Utilizzare la schermata Siti VPN IPsec nel portale tenant di VMware Cloud Director per configurare le impostazioni necessarie per creare una connessione VPN IPsec tra il virtual data center dell'organizzazione e un altro sito utilizzando le funzionalità VPN IPsec del gateway edge.

Quando si configura una connessione VPN IPsec tra siti, la connessione viene configurata dal punto di vista della posizione corrente. La configurazione della connessione richiede la comprensione dei concetti nel contesto dell'ambiente VMware Cloud Director in modo da configurare la connessione VPN in modo corretto.

  • Le subnet peer e locale specificano le reti a cui la VPN si connette. Quando si specificano queste subnet nelle configurazioni per i siti VPN IPsec, immettere un intervallo di rete e non un indirizzo IP specifico. Utilizzare il formato CIDR, ad esempio 192.168.99.0/24.
  • L'ID peer è un identificatore che identifica in modo univoco il dispositivo remoto che termina la connessione VPN. In genere si tratta dell'indirizzo IP pubblico del dispositivo remoto. Per i peer che utilizzano l'autenticazione del certificato, questo ID deve essere il nome distinto impostato nel certificato del peer. Per i peer PSK, l'ID può essere qualsiasi stringa. Una procedura consigliata per NSX consiste nell'utilizzare come ID peer l'indirizzo IP pubblico del dispositivo remoto o il nome di dominio completo. Se l'indirizzo IP del peer proviene da un'altra rete di virtual data center dell'organizzazione, immettere l'indirizzo IP nativo del peer. Se NAT è configurato per il peer, immettere l'indirizzo IP privato del peer.
  • L'endpoint peer specifica l'indirizzo IP pubblico del dispositivo remoto a cui ci si sta connettendo. L'endpoint peer potrebbe avere un indirizzo diverso dall'ID peer se il gateway del peer non è accessibile direttamente da Internet ma si connette tramite un altro dispositivo. Se NAT è configurato per il peer, immettere l'indirizzo IP pubblico che i dispositivi utilizzano per NAT.
  • L'ID locale specifica l'indirizzo IP pubblico del gateway edge del virtual data center dell'organizzazione. È possibile immettere un indirizzo IP o un nome host insieme al firewall del gateway edge.
  • L'endpoint locale specifica la rete nel virtual data center dell'organizzazione in cui il gateway edge trasmette. La rete esterna del gateway edge è in genere l'endpoint locale.

Prerequisiti

Procedura

  1. Aprire i servizi gateway edge.
    1. Nella barra di navigazione superiore fare clic su Rete e su Gateway edge.
    2. Selezionare il gateway edge da modificare e fare clic su Servizi.
  2. Nella scheda VPN IPsec, fare clic su Siti VPN IPsec.
  3. Fare clic sul pulsante Aggiungi (Pulsante Aggiungi).
  4. Configurare le impostazioni di connessione di VPN IPsec.
    Opzione Azione
    Abilitato Abilitare la connessione tra i due endpoint VPN.
    Abilita PFS (Perfect Forward Secrecy) Abilitare questa opzione per fare in modo che il sistema generi chiavi pubbliche univoche per tutte le sessioni VPN IPsec avviate dagli utenti.

    L'abilitazione di PFS assicura che il sistema non crei un collegamento tra la chiave privata del gateway edge e la chiave di ciascuna sessione.

    La compromissione della chiave di una sessione influirà solo sui dati scambiati in tale sessione protetta da quella chiave specifica. La compromissione della chiave privata del server non può essere utilizzata per decrittografare le sessioni archiviate o le sessioni future.

    Quando PFS è abilitato, nelle connessioni VPN IPsec a questo gateway edge si verifica un leggero overhead di elaborazione.

    Importante: Le chiavi di sessione univoche non devono essere utilizzate per ricavare altre chiavi aggiuntive. Inoltre, affinché il tunnel VPN IPsec funzioni è necessario che entrambi i lati supportino PFS.
    Nome (Facoltativo) Immettere un nome per la connessione.
    ID locale Immettere l'indirizzo IP esterno dell'istanza del gateway edge, che è l'indirizzo IP pubblico del gateway edge.

    L'indirizzo IP è quello utilizzato per l'ID peer nella configurazione VPN IPsec nel sito remoto.

    Endpoint locale Immettere la rete corrispondente all'endpoint locale per questa connessione.

    L'endpoint locale specifica la rete nel virtual data center dell'organizzazione in cui il gateway edge trasmette. La rete esterna è in genere l'endpoint locale.

    Se si aggiunge un tunnel da IP a IP mediante una chiave precondivisa, l'ID locale e l'IP dell'endpoint locale possono coincidere.

    Subnet locali Immettere le reti da condividere tra i siti e utilizzare una virgola come separatore per immettere più subnet.

    Immettere un intervallo di rete (non un indirizzo IP specifico) inserendo l'indirizzo IP in formato CIDR. Ad esempio, 192.168.99.0/24.

    ID peer Immettere un ID peer per identificare in modo univoco il sito peer.

    L'ID peer è un identificatore che identifica in modo univoco il dispositivo remoto che termina la connessione VPN. In genere si tratta dell'indirizzo IP pubblico del dispositivo remoto.

    Per i peer che utilizzano l'autenticazione del certificato, l'ID deve essere il nome distinto nel certificato del peer. Per i peer PSK, l'ID può essere qualsiasi stringa. Una procedura consigliata di NSX consiste nell'utilizzare come ID peer l'indirizzo IP pubblico o il nome di dominio completo del dispositivo remoto.

    Se l'indirizzo IP del peer proviene da un'altra rete di virtual data center dell'organizzazione, immettere l'indirizzo IP nativo del peer. Se NAT è configurato per il peer, immettere l'indirizzo IP privato del peer.

    Endpoint peer Immettere l'indirizzo IP o il nome di dominio completo del sito peer, che è l'indirizzo pubblico del dispositivo remoto a cui ci si sta connettendo.
    Nota: Quando NAT è configurato per il peer, immettere l'indirizzo IP pubblico che il dispositivo utilizza per il NAT.
    Subnet peer Immettere la rete remota a cui la VPN si connette e utilizzare una virgola come separatore per immettere più subnet.

    Immettere un intervallo di rete (non un indirizzo IP specifico) inserendo l'indirizzo IP in formato CIDR. Ad esempio, 192.168.99.0/24.

    Algoritmo di crittografia Selezionare il tipo di algoritmo di crittografia dal menu a discesa.
    Nota: Il tipo di crittografia selezionato deve corrispondere al tipo di crittografia configurato nel dispositivo VPN del sito remoto.
    Autenticazione Selezionare un'autenticazione: Le opzioni sono:
    • PSK

      PSK (Pre Shared Key) indica che per l'autenticazione è necessario utilizzare la chiave segreta condivisa tra il gateway edge e il sito peer.

    • Certificato

      L'autenticazione Certificato indica che per l'autenticazione è necessario utilizzare il certificato definito a livello globale. Questa opzione non è disponibile a meno che non sia stato configurato il certificato globale nella schermata Configurazione globale della scheda VPN IPsec.

    Modifica chiave condivisa (Facoltativo) Quando si aggiornano le impostazioni di una connessione esistente, è possibile abilitare questa opzione per rendere disponibile il campo Chiave precondivisa in modo da poter aggiornare la chiave condivisa.
    Chiave precondivisa Se si seleziona PSK come tipo di autenticazione, digitare una stringa alfanumerica segreta che può essere una stringa con una lunghezza massima di 128 byte.
    Nota: La chiave condivisa deve corrispondere alla chiave configurata nel dispositivo VPN del sito remoto. Una procedura consigliata consiste nel configurare una chiave condivisa quando siti anonimi si connetteranno al servizio VPN.
    Mostra chiave condivisa (Facoltativo) Abilitare questa opzione per rendere la chiave condivisa visibile nella schermata.
    Gruppo Diffie-Hellman Selezionare lo schema di crittografia che consente al sito peer e a questo gateway edge di stabilire un segreto condiviso in un canale di comunicazione non protetto.
    Nota: Il valore di Gruppo Diffie-Hellman deve corrispondere a quello configurato nel dispositivo VPN del sito remoto.
    Estensione (Facoltativo) Digitare una delle seguenti opzioni:
    • securelocaltrafficbyip=IPAddress per reindirizzare il traffico locale del gateway edge attraverso il tunnel VPN IPsec.

      Questo è il valore predefinito.

    • passthroughSubnets= PeerSubnetIPAddress per supportare le subnet che si sovrappongono.
  5. Fare clic su Mantieni.
  6. Fare clic su Salva modifiche.

Operazioni successive

Configurare la connessione per il sito remoto. È necessario configurare la connessione VPN IPsec in entrambi i lati della connessione, ovvero nel virtual data center dell'organizzazione e nel sito peer.

Abilitare il servizio VPN IPsec in questo gateway edge. Se è configurata almeno una connessione VPN IPsec, è possibile abilitare il servizio. Vedere Abilitazione del servizio VPN IPsec in un gateway edge di NSX Data Center for vSphere nel VMware Cloud Director Tenant Portal.