I servizi SSL VPN-Plus per un gateway edge NSX Data Center for vSphere dell'ambiente VMware Cloud Director consentono agli utenti remoti di connettersi in modo sicuro alle applicazioni e alle reti private dei virtual data center dell'organizzazione supportati da tale gateway edge. È possibile configurare vari servizi SSL VPN-Plus nel gateway edge.
Nell'ambiente VMware Cloud Director, la funzionalità SSL VPN-Plus del gateway edge supporta la modalità di accesso di rete. Gli utenti remoti devono installare un client SSL per rendere le connessioni protette e accedere alle reti e alle applicazioni dietro al gateway edge. Come parte della configurazione di SSL VPN-Plus del gateway edge, è necessario aggiungere i pacchetti di installazione per il sistema operativo e configurare determinati parametri. Vedere Aggiunta di un pacchetto di installazione client SSL VPN-Plus per informazioni dettagliate.
La configurazione di SSL VPN-Plus in un gateway edge è un processo con più passaggi.
Prerequisiti
Verificare che tutti i certificati SSL necessari per SSL VPN-Plus siano stati aggiunti alla schermata Certificati. Vedere Gestione del certificato SSL in un gateway edge di NSX Data Center for vSphere.
Navigazione alla schermata SSL-VPN Plus
È possibile passare alla schermata SSL-VPN Plus per iniziare a configurare il servizio SSL-VPN Plus per un gateway edge NSX Data Center for vSphere.
Procedura
- Aprire i servizi gateway edge.
- Nella barra di navigazione superiore fare clic su Rete e su Gateway edge.
- Selezionare il gateway edge da modificare e fare clic su Servizi.
- Fare clic sulla scheda VPN SSL plus.
Operazioni successive
Nella schermata Generale, configurare le impostazioni di VPN SSL plus predefinite. Vedere Personalizzazione delle impostazioni generali di SSL VPN-Plus per un gateway edge NSX Data Center for vSphere.
Configurazione delle impostazioni del server VPN SSL
Queste impostazioni del server consentono di configurare il server VPN SSL e includono l'indirizzo IP e la porta su cui è in ascolto il servizio, l'elenco di crittografia del servizio e il relativo certificato di servizio. Durante la connessione al gateway edge NSX Data Center for vSphere, gli utenti remoti specificano lo stesso indirizzo IP e la porta impostati in queste impostazioni del server.
Se il gateway edge è configurato con più reti a indirizzi IP sovrapposti nell'interfaccia esterna, l'indirizzo IP selezionato per il server VPN SSL può essere diverso da quello dell'interfaccia esterna predefinita del gateway edge.
Quando si configurano le impostazioni del server VPN SSL, è necessario scegliere quali algoritmi di crittografia utilizzare per il tunnel VPN SSL. È possibile scegliere uno o più tipi di crittografia. Scegliere attentamente i tipi di crittografia in base ai livelli di sicurezza delle selezioni.
Per impostazione predefinita, il sistema utilizza il certificato autofirmato predefinito che il sistema genera per ogni gateway edge come certificato di identità del server predefinito per il tunnel VPN SSL. Invece di questa impostazione predefinita, è possibile scegliere di utilizzare un certificato digitale aggiunto al sistema nella schermata Certificati.
Prerequisiti
- Verificare che siano soddisfatti i prerequisiti descritti in Configurazione di SSL VPN-Plus.
- Se si sceglie di utilizzare un certificato di servizio diverso da quello predefinito, importare il certificato richiesto nel sistema. Vedere Aggiunta di un certificato di servizio al gateway edge.
- Navigazione alla schermata SSL-VPN Plus.
Procedura
Operazioni successive
Aggiungere un pool di IP, in modo che agli utenti remoti vengono assegnati gli indirizzi IP quando si connettono utilizzando SSL VPN-Plus. Vedere Creazione di un pool di IP per l'utilizzo con SSL VPN-Plus in un gateway edge NSX Data Center for vSphere.
Creazione di un pool di IP per l'utilizzo con SSL VPN-Plus in un gateway edge NSX Data Center for vSphere
Agli utenti remoti vengono assegnati indirizzi IP virtuali dai pool di IP statici configurati mediante la schermata Pool di IP nella scheda VPN SSL plus.
Ogni pool di IP aggiunto a questa schermata risulta in una subnet di indirizzi IP configurata nel gateway edge. Gli intervalli di indirizzi IP utilizzati in questi pool di IP devono essere diversi da tutte le altre reti configurate nel gateway edge.
Prerequisiti
Procedura
- Nella scheda VPN SSL plus, fare clic su Pool di IP.
- Fare clic sul pulsante Crea ().
- Configurare le impostazioni del pool di IP.
Opzione Azione Intervallo IP Immettere un intervallo di indirizzi IP per questo pool di IP, ad esempio 127.0.0.1-127.0.0.9.. Questi indirizzi IP verranno assegnati ai client VPN quando effettuano l'autenticazione e la connessione al tunnel VPN SSL.
Maschera di rete Immettere la maschera di rete del pool di IP, ad esempio 255.255.255.0. Gateway Immettere l'indirizzo IP che si desidera venga creato dal gateway edge e assegnarlo come indirizzo gateway per questo pool di IP. Quando viene creato il pool di IP, viene creata una scheda virtuale nella macchina virtuale del gateway edge e questo indirizzo IP viene configurato su tale interfaccia virtuale. Questo indirizzo IP può essere qualsiasi indirizzo IP all'interno della subnet che non sia compreso anche nell'intervallo indicato nel campo Intervallo IP.
Descrizione (Facoltativo) Immettere una descrizione per questo pool di IP. Stato Selezionare se attivare o disattivare questo pool di IP. DNS primario (Facoltativo) Immettere il nome del server DNS primario che verrà utilizzato per la risoluzione dei nomi per questi indirizzi IP virtuali. DNS secondario (Facoltativo) Immettere il nome del server DNS secondario da utilizzare. Suffisso DNS (Facoltativo) Immettere il suffisso DNS per il dominio che ospita i sistemi client, per la risoluzione dei nomi host basati su dominio. Server WINS (Facoltativo) Immettere l'indirizzo del server WINS in base alle esigenze della propria organizzazione. - Fare clic su Mantieni.
risultati
Operazioni successive
Aggiungere le reti private che si desidera rendere accessibili agli utenti remoti che si connettono tramite SSL VPN-Plus. Vedere Aggiunta di una rete privata per l'uso con SSL VPN-Plus in un gateway edge NSX Data Center for vSphere.
Aggiunta di una rete privata per l'uso con SSL VPN-Plus in un gateway edge NSX Data Center for vSphere
Utilizzare la schermata Reti private nella scheda VPN SSL plus per configurare le reti private. Le reti private sono quelle a cui si desidera che i client VPN possano accedere quando gli utenti remoti si connettono utilizzando i propri client VPN e il tunnel VPN SSL. Le reti private attivate verranno installate nella tabella di routing del client VPN.
- SSL VPN-Plus consente agli utenti remoti di accedere alle reti private in base all'ordine dall'alto verso il basso con cui i pool IP vengono visualizzati nella tabella nella schermata. Dopo aver aggiunto le reti private alla tabella nella schermata, è possibile modificarne le posizioni nella tabella utilizzando la freccia su e la freccia giù.
- Se si sceglie di attivare l'ottimizzazione TCP per una rete privata, alcune applicazioni come FTP in modalità attiva potrebbero non funzionare all'interno di tale subnet. Per aggiungere un server FTP configurato in modalità attiva, è necessario aggiungere un'altra rete privata per il server FTP e disattivare l'ottimizzazione di TCP per tale rete privata. Inoltre, la rete privata per il server FTP deve essere attivata e viene visualizzata nella tabella nella schermata sopra la rete privata ottimizzata per TCP.
Prerequisiti
Procedura
- Nella scheda VPN SSL plus, fare clic su Reti Private.
- Fare clic sul pulsante Aggiungi ().
- Configurare le impostazioni della rete privata.
Opzione Azione Rete Digitare l'indirizzo IP della rete privata in formato CIDR, ad esempio 192169.1.0/24. Descrizione (Facoltativo) Digitare una descrizione per la rete. Invia traffico Specificare in che modo si desidera che il client VPN invii il traffico della rete privata e di Internet. - Tramite tunnel
Il client VPN invia il traffico della rete privata e di Internet tramite il gateway edge attivato per SSL VPN-Plus.
- Ignora tunnel
Il client VPN ignora il gateway edge e invia il traffico direttamente al server privato.
Abilita ottimizzazione TCP (Facoltativo) Per ottimizzare la velocità di Internet, quando si seleziona Tramite tunnel per l'invio del traffico, è necessario selezionare anche Abilita ottimizzazione TCP Se si seleziona questa opzione, migliorano le prestazioni dei pacchetti TCP all'interno del tunnel VPN, ma non migliorano le prestazioni del traffico UDP.
Il tunnel VPN SSL di accesso completo convenzionale invia dati TCP/IP in un secondo stack TCP/IP per la crittografia su Internet. Questo metodo convenzionale incapsula i dati a livello di applicazione in due flussi TCP separati. Quando si verifica una perdita di pacchetti, che può accadere anche in condizioni ottimali di Internet, si ha un effetto di peggioramento delle prestazioni denominato TCP-over-TCP meltdown. Quando si verifica il TCP-over-TCP meltdown, due strumenti TCP correggono lo stesso pacchetto di dati IP, influendo sulla velocità della rete e causando timeout di connessione. Se si seleziona Abilita ottimizzazione TCP, è possibile eliminare il rischio che il problema TCP-over-TCP si verifichi.
Nota: Quando si attiva l'ottimizzazione di TCP:- È necessario immettere i numeri di porta per i quali ottimizzare il traffico di Internet.
- Il server VPN SSL apre la connessione TCP per conto del client VPN. Quando il server SSL VPN apre la connessione TCP, viene applicata la prima regola del firewall edge generata automaticamente, che consente il passaggio di tutte le connessioni aperte dal gateway edge. Il traffico non ottimizzato viene valutato dalle regole normali del firewall edge. La regola TCP generata per impostazione predefinita consente qualsiasi connessione.
Porte Quando si seleziona Tramite tunnel, digitare un intervallo di numeri di porta che si desidera rimangano aperti per consentire all'utente remoto di accedere ai server interni, ad esempio 20-21 per il traffico FTP e 80-81 per il traffico HTTP. Per offrire agli utenti l'accesso illimitato, lasciare vuoto questo campo.
Stato Attivare o disattivare la rete privata. - Tramite tunnel
- Fare clic su Mantieni.
- Fare clic su Salva modifiche per salvare la configurazione nel sistema.
Operazioni successive
Aggiungere un server di autenticazione. Vedere Configurazione di un servizio di autenticazione per SSL VPN-Plus in un gateway edge NSX Data Center for vSphere.
Configurazione di un servizio di autenticazione per SSL VPN-Plus in un gateway edge NSX Data Center for vSphere
Utilizzare la schermata Autenticazione nella scheda VPN SSL plus per configurare un server di autenticazione locale per il servizio VPN SSL del gateway edge e, facoltativamente, abilitare l'autenticazione del certificato client. Questo server di autenticazione viene utilizzato per eseguire l'autenticazione degli utenti che si connettono. Verrà eseguita l'autenticazione di tutti gli utenti configurati nel server di autenticazione locale.
Nel gateway edge è possibile configurare un solo server di autenticazione SSL VPN-Plus locale. Se si fa clic su + Locale e si specificano server di autenticazione aggiuntivi, quando si tenta di salvare la configurazione viene visualizzato un messaggio di errore.
Il tempo massimo per l'autenticazione tramite VPN SSL è tre (3) minuti. Il numero massimo è determinato dal timeout non di autenticazione, che è 3 minuti per impostazione predefinita e non è configurabile. Di conseguenza, se sono presenti più server di autenticazione nell'autorizzazione della catena e l'autenticazione dell'utente richiede più di 3 minuti, l'autenticazione dell'utente non viene eseguita.
Prerequisiti
- Navigazione alla schermata SSL-VPN Plus.
- Aggiunta di una rete privata per l'uso con SSL VPN-Plus in un gateway edge NSX Data Center for vSphere.
- Se si desidera abilitare l'autenticazione del certificato client, verificare che al gateway edge sia stato aggiunto un certificato CA. Vedere Aggiunta di un certificato CA al gateway edge per la verifica di attendibilità dei certificati SSL.
Procedura
- Fare clic sulla scheda VPN SSL plus e su Autenticazione.
- Fare clic su Locale.
- Configurare le impostazioni del server di autenticazione.
- (Facoltativo) Abilitare e configurare il criterio della password.
Opzione Descrizione Abilita criterio password Attivare l'applicazione delle impostazioni dei criteri della password configurate qui. Lunghezza password Immettere il numero minimo e massimo di caratteri consentito per la lunghezza della password. N. minimo caratteri alfanumerici (Facoltativo) Digitare il numero minimo di caratteri alfabetici necessari nella password. N. minimo cifre (Facoltativo) Digitare il numero minimo di caratteri numerici necessari nella password. N. minimo caratteri speciali (Facoltativo) Digitare il numero minimo di caratteri speciali, ad esempio e commerciale (&), hashtag (#), simbolo di percentuale (%) e così via, necessari nella password. La password non deve contenere l'ID utente (Facoltativo) Abilitare questa opzione per fare in modo che la password non contenga l'ID utente. La password scade tra (Facoltativo) Digitare il numero massimo di giorni di durata della password prima che l'utente debba cambiarla. Notifica di scadenza tra (Facoltativo) Digitare quanti giorni prima del valore dell'opzione La password scade tra si desidera che l'utente venga avvisato che la password sta per scadere. - (Facoltativo) Abilitare e configurare i criteri di blocco dell'account.
Opzione Descrizione Abilita criterio di blocco account Attivare l'applicazione delle impostazioni dei criteri di blocco dell'account configurate qui. Numero tentativi successivi Immettere il numero di volte che un utente può tentare di accedere al proprio account. Durata tentativi successivi Digitare il periodo in minuti trascorso il quale l'account dell'utente viene bloccato in seguito a tentativi di accesso non riusciti. Ad esempio, se si specifica 5 per Numero tentativi successivi e 1 minuto per Durata tentativi successivi, l'account dell'utente viene bloccato dopo 5 tentativi di accesso non riusciti effettuati entro 1 minuto.
Durata blocco Immettere il periodo di tempo per cui l'account utente rimane bloccato. Una volta trascorso questo tempo, l'account viene sbloccato automaticamente.
- Nella sezione Stato, abilitare questo server di autenticazione.
- (Facoltativo) Configurare l'autenticazione secondaria.
Opzioni Descrizione Usa questo server per l'autenticazione secondaria (Facoltativo) Specificare se si desidera utilizzare il server come secondo livello di autenticazione. Termina sessione se l'autenticazione non riesce (Facoltativo) Specificare se si desidera terminare la sessione VPN quando l'autenticazione non riesce. - Fare clic su Mantieni.
- (Facoltativo) Abilitare e configurare il criterio della password.
- (Facoltativo) Per abilitare l'autenticazione del certificato client, fare clic su Modifica certificato, attivare l'interruttore di abilitazione, selezionare il certificato CA da utilizzare e fare clic su OK.
Operazioni successive
Aggiungere utenti locali al server di autenticazione locale, in modo che possano connettersi con SSL VPN-Plus. Vedere Aggiunta di utenti SSL VPN-Plus al server di autenticazione SSL VPN-Plus locale.
Creare un pacchetto di installazione contenente il client SSL in modo che gli utenti remoti possano installarlo nei loro sistemi locali. Vedere Aggiunta di un pacchetto di installazione client SSL VPN-Plus.
Aggiunta di utenti SSL VPN-Plus al server di autenticazione SSL VPN-Plus locale
Utilizzare la schermata Utenti nella scheda VPN SSL plus per aggiungere account di utenti remoti al server di autenticazione locale per il servizio VPN SSL del gateway edge NSX Data Center for vSphere.
Prerequisiti
Procedura
- Nella scheda VPN SSL plus, fare clic su Utenti.
- Fare clic sul pulsante Crea ().
- Configurare le opzioni seguenti per l'utente.
Opzione Descrizione ID utente Immettere l'ID utente. Password Immettere una password per l'utente. Ridigita password Reimmettere la password. Nome (Facoltativo) Immettere il nome dell'utente. Cognome (Facoltativo) Immettere il cognome dell'utente. Descrizione (Facoltativo) Immettere una descrizione per l'utente. Abilitato Specificare se l'utente è attivato o disattivato. Password senza scadenza (Facoltativo) Specificare se si desidera mantenere per sempre la stessa password per questo utente. Consenti modifica password (Facoltativo) Specificare se si desidera consentire all'utente di modificare la password. Modifica password al prossimo accesso (Facoltativo) Specificare se si desidera che questo utente modifichi la password al prossimo accesso. - Fare clic su Mantieni.
- Ripetere i passaggi per aggiungere ulteriori utenti.
Operazioni successive
Aggiungere utenti locali al server di autenticazione locale, in modo che possano connettersi con SSL VPN-Plus. Vedere Aggiunta di utenti SSL VPN-Plus al server di autenticazione SSL VPN-Plus locale.
Creare un pacchetto di installazione contenente il client SSL in modo che gli utenti remoti possano installarlo nei loro sistemi locali. Vedere Aggiunta di un pacchetto di installazione client SSL VPN-Plus.
Aggiunta di un pacchetto di installazione client SSL VPN-Plus
Utilizzare la schermata Pacchetti di installazione nella scheda VPN SSL plus per creare pacchetti di installazione con nome del client VPN SSL plus per gli utenti remoti.
È possibile aggiungere un pacchetto di installazione client SSL VPN-Plus al gateway edge NSX Data Center for vSphere. Ai nuovi utenti viene richiesto di scaricare e installare il pacchetto al momento del loro primo accesso alla connessione VPN. Quando vengono aggiunti, questi pacchetti di installazione client sono quindi scaricabili dal nome di dominio completo dell'interfaccia pubblica del gateway edge.
È possibile creare pacchetti di installazione eseguibili nei sistemi operativi Windows, Linux e Mac. Se sono necessari parametri di installazione diversi per i client VPN SSL, creare un pacchetto di installazione per ogni configurazione.
Prerequisiti
Procedura
- Nella scheda VPN SSL plus nel portale tenant, fare clic su Pacchetti di installazione.
- Fare clic sul pulsante Aggiungi ().
- Configurare le impostazioni del pacchetto di installazione.
Opzione Descrizione Nome profilo Immettere un nome profilo per il pacchetto di installazione. Il nome viene visualizzato per consentire all'utente remoto di identificare questa connessione VPN SSL nel gateway edge.
Gateway Immettere l'indirizzo IP o il nome di dominio completo (FQDN) dell'interfaccia pubblica del gateway edge. L'indirizzo IP o il nome di dominio completo immesso è associato al client VPN SSL. Quando il client viene installato nel sistema locale dell'utente remoto, questo indirizzo IP o nome di dominio completo viene visualizzato in tale client VPN SSL.
Per associare altre interfacce di uplink del gateway edge a questo client VPN SSL, fare clic sul pulsante Aggiungi () per aggiungere righe e digitare gli indirizzi IP o FQDN, e le porte, di ciascuna interfaccia.
Porta (Facoltativo) Per modificare il valore della porta rispetto a quello predefinito visualizzato, fare doppio clic sul valore e digitarne uno nuovo. Windows
Linux
Mac
Selezionare i sistemi operativi per i quali si desidera creare i pacchetti di installazione. Descrizione (Facoltativo) Digitare una descrizione per l'utente. Abilitato Specificare se questo pacchetto è attivato o disattivato. - Selezionare i parametri di installazione per Windows.
Opzione Descrizione Avvia client all'accesso Avvia il client VPN SSL quando l'utente remoto accede al proprio sistema locale. Consenti memorizzazione password Consente al client di ricordare la password dell'utente. Abilita installazione in modalità invisibile all'utente Nasconde i comandi di installazione degli utenti remoti. Nascondi scheda di rete client SSL Nasconde la scheda SSL VPN-Plus VMware installata nel computer dell'utente remoto insieme al pacchetto di installazione del client VPN SSL. Nascondi icona nell'area di notifica del client Nasconde l'icona di notifica VPN SSL che indica se la connessione VPN è attiva o meno. Crea icona sul desktop Crea un'icona sul desktop dell'utente per richiamare il client SSL. Abilita funzionamento in modalità invisibile all'utente Nasconde la finestra che indica il completamento dell'installazione. Convalida certificato di sicurezza server Il client VPN SSL convalida il certificato del server VPN SSL prima di stabilire una connessione sicura. - Fare clic su Mantieni.
Operazioni successive
Modificare la configurazione del client. Vedere Modifica della configurazione del client SSL VPN-Plus.
Modifica della configurazione del client SSL VPN-Plus
Utilizzare la schermata Configurazione client nella scheda VPN SSL plus per personalizzare la modalità di risposta del tunnel client VPN SSL quando l'utente remoto accede a VPN SSL.
Prerequisiti
Procedura
Personalizzazione delle impostazioni generali di SSL VPN-Plus per un gateway edge NSX Data Center for vSphere
Per impostazione predefinita, il sistema configura alcune impostazioni di SSL VPN-Plus in un gateway edge nell'ambiente VMware Cloud Director. È possibile personalizzare queste impostazioni utilizzando la schermata Impostazioni generali nella scheda VPN SSL plus del portale tenant di VMware Cloud Director.
Prerequisiti
Procedura
- Nella scheda VPN SSL plus, fare clic su Impostazioni generali.
- Modificare le impostazioni generali in base alle esigenze della propria organizzazione.
Opzione Descrizione Impedisci accessi multipli con lo stesso nome utente Consente di limitare un utente remoto a una singola sessione di login attiva con lo stesso nome utente. Compressione Attivare per consentire la compressione dei dati intelligente basata su TCP e migliorare la velocità di trasferimento dati. Abilita registrazione Attivare per mantenere un registro del traffico che attraversa il gateway VPN SSL. La registrazione è abilitata per impostazione predefinita.
Forza tastiera virtuale Attivare per fare in modo che gli utenti remoti possano utilizzare solo una tastiera virtuale (sullo schermo) per immettere le informazioni di accesso. Scegli in modo casuale i tasti della tastiera virtuale Attivare per fare in modo che la tastiera virtuale utilizzi una disposizione dei tasti casuale. Timeout inattività sessione Immettere il timeout di inattività della sessione in minuti. Se in una sessione utente non è presente alcuna attività per il periodo di tempo specificato, la sessione viene disconnessa. Il valore predefinito di sistema è 10 minuti.
Notifica utente Digitare il messaggio che gli utenti remoti visualizzeranno dopo avere eseguito il login. Abilita accesso URL pubblico Attivare per consentire agli utenti remoti di accedere a siti non esplicitamente configurati per l'accesso di utenti remoti. Abilita timeout forzato Consente di disconnettere gli utenti remoti al termine del periodo di tempo specificato nel campo Timeout forzato. Timeout forzato Digitare il periodo di timeout in minuti. Questo campo viene visualizzato quando è attivato l'interruttore Abilita timeout forzato.
- Fare clic su Salva modifiche.