nombre maximal de jours d'existence d'un mot de passe au terme duquel l'utilisateur doit le changer.
      Notification d'expiration dans (Facultatif) Tapez le nombre de jours précédant l'échéance Le mot de passe expire dans où l'utilisateur est informé que le mot de passe est sur le point d'expirer.
    2. (Facultatif) Activez et configurez la stratégie de verrouillage de compte.
      Option Description
      Activer la stratégie de verrouillage du compte Activez l'application des paramètres de stratégie de verrouillage de compte que vous configurez ici.
      Nombre de tentatives Entrez le nombre de tentatives d'accès au compte autorisé pour l'utilisateur.
      Durée de la tentative Entrez la période, en minutes, au terme de laquelle le compte de l'utilisateur est verrouillé lors de tentatives de connexion infructueuses.

      Par exemple, si vous spécifiez la valeur 5 pour Nombre de tentatives et 1 minute pour Durée de nouvelle tentative, le compte de l'utilisateur distant est verrouillé après 5 tentatives infructueuses de connexion en 1 minute.

      Durée de verrouillage Entrez la période pendant laquelle le compte de l'utilisateur reste verrouillé.

      Passé ce délai, le compte est automatiquement déverrouillé.

    3. Dans la section État, activez ce serveur d'authentification.
    4. (Facultatif) Configurez l'authentification secondaire.
      Options Description
      Utiliser ce serveur pour l'authentification secondaire (Facultatif) Spécifiez si vous voulez utiliser le serveur comme second niveau d'authentification.
      Mettre fin à la session en cas d'échec de l'authentification (Facultatif) Spécifiez si vous voulez mettre fin à la session VPN lorsque l'authentification échoue.
    5. Cliquez sur Conserver.
  4. (Facultatif) Pour activer l'authentification par certification de client, cliquez sur Modifier le certificat, puis activez le bouton bascule d'activation, sélectionnez le certificat d'autorité de certification à utiliser et cliquez sur OK.

Que faire ensuite

Ajoutez des utilisateurs locaux au serveur d'authentification local afin qu'ils puissent se connecter avec SSL VPN-Plus. Reportez-vous à Ajouter des utilisateurs VPN-Plus SSL au serveur d'authentification VPN-Plus SSL local sur une passerelle Edge NSX Data Center for vSphere à l'aide du VMware Cloud Director Service Provider Admin Portal.

Créez un module d'installation contenant le client SSL afin que les utilisateurs distants puissent l'installer sur leurs systèmes locaux. Reportez-vous à Ajouter un module d'installation de client VPN-Plus SSL sur une passerelle Edge NSX Data Center for vSphere à l'aide du VMware Cloud Director Service Provider Admin Portal.

Ajouter des utilisateurs VPN-Plus SSL au serveur d'authentification VPN-Plus SSL local sur une passerelle Edge NSX Data Center for vSphere à l'aide du VMware Cloud Director Service Provider Admin Portal

Pour ajouter des comptes pour vos utilisateurs distants au serveur d'authentification local pour le service VPN SSL de passerelle Edge NSX Data Center for vSphere, utilisez l'écran Utilisateurs de l'onglet VPN-Plus SSL du VMware Cloud Director Service Provider Admin Portal.

Note : Si un serveur d'authentification local n'est pas déjà configuré, l'ajout d'un utilisateur sur l'écran Utilisateurs ajoute automatiquement un serveur d'authentification local avec les valeurs par défaut. Vous pouvez ensuite utiliser le bouton Modifier dans l'écran Authentification pour afficher et modifier les valeurs par défaut. Pour plus d'informations sur l'utilisation de l'écran Authentification, reportez-vous à la section Configurer un service d'authentification pour VPN-Plus SSL sur une passerelle Edge NSX Data Center for vSphere dans le VMware Cloud Director Service Provider Admin Portal.

Conditions préalables

Accéder à l'écran VPN-Plus SSL d'une passerelle Edge NSX Data Center for vSphere dans le VMware Cloud Director Service Provider Admin Portal.

Procédure

  1. Dans l'onglet VPN-Plus SSL, cliquez sur Utilisateurs.
  2. Cliquez sur le bouton Créer (bouton Créer).
  3. Configurez les options suivantes pour l'utilisateur.
    Option Description
    ID utilisateur Entrez l'ID d'utilisateur.
    Mot de passe Entrez un mot de passe pour l'utilisateur.
    Confirmer le mot de passe Entrez à nouveau le mot de passe.
    Prénom (Facultatif) Entrez le prénom de l'utilisateur.
    Nom (Facultatif) Entrez le nom de l'utilisateur.
    Description (Facultatif) Entrez une description pour l'utilisateur.
    Activé Spécifiez si l'utilisateur est activé ou désactivé.
    Le mot de passe n'expire jamais (Facultatif) Spécifiez si vous voulez conserver indéfiniment le même mot de passe pour cet utilisateur.
    Autoriser la modification du mot de passe (Facultatif) Spécifiez si vous souhaitez laisser l'utilisateur modifier le mot de passe.
    Modifier le mot de passe à la prochaine connexion (Facultatif) Indiquez si vous voulez que cet utilisateur modifie le mot de passe la prochaine fois qu'il ouvre une session.
  4. Cliquez sur Conserver.
  5. Répétez les étapes pour ajouter d'autres utilisateurs.

Que faire ensuite

Ajoutez des utilisateurs locaux au serveur d'authentification local afin qu'ils puissent se connecter avec SSL VPN-Plus. Reportez-vous à Ajouter des utilisateurs VPN-Plus SSL au serveur d'authentification VPN-Plus SSL local sur une passerelle Edge NSX Data Center for vSphere à l'aide du VMware Cloud Director Service Provider Admin Portal.

Créez un module d'installation contenant le client SSL afin que les utilisateurs distants puissent l'installer sur leurs systèmes locaux. Reportez-vous à Ajouter un module d'installation de client VPN-Plus SSL sur une passerelle Edge NSX Data Center for vSphere à l'aide du VMware Cloud Director Service Provider Admin Portal.

Ajouter un module d'installation de client VPN-Plus SSL sur une passerelle Edge NSX Data Center for vSphere à l'aide du VMware Cloud Director Service Provider Admin Portal

Pour créer des modules d'installation nommés du client VPN-Plus SSL pour les utilisateurs distants, utilisez l'écran Modules d'installation dans l'onglet VPN-Plus SSL du VMware Cloud Director Service Provider Admin Portal.

Vous pouvez ajouter un module d'installation de client VPN-Plus SSL à la passerelle Edge NSX Data Center for vSphere. Les nouveaux utilisateurs sont invités à télécharger et installer ce module lorsqu'ils se connectent pour utiliser la connexion VPN pour la première fois. Une fois ajoutés, ces modules d'installation client sont ensuite téléchargeables à partir du nom de domaine complet de l'interface publique de la passerelle Edge.

Vous pouvez créer des modules d'installation qui s'exécutent sur les systèmes d'exploitation Windows, Linux et Mac. Si vous avez besoin de paramètres d'installation différents selon le client SSL VPN, créez un module d'installation pour chaque configuration.

Conditions préalables

Accéder à l'écran VPN-Plus SSL d'une passerelle Edge NSX Data Center for vSphere dans le VMware Cloud Director Service Provider Admin Portal

Procédure

  1. Dans l'onglet SSL VPN-Plus du portail de locataires, cliquez sur Modules d'installation.
  2. Cliquez sur le bouton Ajouter (bouton Créer).
  3. Configurez les paramètres du module d'installation.
    Option Description
    Nom de profil Entrez un nom de profil pour ce module d'installation.

    Ce nom permet à l'utilisateur distant d'identifier cette connexion SSL VPN dans la passerelle Edge.

    Passerelle Entrez l'adresse IP ou le nom de domaine complet de l'interface publique de la passerelle Edge.

    L'adresse IP ou le nom de domaine complet que vous entrez est lié(e) au client SSL VPN. Lorsque le client est installé sur le système local de l'utilisateur distant, cette adresse IP ou ce nom de domaine complet s'affiche sur ce client SSL VPN.

    Pour lier des interfaces de liaison montante de passerelle Edge supplémentaires à ce client SSL VPN, cliquez sur le bouton Ajouter (bouton Créer) pour ajouter des lignes et entrez les adresses IP ou les noms de domaine complets, ainsi que les ports dans leur interface.

    Port (Facultatif) Pour modifier la valeur de port affichée par défaut, double-cliquez sur celle-ci, puis entrez une nouvelle valeur.

    Windows

    Linux

    Mac

    Sélectionnez les systèmes d'exploitation pour lesquels vous souhaitez créer les modules d'installation.
    Description (Facultatif) Tapez une description pour l'utilisateur.
    Activé Spécifiez si ce module est activé ou désactivé.
  4. Sélectionnez les paramètres d'installation pour Windows.
    Option Description
    Démarrer le client lors de la connexion Démarre le client SSL VPN lorsque l'utilisateur distant se connecte à son système local.
    Autoriser la mémorisation du mot de passe Permet au client de mémoriser le mot de passe de l'utilisateur.
    Activer l'installation en mode silencieux Masque les commandes d'installation aux utilisateurs distants.
    Masquer l'adaptateur réseau du client SSL Masque l'adaptateur SSL VPN-Plus VMware installé sur l'ordinateur de l'utilisateur distant, ainsi que le module d'installation du client SSL VPN.
    Masquer l'icône de la barre d'état système du client Masque l'icône de la barre d'état du SSL VPN qui indique si la connexion VPN est active ou non.
    Créer une icône de bureau Crée une icône sur le bureau de l'utilisateur pour appeler le client SSL.
    Activer l'opération en mode silencieux Masque la fenêtre qui indique que l'installation est terminée.
    Validation du certificat de sécurité du serveur Le client SSL VPN valide le certificat du serveur SSL VPN avant d'établir la connexion sécurisée.
  5. Cliquez sur Conserver.

Que faire ensuite

Modifiez la configuration du client. Reportez-vous à Modifier la configuration du client VPN-Plus SSL sur une passerelle Edge NSX Data Center for vSphere à l'aide du VMware Cloud Director Service Provider Admin Portal.

Modifier la configuration du client VPN-Plus SSL sur une passerelle Edge NSX Data Center for vSphere à l'aide du VMware Cloud Director Service Provider Admin Portal

Pour personnaliser la réponse du tunnel du client VPN SSL lorsque l'utilisateur distant se connecte au VPN SSL, utilisez l'écran Configuration du client de l'onglet VPN-Plus SSL dans le VMware Cloud Director Service Provider Admin Portal.

Conditions préalables

Accéder à l'écran VPN-Plus SSL d'une passerelle Edge NSX Data Center for vSphere dans le VMware Cloud Director Service Provider Admin Portal

Procédure

  1. Dans l'onglet VPN-Plus SSL, cliquez sur Configuration du client.
  2. Sélectionnez le Mode Tunnel.
    • En mode Tunnel fractionné, seul le trafic VPN passe à travers la passerelle Edge.
    • En mode Tunnel complet, la passerelle Edge devient la passerelle par défaut de l'utilisateur distant et l'ensemble du trafic (VPN, local et Internet) passe par cette passerelle.
  3. Si vous sélectionnez le mode Tunnel complet, entrez l'adresse IP pour la passerelle par défaut utilisée par les clients des utilisateurs distants et, éventuellement, sélectionnez s'il faut empêcher le trafic du sous-réseau local de passer par le tunnel VPN.
  4. (Facultatif) Désactivez la reconnexion automatique.
    Activer la reconnexion automatique est activée par défaut. Si la reconnexion automatique est activée, le client VPN SSL reconnecte automatiquement les utilisateurs lorsqu'ils sont déconnectés.
  5. (Facultatif) Activez éventuellement la possibilité pour le client d'avertir les utilisateurs distants lorsqu'une mise à niveau du client est disponible.
    Cette option est désactivée par défaut. Si vous activez cette option, les utilisateurs distants peuvent choisir d'installer la mise à niveau.
  6. Cliquez sur Enregistrer les modifications.

Personnaliser les paramètres VPN-Plus SSL généraux pour une passerelle Edge NSX Data Center for vSphere dans le VMware Cloud Director Service Provider Admin Portal

Par défaut, le système définit des paramètres SSL VPN-Plus sur une passerelle Edge dans votre environnement VMware Cloud Director. Vous pouvez utiliser l'écran Paramètres généraux de l'onglet VPN-Plus SSL du portail de locataires de VMware Cloud Director pour personnaliser ces paramètres.

Conditions préalables

Accéder à l'écran VPN-Plus SSL d'une passerelle Edge NSX Data Center for vSphere dans le VMware Cloud Director Service Provider Admin Portal.

Procédure

  1. Dans l'onglet VPN-Plus SSL, cliquez sur Paramètres généraux.
  2. Modifiez les paramètres généraux selon les besoins de votre organisation.
    Option Description
    Empêcher les connexions multiples avec le même nom d'utilisateur Activez cette option pour qu'un utilisateur distant ne puisse avoir qu'une seule session active sous un même nom d'utilisateur.
    Compression Activez cette option pour permettre une compression intelligente des données basée sur TCP et améliorer la vitesse de transmission des données.
    Activer la journalisation Activez cette option pour conserver un journal du trafic qui emprunte la passerelle SSL VPN.

    La journalisation est activée par défaut.

    Forcer le clavier virtuel Activez cette option pour obliger les utilisateurs distants à utiliser uniquement un clavier virtuel (à l'écran) pour entrer les informations de connexion.
    Randomiser les touches du clavier virtuel Activez cette option pour que le clavier virtuel utilise une disposition de touches aléatoire.
    Délai d'inactivité de la session Entrez le délai d'inactivité de la session en minutes.

    En l'absence d'activité dans une session d'utilisateur pendant la période spécifiée, le système déconnecte la session de l'utilisateur. La valeur système par défaut est de 10 minutes.

    Notification utilisateur Entrez le message à afficher après la connexion des utilisateurs distants.
    Activer l'accès aux URL publiques Activez cette option pour permettre aux utilisateurs distants d'accéder aux sites qui ne sont pas explicitement configurés par vous pour l'accès des utilisateurs distants.
    Activer le délai d'expiration forcé Activez cette option pour que le système déconnecte les utilisateurs distants après la période spécifiée dans le champ Délai d'expiration forcé.
    Délai d'expiration forcé Tapez le délai d'expiration en minutes.

    Ce champ s'affiche lorsque le bouton bascule Activer le délai d'expiration forcé est activé.

  3. Cliquez sur Enregistrer les modifications.