Se si desidera connettere una VPN a un gateway di livello 1, è necessario creare un servizio IPSec nel gateway e regole NAT idonee per abilitare il traffico della VPN IPSec nell'interfaccia Internet del gateway.

Nella versione SDDC 1.18 e successive, possibile creare una VPN che termina in un gateway di livello 1 personalizzato. Questa configurazione è particolarmente utile quando è necessario fornire accesso VPN dedicato a un tenant o un gruppo di lavoro specifico.

Per ulteriori informazioni, vedere l'articolo di VMware Tech Zone Understanding VPN to Customer Created NSX T1s in VMC on AWS

Prerequisiti

Creare un gateway di livello 1 con NAT o instradato. Vedere Aggiunta di un gateway di livello 1 personalizzato a un SDDC VMware Cloud on AWS.

Procedura

  1. Accedere a VMware Cloud Services all'indirizzo https://vmc.vmware.com.
  2. Fare clic su Inventario > SDDC, quindi scegliere una scheda SDDC e fare clic su VISUALIZZA DETTAGLI.
  3. Fare clic su APRI NSX MANAGER e accedere con l'Account utente amministratore di NSX Manager visualizzato nella pagina Impostazioni dell'SDDC.
  4. (Facoltativo) Richiedere un indirizzo IP pubblico per l'endpoint VPN.
    Nel caso tipico, quando si desidera raggiungere questa VPN da Internet, l'endpoint locale deve essere un indirizzo IP pubblico. Vedere Richiedere o rilasciare un indirizzo IP pubblico. Per questo esempio, verrà utilizzato 93.184.216.34 come indirizzo. Se si desidera raggiungere questa VPN tramite DX o VMware Transit Connect, è possibile utilizzare qualsiasi indirizzo IP disponibile nella rete di elaborazione dell'SDDC.
    Nota: Non è possibile utilizzare alcuna subnet del CIDR di gestione come endpoint locale.
  5. Aggiungere un servizio VPN al gateway di livello 1.
    Fare clic su Rete > VPN. Aprire la scheda Livello 1 e fare clic su Servizi VPN > AGGIUNGI SERVIZIO > IPSec. Assegnare al servizio IPSec un Nome, quindi selezionare un Gateway di livello 1 dal menu a discesa. Fare clic su SALVA per creare il servizio.
  6. Creare l'endpoint locale.
    Aprire la scheda Endpoint locali e fare clic su AGGIUNGI ENDPOINT LOCALE. Assegnare al nuovo endpoint locale un Nome e una Descrizione facoltativa. In Servizio VPN, utilizzare il nome del servizio IPSec creato nel passaggio 5. In Indirizzo IP, utilizzare l'indirizzo IP pubblico richiesto nel Passaggio 4 o qualsiasi indirizzo disponibile nella rete di elaborazione dell'SDDC. Fare clic su SALVA per creare l'endpoint locale.
  7. Configurare la VPN.
    Aprire la scheda Sessioni IPSec e selezionare Basata su route o Basata su criterio nel menu a discesa AGGIUNGI SESSIONE IPSEC.
    1. In Servizio VPN, utilizzare il nome del servizio IPSec creato nel passaggio 5. In Endpoint locale, utilizzare quello creato nel passaggio 6.
    2. In IP remoto, inserire l'indirizzo dell'endpoint VPN locale.
    3. Immettere la stringa Chiave precondivisa.

      La lunghezza massima della chiave è 128 caratteri. Questa chiave deve essere identica per entrambe le estremità del tunnel VPN.

  8. Specificare l'ID remoto.
    Lasciare vuoto questo campo per utilizzare l' IP remoto come ID remoto per la negoziazione IKE. Se il gateway VPN in locale si trova dietro un dispositivo NAT, e/o utilizza un IP diverso per il relativo ID locale, è necessario immettere tale IP qui.
  9. Configurare i Parametri avanzati del tunnel.
    Parametro Valore
    Profilo IKE > Crittografia IKE Selezionare una crittografia di Fase 1 (IKE) supportata dal gateway VPN locale.
    Profilo IKE > Algoritmo digest IKE Selezionare un algoritmo digest di Fase 1 supportato dal gateway VPN locale. La procedura consigliata consiste nell'utilizzare lo stesso algoritmo sia per l'Algoritmo digest IKE che per l'Algoritmo digest tunnel.
    Nota:

    Se si specifica una crittografia basata su GCM per la crittografia IKE, impostare l'opzione Algoritmo digest IKE su Nessuno. La funzione del digest è fondamentale per la crittografia GCM. Se si utilizza una crittografia basata su GCM, è necessario utilizzare IKE V2

    .
    Profilo IKE > Versione IKE
    • Specificare IKE V1 per avviare e accettare il protocollo IKEv1.
    • Specificare IKE V2 per avviare e accettare il protocollo IKEv2. Se è stato specificato un Algoritmo digest IKE basato su GCM, è necessario utilizzare IKEv2.
    • Specificare IKE FLEX accettare IKEv1 o IKEv2, quindi avviare utilizzando IKEv2. Se l'avvio di IKEv2 ha esito negativo, IKE FLEX non torna a IKEv1.
    Profilo IKE > Diffie Hellman Selezionare un gruppo Diffie Hellman supportato dal gateway VPN locale. Questo valore deve essere identico per entrambe le estremità del tunnel VPN. I numeri dei gruppi più alti offrono una migliore protezione. La procedura consigliata consiste nel selezionare il gruppo 14 o superiore.
    Profilo IPsec > Crittografia tunnel Selezionare una crittografia con associazione di sicurezza (SA) di Fase 2 supportata dal gateway VPN locale.
    Profilo IPsec Algoritmo digest tunnel Selezionare un algoritmo digest di Fase 2 supportato dal gateway VPN locale.
    Nota:

    Se per la Crittografia tunnel si specifica una crittografia basata su GCM, impostare Algoritmo digest tunnel su Nessuno. La funzione del digest è fondamentale per la crittografia GCM.

    Profilo IPsec > Perfect Forward Secrecy Attivare o disattivare l'opzione in modo che corrisponda all'impostazione del gateway VPN locale. L'abilitazione di Perfect Forward Secrecy impedisce che le sessioni registrate (precedenti) vengano decrittografate se la chiave privata dovesse essere compromessa.
    Profilo IPsec > Diffie Hellman Selezionare un gruppo Diffie Hellman supportato dal gateway VPN locale. Questo valore deve essere identico per entrambe le estremità del tunnel VPN. I numeri dei gruppi più alti offrono una migliore protezione. La procedura consigliata consiste nel selezionare il gruppo 14 o superiore.
    Profilo DPD > Modalità probe DPD Un valore a scelta tra Periodico o Su richiesta.

    Per la modalità probe DPD periodico, viene inviato un probe DPD ogni volta che si raggiunge il tempo specificato per l'intervallo di probe DPD.

    Per la modalità probe DPD su richiesta, viene inviato un probe DPD se non si riceve alcun pacchetto IPsec dal sito peer dopo un periodo di inattività. Il valore di Intervallo probe DPD determina il periodo di inattività utilizzato.
    Profilo DPD > Numero tentativi Numero intero di tentativi consentiti. I valori compresi nell'intervallo da 1 a 100 sono validi. Il numero di tentativi predefinito è 10.
    Profilo DPD > Intervallo probe DPD Numero di secondi che si desidera che il daemon IKE NSX attenda tra l'invio di un probe DPD e un altro.

    Per una modalità probe DPD periodico, i valori validi sono compresi tra 3 e 360 secondi. Il valore predefinito è 60 secondi.

    Per una modalità probe su richiesta, i valori validi sono compresi tra 1 e 10 secondi. Il valore predefinito è 3 secondi.

    Quando è impostata la modalità probe DPD periodico, il daemon IKE invia periodicamente un probe DPD. Se il sito peer risponde entro mezzo secondo, il probe DPD successivo viene inviato dopo che è stato raggiunto l'intervallo di probe DPD configurato. Se il sito peer non risponde, il probe DPD viene inviato di nuovo dopo un'attesa di mezzo secondo. Se il sito peer remoto continua a non rispondere, il daemon IKE invia nuovamente il probe DPD, finché non viene ricevuta una risposta o non viene raggiunto il numero di tentativi. Prima che il sito peer venga dichiarato inattivo, il daemon IKE rinvia il probe DPD fino al numero massimo di volte specificato nella proprietà Numero tentativi. Dopo che il sito peer viene dichiarato inattivo, NSX elimina l'associazione di sicurezza (SA) nel link del peer inattivo.

    Quando è impostata la modalità DPD su richiesta, il probe DPD viene inviato solo se non si riceve alcun traffico IPsec dal sito peer dopo aver raggiunto l'intervallo di probe DPD configurato.
    Profilo DPD > Stato amministrazione Per attivare o disattivare il profilo DPD, fare clic sull'interruttore Stato amministrazione. Per impostazione predefinita, il valore è impostato su Abilitato. Quando è abilitato, il profilo DPD viene utilizzato per tutte le sessioni IPsec nel servizio VPN IPsec che utilizza il profilo DPD.
    Clamping TCP MSS Per utilizzare il Clapping TCP MSS per ridurre il payload MSS (Maximum Segment Size) della sessione TCP durante la connessione IPsec, impostare questa opzione su Abilitata, quindi selezionare la Direzione TCP MSS e, facoltativamente, il Valore TCP MSS. Vedere Informazioni sul clamping MSS TCP nella Guida all'amministrazione di NSX Data Center.
  10. (Facoltativo) Applicare un tag alla VPN.

    Vedere Aggiunta di tag a un oggetto nella Guida all'amministrazione di NSX Data Center per ulteriori informazioni sull'assegnazione di tag agli oggetti di NSX.

  11. Fare clic su SALVA per creare la VPN.
  12. Aggiungere una regola del firewall del gateway di elaborazione che consenta il traffico VPN IPSec tramite l'interfaccia Internet dil CGW.
    Aprire la scheda Firewall del gateway e fare clic su Gateway di elaborazione. Una regola come questa funzionerà ma è probabile che sia più permissiva di quanto si desideri per l'utilizzo nell'ambiente di produzione. È consigliabile limitare le Origini a un blocco CIDR attendibile o che è possibile controllare. In questo esempio, viene utilizzato l'indirizzo IP pubblico ottenuto in Passaggio 4 (93.184.216.34) come indirizzo di Destinazioni.
    Nome Fonti Destinazioni Servizi Si applica a Azione
    Accesso alla VPN Qualsiasi 93.184.216.34 Deve includere IKE (attraversamento NAT), IKE (scambio chiavi) , ESP VPN IPSec Interfaccia Internet Consenti
  13. Creare una regola NAT per rendere l'indirizzo IP pubblico della VPN accessibile esternamente.
    Passare a Rete > NAT > Internet. Fare clic su Aggiungi regola NAT e creare una regola NAT come la seguente.
    Nome IP pubblico Servizio Porta pubblica IP interno Firewall
    Accesso alla VPN 93.184.216.34 Tutto il traffico Qualsiasi 93.184.216.34 Corrispondenza con indirizzo esterno
    La regola deve utilizzare lo stesso indirizzo (in questo esempio, si tratta dell'indirizzo IP pubblico richiesto in Passaggio 4) come IP pubblico e IP interno. Il firewall deve corrispondere all'indirizzo esterno quando si esaminano pacchetti in entrata.