Vmware tunnel что это

Обновлено: 05.07.2024

Чтобы настроить возможность туннелирования для каждого приложения на устройствах с Android, необходимо включить компонент «Туннелирование на каждое приложение» в параметрах VMware Tunnel. Благодаря туннелированию для каждого приложения внутренние и управляемые общедоступные приложения могут получать доступ к корпоративным ресурсам по схеме «приложение за приложением».

Об этой задаче

VPN-подключение позволяет автоматически устанавливать подключение после запуска указанного приложения.

Процедура

Оставьте значение Базовая для типа модели развертывания.

Корневой сертификат туннельного устройства генерируется автоматически.

Сертификаты SAN не поддерживаются. Убедитесь, что сертификат выдается для узла сервера с соответствующим именем или что это действительный групповой сертификат для соответствующего домена.

Выберите значение «По умолчанию», чтобы использовать сертификаты, выданные AirWatch.

Центр сертификации организации

Отобразится раскрывающееся меню, содержащее центр сертификации и шаблон сертификата, настроенные в AirWatch. Можно также передать корневой сертификат своего ЦС.

Если выбран центр сертификации организации, убедитесь, что шаблон ЦС содержит имя субъекта CN=<udid>:<string> . Сертификаты ЦС можно скачать на странице конфигурации VMware Tunnel.

Если проверка соответствия устройства настроена для Android, убедитесь, что шаблон ЦС содержит имя субъекта CN= или установлен тип альтернативного имени, для которого должен быть задан идентификатор UDID. Выберите DNS-имя в качестве типа альтернативного имени. Он должен иметь значение UDID=.

Если создать профиль на этом этапе, все равно нужно будет опубликовать профиль. См. раздел «Настройка профиля Android в AirWatch».

Эти журналы необходимо включить до установки сервера VMware Tunnel.

Откроется страница конфигурации системных параметров.

Для развертывания сервера Tunnel можно использовать VMware Unified Access Gateway.

Дальнейшие действия

Установите сервер VMware Tunnel. Инструкции см. в руководстве по VMware Tunnel на веб-сайте AirWatch Resources.

Сводка: Приложение VMware Tunnel с AirWatch: часто задаваемые вопросы. Свернуть Приложение VMware Tunnel с AirWatch: часто задаваемые вопросы.

Возможно, эта статья была переведена автоматически. Если вы хотите поделиться своим мнением о ее качестве, используйте форму обратной связи в нижней части страницы.

Симптомы

В этой статье приведены подробные сведения о часто задаваемых вопросах по использованию приложения VMware Tunnel с Workspace ONE.

Затронутые продукты:

Причина

Разрешение

Что такое приложение VMware Tunnel?

VMware Tunnel — это мобильное приложение, которое конечный пользователь может скачать через Apple App Store или Android Play Store. Оно обеспечивает безопасный способ предоставления доступа внутренним и общедоступным приложениям в организациях к корпоративным ресурсам.

Что такое Per-App VPN?

Per-App VPN обладает функциональностью, которая позволяет предоставлять доступ к внутренним ресурсам отдельно для каждого приложения. Это означает, что некоторые приложения могут получать доступ к внутренним ресурсам, в то время как другим не разрешается взаимодействовать с внутренними компьютерами.

Работает ли оно со всеми установленными приложениями?

Нет, оно работает только со специально разработанными и настроенными приложениями.

Какие устройства поддерживаются?

iOS 9.3 и более поздние версии
Android 5 и более поздние версии

Какая версия консоли администратора Workspace ONE поддерживает новое приложение VMware Tunnel?

Консоль администратора Workspace ONE версии 9.0 и выше. Версию можно найти в левом нижнем углу консоли администратора Workspace ONE в разделе «О программе». Для получения наилучших результатов используйте последнюю версию.

Каким образом обеспечивается безопасность передаваемых данных?

Связь защищена с помощью протокола TLS (безопасность транспортного уровня) и протокола SSL (протокол защиты информации).

Заменяет ли это традиционные VPN?

Туннельный шлюз обеспечивает более детальный контроль, чем традиционные VPN, позволяя ИТ-администратору определять, какие приложения могут получать доступ к внутренним ресурсам.

Можно ли оно заменить App Wrapping для внутренних приложений?

Приложение Tunnel действует в качестве альтернативного варианта, только если единственным требованием является туннелирование во внутреннюю сеть. В противном случае для использования таких функций, как интегрированная аутентификация, настройка геозон, управление доступом в автономном режиме и т. д., необходимо использовать App Wrapping.

Как данное приложение и его функционал влияют на конечного пользователя?

Для конечного пользователя это незаметно, так как скорее всего приложение Tunnel запускает администратор Workspace ONE из консоли администратора Workspace ONE. Любое приложение, отмеченное для использования Per-App VPN, автоматически подключается через Tunnel, и пользователю не потребуется вводить какую-либо информацию.

Что еще необходимо настроить в консоли администратора Workspace ONE для работы этой функции?

Настройте параметры приложения в консоли администратора Workspace ONE на странице «Workspace ONE Tunnel Settings».
Создайте профиль Workspace ONE Tunnel VPN для устройств iOS и Android.
Добавьте любым необходимым приложениям функционал Per-App VPN через консоль администратора Workspace ONE.

Флажок Use VPN на вкладке Deployment на странице Add Application указывает приложению использовать Per-App VPN.

Какие порты должны быть открыты для Per-App VPN?

Может ли Safari или Chrome выполнить туннелирование через Workspace ONE Tunnel для перехода на внутренние сайты?

В профиль можно добавить домены Safari и Chrome для доступа к внутренним сайтам напрямую через это приложение.

Чтобы связаться со службой поддержки, см. Номера телефонов международной службы поддержки Dell Data Security.
Перейдите в TechDirect, чтобы создать запрос на техническую поддержку в режиме онлайн.
Для получения дополнительной информации и ресурсов, зарегистрируйтесь на форуме сообщества Dell Security.

Сегодня мы посмотрим на возможности настройки VPN, которые предлагает нам NSX Edge.

В целом мы можем разделить VPN-технологии на два ключевых вида:

Site-to-site VPN. Чаще всего используется IPSec для создания защищенного туннеля, например, между сетью главного офиса и сетью на удаленной площадке или в облаке.
Remote Access VPN. Используется для подключения отдельных пользователей к частным сетям организаций с помощью ПО VPN-клиента.

IPsec

В интерфейсе vCloud Director переходим в раздел Administration и выделяем vDC. На вкладке Edge Gateways выбираем нужный нам Edge, кликаем правой кнопкой и выбираем Edge Gateway Services.
В интерфейсе NSX Edge переходим во вкладку VPN-IPsec VPN, далее – в раздел IPsec VPN Sites и жмем +, чтобы добавить новую площадку.

Enabled – активирует удаленную площадку.
PFS – гарантирует, что каждый новый криптографический ключ не связан с любым предыдущим ключом.
Local ID и Local Endpoint – внешний адрес NSX Edge.
Local Subnets – локальные сети, которые будут использовать IPsec VPN.
Peer ID и Peer Endpoint – адрес удаленной площадки.
Peer Subnets – сети, которые будут использовать IPsec VPN на удаленной стороне.
Encryption Algorithm – алгоритм шифрования туннеля.

Authentication – как мы будем аутентифицировать пир. Можно использовать Pre-Shared Key либо сертификат.
Pre-Shared Key – указываем ключ, который будет использоваться для аутентификации и должен совпадать с обеих сторон.
Diffie-Hellman Group – алгоритм обмена ключами.

Конфигурационные файлы и дополнительные команды для диагностики со стороны удаленного Linux-сервера:

В этом примере мы использовали PSK для аутентификации пира, но возможен также вариант с аутентификацией по сертификатам. Для этого нужно перейти во вкладку Global Configuration, включить аутентификацию по сертификатам и выбрать сам сертификат.

Кроме того, в настройках сайта необходимо будет поменять метод аутентификации.

Отмечу, что количество IPsec-туннелей зависит от размера развернутого Edge Gateway (об этом читайте в нашей первой статье).

SSL VPN

SSL VPN-Plus – один из вариантов Remote Access VPN. Он позволяет отдельным удаленным пользователям безопасно подключаться к частным сетям, находящимся за шлюзом NSX Edge. Зашифрованный туннель в случае SSL VPN-plus устанавливается между клиентом (Windows, Linux, Mac) и NSX Edge.

Здесь же можно изменить сертификат, который будет использовать сервер.

Переходим во вкладку IP Pools и жмем +.

Network — локальная сеть, к которой будет доступ у удаленных пользователей.
Send traffic, у него два варианта:
— over tunnel – отправлять трафик к сети через туннель,
— bypass tunnel – отправлять трафик к сети напрямую в обход туннеля.
Enable TCP Optimization – отмечаем, если выбрали вариант over tunnel. Когда оптимизация включена, можно указать номера портов, для которых необходимо оптимизировать трафик. Трафик для оставшихся портов этой конкретной сети не будет оптимизирован. Если номера портов не указаны, трафик для всех портов оптимизируется. Подробнее об этой функции читайте здесь.

Ниже в этом окне можно указать параметры клиента для Windows. Выбираем:

start client on logon – VPN-клиент будет добавлен в автозагрузку на удаленной машине;
create desktop icon – создаст иконку VPN-клиента на рабочем столе;
server security certificate validation – будет валидировать сертификат сервера при подключении.
Настройка сервера завершена.

В окне авторизации необходимо ввести учетные данные пользователя, которого мы создали ранее.

L2 VPN

L2VPN понадобится в том случае, когда нужно объединить несколько географически
распределенных сетей в один broadcast-домен.

Это может быть полезно, например, при миграции виртуальной машины: при переезде ВМ на другую географическую площадку машина сохранит настройки IP-адресации и не потеряет связность с другими машинами, находящимися в одном L2-домене с ней.

В нашей тестовой среде соединим друг с другом две площадки, назовем их, соответственно, A и B. У нас есть два NSX и две одинаково созданные маршрутизируемые сети, привязанные к разным Edge. Машина A имеет адрес 10.10.10.250/24, машина B – 10.10.10.2/24.

Возвращаемся в интерфейс NSx Edge/ Переходим на вкладку VPN —> L2VPN. Включаем L2VPN, выбираем режим работы Server, в настройках Server Global указываем внешний IP-адрес NSX, на котором будет слушаться порт для туннеля. По умолчанию, сокет откроется на 443 порту, но его можно поменять. Не забываем выбрать настройки шифрования для будущего туннеля.

В Egress Optimization Gateway Address задаем адрес шлюза. Это нужно для того, чтобы не происходил конфликт IP-адресов, ведь шлюз у наших сетей имеет один и тот же адрес. После чего нажимаем на кнопку SELECT SUB-INTERFACES.

Заходим на NSX стороны B, переходим в VPN —> L2VPN, включаем L2VPN, устанавливаем L2VPN mode в клиентский режим работы. На вкладке Client Global задаем адрес и порт NSX A, который мы указывали ранее как Listening IP и Port на серверной стороне. Также необходимо выставить одинаковые настройки шифрования, чтобы они согласовались при поднятии туннеля.

Проматываем ниже, выбираем сабинтерфейс, через который будет строиться туннель для L2VPN.
В Egress Optimization Gateway Address задаем адрес шлюза. Задаем user-id и пароль. Выбираем сабинтерфейс и не забываем сохранить настройки.

На этом про VPN на NSX Edge у меня все. Спрашивайте, если что-то осталось непонятным. Также это последняя часть из серии статей по работе с NSX Edge. Надеемся, они были полезны :)

Заключительная большая часть про настройку VPN IPsec, L2 VPN, SSL VPN-Plus.

Сегодня мы посмотрим на возможности настройки VPN, которые предлагает нам NSX Edge.

В целом мы можем разделить VPN-технологии на два ключевых вида:

Site-to-site VPN. Чаще всего используется IPSec для создания защищенного туннеля, например, между сетью главного офиса и сетью на удаленной площадке или в облаке.
Remote Access VPN. Используется для подключения отдельных пользователей к частным сетям организаций с помощью ПО VPN-клиента.

NSX Edge позволяет нам использовать оба варианта.

Настройку будем производить с помощью тестового стенда с двумя NSX Edge, Linux-сервера с установленным демоном racoon и ноутбука с Windows для тестирования Remote Access VPN.

IPsec

В интерфейсе vCloud Director переходим в раздел Administration и выделяем vDC. На вкладке Edge Gateways выбираем нужный нам Edge, кликаем правой кнопкой и выбираем Edge Gateway Services.

Enabled – активирует удаленную площадку.
PFS – гарантирует, что каждый новый криптографический ключ не связан с любым предыдущим ключом.
Local ID и Local Endpoint – внешний адрес NSX Edge.
Local Subnets – локальные сети, которые будут использовать IPsec VPN.
Peer ID и Peer Endpoint – адрес удаленной площадки.
Peer Subnets – сети, которые будут использовать IPsec VPN на удаленной стороне.
Encryption Algorithm – алгоритм шифрования туннеля.

Authentication – как мы будем аутентифицировать пир. Можно использовать Pre-Shared Key либо сертификат.
Pre-Shared Key – указываем ключ, который будет использоваться для аутентификации и должен совпадать с обеих сторон.
Diffie-Hellman Group – алгоритм обмена ключами.

После заполнения необходимых полей нажимаем Keep.

--- 192.168.0.10 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 59.941/59.941/59.941/0.000 ms

log debug;
path pre_shared_key "/etc/racoon/psk.txt";
path certificate "/etc/racoon/certs";

listen isakmp 80.211.43.73 [500];
strict_address;
>

remote 185.148.83.16 exchange_mode main,aggressive;
proposal encryption_algorithm aes256;
hash_algorithm sha1;
authentication_method pre_shared_key;
dh_group modp1536;
>
generate_policy on;
>

sainfo address 10.255.255.0/24 any address 192.168.0.0/24 any encryption_algorithm aes256;
authentication_algorithm hmac_sha1;
compression_algorithm deflate;
>

spdadd 192.168.0.0/24 10.255.255.0/24 any -P in ipsec
esp/tunnel/185.148.83.16-80.211.43.73/require;

spdadd 10.255.255.0/24 192.168.0.0/24 any -P out ipsec
esp/tunnel/80.211.43.73-185.148.83.16/require;

Кроме того, в настройках сайта необходимо будет поменять метод аутентификации.

SSL VPN

Здесь же можно изменить сертификат, который будет использовать сервер.

Переходим во вкладку IP Pools и жмем +.

Network — локальная сеть, к которой будет доступ у удаленных пользователей.
Send traffic, у него два варианта:

— over tunnel – отправлять трафик к сети через туннель,

— bypass tunnel – отправлять трафик к сети напрямую в обход туннеля.

Ниже в этом окне можно указать параметры клиента для Windows. Выбираем:

start client on logon – VPN-клиент будет добавлен в автозагрузку на удаленной машине;
create desktop icon – создаст иконку VPN-клиента на рабочем столе;
server security certificate validation – будет валидировать сертификат сервера при подключении.

Настройка сервера завершена.

В окне авторизации необходимо ввести учетные данные пользователя, которого мы создали ранее.

L2 VPN

L2VPN понадобится в том случае, когда нужно объединить несколько географически распределенных сетей в один broadcast-домен.

Проматываем ниже, выбираем сабинтерфейс, через который будет строиться туннель для L2VPN.

В Egress Optimization Gateway Address задаем адрес шлюза. Задаем user-id и пароль. Выбираем сабинтерфейс и не забываем сохранить настройки.

1. Приложение Tunnel предоставляет приложениям доступ по требованию к необходимым ресурсам, соблюдая личное пространство пользователя.

2. Приложение Tunnel активируется автоматически, когда приложениям требуется подключение, и отключается вскоре после окончания работы.

3. VMware Workspace ONE Tunnel обеспечивает надежное подключение собственных и общедоступных приложений App Store к корпоративным ресурсам в защищенной сети.

4. Приложение Tunnel подключает только рабочие приложения и сайты, не нарушая личного пространства пользователя.

VMware Tunnel для ПК: Как скачать и установить на ПК Windows

Чтобы получить VMware Tunnel работать на вашем компьютере легко. Вам обязательно нужно обратить внимание на шаги, перечисленные ниже. Мы поможем вам скачать и установить VMware Tunnel на вашем компьютере в 4 простых шага ниже:

1: Загрузить эмулятор приложения Andriod

Эмулятор имитирует / эмулирует устройство Android на вашем компьютере, облегчая установку и запуск приложений Android, не выходя из вашего ПК. Для начала вы можете выбрать одно из следующих приложений:
i. Nox App .
ii. Bluestacks .
Я рекомендую Bluestacks, так как он очень популярен во многих онлайн-уроках

2: Теперь установите программный эмулятор на ПК с Windows

Найдя его, нажмите его. Начнется процесс установки.
Примите лицензионное соглашение EULA и следуйте инструкциям на экране.

3: С помощью VMware Tunnel на компьютере

Другие источники загрузки

VMware Tunnel Описание

VMware Workspace ONE Tunnel обеспечивает надежное подключение собственных и общедоступных приложений App Store к корпоративным ресурсам в защищенной сети. Приложение Tunnel предоставляет приложениям доступ по требованию к необходимым ресурсам, соблюдая личное пространство пользователя. *Доступ по требованию* Приложение Tunnel активируется автоматически, когда приложениям требуется подключение, и отключается вскоре после окончания работы. *Соблюдение личного пространства* Приложение Tunnel подключает только рабочие приложения и сайты, не нарушая личного пространства пользователя.

Читайте также: