Feladat – Azure VPN Gateway létrehozása

  • 40 perc

Biztosítani szeretné, hogy a környezetében lévő ügyfeleket vagy webhelyeket titkosított csatornákkal csatlakoztassa az Azure-hoz a nyilvános interneten keresztül. Ebben a gyakorlatban pont–hely VPN-átjárót hozhat létre, majd egy ügyfélszámítógépről csatlakozhat ehhez az átjáróhoz. Natív Azure-tanúsítvánnyal hitelesített kapcsolatokat használhat a védelemhez.

A következő folyamatot fogja végrehajtani:

  1. Útvonalalapú VPN-átjáró létrehozása.

  2. Főtanúsítvány nyilvános kulcsának feltöltése hitelesítési célokból.

  3. Ügyféltanúsítvány létrehozása a főtanúsítványból, majd az ügyféltanúsítvány telepítése a virtuális hálózathoz csatlakozó összes ügyfélszámítógépre hitelesítési célokból.

  4. VPN-ügyfélkonfigurációs fájlok létrehozása, amelyek azokat az adatokat tartalmazzák, amelyekre az ügyfélnek szüksége van a virtuális hálózathoz való csatlakozáshoz.

Beállítás

A modul végrehajtásához az Azure PowerShellt fogja használni a helyi, Windows 10-es számítógépén.

  1. Nyisson meg egy új PowerShell-munkamenetet a helyi Windows 10-számítógépen, ahol telepítette az Azure PowerShell-modult.

  2. Jelentkezzen be az Azure-ba a PowerShell-parancsmag Connect-AzAccountfuttatásával.

  3. Állítsa be a virtuális hálózat létrehozásához szükséges változókat. Másolja és illessze be a következő változókat a PowerShellbe.

$VNetName  = "VNetData"
$FESubName = "FrontEnd"
$BESubName = "Backend"
$GWSubName = "GatewaySubnet"
$VNetPrefix1 = "192.168.0.0/16"
$VNetPrefix2 = "10.254.0.0/16"
$FESubPrefix = "192.168.1.0/24"
$BESubPrefix = "10.254.1.0/24"
$GWSubPrefix = "192.168.200.0/26"
$VPNClientAddressPool = "172.16.201.0/24"
$ResourceGroup = "VpnGatewayDemo"
$Location = "East US"
$GWName = "VNetDataGW"
$GWIPName = "VNetDataGWPIP"
$GWIPconfName = "gwipconf"

Virtuális hálózat konfigurálása

  1. Futtassa az alábbi parancsot egy erőforráscsoport létrehozásához.

    New-AzResourceGroup -Name $ResourceGroup -Location $Location

  2. Az alábbi paranccsal hozza létre a virtuális hálózat alhálózati konfigurációit. Ezek a konfigurációk a FrontEnd, a BackEnd és a GatewaySubnet nevet viselik. Ezen alhálózatok mindegyike a virtuális hálózat előtagjában szerepel.

    $fesub = New-AzVirtualNetworkSubnetConfig -Name $FESubName -AddressPrefix $FESubPrefix
$besub = New-AzVirtualNetworkSubnetConfig -Name $BESubName -AddressPrefix $BESubPrefix
$gwsub = New-AzVirtualNetworkSubnetConfig -Name $GWSubName -AddressPrefix $GWSubPrefix

  3. Ezután az alábbi paranccsal hozza létre a virtuális hálózatot az alhálózat értékeivel és egy statikus DNS-kiszolgálóval.

    New-AzVirtualNetwork -Name $VNetName -ResourceGroupName $ResourceGroup -Location $Location -AddressPrefix $VNetPrefix1,$VNetPrefix2 -Subnet $fesub, $besub, $gwsub -DnsServer 10.2.1.3

  4. Most adja meg a létrehozott hálózat változóit.

    $vnet = Get-AzVirtualNetwork -Name $VNetName -ResourceGroupName $ResourceGroup
$subnet = Get-AzVirtualNetworkSubnetConfig -Name $GWSubName -VirtualNetwork $vnet

  5. Az alábbi paranccsal kérjen egy dinamikusan hozzárendelt nyilvános IP-címet.

    $pip = New-AzPublicIpAddress -Name $GWIPName -ResourceGroupName $ResourceGroup -Location $Location -AllocationMethod Dynamic
$ipconf = New-AzVirtualNetworkGatewayIpConfig -Name $GWIPconfName -Subnet $subnet -PublicIpAddress $pip

A VPN-átjáró létrehozása

A VPN-átjáró létrehozásakor:

  • A GatewayType csak Vpn lehet
  • A VpnType csak RouteBased lehet

A gyakorlat ezen része akár 45 percet is igénybe vehet.

  1. A VPN-átjáró létrehozásához futtassa a következő parancsot, és nyomja le az Enter billentyűt.

    New-AzVirtualNetworkGateway -Name $GWName -ResourceGroupName $ResourceGroup `
-Location $Location -IpConfigurations $ipconf -GatewayType Vpn `
-VpnType RouteBased -EnableBgp $false -GatewaySku VpnGw1 -VpnClientProtocol "IKEv2"

  2. Várja meg a parancs kimenetének megjelenését.

A VPN-ügyfélcímkészlet hozzáadása

  1. Az alábbi paranccsal adja hozzá a VPN-ügyfélcímkészletet.

    $Gateway = Get-AzVirtualNetworkGateway -ResourceGroupName $ResourceGroup -Name $GWName
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $Gateway -VpnClientAddressPool $VPNClientAddressPool

  2. Várja meg a parancs kimenetének megjelenését.

Ügyféltanúsítvány létrehozása

Miután elkészült az Azure-on a hálózati infrastruktúra, létre kell hoznunk egy önaláírt ügyféltanúsítványt a helyi gépen. Ez a létrehozás a legtöbb operációs rendszeren hasonlóan elvégezhető, de bemutatjuk, hogyan hozhatja létre ügyféltanúsítványát Windows 10-en a PowerShell használatával az Azure PowerShell modullal és a Windows Tanúsítványkezelő segédprogrammal.

  1. Az első lépés az önaláírt főtanúsítvány létrehozása. Futtassa az alábbi parancsot.

    $cert = New-SelfSignedCertificate -Type Custom -KeySpec Signature `
-Subject "CN=P2SRootCert" -KeyExportPolicy Exportable `
-HashAlgorithm sha256 -KeyLength 2048 `
-CertStoreLocation "Cert:\CurrentUser\My" -KeyUsageProperty Sign -KeyUsage CertSign

  2. Ezután hozzon létre egy ügyféltanúsítványt, amelyet az új főtanúsítvány írt alá.

    New-SelfSignedCertificate -Type Custom -DnsName P2SChildCert -KeySpec Signature `
-Subject "CN=P2SChildCert" -KeyExportPolicy Exportable `
-HashAlgorithm sha256 -KeyLength 2048 `
-CertStoreLocation "Cert:\CurrentUser\My" `
-Signer $cert -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.2")

A tanúsítvány nyilvános kulcsának exportálása

A tanúsítványok létrehozása után exportálnunk kell a főtanúsítvány nyilvános kulcsát.

  1. Futtassa a PowerShellben a certmgr parancsot a Tanúsítványkezelő megnyitásához.

  2. Lépjen a Navigate to Személyes>Tanúsítványok területre.

  3. Kattintson a jobb gombbal a P2SRootCert tanúsítványra a listában, és válassza a Minden tevékenység>exportálása lehetőséget.

  4. A Tanúsítvány exportálása varázslóban válassza a Tovább gombot.

  5. Győződjön meg arról, hogy Nem, ne exportálja a titkos kulcsot, majd válassza a Tovább gombot.

  6. A Fájlformátum exportálása lapon győződjön meg arról, hogy a Base-64 kódolású X.509 (. CER) van kiválasztva, majd válassza a Tovább gombot.

  7. Az Exportálandó fájl lap Fájlnév területén keresse meg a kívánt helyet, és mentse a fájlt P2SRootCert.cer formátumban, majd válassza a Tovább gombot.

  8. A Tanúsítványexportálási varázsló lapján válassza a Befejezés lehetőséget.

  9. A Tanúsítványexportálási varázsló üzenetmezőjén válassza az OK gombot.

A főtanúsítvány nyilvánoskulcs-adatainak feltöltése

  1. A PowerShell-ablakban futtassa a következő parancsot a tanúsítványnév változójának deklarálásához.

    $P2SRootCertName = "P2SRootCert.cer"

  2. Cserélje le a <cert-path> helyőrzőt a főtanúsítvány exportálási helyére, és futtassa a következő parancsot.

    $filePathForCert = "<cert-path>\P2SRootCert.cer"
$cert = new-object System.Security.Cryptography.X509Certificates.X509Certificate2($filePathForCert)
$CertBase64 = [system.convert]::ToBase64String($cert.RawData)
$p2srootcert = New-AzVpnClientRootCertificate -Name $P2SRootCertName -PublicCertData $CertBase64

  3. A csoportnév beállítása után töltse fel a tanúsítványt az Azure-ba a következő paranccsal.

    Add-AzVpnClientRootCertificate -VpnClientRootCertificateName $P2SRootCertName -VirtualNetworkGatewayname $GWName -ResourceGroupName $ResourceGroup -PublicCertData $CertBase64

    Az Azure mostantól megbízható főtanúsítványként fogja felismerni a tanúsítványt a virtuális hálózatban.

A natív VPN-ügyfél konfigurálása

  1. Az alábbi parancs végrehajtásával hozzon létre VPN-ügyfélkonfigurációs fájlokat .ZIP formátumban.

    $profile = New-AzVpnClientConfiguration -ResourceGroupName $ResourceGroup -Name $GWName -AuthenticationMethod "EapTls"
$profile.VPNProfileSASUrl

  2. Másolja ki a parancs kimenetében visszaadott URL-címet, és illessze be a böngészőbe. A böngésző elkezdi a .ZIP fájl letöltését. Bontsa ki az archívum tartalmát, és helyezze el egy megfelelő helyen.

    Egyes böngészők megpróbálhatják letiltani a .ZIP fájl letöltését, mert veszélyesnek látják. Ezt felül kell bírálnia a böngészőben, hogy kinyerhesse az archívum tartalmát.

  3. A kibontott mappában keresse meg a WindowsAmd64 mappát (64 bites Windows-számítógépen) vagy a WindowsX86 mappát (32 bites számítógépen).

    Ha VPN-t szeretne konfigurálni egy nem Windows rendszerű gépen, használja az Általános mappa tanúsítványait és beállításfájljait.

  4. Kattintson duplán a VpnClientSetup{architecture}.exe fájlra az {architecture} architektúra tükrözésével.

  5. A Windows védett számítógép képernyőjén válassza a További információ, majd a Futtatás elemet.

  6. A Felhasználói fiókok felügyelete párbeszédpanelen válassza az Igen lehetőséget.

  7. A VNetData párbeszédpanelen válassza az Igen lehetőséget.

Csatlakozás az Azure-hoz

  1. Nyomja le a Windows billentyűt, írja be a Gépház, majd nyomja le a kbd>Enter billentyűt.

  2. Az Gépház ablakban válassza a Hálózat és az Internet lehetőséget.

  3. A bal oldali panelen válassza a VPN lehetőséget.

  4. A jobb oldali panelen válassza a VNetData, majd a Csatlakozás lehetőséget.

  5. A VNetData ablakban válassza a Csatlakozás.

  6. A következő VNetData ablakban válassza a Folytatás lehetőséget.

  7. A Felhasználói fiókok kezelése üzenetmezőben válassza az Igen lehetőséget.

Ha ezek a lépések nem működnek, előfordulhat, hogy újra kell indítania a számítógépet.

A kapcsolat ellenőrzése

  1. Egy új Windows-parancssorból futtassa az alábbi parancsot: IPCONFIG /ALL.

  2. Másolja ki az IP-címet a PPP-adapter VNetData területéről, vagy írja le.

  3. Győződjön meg arról, hogy az IP-cím a 172.16.201.0/24 VPNClientAddressPool tartományban van.

  4. Sikeresen csatlakozott az Azure VPN-átjáróhoz.

Most állított be egy VPN-átjárót, amely lehetővé teszi, hogy titkosított ügyfélkapcsolatot létesítsen egy Azure-beli virtuális hálózattal. Ez a megközelítés kiválóan alkalmazható az ügyfélszámítógépekre és a kisebb helyek közötti kapcsolatokra.