Feladat – Azure VPN Gateway létrehozása
Biztosítani szeretné, hogy a környezetében lévő ügyfeleket vagy webhelyeket titkosított csatornákkal csatlakoztassa az Azure-hoz a nyilvános interneten keresztül. Ebben a gyakorlatban pont–hely VPN-átjárót hozhat létre, majd egy ügyfélszámítógépről csatlakozhat ehhez az átjáróhoz. Natív Azure-tanúsítvánnyal hitelesített kapcsolatokat használhat a védelemhez.
A következő folyamatot fogja végrehajtani:
Útvonalalapú VPN-átjáró létrehozása.
Főtanúsítvány nyilvános kulcsának feltöltése hitelesítési célokból.
Ügyféltanúsítvány létrehozása a főtanúsítványból, majd az ügyféltanúsítvány telepítése a virtuális hálózathoz csatlakozó összes ügyfélszámítógépre hitelesítési célokból.
VPN-ügyfélkonfigurációs fájlok létrehozása, amelyek azokat az adatokat tartalmazzák, amelyekre az ügyfélnek szüksége van a virtuális hálózathoz való csatlakozáshoz.
Beállítás
A modul végrehajtásához az Azure PowerShellt fogja használni a helyi, Windows 10-es számítógépén.
Nyisson meg egy új PowerShell-munkamenetet a helyi Windows 10-számítógépen, ahol telepítette az Azure PowerShell-modult.
Jelentkezzen be az Azure-ba a PowerShell-parancsmag
Connect-AzAccount
futtatásával.Állítsa be a virtuális hálózat létrehozásához szükséges változókat. Másolja és illessze be a következő változókat a PowerShellbe.
$VNetName = "VNetData"
$FESubName = "FrontEnd"
$BESubName = "Backend"
$GWSubName = "GatewaySubnet"
$VNetPrefix1 = "192.168.0.0/16"
$VNetPrefix2 = "10.254.0.0/16"
$FESubPrefix = "192.168.1.0/24"
$BESubPrefix = "10.254.1.0/24"
$GWSubPrefix = "192.168.200.0/26"
$VPNClientAddressPool = "172.16.201.0/24"
$ResourceGroup = "VpnGatewayDemo"
$Location = "East US"
$GWName = "VNetDataGW"
$GWIPName = "VNetDataGWPIP"
$GWIPconfName = "gwipconf"
Virtuális hálózat konfigurálása
Futtassa az alábbi parancsot egy erőforráscsoport létrehozásához.
New-AzResourceGroup -Name $ResourceGroup -Location $Location
Az alábbi paranccsal hozza létre a virtuális hálózat alhálózati konfigurációit. Ezek a konfigurációk a FrontEnd, a BackEnd és a GatewaySubnet nevet viselik. Ezen alhálózatok mindegyike a virtuális hálózat előtagjában szerepel.
$fesub = New-AzVirtualNetworkSubnetConfig -Name $FESubName -AddressPrefix $FESubPrefix $besub = New-AzVirtualNetworkSubnetConfig -Name $BESubName -AddressPrefix $BESubPrefix $gwsub = New-AzVirtualNetworkSubnetConfig -Name $GWSubName -AddressPrefix $GWSubPrefix
Ezután az alábbi paranccsal hozza létre a virtuális hálózatot az alhálózat értékeivel és egy statikus DNS-kiszolgálóval.
New-AzVirtualNetwork -Name $VNetName -ResourceGroupName $ResourceGroup -Location $Location -AddressPrefix $VNetPrefix1,$VNetPrefix2 -Subnet $fesub, $besub, $gwsub -DnsServer 10.2.1.3
Most adja meg a létrehozott hálózat változóit.
$vnet = Get-AzVirtualNetwork -Name $VNetName -ResourceGroupName $ResourceGroup $subnet = Get-AzVirtualNetworkSubnetConfig -Name $GWSubName -VirtualNetwork $vnet
Az alábbi paranccsal kérjen egy dinamikusan hozzárendelt nyilvános IP-címet.
$pip = New-AzPublicIpAddress -Name $GWIPName -ResourceGroupName $ResourceGroup -Location $Location -AllocationMethod Dynamic $ipconf = New-AzVirtualNetworkGatewayIpConfig -Name $GWIPconfName -Subnet $subnet -PublicIpAddress $pip
A VPN-átjáró létrehozása
A VPN-átjáró létrehozásakor:
- A GatewayType csak Vpn lehet
- A VpnType csak RouteBased lehet
A gyakorlat ezen része akár 45 percet is igénybe vehet.
A VPN-átjáró létrehozásához futtassa a következő parancsot, és nyomja le az Enter billentyűt.
New-AzVirtualNetworkGateway -Name $GWName -ResourceGroupName $ResourceGroup ` -Location $Location -IpConfigurations $ipconf -GatewayType Vpn ` -VpnType RouteBased -EnableBgp $false -GatewaySku VpnGw1 -VpnClientProtocol "IKEv2"
Várja meg a parancs kimenetének megjelenését.
A VPN-ügyfélcímkészlet hozzáadása
Az alábbi paranccsal adja hozzá a VPN-ügyfélcímkészletet.
$Gateway = Get-AzVirtualNetworkGateway -ResourceGroupName $ResourceGroup -Name $GWName Set-AzVirtualNetworkGateway -VirtualNetworkGateway $Gateway -VpnClientAddressPool $VPNClientAddressPool
Várja meg a parancs kimenetének megjelenését.
Ügyféltanúsítvány létrehozása
Miután elkészült az Azure-on a hálózati infrastruktúra, létre kell hoznunk egy önaláírt ügyféltanúsítványt a helyi gépen. Ez a létrehozás a legtöbb operációs rendszeren hasonlóan elvégezhető, de bemutatjuk, hogyan hozhatja létre ügyféltanúsítványát Windows 10-en a PowerShell használatával az Azure PowerShell modullal és a Windows Tanúsítványkezelő segédprogrammal.
Az első lépés az önaláírt főtanúsítvány létrehozása. Futtassa az alábbi parancsot.
$cert = New-SelfSignedCertificate -Type Custom -KeySpec Signature ` -Subject "CN=P2SRootCert" -KeyExportPolicy Exportable ` -HashAlgorithm sha256 -KeyLength 2048 ` -CertStoreLocation "Cert:\CurrentUser\My" -KeyUsageProperty Sign -KeyUsage CertSign
Ezután hozzon létre egy ügyféltanúsítványt, amelyet az új főtanúsítvány írt alá.
New-SelfSignedCertificate -Type Custom -DnsName P2SChildCert -KeySpec Signature ` -Subject "CN=P2SChildCert" -KeyExportPolicy Exportable ` -HashAlgorithm sha256 -KeyLength 2048 ` -CertStoreLocation "Cert:\CurrentUser\My" ` -Signer $cert -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.2")
A tanúsítvány nyilvános kulcsának exportálása
A tanúsítványok létrehozása után exportálnunk kell a főtanúsítvány nyilvános kulcsát.
Futtassa a PowerShellben a
certmgr
parancsot a Tanúsítványkezelő megnyitásához.Lépjen a Navigate to Személyes>Tanúsítványok területre.
Kattintson a jobb gombbal a P2SRootCert tanúsítványra a listában, és válassza a Minden tevékenység>exportálása lehetőséget.
A Tanúsítvány exportálása varázslóban válassza a Tovább gombot.
Győződjön meg arról, hogy Nem, ne exportálja a titkos kulcsot, majd válassza a Tovább gombot.
A Fájlformátum exportálása lapon győződjön meg arról, hogy a Base-64 kódolású X.509 (. CER) van kiválasztva, majd válassza a Tovább gombot.
Az Exportálandó fájl lap Fájlnév területén keresse meg a kívánt helyet, és mentse a fájlt P2SRootCert.cer formátumban, majd válassza a Tovább gombot.
A Tanúsítványexportálási varázsló lapján válassza a Befejezés lehetőséget.
A Tanúsítványexportálási varázsló üzenetmezőjén válassza az OK gombot.
A főtanúsítvány nyilvánoskulcs-adatainak feltöltése
A PowerShell-ablakban futtassa a következő parancsot a tanúsítványnév változójának deklarálásához.
$P2SRootCertName = "P2SRootCert.cer"
Cserélje le a
<cert-path>
helyőrzőt a főtanúsítvány exportálási helyére, és futtassa a következő parancsot.$filePathForCert = "<cert-path>\P2SRootCert.cer" $cert = new-object System.Security.Cryptography.X509Certificates.X509Certificate2($filePathForCert) $CertBase64 = [system.convert]::ToBase64String($cert.RawData) $p2srootcert = New-AzVpnClientRootCertificate -Name $P2SRootCertName -PublicCertData $CertBase64
A csoportnév beállítása után töltse fel a tanúsítványt az Azure-ba a következő paranccsal.
Add-AzVpnClientRootCertificate -VpnClientRootCertificateName $P2SRootCertName -VirtualNetworkGatewayname $GWName -ResourceGroupName $ResourceGroup -PublicCertData $CertBase64
Az Azure mostantól megbízható főtanúsítványként fogja felismerni a tanúsítványt a virtuális hálózatban.
A natív VPN-ügyfél konfigurálása
Az alábbi parancs végrehajtásával hozzon létre VPN-ügyfélkonfigurációs fájlokat .ZIP formátumban.
$profile = New-AzVpnClientConfiguration -ResourceGroupName $ResourceGroup -Name $GWName -AuthenticationMethod "EapTls" $profile.VPNProfileSASUrl
Másolja ki a parancs kimenetében visszaadott URL-címet, és illessze be a böngészőbe. A böngésző elkezdi a .ZIP fájl letöltését. Bontsa ki az archívum tartalmát, és helyezze el egy megfelelő helyen.
Egyes böngészők megpróbálhatják letiltani a .ZIP fájl letöltését, mert veszélyesnek látják. Ezt felül kell bírálnia a böngészőben, hogy kinyerhesse az archívum tartalmát.
A kibontott mappában keresse meg a WindowsAmd64 mappát (64 bites Windows-számítógépen) vagy a WindowsX86 mappát (32 bites számítógépen).
Ha VPN-t szeretne konfigurálni egy nem Windows rendszerű gépen, használja az Általános mappa tanúsítványait és beállításfájljait.
Kattintson duplán a VpnClientSetup{architecture}.exe fájlra az
{architecture}
architektúra tükrözésével.A Windows védett számítógép képernyőjén válassza a További információ, majd a Futtatás elemet.
A Felhasználói fiókok felügyelete párbeszédpanelen válassza az Igen lehetőséget.
A VNetData párbeszédpanelen válassza az Igen lehetőséget.
Csatlakozás az Azure-hoz
Nyomja le a Windows billentyűt, írja be a Gépház, majd nyomja le a kbd>Enter billentyűt.
Az Gépház ablakban válassza a Hálózat és az Internet lehetőséget.
A bal oldali panelen válassza a VPN lehetőséget.
A jobb oldali panelen válassza a VNetData, majd a Csatlakozás lehetőséget.
A VNetData ablakban válassza a Csatlakozás.
A következő VNetData ablakban válassza a Folytatás lehetőséget.
A Felhasználói fiókok kezelése üzenetmezőben válassza az Igen lehetőséget.
Ha ezek a lépések nem működnek, előfordulhat, hogy újra kell indítania a számítógépet.
A kapcsolat ellenőrzése
Egy új Windows-parancssorból futtassa az alábbi parancsot:
IPCONFIG /ALL
.Másolja ki az IP-címet a PPP-adapter VNetData területéről, vagy írja le.
Győződjön meg arról, hogy az IP-cím a 172.16.201.0/24 VPNClientAddressPool tartományban van.
Sikeresen csatlakozott az Azure VPN-átjáróhoz.
Most állított be egy VPN-átjárót, amely lehetővé teszi, hogy titkosított ügyfélkapcsolatot létesítsen egy Azure-beli virtuális hálózattal. Ez a megközelítés kiválóan alkalmazható az ügyfélszámítógépekre és a kisebb helyek közötti kapcsolatokra.