Megosztás a következőn keresztül:

VPN-átjáró beállítása az Azure Stack Hubhoz a FortiGate NVA használatával

  • Cikk

Ez a cikk azt ismerteti, hogyan hozhat létre VPN-kapcsolatot az Azure Stack Hubbal. A VPN-átjárók olyan virtuális hálózati átjárók, amelyek titkosított forgalmat küldenek az Azure Stack Hub virtuális hálózata és egy távoli VPN-átjáró között. Az alábbi eljárás egy virtuális hálózatot helyez üzembe egy fortiGate NVA-val, egy hálózati virtuális berendezéssel egy erőforráscsoporton belül. Emellett lépéseket is tartalmaz egy IPSec VPN beállításához a FortiGate NVA-n.

Előfeltételek

  • Hozzáférés a rendelkezésre álló kapacitással rendelkező Azure Stack Hub integrált rendszerekhez a megoldáshoz szükséges számítási, hálózati és erőforrás-követelmények üzembe helyezéséhez.

    Megjegyzés

    Ezek az utasítások nem működnek az Azure Stack Development Kittel (ASDK) az ASDK hálózati korlátozásai miatt. További információ: ASDK-követelmények és szempontok.

  • Hozzáférés az Azure Stack Hub integrált rendszerét futtató helyszíni hálózaton lévő VPN-eszközhöz. Az eszköznek létre kell hoznia egy IPSec-alagutat, amely megfelel az üzembehelyezési paraméterekben leírt paramétereknek.

  • Az Azure Stack Hub Marketplace-en elérhető hálózati virtuális berendezés (NVA) megoldás. Az NVA szabályozza a szegélyhálózatról más hálózatokra vagy alhálózatokra érkező hálózati forgalom áramlását. Ez az eljárás a Fortinet FortiGate következő generációs tűzfal egy virtuálisgép-megoldást használja.

    Megjegyzés

    Ha nem rendelkezik elérhető Fortinet FortiGate-VM for Azure BYOL és FortiGate NGFW – Single VM Deployment (BYOL) szolgáltatással az Azure Stack Hub Marketplace-en, forduljon a felhőszolgáltatójához.

  • A FortiGate NVA aktiválásához legalább egy elérhető FortiGate-licencfájlra lesz szüksége. A licencek beszerzéséről további információt a Licenc regisztrálása és letöltése című Fortinet-dokumentumtárban talál.

    Ez az eljárás a Single FortiGate-VM üzemelő példányt használja. A FortiGate NVA és az Azure Stack Hub virtuális hálózat csatlakoztatásának lépéseit a helyszíni hálózatban találja.

    A FortiGate-megoldás aktív-passzív (HA) beállításban való üzembe helyezéséről további információt a Fortinet Document Library FortiGate-VM for FortiGate-VM on Azure-hoz című cikkében talál.

Üzembehelyezési paraméterek

Az alábbi táblázat összefoglalja az ezekben az üzemelő példányokban használt paramétereket referenciaként.

Paraméter Érték
FortiGate-példány neve forti1
BYOL-licenc/verzió 6.0.3
FortiGate rendszergazdai felhasználónév fortiadmin
Erőforráscsoport neve forti1-rg1
Virtuális hálózat neve forti1vnet1
VNET-címtér 172.16.0.0/16*
Nyilvános virtuális hálózat alhálózatának neve forti1-PublicFacingSubnet
Nyilvános virtuális hálózat címelőtagja 172.16.0.0/24*
A virtuális hálózat alhálózatának neve forti1-InsideSubnet
A VNET-alhálózat előtagja 172.16.1.0/24*
A FortiGate NVA virtuálisgép-mérete Standard F2s_v2
Nyilvános IP-cím forti1-publicip1
Nyilvános IP-cím típusa Statikus

Megjegyzés

* Válasszon másik címteret és alhálózati előtagokat, ha 172.16.0.0/16 átfedésben van a helyszíni hálózattal vagy az Azure Stack Hub VIP-készletével.

A FortiGate NGFW Marketplace-elemek üzembe helyezése

  1. Nyissa meg az Azure Stack Hub felhasználói portálját.

  2. Válassza az Erőforrás létrehozása lehetőséget, és keressen rá a kifejezésre FortiGate.

    A keresési eredmények listájában a FortiGate NGFW – Egyetlen virtuális gép üzembe helyezése látható.

  3. Válassza a FortiGate NGFW elemet, majd a Létrehozás lehetőséget.

  4. Végezze el az Alapszintű beállításokat a Deployment parameters (Üzembe helyezési paraméterek) tábla paramétereivel .

    Az Alapvető beállítások képernyőn az üzembehelyezési paraméterek táblázatában szereplő értékek szerepelnek a listában és a szövegmezőkben.

  5. Válassza az OK lehetőséget.

  6. Adja meg a virtuális hálózat, az alhálózatok és a virtuális gép méretének részleteit az Üzembehelyezési paraméterek táblával.

    Figyelmeztetés

    Ha a helyszíni hálózat átfedésben van az IP-cím tartománnyal 172.16.0.0/16, másik hálózati tartományt és alhálózatot kell választania és beállítania. Ha az Üzembehelyezési paraméterek táblában szereplő neveknél és tartományoknál eltérő neveket és tartományokat szeretne használni, olyan paramétereket használjon, amelyek nem ütköznek a helyszíni hálózattal. Ügyeljen arra, hogy a virtuális hálózat IP-tartományát és alhálózati tartományait a virtuális hálózaton belül állítsa be. Nem szeretné, hogy a tartomány átfedésben legyen a helyszíni hálózaton található IP-címtartományokkal.

  7. Válassza az OK lehetőséget.

  8. Konfigurálja a FortiGate NVA nyilvános IP-címét:

    Az IP-hozzárendelés párbeszédpanel a forti1-publicip1 értéket jeleníti meg a

  9. Válassza az OK lehetőséget. Majd válassza az OK elemet.

  10. Válassza a Létrehozás lehetőséget.

    Az üzembe helyezés körülbelül 10 percet vesz igénybe.

Útvonalak (UDR) konfigurálása a VNET-hez

  1. Nyissa meg az Azure Stack Hub felhasználói portálját.

  2. Válassza az Erőforráscsoportok lehetőséget. Írja be forti1-rg1 a szűrőt, és kattintson duplán a forti1-rg1 erőforráscsoportra.

    A forti1-rg1 erőforráscsoporthoz tíz erőforrás van felsorolva.

  3. Válassza a "forti1-forti1-InsideSubnet-routes-xxxx" erőforrást.

  4. A Beállítások területen válassza az Útvonalak lehetőséget.

    Az Útvonalak gomb a Beállítások párbeszédpanelen van kiválasztva.

  5. Törölje az internetre vezető útvonalat.

    A listában csak az internetre vezető útvonal szerepel, és ki van jelölve. Van egy törlés gomb.

  6. Válassza az Igen lehetőséget.

  7. Új útvonal hozzáadásához válassza a Hozzáadás lehetőséget.

  8. Nevezze el az útvonalat to-onprem.

  9. Adja meg azt az IP-hálózati tartományt, amely meghatározza annak a helyszíni hálózatnak a hálózati tartományát, amelyhez a VPN csatlakozni fog.

  10. Válassza a Következő ugrás típusa és 172.16.1.4a Virtuális berendezés lehetőséget. Ha másik IP-tartományt használ, használja az IP-tartományt.

    Az Útvonal hozzáadása párbeszédpanelen a szövegmezőkbe beírt négy érték látható.

  11. Kattintson a Mentés gombra.

A FortiGate NVA aktiválása

Aktiválja a FortiGate NVA-t, és állítson be egy IPSec VPN-kapcsolatot minden NVA-n.

Az egyes FortiGate NVA-k aktiválásához a Fortinet érvényes licencfájlja szükséges. Az NVA-k addig nem fognak működni, amíg nem aktiválja az egyes NVA-kat. A licencfájl beszerzéséről és az NVA aktiválásának lépéseiről a Licenc regisztrálása és letöltése című Fortinet-dokumentumtárban talál további információt.

Miután aktiválta az NVA-kat, hozzon létre egy IPSec VPN-alagutat az NVA-n.

  1. Nyissa meg az Azure Stack Hub felhasználói portálját.

  2. Válassza az Erőforráscsoportok lehetőséget. Írja be forti1 a szűrőt, és kattintson duplán a forti1 erőforráscsoportra.

  3. Kattintson duplán a forti1 virtuális gépre az erőforráscsoport panel erőforrástípusainak listájában.

    A forti1 virtuális gép Áttekintés lapján a forti1 értékei láthatók, például az

  4. Másolja ki a hozzárendelt IP-címet, nyisson meg egy böngészőt, és illessze be az IP-címet a címsorba. A webhely figyelmeztetést válthat ki arról, hogy a biztonsági tanúsítvány nem megbízható. Mindenképpen folytassa.

  5. Adja meg az üzembe helyezés során megadott FortiGate rendszergazdai felhasználónevet és jelszót.

    A bejelentkezési párbeszédpanelen a felhasználó és a jelszó szövegmezők, valamint a Bejelentkezés gomb található.

  6. Válassza a Rendszer>belső vezérlőprogramja lehetőséget.

  7. Jelölje be a legújabb belső vezérlőprogramot megjelenítő mezőt, például FortiOS v6.2.0 build0866: .

    A Belső vezérlőprogram párbeszédpanelen található a

  8. Válassza a Biztonsági mentés konfigurációja és a Frissítés>folytatása lehetőséget.

  9. Az NVA frissíti a belső vezérlőprogramot a legújabb buildre és újraindításokra. A folyamat körülbelül öt percet vesz igénybe. Jelentkezzen be újra a FortiGate webkonzolra.

  10. Kattintson a VPN>IPSec varázsló elemre.

  11. Adja meg a VPN nevét, például conn1 a VPN létrehozása varázslóban.

  12. Válassza az Ez a webhely NAT mögött lehetőséget.

    A VPN-létrehozási varázsló képernyőképe azt mutatja, hogy az első lépés, a VPN-beállítás. A következő értékek vannak kiválasztva:

  13. Kattintson a Tovább gombra.

  14. Adja meg annak a helyszíni VPN-eszköznek a távoli IP-címét, amelyhez csatlakozni kíván.

  15. Válassza az 1. portot a Kimenő felület elemként.

  16. Válassza az Előmegosztott kulcs lehetőséget, és adjon meg (és rögzítsen) egy előmegosztott kulcsot.

    Megjegyzés

    Erre a kulcsra szüksége lesz a helyszíni VPN-eszköz kapcsolatának beállításához, azaz pontosan egyeznie kell.

    A VPN-létrehozási varázsló képernyőképén látható, hogy a második lépésben a Hitelesítés elem látható, és a kiválasztott értékek ki vannak emelve.

  17. Kattintson a Tovább gombra.

  18. Válassza a port2 lehetőséget a helyi felülethez.

  19. Adja meg a helyi alhálózat tartományát:

    • forti1: 172.16.0.0/16
    • forti2: 172.17.0.0/16

    Ha másik IP-tartományt használ, használja az IP-tartományt.

  20. Adja meg a megfelelő távoli alhálózat(ok)t, amelyek a helyszíni hálózatot jelölik, amelyhez a helyszíni VPN-eszközön keresztül fog csatlakozni.

    A VPN-létrehozási varázsló képernyőképén látható, hogy a harmadik lépés, a Szabályzat & Útválasztás. A kijelölt és a beírt értékeket jeleníti meg.

  21. Kattintson a Létrehozás elemre.

  22. Válassza a Hálózati>adapterek lehetőséget.

    Az illesztőlista két illesztőt tartalmaz: a konfigurált port1-et és a 2-es portot, amelyek nem. Felületeket hozhat létre, szerkeszthet és törölhet.

  23. Kattintson duplán a port2 elemre.

  24. A Címzés módhoz válassza a LAN lehetőséget a Szerepkör listában, a DHCP-t pedig.

  25. Válassza az OK lehetőséget.

A helyszíni VPN konfigurálása

A helyszíni VPN-eszközt konfigurálni kell az IPSec VPN-alagút létrehozásához. Az alábbi táblázat a helyszíni VPN-eszköz beállításához szükséges paramétereket tartalmazza. A helyszíni VPN-eszköz konfigurálásával kapcsolatos információkért tekintse meg az eszköz dokumentációját.

Paraméter Érték
Távoli átjáró IP-címe A forti1-hez rendelt nyilvános IP-cím – lásd : A FortiGate NVA aktiválása.
Távoli IP-hálózat 172.16.0.0/16 (ha a virtuális hálózatra vonatkozó utasításokban az IP-tartományt használja).
Hitelesítés. Metódus = Előmegosztott kulcs (PSK) A 16. lépésből.
IKE verziószám 1
IKE mód Fő (azonosítóvédelem)
1. fázisú javaslati algoritmusok AES128-SHA256, AES256-SHA256, AES128-SHA1, AES256-SHA1
Diffie-Hellman csoportok 14, 5

A VPN-alagút létrehozása

Miután a helyszíni VPN-eszköz megfelelően konfigurálva lett, létrejön a VPN-alagút.

A FortiGate NVA-ból:

  1. A forti1 FortiGate webkonzolon lépjen azIPsec Monitormonitorozása> elemre.

    A listában megjelenik a VPN-kapcsolat conn1 figyelője. Úgy jelenik meg, mint a 2. fázisválasztó.

  2. Jelölje ki aconn1 elemet, és válassza az >Összes 2. fázisú választókat.

    A figyelő és a 2. fázisválasztó egyaránt megjelenik.

Kapcsolat tesztelése és ellenőrzése

A virtuális hálózat és a helyszíni hálózat között a helyszíni VPN-eszközön keresztül irányíthat.

A kapcsolat ellenőrzése:

  1. Hozzon létre egy virtuális gépet az Azure Stack Hub virtuális hálózataiban és egy rendszert a helyszíni hálózaton. A virtuális gépek létrehozásának lépéseit a Rövid útmutató: Windows server rendszerű virtuális gép létrehozása az Azure Stack Hub portálon című témakörben találja.

  2. Az Azure Stack Hub virtuális gép létrehozásakor és a helyszíni rendszer előkészítésekor ellenőrizze a következőket:

  • Az Azure Stack Hub virtuális gép a virtuális hálózat InsideSubnetjén található.

  • A helyszíni rendszer a helyszíni hálózaton van elhelyezve az IPSec-konfigurációban meghatározott IP-tartományon belül. Győződjön meg arról is, hogy a helyszíni VPN-eszköz helyi adapterének IP-címe olyan útvonalként van megadva a helyszíni rendszer számára, amely elérheti például az Azure Stack Hub virtuális hálózatát. 172.16.0.0/16

  • Létrehozáskor ne alkalmazzon NSG-ket az Azure Stack Hub virtuális gépre. Előfordulhat, hogy el kell távolítania az alapértelmezés szerint hozzáadott NSG-t, ha a virtuális gépet a portálról hozza létre.

  • Győződjön meg arról, hogy a helyszíni rendszer operációs rendszere és az Azure Stack Hub virtuális gép operációs rendszere nem rendelkezik olyan operációsrendszer-tűzfalszabályokkal, amelyek tiltanák a kapcsolat teszteléséhez használni kívánt kommunikációt. Tesztelési célokból javasoljuk, hogy tiltsa le teljesen a tűzfalat mindkét rendszer operációs rendszerén belül.

Következő lépések

Az Azure Stack Hub hálózatkezelésének eltérései és szempontjai
Hálózati megoldás felajánlása az Azure Stack Hubban a Fortinet FortiGate használatával