VPN fisico in un sito remoto, non è possibile configurare il routing dinamico per tale connessione.
L'indirizzo IP di tale sito remoto non può essere individuato tramite il routing dinamico nell'uplink del gateway edge.
Come descritto nell'argomento Panoramica di VPN IPsec nella Guida per l'amministratore di NSX, il numero massimo di tunnel supportato in un gateway edge è determinato dalle sue dimensioni configurate: Compact, Large, X-Large, Quad Large.
Per visualizzare le dimensioni della configurazione del gateway edge, passare al gateway edge e fare clic sul nome del gateway edge.
La configurazione di VPN IPsec in un gateway edge è un processo che include più passaggi.
Nota Se è presente un firewall tra gli endpoint del tunnel, dopo aver configurato il servizio VPN IPsec, aggiornare le regole del firewall per consentire le porte UDP e i protocolli IP seguenti:
n ID protocollo IP 50 (ESP)
n ID protocollo IP 51 (AH)
n Porta UDP 500 (IKE)
n Porta UDP 4500 Procedura
1 Passaggio alla schermata VPN IPsec
Nella schermata VPN IPsec, è possibile iniziare a configurare il servizio VPN IPsec per un gateway edge NSX Data Center for vSphere.
2 Configurazione delle connessioni al sito VPN IPsec per il gateway edge NSX Data Center for vSphere
Utilizzare la schermata Siti VPN IPsec nel portale tenant di vCloud Director per configurare le impostazioni necessarie per creare una connessione VPN IPsec tra il virtual data center dell'organizzazione e un altro sito utilizzando le funzionalità VPN IPsec del gateway edge.
3 Abilitazione del servizio VPN IPsec in un gateway edge NSX Data Center for vSphere Quando è configurata almeno una connessione VPN IPsec, è possibile abilitare il servizio VPN IPsec nel gateway edge.
4 Come specificare le impostazioni VPN IPsec globali
Utilizzare la schermata Configurazione globale per configurare le impostazioni di
autenticazione di VPN IPsec a livello di un gateway edge. In questa schermata, è possibile impostare una chiave precondivisa globale e abilitare l'autenticazione del certificato.
Passaggio alla schermata VPN IPsec
Nella schermata VPN IPsec, è possibile iniziare a configurare il servizio VPN IPsec per un gateway edge NSX Data Center for vSphere.
Procedura
1 Aprire i servizi gateway edge.
a Dal menu principale ( ) selezionare Risorse cloud.
b Nel riquadro a sinistra fare clic su Gateway edge.
c Fare clic sul pulsante di opzione accanto al nome del gateway edge di destinazione e fare clic su Servizi.
2 Passare a VPN > VPN IPsec.
Operazioni successive
Utilizzare la schermata Siti VPN IPsec per configurare una connessione VPN IPsec. Per poter abilitare il servizio VPN IPsec nel gateway edge, è necessario configurare almeno una
connessione. Vedere Configurazione delle connessioni al sito VPN IPsec per il gateway edge NSX Data Center for vSphere.
Configurazione delle connessioni al sito VPN IPsec per il gateway edge NSX Data Center for vSphere
Utilizzare la schermata Siti VPN IPsec nel portale tenant di vCloud Director per configurare le impostazioni necessarie per creare una connessione VPN IPsec tra il virtual data center dell'organizzazione e un altro sito utilizzando le funzionalità VPN IPsec del gateway edge.
Quando si configura una connessione VPN IPsec tra siti, la connessione viene configurata dal punto di vista della posizione corrente. La configurazione della connessione richiede la
comprensione dei concetti nel contesto dell'ambiente vCloud Director in modo da configurare la connessione VPN in modo corretto.
n Le subnet peer e locale specificano le reti a cui la VPN si connette. Quando si specificano queste subnet nelle configurazioni per i siti VPN IPsec, immettere un intervallo di rete e non un indirizzo IP specifico. Utilizzare il formato CIDR, ad esempio 192.168.99.0/24.
n L'ID peer è un identificatore che identifica in modo univoco il dispositivo remoto che termina la connessione VPN. In genere si tratta dell'indirizzo IP pubblico del dispositivo remoto. Per i peer che utilizzano l'autenticazione del certificato, questo ID deve essere il nome distinto impostato nel certificato del peer. Per i peer PSK, l'ID può essere qualsiasi stringa. Una procedura consigliata per NSX consiste nell'utilizzare come ID peer l'indirizzo IP pubblico del dispositivo remoto o il nome di dominio completo. Se l'indirizzo IP del peer proviene da un'altra rete di virtual data center dell'organizzazione, immettere l'indirizzo IP nativo del peer.
Se NAT è configurato per il peer, immettere l'indirizzo IP privato del peer.
n L'endpoint peer specifica l'indirizzo IP pubblico del dispositivo remoto a cui ci si sta
connettendo. L'endpoint peer potrebbe avere un indirizzo diverso dall'ID peer se il gateway del peer non è accessibile direttamente da Internet ma si connette tramite un altro
dispositivo. Se NAT è configurato per il peer, immettere l'indirizzo IP pubblico che i dispositivi utilizzano per NAT.
n L'ID locale specifica l'indirizzo IP pubblico del gateway edge del virtual data center
dell'organizzazione. È possibile immettere un indirizzo IP o un nome host insieme al firewall del gateway edge.
n L'endpoint locale specifica la rete nel virtual data center dell'organizzazione in cui il gateway edge trasmette. La rete esterna del gateway edge è in genere l'endpoint locale.
Prerequisiti
n Passaggio alla schermata VPN IPsec.
n Configurazione di VPN IPsec.
n Se si desidera utilizzare un certificato globale come metodo di autenticazione, verificare che l'autenticazione del certificato sia abilitata nella schermata Configurazione globale. Vedere Come specificare le impostazioni VPN IPsec globali.
Procedura
1 Nella scheda VPN IPsec, fare clic su Siti VPN IPsec.
2 Fare clic sul pulsante Aggiungi ( ).
3 Configurare le impostazioni di connessione di VPN IPsec.
Opzione Azione
Abilitato Abilitare la connessione tra i due endpoint VPN.
Abilita PFS (Perfect Forward Secrecy)
Abilitare questa opzione per fare in modo che il sistema generi chiavi pubbliche univoche per tutte le sessioni VPN IPsec avviate dagli utenti.
L'abilitazione di PFS assicura che il sistema non crei un collegamento tra la chiave privata del gateway edge e la chiave di ciascuna sessione.
La compromissione della chiave di una sessione influirà solo sui dati scambiati in tale sessione protetta da quella chiave specifica. La
compromissione della chiave privata del server non può essere utilizzata per decrittografare le sessioni archiviate o le sessioni future.
Quando PFS è abilitato, nelle connessioni VPN IPsec a questo gateway edge si verifica un leggero overhead di elaborazione.
Importante Le chiavi di sessione univoche non devono essere utilizzate per ricavare altre chiavi aggiuntive. Inoltre, affinché il tunnel VPN IPsec funzioni è necessario che entrambi i lati supportino PFS.
Nome (Facoltativo) Immettere un nome per la connessione.
ID locale Immettere l'indirizzo IP esterno dell'istanza del gateway edge, che è l'indirizzo IP pubblico del gateway edge.
L'indirizzo IP è quello utilizzato per l'ID peer nella configurazione VPN IPsec nel sito remoto.
Endpoint locale Immettere la rete corrispondente all'endpoint locale per questa connessione.
L'endpoint locale specifica la rete nel virtual data center dell'organizzazione in cui il gateway edge trasmette. La rete esterna è in genere l'endpoint locale.
Se si aggiunge un tunnel da IP a IP mediante una chiave precondivisa, l'ID locale e l'IP dell'endpoint locale possono coincidere.
Subnet locali Immettere le reti da condividere tra i siti e utilizzare una virgola come separatore per immettere più subnet.
Immettere un intervallo di rete (non un indirizzo IP specifico) inserendo l'indirizzo IP in formato CIDR. Ad esempio, 192.168.99.0/24.
Opzione Azione
ID peer Immettere un ID peer per identificare in modo univoco il sito peer.
L'ID peer è un identificatore che identifica in modo univoco il dispositivo remoto che termina la connessione VPN. In genere si tratta dell'indirizzo IP pubblico del dispositivo remoto.
Per i peer che utilizzano l'autenticazione del certificato, l'ID deve essere il nome distinto nel certificato del peer. Per i peer PSK, l'ID può essere qualsiasi stringa. Una procedura consigliata di NSX consiste nell'utilizzare come ID peer l'indirizzo IP pubblico o il nome di dominio completo del dispositivo remoto.
Se l'indirizzo IP del peer proviene da un'altra rete di virtual data center dell'organizzazione, immettere l'indirizzo IP nativo del peer. Se NAT è configurato per il peer, immettere l'indirizzo IP privato del peer.
Endpoint peer Immettere l'indirizzo IP o il nome di dominio completo del sito peer, che è l'indirizzo pubblico del dispositivo remoto a cui ci si sta connettendo.
Nota Quando NAT è configurato per il peer, immettere l'indirizzo IP pubblico che il dispositivo utilizza per il NAT.
Subnet peer Immettere la rete remota a cui la VPN si connette e utilizzare una virgola come separatore per immettere più subnet.
Immettere un intervallo di rete (non un indirizzo IP specifico) inserendo l'indirizzo IP in formato CIDR. Ad esempio, 192.168.99.0/24.
Algoritmo di crittografia Selezionare il tipo di algoritmo di crittografia dal menu a discesa.
Nota Il tipo di crittografia selezionato deve corrispondere al tipo di crittografia configurato nel dispositivo VPN del sito remoto.
Autenticazione Selezionare un'autenticazione: Le opzioni sono:
n PSK
PSK (Pre Shared Key) indica che per l'autenticazione è necessario utilizzare la chiave segreta condivisa tra il gateway edge e il sito peer.
n Certificato
L'autenticazione Certificato indica che per l'autenticazione è necessario utilizzare il certificato definito a livello globale. Questa opzione non è disponibile a meno che non sia stato configurato il certificato globale nella schermata Configurazione globale della scheda VPN IPsec.
Modifica chiave condivisa (Facoltativo) Quando si aggiornano le impostazioni di una connessione esistente, è possibile abilitare questa opzione per rendere disponibile il campo Chiave precondivisa in modo da poter aggiornare la chiave condivisa.
Chiave precondivisa Se si seleziona PSK come tipo di autenticazione, digitare una stringa alfanumerica segreta che può essere una stringa con una lunghezza massima di 128 byte.
Nota La chiave condivisa deve corrispondere alla chiave configurata nel dispositivo VPN del sito remoto. Una procedura consigliata consiste nel configurare una chiave condivisa quando siti anonimi si connetteranno al servizio VPN.
Mostra chiave condivisa (Facoltativo) Abilitare questa opzione per rendere la chiave condivisa visibile nella schermata.
Opzione Azione
Gruppo Diffie-Hellman Selezionare lo schema di crittografia che consente al sito peer e a questo gateway edge di stabilire un segreto condiviso in un canale di
comunicazione non protetto.
Nota Il valore di Gruppo Diffie-Hellman deve corrispondere a quello configurato nel dispositivo VPN del sito remoto.
Estensione (Facoltativo) Digitare una delle seguenti opzioni:
n securelocaltrafficbyip=IPAddress per reindirizzare il traffico locale del gateway edge attraverso il tunnel VPN IPsec.
Questo è il valore predefinito.
n passthroughSubnets= PeerSubnetIPAddress per supportare le subnet che si sovrappongono.
4 Fare clic su Mantieni.
5 Fare clic su Salva modifiche.
Il completamento dell'operazione di salvataggio può richiedere un minuto.
Operazioni successive
Configurare la connessione per il sito remoto. È necessario configurare la connessione VPN IPsec in entrambi i lati della connessione, ovvero nel virtual data center dell'organizzazione e nel sito peer.
Abilitare il servizio VPN IPsec in questo gateway edge. Se è configurata almeno una connessione VPN IPsec, è possibile abilitare il servizio. Vedere Abilitazione del servizio VPN IPsec in un
gateway edge NSX Data Center for vSphere.
Abilitazione del servizio VPN IPsec in un gateway edge NSX Data Center for vSphere
Quando è configurata almeno una connessione VPN IPsec, è possibile abilitare il servizio VPN IPsec nel gateway edge.
Prerequisiti
n Passaggio alla schermata VPN IPsec.
n Verificare che per il gateway edge sia configurata almeno una connessione VPN IPsec.
Vedere la procedura descritta in Configurazione delle connessioni al sito VPN IPsec per il gateway edge NSX Data Center for vSphere.
Procedura
1 Nella scheda VPN IPsec, fare clic su Stato di attivazione.
2 Fare clic su Stato servizio VPN IPsec per abilitare il servizio VPN IPsec.
3 Fare clic su Salva modifiche.
Risultati
Il servizio VPN IPsec del gateway edge è attivo.
Come specificare le impostazioni VPN IPsec globali
Utilizzare la schermata Configurazione globale per configurare le impostazioni di autenticazione di VPN IPsec a livello di un gateway edge. In questa schermata, è possibile impostare una chiave precondivisa globale e abilitare l'autenticazione del certificato.
Una chiave precondivisa globale viene utilizzata per i siti il cui endpoint peer è impostato su qualsiasi.
Prerequisiti
n Se si desidera abilitare l'autenticazione del certificato, verificare di disporre di almeno un certificato di servizio e dei certificati corrispondenti firmati dall'autorità di certificazione nella schermata Certificati. I certificati autofirmati non possono essere utilizzati per le reti VPN IPsec. Vedere Aggiunta di un certificato di servizio al gateway edge.
n Passaggio alla schermata VPN IPsec.
Procedura
1 Aprire i servizi gateway edge.
a Dal menu principale ( ) selezionare Risorse cloud.
b Nel riquadro a sinistra fare clic su Gateway edge.
c Fare clic sul pulsante di opzione accanto al nome del gateway edge di destinazione e fare clic su Servizi.
2 Nella scheda VPN IPsec, fare clic su Configurazione globale.
3 (Facoltativo) Impostare una chiave precondivisa globale:
a Abilitare l'opzione Modifica chiave condivisa.
b Inserire una chiave precondivisa.
La chiave precondivisa globale (PSK) è condivisa da tutti i siti il cui endpoint peer è impostato su any. Se è già stata impostata una chiave PSK globale, la modifica della chiave PSK in un valore vuoto e il relativo salvataggio non avranno alcun effetto sull'impostazione esistente.
c (Facoltativo) Facoltativamente, abilitare Mostra chiave condivisa per rendere la chiave precondivisa visibile.
d Fare clic su Salva modifiche.
4 Configurare l'autenticazione del certificato:
a Attivare l'opzione Abilita autenticazione certificato.
b Selezionare i certificati di servizio, i certificati dell'autorità di certificazione e gli elenchi CRL appropriati.
c Fare clic su Salva modifiche.
Operazioni successive
Facoltativamente, è possibile abilitare la registrazione per il servizio VPN IPsec del gateway edge.
Vedere Statistiche e registri per un gateway edge.