Cvičení – vytvoření brány Azure VPN Gateway

  • 40 min

Chcete zajistit možnost připojení klientů nebo webů v rámci vašeho prostředí k Azure pomocí šifrovaných tunelů přes veřejnou síť internetu. V této lekci vytvoříte bránu VPN typu Point-to-Site a pak se k této bráně připojíte z klientského počítače. Z bezpečnostních důvodů použijete nativní připojení s ověřováním certifikátů Azure.

Provedete následující proces:

  1. Vytvoříte bránu VPN typu RouteBased.

  2. Nahrajete veřejný klíč kořenového certifikátu pro účely ověřování.

  3. Vygenerujete z kořenového certifikátu klientský certifikát a pro účely ověřování pak tento klientský certifikát nainstalujete na všechny klientské počítače, které se k virtuální síti připojí.

  4. Vytvoříte konfigurační soubory klienta VPN, které obsahují informace potřebné pro připojení klienta k virtuální síti.

Nastavení

K dokončení tohoto modulu použijete Azure PowerShell na místním počítači s Windows 10.

  1. Na místním počítači s Windows 10, na kterém jste nainstalovali modul Azure PowerShellu, otevřete novou relaci PowerShellu.

  2. Přihlaste se k Azure spuštěním rutiny Connect-AzAccountPowerShellu .

  3. Nastavte proměnné, které použijete k vytvoření virtuální sítě. Zkopírujte a vložte do PowerShellu následující proměnné.

$VNetName  = "VNetData"
$FESubName = "FrontEnd"
$BESubName = "Backend"
$GWSubName = "GatewaySubnet"
$VNetPrefix1 = "192.168.0.0/16"
$VNetPrefix2 = "10.254.0.0/16"
$FESubPrefix = "192.168.1.0/24"
$BESubPrefix = "10.254.1.0/24"
$GWSubPrefix = "192.168.200.0/26"
$VPNClientAddressPool = "172.16.201.0/24"
$ResourceGroup = "VpnGatewayDemo"
$Location = "East US"
$GWName = "VNetDataGW"
$GWIPName = "VNetDataGWPIP"
$GWIPconfName = "gwipconf"

Konfigurace virtuální sítě

  1. Spuštěním následujícího příkazu vytvořte skupinu prostředků.

    New-AzResourceGroup -Name $ResourceGroup -Location $Location

  2. Spuštěním následujícího příkazu vytvořte pro virtuální síť konfigurace podsítí. Tyto konfigurace mají název FrontEnd, BackEnd a GatewaySubnet. Všechny tyto podsítě existují v rámci předpony virtuální sítě.

    $fesub = New-AzVirtualNetworkSubnetConfig -Name $FESubName -AddressPrefix $FESubPrefix
$besub = New-AzVirtualNetworkSubnetConfig -Name $BESubName -AddressPrefix $BESubPrefix
$gwsub = New-AzVirtualNetworkSubnetConfig -Name $GWSubName -AddressPrefix $GWSubPrefix

  3. Dále spuštěním následujícího příkazu vytvořte virtuální síť. Použijte k tomu hodnoty podsítí a statický server DNS.

    New-AzVirtualNetwork -Name $VNetName -ResourceGroupName $ResourceGroup -Location $Location -AddressPrefix $VNetPrefix1,$VNetPrefix2 -Subnet $fesub, $besub, $gwsub -DnsServer 10.2.1.3

  4. Teď zadejte proměnné pro tuto síť, kterou jste vytvořili.

    $vnet = Get-AzVirtualNetwork -Name $VNetName -ResourceGroupName $ResourceGroup
$subnet = Get-AzVirtualNetworkSubnetConfig -Name $GWSubName -VirtualNetwork $vnet

  5. Spuštěním následujícího příkazu požádejte o dynamicky přidělovanou veřejnou IP adresu.

    $pip = New-AzPublicIpAddress -Name $GWIPName -ResourceGroupName $ResourceGroup -Location $Location -AllocationMethod Dynamic
$ipconf = New-AzVirtualNetworkGatewayIpConfig -Name $GWIPconfName -Subnet $subnet -PublicIpAddress $pip

Vytvoření brány sítě VPN

Při vytváření této brány sítě VPN:

  • GatewayType (Typ brány) musí být Vpn.
  • VpnType (Typ sítě VPN) musí být RouteBased.

Dokončení této části cvičení může trvat až 45 minut.

  1. Bránu VPN vytvoříte spuštěním následujícího příkazu a stisknutím klávesy Enter.

    New-AzVirtualNetworkGateway -Name $GWName -ResourceGroupName $ResourceGroup `
-Location $Location -IpConfigurations $ipconf -GatewayType Vpn `
-VpnType RouteBased -EnableBgp $false -GatewaySku VpnGw1 -VpnClientProtocol "IKEv2"

  2. Počkejte na zobrazení výstupu příkazu.

Přidání fondu adres klienta VPN

  1. Spuštěním následujícího příkazu přidejte fond adres klienta VPN.

    $Gateway = Get-AzVirtualNetworkGateway -ResourceGroupName $ResourceGroup -Name $GWName
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $Gateway -VpnClientAddressPool $VPNClientAddressPool

  2. Počkejte na zobrazení výstupu příkazu.

Vygenerování klientského certifikátu

Pro síťovou infrastrukturu vytvořenou v Azure potřebujeme na místním počítači vytvořit certifikát podepsaný klientem. Toto vytvoření je možné provést podobně ve většině operačních systémů, ale budeme se zabývat tím, jak vygenerovat klientský certifikát ve Windows 10 pomocí PowerShellu s modulem Azure PowerShell a nástrojem Správce certifikátů Systému Windows.

  1. Nejprve vytvoříme kořenový certifikát podepsaný jeho držitelem. Spusťte následující příkaz:

    $cert = New-SelfSignedCertificate -Type Custom -KeySpec Signature `
-Subject "CN=P2SRootCert" -KeyExportPolicy Exportable `
-HashAlgorithm sha256 -KeyLength 2048 `
-CertStoreLocation "Cert:\CurrentUser\My" -KeyUsageProperty Sign -KeyUsage CertSign

  2. Dále vygenerujte klientský certifikát podepsaný vaším novým kořenovým certifikátem.

    New-SelfSignedCertificate -Type Custom -DnsName P2SChildCert -KeySpec Signature `
-Subject "CN=P2SChildCert" -KeyExportPolicy Exportable `
-HashAlgorithm sha256 -KeyLength 2048 `
-CertStoreLocation "Cert:\CurrentUser\My" `
-Signer $cert -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.2")

Export veřejného klíče kořenového certifikátu

Když máme vygenerované certifikáty, potřebujeme exportovat veřejný klíč našeho kořenového certifikátu.

  1. Otevřete Správce certifikátů tím, že v PowerShellu spustíte certmgr.

  2. Přejděte do složky Osobní>Certifikáty.

  3. V seznamu klikněte pravým tlačítkem myši na certifikát P2SRootCert a vyberte Všechny úlohy>Export.

  4. V Průvodci exportem certifikátu vyberte Další.

  5. Ujistěte se, že není vybraná možnost Ne, neexportujte privátní klíč a pak vyberte Další.

  6. Na stránce Exportovat formát souboru se ujistěte, že X.509 s kódováním Base-64 (. Je vybrána možnost CER) a pak vyberte Další.

  7. Na stránce Soubor k exportu přejděte v části Název souboru do umístění, které si zapamatujete, a uložte soubor jako P2SRootCert.cer a pak vyberte Další.

  8. Na stránce Průvodce dokončením exportu certifikátu vyberte Dokončit.

  9. V okně Průvodce exportem certifikátu vyberte OK.

Nahrání informací o veřejném klíči kořenového certifikátu

  1. V okně PowerShellu spusťte následující příkaz, který deklaruje proměnnou pro název certifikátu.

    $P2SRootCertName = "P2SRootCert.cer"

  2. <cert-path> Zástupný symbol nahraďte umístěním exportu kořenového certifikátu a spusťte následující příkaz.

    $filePathForCert = "<cert-path>\P2SRootCert.cer"
$cert = new-object System.Security.Cryptography.X509Certificates.X509Certificate2($filePathForCert)
$CertBase64 = [system.convert]::ToBase64String($cert.RawData)
$p2srootcert = New-AzVpnClientRootCertificate -Name $P2SRootCertName -PublicCertData $CertBase64

  3. Po nastavení názvu skupiny nahrajte certifikát do Azure následujícím příkazem.

    Add-AzVpnClientRootCertificate -VpnClientRootCertificateName $P2SRootCertName -VirtualNetworkGatewayname $GWName -ResourceGroupName $ResourceGroup -PublicCertData $CertBase64

    Teď Azure pozná, že jde o důvěryhodný kořenový certifikát vaší virtuální sítě.

Konfigurace nativního klienta VPN

  1. Spuštěním následujícího příkazu vytvořte konfigurační soubory klienta VPN ve formátu ZIP.

    $profile = New-AzVpnClientConfiguration -ResourceGroupName $ResourceGroup -Name $GWName -AuthenticationMethod "EapTls"
$profile.VPNProfileSASUrl

  2. Zkopírujte adresu URL vrácenou ve výstupu tohoto příkazu a vložte ji do prohlížeče. Prohlížeč by měl zahájit stahování souboru ZIP. Extrahujte obsah archivu a uložte ho na vhodné místo.

    Některé prohlížeče se napřed pokusí zablokovat stažení souboru ZIP, protože může být nebezpečné. Abyste mohli extrahovat obsah archivu, budete ho muset v prohlížeči přepsat.

  3. V extrahované složce přejděte do složky WindowsAmd64 (u 64bitových počítačů s Windows) nebo do složky WindowsX86 (u 32bitových počítačů).

    Pokud chcete síť VPN nakonfigurovat na počítači s jiným systémem než Windows, použijte certifikát a soubory pro nastavení ze složky Generic.

  4. Poklikejte na soubor VpnClientSetup{architecture}.exe s {architecture} odrazem vaší architektury.

  5. Na obrazovce Počítače chráněném systémem Windows vyberte Další informace a pak vyberte Spustit stejně.

  6. V dialogovém okně Řízení uživatelských účtů vyberte Ano.

  7. V dialogovém okně VNetData vyberte Ano.

Připojení k Azure

  1. Stiskněte klávesu Windows, zadejte Nastavení a stiskněte enter>.

  2. V okně Nastavení vyberte Síť a Internet.

  3. V levém podokně vyberte VPN.

  4. V pravém podokně vyberte VNetData a pak vyberte Připojení.

  5. V okně VNetData vyberte Připojení.

  6. V dalším okně VNetData vyberte Pokračovat.

  7. V okně Řízení uživatelských účtů vyberte Ano.

Pokud tyto kroky nefungují, možná budete muset restartovat počítač.

Ověření stavu připojení

  1. Na novém příkazovém řádku ve Windows spusťte příkaz IPCONFIG /ALL.

  2. Zkopírujte nebo si zapište IP adresu v části PPP adapter VNetData (Adaptér protokolu PPP VNetData).

  3. Zkontrolujte, že se tato IP adresa nachází v rozsahu VPNClientAddressPool 172.16.201.0/24.

  4. Úspěšně jste se připojili k bráně Azure VPN Gateway.

Právě jste nastavili bránu VPN, která umožňuje vytvořit šifrované připojení klienta k virtuální síti v Azure. Tento přístup je ideální pro klientské počítače a menší připojení typu Site-to-Site.