Vous devez configurer un point de terminaison local qui sera utilisé avec le VPN IPSec que vous configurez.
Les étapes suivantes utilisent l'onglet Points de terminaison locaux dans l'interface utilisateur de NSX Manager. Vous pouvez également créer un point de terminaison local lors du processus d'ajout d'une session VPN IPSec en cliquant sur le menu à trois points ( ) et en sélectionnant Ajouter un point de terminaison local. Si vous êtes en cours de configuration d'une session VPN IPSec, passez à l'étape 3 dans les étapes suivantes, qui vous guideront dans la création d'un nouveau point de terminaison local.
Conditions préalables
- Si vous utilisez un mode d'authentification par certificat pour la session VPN IPSec qui doit utiliser le point de terminaison local que vous configurez, obtenez des informations sur le certificat que le point de terminaison local doit utiliser.
- Assurez-vous d'avoir configuré un service VPN IPSec auquel ce point de terminaison local doit être associé.
Procédure
- Avec des privilèges d'administrateur, connectez-vous à NSX Manager.
- Accédez à et cliquez sur Ajouter un point de terminaison local.
- Entrez le nom du point de terminaison local.
- Dans le menu déroulant Service VPN, sélectionnez le service client VPN IPSec auquel le point de terminaison local doit être associé.
- Entrez une adresse IP pour le point de terminaison local.
Pour un service VPN IPSec exécuté sur une passerelle de niveau 0, l'adresse IP du point de terminaison local doit être différente de l'adresse IP de l'interface de liaison montante de la passerelle de niveau 0. L'adresse IP du point de terminaison local que vous saisissez est associée à l'interface de bouclage pour la passerelle de niveau 0 et est également publiée en tant qu'adresse IP routable sur l'interface de liaison montante.
Pour un service VPN IPSec exécuté sur une passerelle de niveau 1, l'adresse IP du point de terminaison local doit être différente de l'adresse IP de l'interface de liaison montante de la passerelle de niveau 1. Pour que l'adresse IP du point de terminaison local soit routable, l'annonce de route pour les points de terminaison locaux IPSec doit être activée dans la configuration de la passerelle de niveau 1. Pour plus d'informations, reportez-vous à la section Ajouter une passerelle de niveau 1 NSX.
- Si vous utilisez un mode d'authentification par certificat pour la session VPN IPSec, dans le menu déroulant Certificat de site, sélectionnez le certificat qui doit être utilisé par le point de terminaison local.
- (Facultatif) Vous pouvez éventuellement ajouter une description dans Description.
- Entrez la valeur ID local qui est utilisée pour identifier l'instance locale de NSX Edge.
Cet ID local est configuré comme l'ID homologue sur le site distant. L'ID local doit être l'adresse IP publique ou le nom de domaine complet du site local . Pour les sessions IPSec VPN avec authentification basée sur des certificats et associées au point de terminaison local, l'
ID local est dérivé du certificat associé au point de terminaison local. L'ID spécifié dans la zone de texte
ID local est ignoré. L'ID local dérivé du certificat pour une session VPN dépend des extensions présentes dans le certificat.
-
Si l'extension X509v3 X509v3 Subject Alternative Name n'est pas présente dans le certificat, le nom unique (DN) est utilisé comme valeur d'ID locale.
Par exemple, si le certificat ne contient aucun champ Subject Alternative Name (SAN) et que sa chaîne DN est :
C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123
la chaîne DN est alors utilisée comme ID local. Cet ID local est l'ID homologue sur le site distant.
-
Si l'extension X509v3 X509v3 Subject Alternative Name est trouvée dans le certificat, l'un des autres champs SAN est pris comme valeur d'ID locale.
Si le certificat comporte plusieurs champs SAN, l'ordre suivant est utilisé pour sélectionner l'ID local.
Ordre |
Champ SAN |
1 |
Adresse IP |
2 |
DNS |
3 |
Adresse mail |
Par exemple, si le certificat de site configuré comporte les champs SAN suivants :
x509v3 Subject Alternative Name:
DNS:Site123.vmware.com, email:[email protected], IP Address:1.1.1.1
l'adresse IP 1.1.1.1
est alors utilisée comme ID local. Si l'adresse IP n'est pas disponible, la chaîne DNS est utilisée. Et si l'adresse IP et le DNS ne sont pas disponibles, alors l'adresse e-mail est utilisée.
Pour afficher l'ID local utilisé pour une session VPN IPSec, procédez comme suit :
- Accédez à , puis cliquez sur l'onglet Sessions IPSec.
- Développez la session VPN IPSec.
- Cliquez sur Télécharger la configuration pour télécharger le fichier de configuration qui contient l'ID local en tant qu'ID distant à configurer sur le point de terminaison VPN distant.
- Dans Certificats d'autorité de certification approuvés et Liste de révocation de certificats, sélectionnez les certificats appropriés qui sont nécessaires pour le point de terminaison local.
- (Facultatif) Spécifiez une balise.
- Cliquez sur Enregistrer.