IPsec VPN サービスを提供するには、NSX Edge で少なくとも 1 つの外部 IP アドレスを設定する必要があります。

手順

  1. vSphere Web Client にログインします。
  2. [ネットワークとセキュリティ (Networking & Security)] > [NSX Edge] の順にクリックします。
  3. NSX Edge をダブルクリックします。
  4. [管理] > [VPN] > [IPsec VPN] の順にクリックします。
  5. [追加 (Add)] をクリックします。
  6. IPsec VPN サイトの名前を入力します。
  7. IPsec VPN サイトのエンドポイント パラメータを設定します。
    1. ローカルの NSX Edge インスタンスを特定するローカル ID を入力します。このローカル ID がリモート サイトのピア ID になります。
      ローカル ID には任意の文字列を使用できます。可能であれば、ローカル ID として VPN のパブリック IP アドレスまたは VPN サービスの完全修飾ドメイン名 (FQDN) を使用します。
    2. ローカル エンドポイントの IP アドレスまたは FQDN を入力します。
      プリシェアード キーを使用して IP トンネルに IP アドレスを追加する場合は、ローカル ID とローカル エンドポイント IP アドレスが同じになる可能性があります。
    3. IPsec VPN サイト間で共有するサブネットを CIDR 形式で入力します。複数のサブネットを入力する場合は、コンマ区切りで入力します。
    4. ピア サイトを識別するため、ピア ID を入力します。
      • 証明書認証を使用するピアの場合、この ID はピアの証明書の識別名 (DN) にする必要があります。カンマ区切りの文字列として、スペースを入れずに証明書の識別名 (DN) を次の順序で入力します。C=xxx,ST=xxx,L=xxx,O=xxx,OU=xxx,CN=xxx,E=xxx
      • PSK ピアの場合、ピア ID に任意の文字列を指定できます。可能であれば、VPN のパブリック IP アドレス、または VPN サービスの FQDN をピア ID として使用します。
      注: Edge にリモート IPsec ピアに到達可能なアップリンク インターフェイスが複数ある場合、ローカル ピア IP で構成された Edge インターフェイスから IPsec トラフィックが送信されるようにルーティングを行う必要があります。
    5. ピア エンドポイントの IP アドレスまたは FQDN を入力します。デフォルト値は any です。デフォルト値を維持する場合は、グローバル PSK を設定する必要があります。
    6. ピア サブネットの内部 IP アドレスを CIDR 形式で入力します。複数のサブネットは、コンマ区切りで入力します。
  8. トンネル パラメータを設定します。
    1. (オプション) セキュリティ コンプライアンス スイートを選択して、スイートで事前に定義された値を持つ IPsec VPN サイトのセキュリティ プロファイルを設定します。
      デフォルトの選択は「 なし」です。この場合、認証方法、IKE プロファイル、トンネル プロファイルの設定値を手動で指定する必要があります。コンプライアンス スイートを選択すると、標準コンプライアンス スイートの事前定義値が自動的に割り当てられます。これらの値は編集できません。コンプライアンス スイートの詳細については、 サポートされているコンプライアンス スイートを参照してください。
      注:
      • コンプライアンス スイートは、NSX Data Center 6.4.5 以降でサポートされています。
      • Edge で FIPS モードが有効になっている場合、コンプライアンス スイートは指定できません。
    2. 以下のいずれかの (IKE) プロトコルを使用して、IPsec プロトコル スイートで Security Association (SA) を設定します。
      オプション 説明
      IKEv1 このオプションを選択すると、IPsec VPN が開始し、IKEv1 プロトコルのみに応答します。
      IKEv2 このオプションを選択すると、IPsec VPN が開始し、IKEv2 プロトコルのみに応答します。
      IKE-Flex このオプションを選択すると、IKEv2 プロトコルでトンネルの確立に失敗した場合に、送信元サイトにフォールバックされず、IKEv1 プロトコルで接続が開始されます。リモート サイトから IKEv1 プロトコルで接続を開始した場合、接続は許可されます。
      重要: 同じローカル エンドポイントとリモート エンドポイントを持つ複数のサイトを設定する場合は、すべての IPsec VPN サイトで同じ IKE バージョンと PSK を使用する必要があります。
    3. [ダイジェスト アルゴリズム (Digest Algorithm)] ドロップダウン メニューから、次のセキュア ハッシュ アルゴリズムのいずれかを選択します。
      • SHA1
      • SHA_256
    4. [暗号化アルゴリズム (Encryption Algorithm)] ドロップダウン メニューから、サポートされる次の暗号化アルゴリズムのいずれかを選択します。
      • AES (AES128-CBC)
      • AES256 (AES256-CBC)
      • Triple DES (3DES192-CBC)
      • AES-GCM (AES128-GCM)
      注:
      • AES-GCM 暗号化アルゴリズムは FIPS に準拠していません。
      • NSX 6.4.5 以降では、IPsec VPN サービスで Triple DES 暗号化アルゴリズムが廃止されています。

      次の表は、ピア VPN ゲートウェイで使用される暗号化設定とローカルの NSX Edge で選択する暗号化設定を示したものです。

      表 1. 暗号化設定
      NSX Edge の暗号化設定 ピア VPN ゲートウェイでの IKE の設定 ピア VPN ゲートウェイでの IPsec の設定
      AES-256 AES-256 AES-256
      AES-128 AES-128 AES-128
      3DES 3DES 3DES
      AES-GCM、IKEv1 AES-128 AES-GCM
      AES-GCM、IKEv2 AES-128 または AES-GCM AES-GCM
    5. [認証方法] で、次のいずれかのオプションを選択します。
      オプション 説明
      PSK (Pre Shared Key) このオプションを選択すると、NSX Edge とピア サイトが共有するシークレット キーが認証に使用されます。シークレット キーは、最大長が 128 バイトの文字列です。

      PSK 認証は FIPS モードでは無効になります。

      証明書 このオプションを選択すると、グローバル レベルで定義された証明書が認証に使用されます。
    6. (オプション) ピア IPsec VPN サイトの事前共有キーを入力します。
    7. ピア サイトのキーを表示するには、[プリシェアード キーを表示]表示アイコン)アイコンをクリックするか、[プリシェアード キーの表示 (Display Shared Key)] チェック ボックスを選択します。
    8. 安全でない通信チャネル経由でもピア サイトと NSX Edge が共有シークレット キーを発行できるように、[Diffie-Hellman (DH) グループ (Diffie-Hellman (DH) Group)] ドロップダウン メニューから次のいずれかの暗号化スキームを選択します。
      • DH-2
      • DH-5
      • DH-14
      • DH-15
      • DH-16
      FIPS モードおよび非 FIPS モードでは、DH14 がデフォルトで選択されます。FIPS モードが有効な場合は、DH2 と DH5 を使用できません。
  9. 詳細パラメータを設定します。
    1. リモート IPsec VPN サイトで PFS がサポートされていない場合は、[PFS (Perfect Forward Secrecy) (Perfect forward secrecy (PFS))] オプションを無効にします。デフォルトでは、PFS は有効になっています。
    2. (オプション) レスポンダのみのモードで IPsec VPN を稼動させるには、[レスポンダのみ (Responder only)] チェック ボックスを選択します。
      このモードでは IPsec VPN は接続を開始しません。
    3. (オプション) [エクステンション (Extension)] テキスト ボックスに、次のいずれかを入力します。
      • securelocaltrafficbyip=IPAddress: Edge のローカル トラフィックを IPsec VPN トンネル経由でリダイレクトします。デフォルト値は IP アドレスです。詳細については、http://kb.vmware.com/kb/20080007 を参照してください。
      • passthroughSubnets=PeerSubnetIPAddress:サブネットの重複をサポートします。
  10. [追加] または [OK] をクリックして、[変更の発行 (Publish Changes)] をクリックします。
    IPsec VPN の構成が NSX Edge に保存されます。

次のタスク

IPsec VPN サービスを有効にします。

ヒント: vSphere Web Client[IPsec VPN] ページで次の手順を行うと、ピア VPN ゲートウェイの構成スクリプトを生成できます。
  • NSX 6.4.6 以降では、IPsec VPN サイトを選択して [アクション] > [ピア構成の生成] の順にクリックします。
  • NSX 6.4.5 以前では、IPsec VPN サイトを選択し、[ピア構成の生成] アイコンをクリックします。表示されたダイアログ ボックスで、[ピア構成の生成] をクリックします。

    構成スクリプトが生成されます。このスクリプトをリファレンスとして使用し、ピア VPN ゲートウェイに IPsec VPN パラメータを設定できます。