Page tree

Instrukcja przedstawia podstawową konfigurację klienta VPN IPsec w ramach Edge Gateway dostępnego dla każdego środowiska.


Zrzuty ekranowe przedstawiają przykładowe IP, proszę uwzględnić publiczny adres IP dla Edge Gateway swojego środowiska.

Spis Treści


Instrukcja opisowa


Z menu VDC  wybierz Edges, a następnie po wybraniu Edge Gateway dostępne będzie menu SERVICES


Wybierz z menu Edge serwis VPN

Kolejne kroki poradnika będą dotyczyły podstawowych ustawień w poszczególnych zakładkach menu serwisu VPN

Zrzuty ekranowe



Activation Status

Grupa statusu aktywacji usługi VPN IPsec.

Ustawienia dla tej grupy konfiguracji to:

  • IPsec VPN Service Status - włączanie VPN



Global Configuration

Grupa globalnej konfiguracji.

Ustawienia dla tej grupy konfiguracji to:

  • Change Shared Key - umożliwia wpisanie/zmianę klucza
  • Pre-Shared Key - pole do wpisania klucza
  • Display Shared Key - pokazuje klucz
  • Enable Certificate Authentication - włącza autoryzacje za pomocą certyfikatu.



Logging Settings

Grupa ustawień raportowania.

Ustawienia dla tej grupy konfiguracji to:

  • Enable Logging - włącza zbieranie logów
  • Log Level - ustawianie poziomu zbierania logów




IPsec VPN Sites

Grupa dodawanie, edycji i usuwania Site.

  • dodawanie
  • edycja
  • usuwanie





Dodajemy nowy Site

Klikamy w ikonkę


Opis opcji:

  • Enabled - Włącz to połączenie między dwoma punktami końcowymi VPN.
  • Unikalne klucze sesji nie mogą być używane do uzyskiwania dodatkowych kluczy. Ponadto obie strony tunelu VPN IPsec muszą obsługiwać PFS, aby działał.

  • Local Id - Wprowadź zewnętrzny adres IP wystąpienia bramy brzegowej, który jest publicznym adresem IP bramy brzegowej. Adres IP jest adresem używanym jako identyfikator peera w konfiguracji IPsec VPN w zdalnej lokalizacji.
  • Local Endpoint - Wprowadź sieć, która jest lokalnym punktem końcowym dla tego połączenia. Lokalny punkt końcowy określa sieć w wirtualnym centrum danych organizacji, w której odbywa się transmisja przez bramę brzegową. Zazwyczaj sieć zewnętrzna jest lokalnym punktem końcowym. Jeśli dodasz tunel IP-to-IP przy użyciu wstępnie udostępnionego klucza, lokalny identyfikator i adres IP lokalnego punktu końcowego mogą być takie same.
  • Local Subnets - Wprowadź sieci, które mają być udostępniane między lokacjami, i użyj przecinka jako separatora, aby wprowadzić wiele podsieci.
  • Peer Id - Wprowadź identyfikator równorzędny, aby jednoznacznie zidentyfikować witrynę równorzędną.
    Identyfikator równorzędny to identyfikator, który jednoznacznie identyfikuje zdalne urządzenie kończące połączenie VPN, zwykle jest to jego publiczny adres IP. W przypadku urządzeń równorzędnych korzystających z uwierzytelniania za pomocą certyfikatu identyfikator musi być nazwą wyróżniającą w certyfikacie partnera. W przypadku peerów PSK ten identyfikator może być dowolnym ciągiem. Najlepszą praktyką NSX jest użycie publicznego adresu IP zdalnego urządzenia lub FQDN jako identyfikatora równorzędnego.
    Jeśli adres IP peera pochodzi z sieci wirtualnego centrum danych innej organizacji, należy wprowadzić natywny adres IP partnera. Jeśli dla peera skonfigurowano NAT, należy wprowadzić prywatny adres IP peera.
  • Peer Endpoint - Wprowadź adres IP lub nazwę FQDN witryny równorzędnej, czyli publiczny adres zdalnego urządzenia, z którym się łączysz.

    Gdy NAT jest skonfigurowany dla peera, wprowadź publiczny adres IP, którego urządzenie używa do NAT.

  • Peer Subnets - Wprowadź sieć zdalną, z którą łączy się VPN, i użyj przecinka jako separatora, aby wprowadzić wiele podsieci.
  • Encryption Algorithm - Z menu rozwijanego wybierz typ algorytmu szyfrowania.

    Wybrany typ szyfrowania musi odpowiadać typowi szyfrowania skonfigurowanemu na urządzeniu sieci VPN w lokalizacji zdalnej.

  • Authentication - Wybierz uwierzytelnianie. Dostępne opcje:
    • PSK - Pre Shared Key (PSK) określa, że do uwierzytelniania ma być używany klucz tajny współdzielony między bramą brzegową a witryną równorzędną.
    • Certyfikat - Uwierzytelnianie certyfikatu określa, że do uwierzytelniania ma być używany certyfikat zdefiniowany na poziomie globalnym.Ta opcja nie jest dostępna, chyba że skonfigurowano certyfikat globalny na ekranie Konfiguracja globalna na karcie IPsec VPN.
  • Change Shared Key - (Opcjonalnie) Podczas aktualizowania ustawień istniejącego połączenia możesz włączyć tę opcję, aby udostępnić pole Pre-Shared Key i zaktualizować klucz współdzielony.
  • Pre-Shared Key - Jeśli jako typ uwierzytelniania wybrano PSK, wpisz alfanumeryczny tajny ciąg, który może być łańcuchem o maksymalnej długości 128 bajtów.

    Klucz udostępniony musi odpowiadać kluczowi skonfigurowanemu na urządzeniu sieci VPN w lokacji zdalnej. Najlepszą praktyką jest skonfigurowanie klucza współdzielonego, gdy anonimowe witryny będą łączyć się z usługą VPN.


  • Extension - (opcjonalnie) wpisz jedno z poniższych:
    • securelocaltrafficbyip = IPAddress, aby przekierować lokalny ruch Edge przez tunel IPSec VPN. Adres IP jest wartością domyślną.
    • passthroughSubnets = PeerSubnetIPAddress do obsługi nakładających się podsieci.
  • Display Shared Key - (Opcjonalnie) Włącz tę opcję, aby udostępniony klucz był widoczny na ekranie.
  • Diffie-Hellman Group - Wybierz schemat kryptografii, który pozwala witrynie równorzędnej i tej bramie brzegowej na ustanowienie wspólnego hasła za pośrednictwem niezabezpieczonego kanału komunikacyjnego.

    Grupa Diffie-Hellman musi być zgodna z ustawieniami skonfigurowanymi na urządzeniu sieci VPN w lokalizacji zdalnej.

  • Digest Algorithm - wybierz jeden z następujących algorytmów bezpiecznego haszowania:
    • SHA1
    • SHA-256
  • IKE Option - wybierz jeden z następujących protokołów Internet Key Exchange (IKE), aby skonfigurować powiązanie zabezpieczeń (SA) w zestawie protokołów IPSec:

    • IKEv1 - po wybraniu tej opcji IPSec VPN inicjuje i odpowiada tylko na protokół IKEv1

    • IKEv2 - po wybraniu tej opcji IPSec VPN inicjuje i odpowiada tylko na protokół IKEv2

    • IKE-Flex - po wybraniu tej opcji i jeśli ustanowienie tunelu nie powiedzie się z protokołem IKEv2, lokacja źródłowa nie cofnie się i nie zainicjuje połączenia z protokołem IKEv1. Zamiast tego, jeśli lokacja zdalna zainicjuje połączenie za pomocą protokołu IKEv1, wówczas połączenie zostanie zaakceptowane

      Jeśli konfigurujesz wiele lokacji z tymi samymi lokalnymi i zdalnymi punktami końcowymi, upewnij się, że wybrałeś tę samą wersję IKE i PSK we wszystkich tych lokacjach IPSec VPN.

  • IKE Respounder Only - przesuń suwak w prawo, aby obsługiwać IPSec VPN w trybie tylko odpowiadającym. W tym trybie IPSec VPN nigdy nie inicjuje połączenia.
  • Session Type - wybierz jedną z możliwych opcji:
    • policy based - wybierz, aby używać opartej na zasadach sieci VPN IPSec
    • route-based - wybierz, aby używać opartej na trasach sieci IPSec VPN. Jeśli wybierzesz ten typ sesji, wypełnij następujące dodatkowe pola, które się pojawią:
      • Tunnel Interface IP CIDR
      • Tunnel Interface MTU - wartość domyślna to 1476. Prawidłowe wartości mieszczą się w zakresie od 92 do 8976



Ustawienia Firewall Edge Gateway

Po uruchomieniu serwera w konfiguracji Edge Gateway w zakładce głównej reguł Firewall należy dodać regułę umożliwiającą ruchu pomiędzy sieciami 10.88.88.0/24 i 192.168.1.0/24 z przykładu.







Search


  • No labels