構成する IPsec VPN で使用するローカル エンドポイントを構成する必要があります。
次の手順では、NSX Manager ユーザー インターフェイスの [ローカル エンドポイント] タブを使用します。3 つのドットで示されるメニュー()をクリックして [ローカル エンドポイントの追加] を選択し、IPsec VPN セッションを追加する際にローカル エンドポイントを作成することもできます。IPsec VPN セッションを構成している場合は、次の手順の中の手順 3 に進み、手順に沿って新しいローカル エンドポイントを作成します。
前提条件
- 構成中のローカル エンドポイントを使用する IPsec VPN セッションで証明書ベースの認証モードを使用する場合は、ローカル エンドポイントで使用する必要がある証明書についての情報を取得します。
- このローカル エンドポイントが関連付けられる IPsec VPN サービスが構成されていることを確認します。
手順
- 管理者権限で NSX Manager にログインします。
- に移動して、[ローカル エンドポイントの追加] をクリックします。
- ローカル エンドポイントの名前を入力します。
- [VPN サービス] ドロップダウン メニューから、このローカル エンドポイントが関連付けられている IPsec VPN サービスを選択します。
- ローカル エンドポイントの IP アドレスを入力します。
Tier-0 ゲートウェイで実行されている IPsec VPN サービスの場合、ローカル エンドポイントの IP アドレスは、Tier-0 ゲートウェイのアップリンク インターフェイスと異なる IP アドレスを設定する必要があります。指定するローカル エンドポイントの IP アドレスは、Tier-0 ゲートウェイのループバック インターフェイスに関連付けられ、アップリンク インターフェイスを介してルーティング可能な IP アドレスとして公開されます。
Tier-1 ゲートウェイで実行されている IPsec VPN サービスの場合、ローカル エンドポイントの IP アドレスは、Tier-1 ゲートウェイのアップリンク インターフェイスと異なる IP アドレスを設定する必要があります。ローカル エンドポイントの IP アドレスをルーティング可能にするには、Tier-1 ゲートウェイの構成で IPsec ローカル エンドポイントのルート アドバタイズが有効になっている必要があります。詳細については、「NSX の Tier-1 ゲートウェイの追加」を参照してください。
- IPsec VPN セッションに証明書ベースの認証モードを使用しする場合は、[サイトの証明書] ドロップダウン メニューからローカル エンドポイントで使用する証明書を選択します。
- (オプション) 必要に応じて、[説明] に入力します。
- [ローカル ID] に、ローカルの NSX Edge インスタンスの識別に使用する値を入力します。
このローカル ID がリモート サイトのリモート ID として構成されます。ローカル ID は、ローカル サイトの IP アドレスまたは FQDN にする必要があります。ローカル エンドポイントに関連付けられた証明書ベースの IPsec VPN セッションの場合、
[ローカル ID] はローカル エンドポイントに関連付けられている証明書から生成されます。
[ローカル ID] テキスト ボックスに指定した ID は無視されます。VPN セッションの証明書から派生するローカル ID は、証明書に含まれている拡張機能によって異なります。
-
証明書に X509v3 拡張機能 X509v3 Subject Alternative Name が存在しない場合、識別名 (DN) がローカル ID 値として使用されます。
たとえば、証明書にサブジェクト代替名 (SAN) フィールドがなく、次の DN 文字列があるとします。
C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123
この場合、DN 文字列がローカル ID として使用されます。このローカル ID がリモート サイトのピア ID になります。
-
証明書に X509v3 拡張機能 X509v3 Subject Alternative Name がある場合、SAN フィールドの 1 つがローカル ID 値として取得されます。
証明書に複数の SAN フィールドがある場合は、次の順序でローカル ID を選択します。
順序 |
SAN フィールド |
1 |
IP アドレス |
2 |
DNS |
3 |
メール アドレス |
たとえば、構成されたサイトの証明書に次の SAN フィールドがあるとします。
x509v3 Subject Alternative Name:
DNS:Site123.vmware.com, email:[email protected], IP Address:1.1.1.1
この場合、IP アドレス 1.1.1.1
がローカル ID として使用されます。IP アドレスが使用できない場合は、DNS 文字列が使用されます。IP アドレスと DNS が使用できない場合は、メール アドレスが使用されます。
IPsec VPN セッションで使用されるローカル ID を表示するには、次の手順を実行します。
- の順に移動し、[IPsec セッション] タブをクリックします。
- IPsec VPN セッションを展開します。
- [構成のダウンロード] をクリックして、リモート VPN エンドポイントでリモート ID として構成するローカル ID を含む構成ファイルをダウンロードします。
- [信頼されている CA (認証局) 証明書] と [証明書失効リスト] ドロップダウン メニューから、ローカル エンドポイントに必要な証明書を選択します。
- (オプション) タグを指定します。
- [保存] をクリックします。