Edge Gateway の IPsec VPN 機能を使用して、組織仮想データセンターと別のサイトの間に IPsec VPN 接続を確立するために必要な設定を行うには、VMware Cloud Director テナント ポータルで [IPsec VPN サイト] 画面を使用します。
サイト間に IPsec VPN 接続を設定する場合は、現在の場所から見て接続を設定します。接続の設定には、VPN 接続を正しく設定できるように、VMware Cloud Director 環境のコンテキスト内での接続の概念について理解している必要があります。
- ローカル サブネットおよびピア サブネットによって、VPN の接続先ネットワークが指定されます。IPsec VPN サイトの設定内でこれらのサブネットを指定する場合は、特定の IP アドレスではなく、ネットワーク範囲を入力します。192.168.99.0/24 などの CIDR 形式を使用します。
- ピア ID は、VPN 接続を終端するリモート デバイスを一意に識別する ID のことで、通常はパブリック IP アドレスです。証明書認証を使用するピアの場合、この ID はピアの証明書で設定された識別名である必要があります。PSK ピアの場合、この ID には任意の文字列を指定できます。NSX のベスト プラクティスは、リモート デバイスのパブリック IP アドレスまたは完全修飾ドメイン名 (FQDN) をピア ID として使用することです。ピア IP アドレスが別の組織仮想データセンター ネットワークから取得されている場合は、ピアのネイティブ IP アドレスを入力します。ピアに NAT が構成されている場合は、ピアのプライベート IP アドレスを入力します。
- ピア エンドポイントは、ユーザーが接続しているリモート デバイスのパブリック IP アドレスを指定します。ピアのゲートウェイにインターネットから直接アクセスできず、別のデバイスを介して接続されている場合は、ピア エンドポイントのアドレスがピアの ID と異なることがあります。ピアに NAT が構成されている場合は、デバイスが NAT に使用しているパブリック IP アドレスを入力します。
- ローカル ID は、組織仮想データセンターの Edge Gateway のパブリック IP アドレスを指定します。Edge Gateway のファイアウォールと、IP アドレスまたはホスト名を入力することができます。
- ローカル エンドポイントは、Edge Gateway が送信を行う組織仮想データセンター内のネットワークを指定します。通常は、Edge Gateway の外部ネットワークがローカル エンドポイントになります。
前提条件
- VMware Cloud Director Tenant Portal での NSX Data Center for vSphere Edge Gateway の [IPsec VPN] 画面への移動。
- VMware Cloud Director Tenant Portal での NSX Data Center for vSphere Edge Gateway の IPsec VPN の構成。
- 認証方法としてグローバル証明書を使用する場合は、[グローバル構成] 画面で証明書認証が有効になっていることを確認します。VMware Cloud Director Tenant Portal での NSX Edge Gateway に対するグローバル IPsec VPN 設定の指定を参照してください。
手順
- Edge Gateway サービスを開きます。
- 上部ナビゲーション バーで [ネットワーク ]をクリックし、[Edge Gateway] をクリックします。
- 編集する Edge Gateway を選択し、[サービス] をクリックします。
- [IPsec VPN] タブで、[IPsec VPN サイト] をクリックします。
- [追加]()ボタンをクリックします。
- IPsec VPN 接続を構成します。
オプション アクション 有効 この接続を 2 台の VPN エンドポイント間で有効にします。 Perfect Forward Secrecy (PFS) の有効化 このオプションを有効にすると、システムはユーザーが開始したすべての IPsec VPN セッションに対して一意のパブリック キーを生成します。 PFS を有効にすると、Edge Gateway のプライベート キーと各セッション キーの間にリンクが作成されなくなります。
セッション キーが危険にさらされても、このキーによって保護された特定のセッション内で交換されたデータ以外に影響はありません。サーバのプライベート キーが危険にさらされると、アーカイブされたセッションまたは今後のセッションの復号化にこのキーを使用できなくなります。
PFS が有効な場合は、この Edge ゲートウェイとの IPsec VPN 接続を処理するときに、若干のオーバーヘッドが発生します。
重要: 追加キーの取得元として、一意のセッション キーを使用しないでください。また、IPsec VPN トンネルが機能するには、トンネルの両側で PFS をサポートする必要があります。名前 (オプション)接続の名前を入力します。 ローカル ID Edge Gateway インスタンスの外部 IP アドレスを入力します。これは、Edge Gateway のパブリック IP アドレスです。 この IP アドレスは、リモート サイトの IPsec VPN 構成でピア ID に使用されます。
ローカル エンドポイント この接続のローカル エンドポイントであるネットワークを入力します。 ローカル エンドポイントは、Edge Gateway が送信を行う組織仮想データセンター内のネットワークを指定します。通常は、外部ネットワークがローカル エンドポイントになります。
事前共有キーを使用して IP 間トンネルを追加する場合は、ローカル ID とローカル エンドポイントの IP アドレスを同じにすることができます。
ローカル サブネット サイト間で共有するネットワークを入力します。複数のサブネットを入力するには、区切り文字にカンマを使用します。 CIDR 形式を使用して IP アドレスを入力し、ネットワーク範囲(特定の IP アドレスではなく)を入力します(例:192.168.99.0/24)。
ピア ID ピア サイトを一意に識別するピア ID を入力します。 ピア ID は、VPN 接続を終端するリモート デバイスを一意に識別する ID のことで、通常はパブリック IP アドレスです。
証明書認証を使用するピアの場合、この ID はピアの証明書に含まれている識別名である必要があります。PSK ピアの場合、この ID には任意の文字列を指定できます。NSX のベスト プラクティスは、リモート デバイスのパブリック IP アドレスまたは完全修飾ドメイン名 (FQDN) をピア ID として使用することです。
ピア IP アドレスが別の組織仮想データセンター ネットワークから取得されている場合は、ピアのネイティブ IP アドレスを入力します。ピアに NAT が構成されている場合は、ピアのプライベート IP アドレスを入力します。
ピア エンドポイント 接続先リモート デバイスのパブリック側アドレスである、ピア サイトの IP アドレスまたは完全修飾ドメイン名 (FQDN) を入力します。 注: ピアに NAT が構成されている場合は、デバイスが NAT に使用しているパブリック IP アドレスを入力します。ピア サブネット VPN の接続先となるリモート ネットワークを入力します。複数のサブネットを入力するには、区切り文字にカンマを使用します。 CIDR 形式を使用して IP アドレスを入力し、ネットワーク範囲(特定の IP アドレスではなく)を入力します(例:192.168.99.0/24)。
暗号化アルゴリズム ドロップダウン メニューから暗号化アルゴリズムのタイプを選択します。 注: 選択する暗号化タイプは、リモート サイトの VPN デバイスで構成されている暗号化タイプと一致する必要があります。認証 認証を選択します。次のオプションがあります。 - [PSK]
事前共有キー (PSK) を選択すると、Edge Gateway とピア サイト間で共有されるプライベート キーを認証に使用するように指定されます。
- [証明書]
証明書の認証では、グローバル レベルで定義された証明書を認証に使用するように指定されます。このオプションは、[IPsec VPN] タブの [グローバル構成] 画面でグローバル証明書が構成されている場合以外は使用できません。
共有キーを変更 (オプション)既存の接続の設定を更新している場合は、このオプションを有効にして [事前共有キー] フィールドを使用可能にし、共有キーを更新できるようにします。 事前共有キー 認証タイプに [PSK] を選択した場合、英数字のシークレット文字列を入力します。これは、最大長が 128 バイトの文字列です。 注: 共有キーは、リモート サイトの VPN デバイスで設定されたキーと一致する必要があります。ベスト プラクティスは、匿名サイトが VPN サービスに接続するときに共有キーを設定することです。共有キーの表示 (オプション)このオプションを有効にすると、共有キーを画面に表示できるようになります。 Diffie-Hellman グループ ピア サイトおよびこの Edge Gateway が、セキュアでない通信チャネルを介して共有シークレットを確立できるようにする暗号化スキームを選択します。 注: [Diffie-Hellman グループ] は、リモート サイトの VPN デバイスで設定された内容と一致する必要があります。拡張 (オプション)次のオプションのいずれかを入力します。 securelocaltrafficbyip=
IPAddress:IPsec VPN トンネルを介して Edge Gateway のローカル トラフィックをリダイレクトします。これはデフォルト値です。
passthroughSubnets=
PeerSubnetIPAddress:重複するサブネットをサポートします。
- [PSK]
- [保持] をクリックします。
- [変更を保存] をクリックします。
次のタスク
リモート サイトの接続を構成します。接続の両側(組織仮想データセンターおよびピア サイト)で、IPsec VPN 接続を設定する必要があります。
この Edge ゲートウェイで IPsec VPN サービスを有効にします。少なくとも 1 つの IPsec VPN 接続が構成されている場合は、サービスを有効にできます。VMware Cloud Director Tenant Portal での NSX Data Center for vSphere Edge Gateway の IPsec VPN サービスの有効化 を参照してください。