Freigeben über

VNET-zu-VNET-Konnektivität zwischen Azure Stack Hub-Instanzen per Fortinet FortiGate NVA

  • Artikel

In diesem Artikel verbinden Sie ein VNET einer Azure Stack Hub-Instanz mit einem VNET in einer anderen Azure Stack Hub-Instanz, indem Sie eine Fortinet FortiGate NVA (virtuelles Netzwerkgerät (Network Virtual Appliance, NVA)) verwenden.

In diesem Artikel wird die derzeit geltende Azure Stack Hub-Einschränkung beschrieben, nach der Mandanten nur eine VPN-Verbindung für zwei Umgebungen einrichten dürfen. Benutzer erfahren, wie sie auf einem virtuellen Linux-Computer ein benutzerdefiniertes Gateway einrichten, mit dem mehrere VPN-Verbindungen für unterschiedliche Azure Stack Hub-Instanzen möglich sind. Mit dem Verfahren in diesem Artikel werden zwei VNETs mit einer FortiGate NVA pro VNET bereitgestellt, also eine Bereitstellung pro Azure Stack Hub-Umgebung. Darüber hinaus werden die Änderungen beschrieben, die für die Einrichtung eines IPSec-VPN zwischen den beiden VNETs vorgenommen werden müssen. Die Schritte in diesem Artikel sollten jeweils für jedes VNET auf allen Azure Stack Hub-Instanzen ausgeführt werden.

Voraussetzungen

  • Zugriff auf ein integriertes Azure Stack Hub-System mit verfügbarer Kapazität, um die erforderlichen Compute-, Netzwerk- und Ressourcenanforderungen für diese Lösung zu erfüllen.

    Hinweis

    Diese Anleitung funktioniert aufgrund der Netzwerkeinschränkungen des Azure Stack Development Kit (ASDK) nicht für das ASDK. Weitere Informationen finden Sie unter Anforderungen und Überlegungen zu ASDK.

  • Eine Lösung für ein virtuelles Netzwerkgerät (Network Virtual Appliance, NVA), die heruntergeladen und im Azure Stack Hub-Marketplace veröffentlicht wird. Mit einem virtuellen Netzwerkgerät (Network Virtual Appliance, NVA) wird der Fluss des Netzwerkdatenverkehrs aus einem Umkreisnetzwerk in andere Netzwerke oder Subnetze gesteuert. In diesem Verfahren wird die Lösung FortiGate Next-Generation Firewall – Single VM genutzt.

  • Mindestens zwei verfügbare FortiGate-Lizenzdateien zum Aktivieren der FortiGate NVA. Informationen zur Beschaffung dieser Lizenzen finden Sie in der Fortinet-Dokumentbibliothek im Artikel zum Registrieren und Herunterladen Ihrer Lizenz.

    In diesem Verfahren wird die Bereitstellung einer einzelnen FortiGate-VM durchgeführt. Sie finden die Schritte zum Herstellen einer Verbindung zwischen der FortiGate NVA und dem Azure Stack Hub-VNET in Ihrem lokalen Netzwerk.

    Weitere Informationen zur Bereitstellung der FortiGate-Lösung als Aktiv/Passiv-Setup (zur Erzielung von Hochverfügbarkeit) finden Sie in der Fortinet-Dokumentbibliothek im Artikel zur Hochverfügbarkeit für FortiGate-VM in Azure.

Bereitstellungsparameter

In der folgenden Tabelle sind als Referenz die Parameter zusammengefasst, die in diesen Bereitstellungen verwendet werden:

Bereitstellung 1: Forti1

Name der FortiGate-Instanz Forti1
BYOL: Lizenz/Version 6.0.3
Benutzername des FortiGate-Administrators fortiadmin
Ressourcengruppenname forti1-rg1
Name des virtuellen Netzwerks forti1vnet1
VNET-Adressraum 172.16.0.0/16*
Name des öffentlichen VNET-Subnetzes forti1-PublicFacingSubnet
Präfix der öffentlichen VNET-Adresse 172.16.0.0/24*
Name des Subnetzes im VNET forti1-InsideSubnet
Präfix des Subnetzes im VNET 172.16.1.0/24*
VM-Größe der FortiGate NVA Standard F2s_v2
Name der öffentlichen IP-Adresse forti1-publicip1
Typ der öffentlichen IP-Adresse statischen

Bereitstellung zwei: Forti2

Name der FortiGate-Instanz Forti2
BYOL: Lizenz/Version 6.0.3
Benutzername des FortiGate-Administrators fortiadmin
Ressourcengruppenname forti2-rg1
Name des virtuellen Netzwerks forti2vnet1
VNET-Adressraum 172.17.0.0/16*
Name des öffentlichen VNET-Subnetzes forti2-PublicFacingSubnet
Präfix der öffentlichen VNET-Adresse 172.17.0.0/24*
Name des Subnetzes im VNET Forti2-InsideSubnet
Präfix des Subnetzes im VNET 172.17.1.0/24*
VM-Größe der FortiGate NVA Standard F2s_v2
Name der öffentlichen IP-Adresse Forti2-publicip1
Typ der öffentlichen IP-Adresse statischen

Hinweis

* Wählen Sie andere Adressräume und Subnetzpräfixe aus, falls es für die obigen Angaben zu Überschneidungen mit der lokalen Netzwerkumgebung kommt, einschließlich dem VIP-Pool der beiden Azure Stack Hub-Instanzen. Stellen Sie auch sicher, dass sich die Adressbereiche nicht gegenseitig überschneiden.**

Bereitstellen der FortiGate NGFW-Marketplace-Elemente

Wiederholen Sie diese Schritte für beide Azure Stack Hub-Umgebungen.

  1. Öffnen Sie das Azure Stack Hub-Benutzerportal. Stellen Sie sicher, dass Sie Anmeldeinformationen verwenden, die mindestens über Rechte vom Typ „Mitwirkender“ für ein Abonnement verfügen.

  2. Wählen Sie Ressource erstellen aus, und suchen Sie nach FortiGate.

    Der Screenshot zeigt eine einzelne Ergebniszeile aus der Suche nach

  3. Wählen Sie FortiGate NGFW und dann die Option Erstellen aus.

  4. Fügen Sie unter Grundlagen die Parameter aus der Tabelle unter Bereitstellungsparameter ein.

    Ihr Formular sollte die folgenden Informationen enthalten:

    Die Textfelder (wie Instanzname und BYOL-Lizenz) des Dialogfelds „Grundlagen“ wurden mit Werten aus der Bereitstellungstabelle ausgefüllt.

  5. Wählen Sie OK aus.

  6. Geben Sie die Details zum virtuellen Netzwerk, zu den Subnetzen und zur VM-Größe ein, indem Sie die Angaben unter Bereitstellungsparameter verwenden.

    Falls Sie andere Namen und Bereiche verwenden möchten, sollten Sie keine Parameter verwenden, die mit den anderen VNet- und FortiGate-Ressourcen in der anderen Azure Stack Hub-Umgebung in Konflikt stehen. Dies gilt besonders beim Festlegen des VNET-IP-Bereichs und der Subnetzbereiche im VNET. Vergewissern Sie sich, dass es nicht zu einer Überschneidung mit den IP-Adressbereichen für das andere VNET kommt, das Sie erstellen.

  7. Wählen Sie OK aus.

  8. Konfigurieren Sie die öffentliche IP-Adresse, die für die FortiGate NVA verwendet wird:

    Das Textfeld „Name der öffentlichen IP-Adresse“ des Dialogfelds „IP-Adresszuweisung“ zeigt den Wert „forti1-publicip1“ (aus der Bereitstellungstabelle) an.

  9. Wählen Sie OK und dann noch einmal OK aus.

  10. Klicken Sie auf Erstellen.

Die Bereitstellung dauert ungefähr zehn Minuten. Sie können nun die Schritte zum Erstellen der anderen FortiGate NVA- und VNET-Bereitstellung in der anderen Azure Stack Hub-Umgebung wiederholen.

Konfigurieren von Routen (UDRs) für jedes VNET

Führen Sie diese Schritte für beide Bereitstellungen aus („forti1-rg1“ und „forti2-rg1“).

  1. Navigieren Sie im Azure Stack Hub-Portal zur Ressourcengruppe „forti1-rg1“.

    Dies ist ein Screenshot der Liste der Ressourcen in der Ressourcengruppe „forti1-rg1“.

  2. Wählen Sie die Ressource „forti1-forti1-InsideSubnet-routes-xxxx“ aus.

  3. Wählen Sie unter Einstellungen die Option Routen aus.

    Der Screenshot zeigt den unter Einstellungen markierten Eintrag für Routen.

  4. Löschen Sie die Route to-Internet.

    Der Screenshot zeigt die hervorgehobene Zu-Internet-Route. Es gibt eine Schaltfläche zum Löschen.

  5. Wählen Sie Ja aus.

  6. Wählen Sie Hinzufügen.

  7. Geben Sie der Route den Namen to-forti1 oder to-forti2. Verwenden Sie Ihren IP-Adressbereich, falls er sich von diesem IP-Adressbereich unterscheidet.

  8. Geben Sie Folgendes ein:

    • forti1: 172.17.0.0/16
    • forti2: 172.16.0.0/16

    Verwenden Sie Ihren IP-Adressbereich, falls er sich von diesem IP-Adressbereich unterscheidet.

  9. Wählen Sie unter Typ des nächsten Hops die Option Virtuelles Gerät aus.

    • forti1: 172.16.1.4
    • forti2: 172.17.0.4

    Verwenden Sie Ihren IP-Adressbereich, falls er sich von diesem IP-Adressbereich unterscheidet.

    Das Dialogfeld

  10. Wählen Sie Speichern.

Wiederholen Sie die Schritte für jede InsideSubnet-Route der einzelnen Ressourcengruppen.

Aktivieren der FortiGate NVAs und Konfigurieren einer IPSec-VPN-Verbindung auf jeder NVA

Sie benötigen jeweils eine gültige Lizenzdatei von Fortinet, um eine FortiGate NVA zu aktivieren. Die NVAs funktionieren erst, nachdem Sie sie aktiviert haben. Weitere Informationen zum Beschaffen einer Lizenzdatei und die Schritte zum Aktivieren der NVA finden Sie in der Fortinet-Dokumentbibliothek im Artikel zum Registrieren und Herunterladen Ihrer Lizenz.

Sie müssen zwei Lizenzdateien beschaffen: eine für jede NVA.

Erstellen eines IPSec-VPN zwischen den beiden NVAs

Führen Sie nach dem Aktivieren der NVAs diese Schritte aus, um ein IPSec-VPN zwischen den beiden NVAs zu erstellen.

Führen Sie die unten angegebenen Schritte jeweils für die forti1-NVA und die forti2-NVA aus:

  1. Navigieren Sie zur Seite mit der Übersicht für die fortiX-VM, um die zugewiesene öffentliche IP-Adresse abzurufen:

    Die Übersichtsseite für „forti1“ zeigt die Ressourcengruppe, den Status usw. an.

  2. Kopieren Sie die zugewiesene IP-Adresse, öffnen Sie einen Browser, und fügen Sie die Adresse in die Adressleiste ein. In Ihrem Browser wird ggf. eine Warnung mit dem Hinweis angezeigt, dass das Sicherheitszertifikat nicht vertrauenswürdig ist. Setzen Sie den Vorgang trotzdem fort.

  3. Geben Sie den Benutzernamen für den FortiGate-Administrator, den Sie bei der Bereitstellung angegeben haben, und das zugehörige Kennwort ein.

    Der Screenshot zeigt den Anmeldebildschirm, der eine Anmeldeschaltfläche und Textfelder für Benutzername und Kennwort enthält.

  4. Wählen Sie System>Firmware aus.

  5. Wählen Sie das Feld aus, in dem die aktuelle Firmware angezeigt wird, z. B. FortiOS v6.2.0 build0866.

    Der Screenshot für die Firmware

  6. Wählen Sie Backup config and upgrade (Konfiguration sichern und aktualisieren) und dann „Continue“ (Weiter) aus, wenn die entsprechende Aufforderung angezeigt wird.

  7. Für die NVA wird die Firmware auf den neuesten Build aktualisiert und ein Neustart durchgeführt. Der Vorgang dauert ungefähr fünf Minuten. Melden Sie sich wieder an der FortiGate-Webkonsole an.

  8. Klicken Sie auf VPN>IPSec Wizard (VPN > IPSec-Assistent).

  9. Geben Sie im VPN Creation Wizard (Assistent für die VPN-Erstellung) einen Namen für das VPN ein, z. B. conn1.

  10. Wählen Sie die Option This site is behind NAT (Website befindet sich hinter NAT) aus.

    Der Screenshot des VPN-Erstellungs-Assistenten zeigt, dass er sich im ersten Schritt, VPN-Setup, beschreibt. Die folgenden Werte sind ausgewählt:

  11. Wählen Sie Weiter aus.

  12. Geben Sie die Remote-IP-Adresse des lokalen VPN-Geräts ein, mit dem Sie eine Verbindung herstellen möchten.

  13. Wählen Sie unter Outgoing Interface (Ausgangsschnittstelle) die Option port1 aus.

  14. Wählen Sie Vorinstallierter Schlüssel aus, und geben Sie einen vorinstallierten Schlüssel ein (und notieren Sie ihn).

    Hinweis

    Sie benötigen diesen Schlüssel zum Einrichten der Verbindung mit dem lokalen VPN-Gerät. Es muss eine genaue Übereinstimmung sein.

    Der Screenshot des Assistenten für die VPN-Erstellung zeigt, dass er sich im zweiten Schritt (der Authentifizierung) befindet, und die ausgewählten Werte sind hervorgehoben.

  15. Wählen Sie Weiter aus.

  16. Wählen Sie unter Lokale Schnittstelle die Option port2 aus.

  17. Geben Sie den Bereich des lokalen Subnetzes ein:

    • forti1: 172.16.0.0/16
    • forti2: 172.17.0.0/16

    Verwenden Sie Ihren IP-Adressbereich, falls er sich von diesem IP-Adressbereich unterscheidet.

  18. Geben Sie die entsprechenden Remotesubnetze ein, die das lokale Netzwerk darstellen, mit dem Sie über das lokale VPN-Gerät eine Verbindung herstellen.

    • forti1: 172.16.0.0/16
    • forti2: 172.17.0.0/16

    Verwenden Sie Ihren IP-Adressbereich, falls er sich von diesem IP-Adressbereich unterscheidet.

    Der Screenshot des Assistenten für die VPN-Erstellung zeigt, dass er sich im dritten Schritt, Richtlinie und Routing, befindet und die ausgewählten und eingegebenen Werte anzeigt.

  19. Klicken Sie auf Erstellen

  20. Wählen Sie Netzwerk>Schnittstellen aus.

    Die Schnittstellenliste enthält zwei Schnittstellen: Port1, die konfiguriert wurde, und Port2, die nicht. Es gibt Schaltflächen zum Erstellen, Bearbeiten und Löschen von Schnittstellen.

  21. Doppelklicken Sie auf port2.

  22. Wählen Sie in der Liste Rolle die Option LAN und als Adressierungsmodus dann DHCP aus.

  23. Wählen Sie OK aus.

Wiederholen Sie die Schritte für die andere NVA.

Aufrufen aller Phase 2-Selektoren

Gehen Sie wie folgt vor, nachdem die obigen Vorgänge für beide NVAs abgeschlossen wurden:

  1. Wählen Sie auf der FortiGate-Webkonsole „forti2“ Monitor>IPsec Monitor (Monitor > IPsec-Monitor) aus.

    Der Monitor für VPN-Verbindung conn1 ist aufgeführt. Sie wird wie unten angezeigt, wie die entsprechende Phase 2-Auswahl.

  2. Markieren Sie conn1, und wählen Sie Bring Up>All Phase 2 Selectors (Aufrufen > Alle Phase 2-Selektoren) aus.

    Der Monitor und der Phase 2-Selektor werden beide als „Aktiv“ angezeigt.

Testen und Überprüfen der Konnektivität

Sie sollten jetzt in der Lage sein, zwischen den VNETs über die FortiGate NVAs eine Weiterleitung durchzuführen. Erstellen Sie zum Überprüfen der Verbindung im InsideSubnet jedes VNET eine Azure Stack Hub-VM. Das Erstellen einer Azure Stack Hub-VM kann via Portal, Azure CLI oder PowerShell erfolgen. Für die VM-Erstellung gilt Folgendes:

  • Die Azure Stack Hub-VMs sind jeweils im InsideSubnet eines VNET angeordnet.

  • Sie wenden während der Erstellung keine NSGs auf die VM an. (Entfernen Sie beim Erstellen der VM über das Portal also die NSG, die standardmäßig hinzugefügt wird.)

  • Stellen Sie sicher, dass die VM-Firewallregeln die Kommunikation zulassen, die Sie zum Testen der Konnektivität benötigen. Wir empfehlen Ihnen, zu Testzwecken die Firewall im Betriebssystem vollständig zu deaktivieren, falls dies möglich ist.

Nächste Schritte

Azure Stack Hub-Netzwerke: Unterschiede und Überlegungen
Anbieten einer Netzwerklösung in Azure Stack Hub mit Fortinet FortiGate