Menyiapkan gateway VPN untuk Azure Stack Hub menggunakan FortiGate NVA
Artikel ini menjelaskan cara membuat koneksi VPN ke Azure Stack Hub Anda. Gateway VPN adalah jenis gateway jaringan virtual yang mengirimkan lalu lintas terenkripsi antara jaringan virtual Anda di Azure Stack Hub dan gateway VPN jarak jauh. Prosedur di bawah ini menyebarkan satu VNET dengan FortiGate NVA, appliance virtual jaringan, dalam grup sumber daya. Ini juga menyediakan langkah-langkah untuk menyiapkan VPN IPSec di FortiGate NVA.
Prasyarat
Akses ke sistem Azure Stack Hub dengan kapasitas yang tersedia untuk menyebarkan persyaratan komputasi, jaringan, dan sumber daya yang diperlukan untuk solusi ini.
Catatan
Petunjuk ini tidak akan berfungsi dengan Azure Stack Development Kit (ASDK) karena batasan jaringan di ASDK. Untuk informasi selengkapnya, lihat Persyaratan dan pertimbangan ASDK.
Akses ke perangkat VPN di jaringan lokal yang menghosting sistem terintegrasi Azure Stack Hub. Perangkat perlu membuat terowongan IPSec, yang memenuhi parameter yang dijelaskan dalam Parameter penyebaran.
Solusi alat virtual jaringan (NVA) tersedia di Marketplace Azure Stack Hub Anda. NVA mengontrol alur lalu lintas jaringan dari jaringan sekitar ke jaringan atau subnet lain. Prosedur ini menggunakan Solusi Mesin Virtual Tunggal Firewall Fortinet FortiGate Next-Generation.
Catatan
Jika Anda tidak memiliki Fortinet FortiGate-VM Untuk Azure BYOL dan FortiGate NGFW - Penyebaran VM Tunggal (BYOL) tersedia di Marketplace Azure Stack Hub, hubungi operator cloud Anda.
Untuk mengaktifkan FortiGate NVA, Anda memerlukan setidaknya satu file lisensi FortiGate yang tersedia. Informasi tentang cara memperoleh lisensi ini, lihat artikel Pustaka Dokumen Fortinet Mendaftarkan dan mengunduh lisensi Anda.
Prosedur ini menggunakan penyebaran FortiGate-VM Tunggal. Anda dapat menemukan langkah-langkah tentang cara menyambungkan NVA FortiGate ke VNET Azure Stack Hub di jaringan lokal Anda.
Untuk informasi selengkapnya tentang cara menyebarkan solusi FortiGate dalam penyiapan aktif-pasif (HA), lihat detailnya di artikel Pustaka Dokumen Fortinet HA untuk FortiGate-VM di Azure.
Parameter penyebaran
Tabel berikut meringkas parameter yang digunakan dalam penyebaran ini sebagai referensi.
Parameter | Nilai |
---|---|
Nama Instans FortiGate | forti1 |
Lisensi/Versi BYOL | 6.0.3 |
Nama pengguna administratif FortiGate | fortiadmin |
Nama Grup Sumber Daya | forti1-rg1 |
Nama jaringan virtual | forti1vnet1 |
Ruang Alamat VNET | 172.16.0.0/16* |
Nama subnet VNET publik | forti1-PublicFacingSubnet |
Prefiks alamat VNET publik | 172.16.0.0/24* |
Di dalam nama subnet VNET | forti1-InsideSubnet |
Prefiks di dalam subnet VNET | 172.16.1.0/24* |
Ukuran Mesin Virtual NVA FortiGate | F2s_v2 standar |
Nama alamat IP publik | forti1-publicip1 |
Jenis alamat IP publik | Statis |
Catatan
* Pilih ruang alamat dan prefiks subnet yang berbeda jika 172.16.0.0/16
tumpang tindih dengan jaringan lokal atau kumpulan VIP Azure Stack Hub.
Menyebarkan item Marketplace FortiGate NGFW
Buka portal pengguna Azure Stack Hub.
Pilih Buat sumber daya dan cari .
Pilih FortiGate NGFW dan pilih Buat.
Lengkapi Dasar-dasar menggunakan parameter dari tabel Parameter penyebaran.
PilihOK.
Berikan detail ukuran jaringan Virtual, Subnet, dan Mesin Virtual menggunakan tabel Parameter penyebaran.
Peringatan
Jika jaringan lokal tumpang tindih dengan rentang IP
172.16.0.0/16
, Anda harus memilih dan menyiapkan rentang jaringan dan subnet yang berbeda. Jika Anda ingin menggunakan nama dan rentang yang berbeda dari yang ada di tabel Parameter penyebaran, gunakan parameter yang tidak akan bertentangan dengan jaringan lokal. Berhati-hatilah saat mengatur rentang IP VNET dan rentang subnet dalam VNET. Anda tidak ingin rentang tersebut tumpang tindih dengan rentang IP yang ada di jaringan lokal Anda.PilihOK.
Konfigurasikan IP Publik untuk FortiGate NVA:
PilihOK. Dan kemudian, pilih OK.
Pilih Buat.
Penyebaran akan memakan waktu sekitar 10 menit.
Mengonfigurasi rute (UDR) untuk VNET
Buka portal pengguna Azure Stack Hub.
Pilih grup Sumber Daya. Ketik
forti1-rg1
dalam filter dan klik dua kali grup sumber daya forti1-rg1.Pilih sumber daya 'forti1-forti1-InsideSubnet-routes-xxxx'.
Pilih Rute di bawah Pengaturan.
Hapus Rute to-Internet.
Pilih Ya.
Pilih Tambahkan untuk menambahkan rute baru.
Beri nama rute
to-onprem
.Masukkan rentang jaringan IP yang mendefinisikan rentang jaringan lokal tempat VPN akan tersambung.
Pilih Appliance virtual untuk jenis lompatan berikutnya dan . Gunakan rentang IP Anda jika Anda menggunakan rentang IP yang berbeda.
Pilih Simpan.
Mengaktifkan FortiGate NVA
Aktifkan FortiGate NVA dan siapkan koneksi VPN IPSec pada setiap NVA.
Untuk mengaktifkan setiap FortiGate NVA akan memerlukan file lisensi yang valid dari Fortinet. NVA tidak akan berfungsi sampai Anda mengaktifkan setiap NVA. Untuk informasi selengkapnya tentang cara mendapatkan file lisensi dan langkah-langkah untuk mengaktifkan NVA, lihat artikel Pustaka Dokumen Fortinet Mendaftarkan dan mengunduh lisensi Anda.
Setelah Anda mengaktifkan NVA, buat terowongan VPN IPSec di NVA.
Buka portal pengguna Azure Stack Hub.
Pilih grup Sumber Daya. Masukkan
forti1
dalam filter dan klik dua kali grup sumber daya forti1.Klik dua kali mesin virtual forti1 dalam daftar jenis sumber daya di bilah grup sumber daya.
Salin alamat IP yang ditetapkan, buka browser, dan tempel alamat IP ke bilah alamat. Situs ini dapat memicu peringatan bahwa sertifikat keamanan tidak dapat dipercaya. Lanjutkan saja.
Masukkan nama pengguna administratif dan kata sandi FortiGate yang Anda buat selama penyebaran.
Pilih FirmwareSistem.
Pilih kotak yang menampilkan firmware terbaru, misalnya,
FortiOS v6.2.0 build0866
.Pilih Konfigurasi cadangan dan peningkatanLanjutkan.
NVA memperbarui firmware-nya ke build dan reboot terbaru. Prosesnya memakan waktu sekitar lima menit. Masuk kembali ke konsol web FortiGate.
Klik VPNWizard IPSec.
Masukkan nama untuk VPN, misalnya,
conn1
dalamconn1
.Pilih Situs ini berada di belakang NAT.
Pilih Selanjutnya.
Masukkan alamat IP jarak jauh dari perangkat VPN lokal yang akan Anda sambungkan.
Pilih port1 sebagai Antarmuka Keluar.
Pilih Kunci sebelum Berbagi dan masukkan (dan catatan) kunci yang telah dibagikan sebelumnya.
Catatan
Anda akan memerlukan kunci ini untuk menyiapkan koneksi pada perangkat VPN lokal, yaitu, harus sama persis.
Pilih Selanjutnya.
Pilih port2 untuk Antarmuka Lokal.
Masukkan rentang subnet lokal:
- forti1: 172.16.0.0/16
- forti2: 172.17.0.0/16
Gunakan rentang IP Anda jika Anda menggunakan rentang IP yang berbeda.
Masukkan Subnet Jarak Jauh yang sesuai yang mewakili jaringan lokal, tempat Anda akan tersambung melalui perangkat VPN lokal.
Pilih Buat
Pilih AntarmukaJaringan.
Klik dua kali port2.
Pilih LAN dalam daftar Peran dan DHCP untuk mode Pengalamatan.
PilihOK.
Mengonfigurasi VPN lokal
Perangkat VPN lokal harus dikonfigurasi untuk membuat terowongan VPN IPSec. Tabel berikut menyediakan parameter yang Anda perlukan untuk mengatur perangkat VPN lokal. Untuk informasi tentang cara mengonfigurasi perangkat VPN lokal, lihat dokumentasi perangkat Anda.
Parameter | Nilai |
---|---|
IP Gateway Jarak Jauh | Alamat IP publik yang ditetapkan untuk forti1 - lihat Mengaktifkan NVA FortiGate. |
Jaringan IP Jarak Jauh | 172.16.0.0/16 (jika menggunakan rentang IP dalam petunjuk ini untuk VNET). |
Metode Autentikasi = Kunci yang dibagikan sebelumnya (PSK) | Dari Langkah 16. |
Versi IKE | 1 |
Mode IKE | Utama (perlindungan ID) |
Algoritma Proposal Fase 1 | AES128-SHA256, AES256-SHA256, AES128-SHA1, AES256-SHA1 |
Grup Diffie-Hellman | 14, 5 |
Membuat terowongan VPN
Setelah perangkat VPN lokal dikonfigurasi dengan benar, terowongan VPN sekarang dapat dibuat.
Dari FortiGate NVA:
Di konsol web FortiGate forti1, buka MonitorMonitor IPsec.
Sorot conn1 dan pilih MunculkanSemua Pemilih Fase 2.
Menguji dan memvalidasi konektivitas
Anda dapat merutekan antara jaringan VNET dan jaringan lokal melalui perangkat VPN lokal.
Untuk memvalidasi koneksi:
Buat VM di VNET Azure Stack Hub dan sistem di jaringan lokal. Anda dapat mengikuti petunjuk untuk membuat VM di Mulai Cepat: Membuat VM server Windows dengan portal Azure Stack Hub.
Saat membuat VM Azure Stack Hub dan menyiapkan sistem lokal, periksa:
VM Azure Stack Hub ditempatkan di InsideSubnet VNET.
Sistem lokal ditempatkan pada jaringan lokal dalam rentang IP yang ditentukan seperti yang ditentukan dalam konfigurasi IPSec. Pastikan juga bahwa alamat IP antarmuka lokal perangkat VPN lokal diberikan ke sistem lokal sebagai rute yang dapat menjangkau jaringan VNET Azure Stack Hub, misalnya,
172.16.0.0/16
.Jangan menerapkan NSG apa pun ke VM Azure Stack Hub saat pembuatan. Anda mungkin perlu menghapus NSG yang akan ditambahkan secara default jika membuat VM dari portal.
Pastikan OS sistem lokal dan OS VM Azure Stack Hub tidak memiliki aturan firewall OS yang akan melarang komunikasi yang akan Anda gunakan untuk menguji konektivitas. Untuk tujuan pengujian, sebaiknya nonaktifkan firewall sepenuhnya di dalam sistem operasi kedua sistem.
Langkah berikutnya
Perbedaan dan pertimbangan untuk jaringan Azure Stack Hub
Menawarkan solusi jaringan di Azure Stack Hub dengan Fortinet FortiGate