VMware Cloud Director 環境に置かれた NSX Data Center for vSphere Edge Gateway は、組織仮想データセンター ネットワーク間、または組織仮想データセンター ネットワークと外部 IP アドレス間の VPN トンネルを保護するために、サイト間の Internet Protocol Security (IPsec) をサポートしています。IPsec VPN サービスは Edge Gateway に設定できます。

最も一般的なシナリオは、リモート ネットワークから組織仮想データセンターへの IPsec VPN 接続を設定することです。NSX ソフトウェアでは、証明書認証、事前共有キー モード、自身とリモート VPN ルーター間の IP ユニキャスト トラフィックのサポートなどの Edge Gateway の IPsec VPN 機能が提供されます。複数のサブネットが Edge Gateway の背後にある内部ネットワークに IPsec トンネル経由で接続するような設定も可能です。IPsec トンネルを経由して内部ネットワークに接続するように複数のサブネットを設定する場合は、これらのサブネットおよび Edge Gateway の背後にある内部ネットワークのアドレス範囲が重複しないようにする必要があります。

注: IPsec トンネルの両側にあるローカル ピアとリモート ピアで IP アドレスが重複している場合は、ローカルに接続されたルートおよび自動配管ルートの有無に応じて、このトンネルを通って転送されるトラフィックに一貫性がなくなることがあります。

次の IPsec VPN アルゴリズムがサポートされています。

  • AES (AES128 CBC)
  • AES256 (AES256-CBC)
  • トリプル DES (3DES192-CBC)
  • AES-GCM (AES128 GCM)
  • DH-2(Diffie-Hellman グループ 2)
  • DH-5(Diffie-Hellman グループ 5)
  • DH-14(Diffie-Hellman グループ 14)
注: IPsec VPN では、動的ルーティング プロトコルはサポートされていません。組織仮想データセンターの Edge Gateway とリモート サイトの物理ゲートウェイ VPN の間に IPsec VPN トンネルを構成する場合は、その接続の動的ルーティングを構成できません。リモート サイトの IP アドレスを、Edge Gateway のアップリンク上の動的ルーティングによって学習することはできません。

NSX 管理ガイド』のトピック「IPsec VPN の概要」に記載されているように、Edge Gateway でサポートされている最大トンネル数は、構成されているサイズ(コンパクト、大、特大、超特大)によって決まります。

Edge Gateway 構成のサイズを表示するには、Edge Gateway に移動し、Edge Gateway 名をクリックします。

Edge Gateway で IPsec VPN を設定するには、複数の手順を実行します。

注: トンネルのエンドポイント間にファイアウォールが配置されている場合は、IPsec VPN サービスを設定した後に、次の IP プロトコルおよび UDP ポートを許可するようにルールを更新します。
  • IP プロトコル ID 50 (ESP)
  • IP プロトコル ID 51 (AH)
  • UDP ポート 500 (IKE)
  • UDP ポート 4500

[IPsec VPN] 画面への移動

[IPsec VPN] 画面で、NSX Data Center for vSphere Edge Gateway の IPsec VPN サービスの設定を開始できます。

手順

  1. Edge Gateway サービスを開きます。
    1. 上部ナビゲーション バーで [ネットワーク ]をクリックし、[Edge Gateway] をクリックします。
    2. 編集する Edge Gateway を選択し、[サービス] をクリックします。
  2. [VPN] > [IPsec VPN] の順に選択します。

次のタスク

[IPsec VPN サイト] 画面を使用して、IPsec VPN 接続を設定します。Edge ゲートウェイで IPsec VPN サービスを有効にするには、少なくとも 1 つの接続を事前に設定する必要があります。NSX Data Center for vSphere Edge Gateway の IPsec VPN サイト接続の設定を参照してください。

NSX Data Center for vSphere Edge Gateway の IPsec VPN サイト接続の設定

Edge Gateway の IPsec VPN 機能を使用して、組織仮想データセンターと別のサイトの間に IPsec VPN 接続を確立するために必要な設定を行うには、VMware Cloud Director テナント ポータルで [IPsec VPN サイト] 画面を使用します。

サイト間に IPsec VPN 接続を設定する場合は、現在の場所から見て接続を設定します。接続の設定には、VPN 接続を正しく設定できるように、VMware Cloud Director 環境のコンテキスト内での接続の概念について理解している必要があります。

  • ローカル サブネットおよびピア サブネットによって、VPN の接続先ネットワークが指定されます。IPsec VPN サイトの設定内でこれらのサブネットを指定する場合は、特定の IP アドレスではなく、ネットワーク範囲を入力します。192.168.99.0/24 などの CIDR 形式を使用します。
  • ピア ID は、VPN 接続を終端するリモート デバイスを一意に識別する ID のことで、通常はパブリック IP アドレスです。証明書認証を使用するピアの場合、この ID はピアの証明書で設定された識別名である必要があります。PSK ピアの場合、この ID には任意の文字列を指定できます。NSX のベスト プラクティスは、リモート デバイスのパブリック IP アドレスまたは完全修飾ドメイン名 (FQDN) をピア ID として使用することです。ピア IP アドレスが別の組織仮想データセンター ネットワークから取得されている場合は、ピアのネイティブ IP アドレスを入力します。ピアに NAT が設定されている場合は、ピアのプライベート IP アドレスを入力します。
  • ピア エンドポイントは、ユーザーが接続しているリモート デバイスのパブリック IP アドレスを指定します。ピアのゲートウェイにインターネットから直接アクセスできず、別のデバイスを介して接続されている場合は、ピア エンドポイントのアドレスがピアの ID と異なることがあります。ピアに NAT が設定されている場合は、デバイスが NAT に使用しているパブリック IP アドレスを入力します。
  • ローカル ID は、組織仮想データセンターの Edge Gateway のパブリック IP アドレスを指定します。Edge Gateway のファイアウォールと、IP アドレスまたはホスト名を入力することができます。
  • ローカル エンドポイントは、Edge Gateway が送信を行う組織仮想データセンター内のネットワークを指定します。通常は、Edge Gateway の外部ネットワークがローカル エンドポイントになります。

前提条件

手順

  1. Edge Gateway サービスを開きます。
    1. 上部ナビゲーション バーで [ネットワーク ]をクリックし、[Edge Gateway] をクリックします。
    2. 編集する Edge Gateway を選択し、[サービス] をクリックします。
  2. [IPsec VPN] タブで、[IPsec VPN サイト] をクリックします。
  3. [追加]作成ボタン)ボタンをクリックします。
  4. IPsec VPN 接続を設定します。
    オプション アクション
    有効 この接続を 2 台の VPN エンドポイント間で有効にします。
    Perfect Forward Secrecy (PFS) の有効化 このオプションを有効にすると、システムはユーザーが開始したすべての IPsec VPN セッションに対して一意のパブリック キーを生成します。

    PFS を有効にすると、Edge Gateway のプライベート キーと各セッション キーの間にリンクが作成されなくなります。

    セッション キーが危険にさらされても、このキーによって保護された特定のセッション内で交換されたデータ以外に影響はありません。サーバのプライベート キーが危険にさらされると、アーカイブされたセッションまたは今後のセッションの復号化にこのキーを使用できなくなります。

    PFS が有効な場合は、この Edge ゲートウェイとの IPsec VPN 接続を処理するときに、若干のオーバーヘッドが発生します。

    重要: 追加キーの取得元として、一意のセッション キーを使用しないでください。また、IPsec VPN トンネルが機能するには、トンネルの両側で PFS をサポートする必要があります。
    名前 (オプション)接続の名前を入力します。
    ローカル ID Edge Gateway インスタンスの外部 IP アドレスを入力します。これは、Edge Gateway のパブリック IP アドレスです。

    この IP アドレスは、リモート サイトの IPsec VPN 設定でピア ID に使用されます。

    ローカル エンドポイント この接続のローカル エンドポイントであるネットワークを入力します。

    ローカル エンドポイントは、Edge Gateway が送信を行う組織仮想データセンター内のネットワークを指定します。通常は、外部ネットワークがローカル エンドポイントになります。

    事前共有キーを使用して IP 間トンネルを追加する場合は、ローカル ID とローカル エンドポイントの IP アドレスを同じにすることができます。

    ローカル サブネット サイト間で共有するネットワークを入力します。複数のサブネットを入力するには、区切り文字にカンマを使用します。

    特定の IP アドレスではなく、IP アドレスを CIDR 形式(192.168.99.0/24 など)で指定してネットワーク範囲を入力します。

    ピア ID ピア サイトを一意に識別するピア ID を入力します。

    ピア ID は、VPN 接続を終端するリモート デバイスを一意に識別する ID のことで、通常はパブリック IP アドレスです。

    証明書認証を使用するピアの場合、この ID はピアの証明書に含まれている識別名である必要があります。PSK ピアの場合、この ID には任意の文字列を指定できます。NSX のベスト プラクティスは、リモート デバイスのパブリック IP アドレスまたは完全修飾ドメイン名 (FQDN) をピア ID として使用することです。

    ピア IP アドレスが別の組織仮想データセンター ネットワークから取得されている場合は、ピアのネイティブ IP アドレスを入力します。ピアに NAT が設定されている場合は、ピアのプライベート IP アドレスを入力します。

    ピア エンドポイント 接続先リモート デバイスのパブリック側アドレスである、ピア サイトの IP アドレスまたは完全修飾ドメイン名 (FQDN) を入力します。
    注: ピアに NAT が設定されている場合は、デバイスが NAT に使用しているパブリック IP アドレスを入力します。
    ピア サブネット VPN の接続先となるリモート ネットワークを入力します。複数のサブネットを入力するには、区切り文字にカンマを使用します。

    特定の IP アドレスではなく、IP アドレスを CIDR 形式(192.168.99.0/24 など)で指定してネットワーク範囲を入力します。

    暗号化アルゴリズム ドロップダウン メニューから暗号化アルゴリズムのタイプを選択します。
    注: 選択する暗号化タイプは、リモート サイトの VPN デバイスで設定されている暗号化タイプと一致する必要があります。
    認証 認証を選択します。次のオプションがあります。
    • [PSK]

      事前共有キー (PSK) を選択すると、Edge Gateway とピア サイト間で共有されるプライベート キーを認証に使用するように指定されます。

    • [証明書]

      証明書の認証では、グローバル レベルで定義された証明書を認証に使用するように指定されます。このオプションは、[IPsec VPN] タブの [グローバル構成] 画面でグローバル証明書が設定されている場合以外は使用できません。

    共有キーを変更 (オプション)既存の接続の設定を更新している場合は、このオプションを有効にして [事前共有キー] フィールドを使用可能にし、共有キーを更新できるようにします。
    事前共有キー 認証タイプに [PSK] を選択した場合、英数字のシークレット文字列を入力します。これは、最大長が 128 バイトの文字列です。
    注: 共有キーは、リモート サイトの VPN デバイスで設定されたキーと一致する必要があります。ベスト プラクティスは、匿名サイトが VPN サービスに接続するときに共有キーを設定することです。
    共有キーの表示 (オプション)このオプションを有効にすると、共有キーを画面に表示できるようになります。
    Diffie-Hellman グループ ピア サイトおよびこの Edge Gateway が、セキュアでない通信チャネルを介して共有シークレットを確立できるようにする暗号化スキームを選択します。
    注: [Diffie-Hellman グループ] は、リモート サイトの VPN デバイスで設定された内容と一致する必要があります。
    拡張 (オプション)次のオプションのいずれかを入力します。
    • securelocaltrafficbyip=IPAddress:IPsec VPN トンネルを介して Edge Gateway のローカル トラフィックをリダイレクトします。

      これはデフォルト値です。

    • passthroughSubnets=PeerSubnetIPAddress:重複するサブネットをサポートします。
  5. [保持] をクリックします。
  6. [変更を保存] をクリックします。

次のタスク

リモート サイトの接続を設定します。接続の両側(組織仮想データセンターおよびピア サイト)で、IPsec VPN 接続を設定する必要があります。

この Edge ゲートウェイで IPsec VPN サービスを有効にします。少なくとも 1 つの IPsec VPN 接続が設定されている場合は、サービスを有効にできます。NSX Data Center for vSphere Edge Gateway での IPsec VPN サービスの有効化 を参照してください。

NSX Data Center for vSphere Edge Gateway での IPsec VPN サービスの有効化

1 つ以上の IPsec VPN 接続が設定されている場合は、Edge Gateway で IPsec VPN サービスを有効にできます。

前提条件

手順

  1. [IPsec VPN] タブで、[アクティベーションのステータス] をクリックします。
  2. [IPsec VPN サービス ステータス] をクリックして、IPsec VPN サービスを有効にします。
  3. [変更を保存] をクリックします。

結果

Edge ゲートウェイの IPsec VPN サービスがアクティブになります。

グローバル IPsec VPN 設定の指定

[グローバル構成] 画面を使用して、IPsec VPN の認証を Edge Gateway レベルで設定します。この画面では、グローバルの事前共有キーを設定し、証明書認証を有効にすることができます。

グローバルの事前共有キーは、ピア エンドポイントが any に設定されたサイトで使用されます。

前提条件

手順

  1. Edge Gateway サービスを開きます。
    1. 上部ナビゲーション バーで [ネットワーク ]をクリックし、[Edge Gateway] をクリックします。
    2. 編集する Edge Gateway を選択し、[サービス] をクリックします。
  2. [IPsec VPN] タブで、[グローバル構成] をクリックします。
  3. (オプション) 次のようにして、グローバル事前共有キーを設定します。
    1. [共有キーを変更] オプションを有効にします。
    2. 事前共有キーを有効にします。
      グローバルの事前共有キー (PSK) は、ピア エンドポイントが「 any」に設定されたすべてのサイトによって共有されます。グローバルの PSK がすでに設定されている場合、PSK を空の値に変更して保存しても既存の設定には影響しません。
    3. (オプション) 必要に応じて [共有キーの表示] を有効にして、事前共有キーを表示します。
    4. [変更を保存] をクリックします。
  4. 証明書認証を設定します。
    1. [証明書認証の有効化] を有効にします。
    2. 適切なサービス証明書、CA 証明書、CRL を選択します。
    3. [変更を保存] をクリックします。

次のタスク

必要に応じて、Edge Gateway の IPsec VPN サービスのログを有効にできます。NSX Data Center for vSphere Edge Gateway の統計情報とログ を参照してください。