Freigeben über

Einrichten eines VPN-Gateways für Azure Stack Hub per FortiGate NVA

  • Artikel

In diesem Artikel wird beschrieben, wie Sie eine VPN-Verbindung mit Ihrer Azure Stack Hub-Instanz herstellen. Ein VPN-Gateway ist eine Art von Gateway für virtuelle Netzwerke, mit dem verschlüsselter Datenverkehr zwischen Ihrem virtuellen Netzwerk in Azure Stack Hub und einem Remote-VPN-Gateway gesendet wird. Im unten angegebenen Verfahren wird ein VNET mit einer FortiGate NVA (Network Virtual Appliance) in einer Ressourcengruppe bereitgestellt. Außerdem werden Schritte zum Einrichten eines IPSec-VPN auf der FortiGate NVA beschrieben.

Voraussetzungen

  • Zugriff auf ein integriertes Azure Stack Hub-System mit verfügbarer Kapazität, um die erforderlichen Compute-, Netzwerk- und Ressourcenanforderungen für diese Lösung zu erfüllen.

    Hinweis

    Diese Anleitung funktioniert aufgrund der Netzwerkeinschränkungen des Azure Stack Development Kit (ASDK) nicht für das ASDK. Weitere Informationen finden Sie unter Anforderungen und Überlegungen zu ASDK.

  • Zugriff auf ein VPN-Gerät im lokalen Netzwerk, auf dem das integrierte Azure Stack Hub-System gehostet wird. Das Gerät muss einen IPSec-Tunnel erstellen, für den die unter Bereitstellungsparameter beschriebenen Parameter erfüllt werden.

  • Eine NVA-Lösung (Network Virtual Appliance) in Ihrem Azure Stack Hub-Marketplace. Mit einem virtuellen Netzwerkgerät (Network Virtual Appliance, NVA) wird der Fluss des Netzwerkdatenverkehrs aus einem Umkreisnetzwerk in andere Netzwerke oder Subnetze gesteuert. In diesem Verfahren wird die Lösung FortiGate Next-Generation Firewall – Single VM genutzt.

    Hinweis

    Wenden Sie sich an Ihren Cloudbetreiber, falls Fortinet FortiGate-VM For Azure BYOL und FortiGate NGFW – Single VM Deployment (BYOL) in Ihrem Azure Stack Hub-Marketplace nicht verfügbar sind.

  • Zum Aktivieren der FortiGate-NVA benötigen Sie mindestens eine verfügbare FortiGate-Lizenzdatei. Informationen zur Beschaffung dieser Lizenzen finden Sie in der Fortinet-Dokumentbibliothek im Artikel zum Registrieren und Herunterladen Ihrer Lizenz.

    In diesem Verfahren wird die Bereitstellung einer einzelnen FortiGate-VM durchgeführt. Sie finden die Schritte zum Herstellen einer Verbindung zwischen der FortiGate NVA und dem Azure Stack Hub-VNET in Ihrem lokalen Netzwerk.

    Weitere Informationen zur Bereitstellung der FortiGate-Lösung als Aktiv/Passiv-Setup (zur Erzielung von Hochverfügbarkeit) finden Sie in der Fortinet-Dokumentbibliothek im Artikel zur Hochverfügbarkeit für FortiGate-VM in Azure.

Bereitstellungsparameter

In der folgenden Tabelle sind als Referenz die Parameter zusammengefasst, die in diesen Bereitstellungen verwendet werden.

Parameter Wert
Name der FortiGate-Instanz forti1
BYOL: Lizenz/Version 6.0.3
Benutzername des FortiGate-Administrators fortiadmin
Ressourcengruppenname forti1-rg1
Name des virtuellen Netzwerks forti1vnet1
VNET-Adressraum 172.16.0.0/16*
Name des öffentlichen VNET-Subnetzes forti1-PublicFacingSubnet
Präfix der öffentlichen VNET-Adresse 172.16.0.0/24*
Name des Subnetzes im VNET forti1-InsideSubnet
Präfix des Subnetzes im VNET 172.16.1.0/24*
VM-Größe der FortiGate NVA Standard F2s_v2
Name der öffentlichen IP-Adresse forti1-publicip1
Typ der öffentlichen IP-Adresse statischen

Hinweis

* Wählen Sie einen anderen Adressraum und andere Subnetzpräfixe aus, wenn es für 172.16.0.0/16 zu einer Überschneidung mit dem lokalen Netzwerk oder dem Azure Stack Hub-VIP-Pool kommt.

Bereitstellen der FortiGate NGFW-Marketplace-Elemente

  1. Öffnen Sie das Azure Stack Hub-Benutzerportal.

  2. Wählen Sie Ressource erstellen aus, und suchen Sie nach FortiGate.

    Die Suchergebnisliste zeigt „FortiGate NGFW – Single VM Deployment“.

  3. Wählen Sie FortiGate NGFW und dann die Option Erstellen aus.

  4. Fügen Sie unter Grundlagen die Parameter aus der Tabelle unter Bereitstellungsparameter ein.

    Der Bildschirm „Grundlagen“ enthält Werte aus der Tabelle der Bereitstellungsparameter, die in Listen- und Textfeldern eingegeben werden.

  5. Klicken Sie auf OK.

  6. Geben Sie die Details zum virtuellen Netzwerk, zu den Subnetzen und zur VM-Größe ein, indem Sie die Tabelle unter Bereitstellungsparameter verwenden.

    Warnung

    Falls es für das lokale Netzwerk zu einer Überschneidung mit dem IP-Adressbereich 172.16.0.0/16 kommt, müssen Sie einen anderen Netzwerkbereich und entsprechende Subnetze auswählen und einrichten. Wenn Sie andere Namen und Bereiche als in der Tabelle Bereitstellungsparameter verwenden möchten, sollten Sie Parameter nutzen, die nicht mit dem lokalen Netzwerk in Konflikt stehen. Gehen Sie beim Festlegen des VNET-IP-Bereichs und der Subnetzbereiche im VNET mit Bedacht vor. Der Bereich darf sich nicht mit den IP-Adressbereichen in Ihrem lokalen Netzwerk überschneiden.

  7. Klicken Sie auf OK.

  8. Konfigurieren Sie die öffentliche IP-Adresse für die FortiGate-NVA:

    Das Dialogfeld „IP-Adresszuweisung“ zeigt den Wert „forti1-publicip1“ für „Name der öffentlichen IP-Adresse“ und „Static“ für „Typ der öffentlichen IP-Adresse“ an.

  9. Klicken Sie auf OK. Wählen Sie dann OK.

  10. Klicken Sie auf Erstellen.

    Die Bereitstellung dauert ungefähr zehn Minuten.

Konfigurieren von Routen (UDR) für das VNET

  1. Öffnen Sie das Azure Stack Hub-Benutzerportal.

  2. Wählen Sie die Option „Ressourcengruppen“ aus. Geben Sie forti1-rg1 in den Filter ein, und doppelklicken Sie auf die Ressourcengruppe „forti1-rg1“.

    Für die Ressourcengruppe „forti1-rg1“ sind zehn Ressourcen aufgeführt.

  3. Wählen Sie die Ressource „forti1-forti1-InsideSubnet-routes-xxxx“ aus.

  4. Wählen Sie unter Einstellungen die Option Routen aus.

    Die Schaltfläche „Routen“ wird im Dialogfeld „Einstellungen“ ausgewählt.

  5. Löschen Sie die Route to-Internet.

    Die Zu-Internetroute ist die einzige aufgeführte Route, die ausgewählt ist. Es gibt eine Schaltfläche zum Löschen.

  6. Wählen Sie Ja.

  7. Wählen Sie Hinzufügen aus, um eine neue Route hinzuzufügen.

  8. Geben Sie der Route den Namen to-onprem.

  9. Geben Sie den IP-Adressbereich für das Netzwerk ein, mit dem der Netzwerkbereich des lokalen Netzwerks definiert wird, mit dem per VPN eine Verbindung hergestellt wird.

  10. Wählen Sie unter Typ des nächsten Hops die Option Virtuelles Gerät und dann 172.16.1.4 aus. Verwenden Sie Ihren IP-Adressbereich, falls er sich von diesem IP-Adressbereich unterscheidet.

    Das Dialogfeld „Route hinzufügen“ zeigt die vier Werte an, die in die Textfelder eingegeben wurden.

  11. Wählen Sie Speichern aus.

Aktivieren der FortiGate NVA

Aktivieren Sie die FortiGate NVA, und richten Sie auf jeder NVA eine IPSec-VPN-Verbindung ein.

Sie benötigen jeweils eine gültige Lizenzdatei von Fortinet, um eine FortiGate NVA zu aktivieren. Die NVAs funktionieren erst, nachdem Sie sie aktiviert haben. Weitere Informationen zum Beschaffen einer Lizenzdatei und die Schritte zum Aktivieren der NVA finden Sie in der Fortinet-Dokumentbibliothek im Artikel zum Registrieren und Herunterladen Ihrer Lizenz.

Erstellen Sie nach dem Aktivieren der NVAs jeweils einen IPSec-VPN-Tunnel auf der NVA.

  1. Öffnen Sie das Azure Stack Hub-Benutzerportal.

  2. Wählen Sie die Option „Ressourcengruppen“ aus. Geben Sie forti1 in den Filter ein, und doppelklicken Sie auf die Ressourcengruppe „forti1“.

  3. Doppelklicken Sie auf dem Ressourcengruppenblatt in der Liste mit den Ressourcentypen auf den virtuellen Computer forti1.

    Die Übersichtsseite der virtuellen Computer „forti1“ zeigt Werte für „forti1“ an, z. B. „Ressourcengruppe“ und „Status“.

  4. Kopieren Sie die zugewiesene IP-Adresse, öffnen Sie einen Browser, und fügen Sie die IP-Adresse in die Adressleiste ein. Unter Umständen löst die Website eine Warnung mit dem Hinweis aus, dass das Sicherheitszertifikat nicht vertrauenswürdig ist. Setzen Sie den Vorgang trotzdem fort.

  5. Geben Sie den Benutzernamen für den FortiGate-Administrator, den Sie bei der Bereitstellung angegeben haben, und das zugehörige Kennwort ein.

    Das Anmeldedialogfeld enthält Textfelder für Benutzer und Kennwort sowie eine Schaltfläche für die Anmeldung.

  6. Wählen Sie System>Firmware aus.

  7. Wählen Sie das Feld aus, in dem die aktuelle Firmware angezeigt wird, z. B. FortiOS v6.2.0 build0866.

    Das Dialogfeld Firmware weist die Firmware-ID

  8. Wählen Sie Backup config and upgrade>Continue (Konfiguration sichern und aktualisieren > Weiter) aus.

  9. Für die NVA wird die Firmware auf den neuesten Build aktualisiert und ein Neustart durchgeführt. Der Vorgang dauert ungefähr fünf Minuten. Melden Sie sich wieder an der FortiGate-Webkonsole an.

  10. Klicken Sie auf VPN>IPSec Wizard (VPN > IPSec-Assistent).

  11. Geben Sie im VPN Creation Wizard (Assistent für die VPN-Erstellung) einen Namen für das VPN ein, z. B. conn1.

  12. Wählen Sie die Option This site is behind NAT (Website befindet sich hinter NAT) aus.

    Der Screenshot des VPN-Erstellungs-Assistenten zeigt, dass er sich im ersten Schritt, vpn Setup, beschreibt. Die folgenden Werte sind ausgewählt:

  13. Wählen Sie Weiter aus.

  14. Geben Sie die Remote-IP-Adresse des lokalen VPN-Geräts ein, mit dem Sie eine Verbindung herstellen möchten.

  15. Wählen Sie unter Outgoing Interface (Ausgangsschnittstelle) die Option port1 aus.

  16. Wählen Sie Vorinstallierter Schlüssel aus, und geben Sie einen vorinstallierten Schlüssel ein (und notieren Sie ihn).

    Hinweis

    Sie benötigen diesen Schlüssel zum Einrichten der Verbindung mit dem lokalen VPN-Gerät. Es muss eine genaue Übereinstimmung sein.

    Der Screenshot des Assistenten für die VPN-Erstellung zeigt, dass er sich im zweiten Schritt (der Authentifizierung) befindet, und die ausgewählten Werte sind hervorgehoben.

  17. Wählen Sie Weiter aus.

  18. Wählen Sie unter Lokale Schnittstelle die Option port2 aus.

  19. Geben Sie den Bereich des lokalen Subnetzes ein:

    • forti1: 172.16.0.0/16
    • forti2: 172.17.0.0/16

    Verwenden Sie Ihren IP-Adressbereich, falls er sich von diesem IP-Adressbereich unterscheidet.

  20. Geben Sie die entsprechenden Remotesubnetze ein, die das lokale Netzwerk darstellen, mit dem Sie über das lokale VPN-Gerät eine Verbindung herstellen.

    Der Screenshot des VPN-Erstellungs-Assistenten zeigt, dass er sich im dritten Schritt, Richtlinie & Routing, beschreibt. Es werden die ausgewählten und eingegebenen Werte angezeigt.

  21. Klicken Sie auf Erstellen

  22. Wählen Sie Netzwerk>Schnittstellen aus.

    Die Schnittstellenliste enthält zwei Schnittstellen: port1, der konfiguriert wurde, und port2, der nicht konfiguriert wurde. Es gibt Schaltflächen zum Erstellen, Bearbeiten und Löschen von Schnittstellen.

  23. Doppelklicken Sie auf port2.

  24. Wählen Sie in der Liste Rolle die Option LAN und als Adressierungsmodus dann DHCP aus.

  25. Klicken Sie auf OK.

Konfigurieren des lokalen VPN

Das lokale VPN-Gerät muss entsprechend konfiguriert werden, damit der IPSec-VPN-Tunnel erstellt werden kann. Die folgende Tabelle enthält die Parameter, die Sie zum Einrichten des lokalen VPN-Geräts benötigen. Informationen zum Konfigurieren des lokalen VPN-Geräts finden Sie in der Dokumentation Ihres Geräts.

Parameter Wert
Remotegateway-IP Öffentliche IP-Adresse, die „forti1“ zugewiesen ist: siehe Aktivieren der FortiGate NVA.
Remote-IP-Netzwerk 172.16.0.0/16 (bei Verwendung des IP-Adressbereichs, der in dieser Anleitung für das VNET angegeben ist).
Authentifizierungsmethode = Vorinstallierter Schlüssel (PSK) Aus Schritt 16.
IKE-Version 1
IKE-Modus Main (ID-Schutz)
Phase 1: Vorschlagsalgorithmen AES128-SHA256, AES256-SHA256, AES128-SHA1, AES256-SHA1
Diffie-Hellman-Gruppe 14, 5

Erstellen des VPN-Tunnels

Nachdem das lokale VPN-Gerät entsprechend konfiguriert wurde, kann der VPN-Tunnel eingerichtet werden.

Von der FortiGate NVA:

  1. Navigieren Sie auf der FortiGate-Webkonsole „forti1“ zu Monitor>IPsec Monitor (Monitor > IPsec-Monitor).

    Der Monitor für VPN-Verbindung conn1 ist aufgeführt. Es wird als

  2. Markieren Sie conn1, und wählen Sie Bring Up>All Phase 2 Selectors (Aufrufen > Alle Phase 2-Selektoren) aus.

    Der Monitor und der Phase 2-Selektor werden beide als „Aktiv“ angezeigt.

Testen und Überprüfen der Konnektivität

Sie können über das lokale VPN-Gerät die Weiterleitung zwischen dem VNET-Netzwerk und dem lokalen Netzwerk einrichten.

Überprüfen Sie die Verbindung wie folgt:

  1. Erstellen Sie in den Azure Stack Hub-VNETs einen virtuellen Computer und im lokalen Netzwerk ein System. Sie können die Anleitung zum Erstellen eines virtuellen Computers unter Schnellstart: Erstellen eines virtuellen Windows Server-Computers mit dem Azure Stack Hub-Portal befolgen.

  2. Überprüfen Sie beim Erstellen der Azure Stack Hub-VM und beim Vorbereiten des lokalen Systems Folgendes:

  • Die Azure Stack Hub-VM wird im InsideSubnet des VNET angeordnet.

  • Das lokale System wird im lokalen Netzwerk innerhalb des definierten IP-Adressbereichs angeordnet, wie dies in der IPSec-Konfiguration definiert ist. Stellen Sie außerdem sicher, dass die IP-Adresse der lokalen Schnittstelle des lokalen VPN-Geräts für das lokale System als Route bereitgestellt wird, über die das Azure Stack Hub-VNET erreichbar ist, z. B. 172.16.0.0/16.

  • Wenden Sie keine NSGs auf den zu erstellenden virtuellen Azure Stack Hub-Computer an. Unter Umständen müssen Sie die NSG entfernen, die standardmäßig hinzugefügt wird, wenn die VM über das Portal erstellt wird.

  • Stellen Sie sicher, dass die Betriebssysteme des lokalen Systems und der Azure Stack Hub-VM keine Firewallregeln für Betriebssysteme aufweisen, durch die die Kommunikation verhindert wird, die Sie zum Testen der Konnektivität verwenden. Wir empfehlen Ihnen, zu Testzwecken die Firewall im Betriebssystem beider Systeme vollständig zu deaktivieren.

Nächste Schritte

Azure Stack Hub-Netzwerke: Unterschiede und Überlegungen
Anbieten einer Netzwerklösung in Azure Stack Hub mit Fortinet FortiGate