Mengonfigurasikan koneksi VPN Situs-ke-Situs melalui peering privat ExpressRoute

  • Artikel

Anda dapat mengonfigurasikan VPN Situs-ke-Situs ke gateway jaringan virtual melalui peering privat ExpressRoute menggunakan alamat IP RFC 1918. Konfigurasi ini memberikan manfaat berikut:

  • Lalu lintas melalui peering privat dienkripsi.

  • Pengguna titik-ke-situs yang tersambung ke gateway jaringan virtual dapat menggunakan ExpressRoute (melalui tunnel Situs-ke-Situs) untuk mengakses sumber daya lokal.

  • Dimungkinkan untuk menyebarkan koneksi VPN Situs-ke-Situs melalui peering privat ExpressRoute pada saat yang sama dengan koneksi VPN Situs-ke-Situs melalui Internet pada gateway VPN yang sama.

Fitur ini tersedia untuk semua SKU VPN kecuali untuk SKU Dasar.

Prasyarat

Untuk menyelesaikan konfigurasi ini, pastikan Anda memenuhi prasyarat berikut:

  • Memiliki sirkuit ExpressRoute fungsional yang ditautkan ke VNet tempat gateway VPN sudah (atau akan) dibuat.

  • Dapat menjangkau sumber daya melalui IP RFC1918 (privat) di VNet melalui sirkuit ExpressRoute.

Perutean

Gambar 1 menunjukkan contoh konektivitas VPN melalui peering privat ExpressRoute. Dalam contoh ini, Anda melihat jaringan di jaringan lokal yang tersambung ke gateway VPN hub Azure melalui peering privat ExpressRoute. Satu aspek penting dari konfigurasi ini adalah perutean antara jaringan lokal dan Azure, baik melalui jalur ExpressRoute maupun VPN.

Gambar 1

Figure 1

Cara membuat konektivitas cukup mudah:

  1. Membuat konektivitas ExpressRoute dengan sirkuit ExpressRoute dan peering privat.

  2. Buat konektivitas VPN menggunakan langkah-langkah dalam artikel ini.

Lalu lintas dari jaringan lokal ke Azure

Untuk lalu lintas dari jaringan lokal ke Azure, awalan Azure diiklankan melalui BGP peering privat ExpressRoute, dan VPN BGP jika BGP dikonfigurasi di VPN Gateway Anda. Hasilnya adalah dua rute jaringan (jalur) ke Azure dari jaringan lokal:

• Satu rute jaringan melalui jalur yang dilindungi IPsec.

• Satu rute jaringan langsung melalui ExpressRoute tanpa perlindungan IPsec.

Untuk menerapkan enkripsi ke komunikasi, Anda harus memastikan bahwa bagi jaringan yang terhubung ke VPN di Gambar 1, rute Azure melalui gateway VPN lokal lebih diutamakan daripada jalur ExpressRoute langsung.

Lalu lintas dari Azure ke jaringan lokal

Syarat yang sama berlaku untuk lalu lintas dari Azure ke jaringan lokal. Untuk memastikan jalur IPsec lebih diutamakan daripada jalur ExpressRoute langsung (tanpa IPsec), Anda memiliki dua opsi:

Memberitahukan prefiks yang lebih spesifik pada sesi BGP VPN untuk jaringan yang terhubung ke VPN. Anda dapat memberitahukan rentang lebih besar yang mencakup jaringan yang terhubung ke VPN melalui peering privat ExpressRoute, lalu rentang yang lebih spesifik dalam sesi BGP VPN. Misalnya, tawarkan 10.0.0.0/16 melalui ExpressRoute, dan 10.0.1.0/24 melalui VPN.

Memberitahukan prefiks terpisah untuk VPN dan ExpressRoute. Jika rentang jaringan yang terhubung ke VPN terpisah dari jaringan terhubung ExpressRoute lainnya, Anda dapat memberitahukan prefiks dalam sesi BGP VPN dan ExpressRoute secara masing-masing. Misalnya, tawarkan 10.0.0.0/24 melalui ExpressRoute, dan 10.0.1.0/24 melalui VPN.

Dalam kedua contoh ini, Azure akan mengirimkan lalu lintas ke 10.0.1.0/24 melalui koneksi VPN, bukan langsung melalui ExpressRoute tanpa perlindungan VPN.

Peringatan

Jika Anda menawarkan awalan yang sama melalui koneksi ExpressRoute dan VPN, >Azure akan menggunakan jalur ExpressRoute secara langsung tanpa perlindungan VPN.

Langkah-langkah portal

  1. Mengonfigurasikan koneksi Situs-ke-Situs. Untuk langkah-langkahnya, lihat artikel Konfigurasi situs-ke-situs. Pastikan untuk memilih gateway dengan IP Publik Standar.

    Gateway Private IPs

  2. Aktifkan IP Privat di gateway. Pilih Konfigurasi, lalu atur IP Privat Gateway ke Aktif. Pilih Simpan untuk menerapkan perubahan.

  3. Di halaman Gambaran Umum, pilih Lihat Lainnya untuk menampilkan alamat IP privat. Tulis informasi ini untuk digunakan nanti di langkah-langkah konfigurasi.

    Overview page

  4. Untuk mengaktifkan Gunakan Alamat IP Privat Azure pada koneksi, pilih Konfigurasi. Atur Gunakan Alamat IP Privat Azure ke Aktif, lalu pilih Simpan.

    Gateway Private IPs - Enabled

  5. Gunakan IP privat yang Anda tulis di langkah 3 sebagai IP jarak jauh di firewall lokal Anda untuk membuat tunnel Situs ke Situs melalui peering privat ExpressRoute.

    Catatan

    Configurig BGP di VPN Gateway Anda tidak diperlukan untuk mencapai koneksi VPN melalui peering privat ExpressRoute.

Langkah-langkah PowerShell

  1. Mengonfigurasikan koneksi Situs-ke-Situs. Untuk langkah-langkahnya, baca artikel Mengonfigurasikan VPN Situs-ke-Situs. Pastikan untuk memilih gateway dengan IP Publik Standar.

  2. Atur penanda untuk menggunakan IP privat di gateway menggunakan perintah PowerShell berikut:

    $Gateway = Get-AzVirtualNetworkGateway -Name <name of gateway> -ResourceGroup <name of resource group>

Set-AzVirtualNetworkGateway -VirtualNetworkGateway $Gateway -EnablePrivateIpAddress $true

    Anda akan melihat alamat IP publik dan privat. Tulis alamat IP di bawah bagian “TunnelIpAddresses” output. Anda akan menggunakan informasi ini di langkah selanjutnya.

  3. Atur koneksi untuk menggunakan alamat IP privat menggunakan perintah PowerShell berikut:

    $Connection = get-AzVirtualNetworkGatewayConnection -Name <name of the connection> -ResourceGroupName <name of resource group>

Set-AzVirtualNetworkGatewayConnection --VirtualNetworkGatewayConnection $Connection -UseLocalAzureIpAddress $true

  4. Dari firewall, ping IP privat yang sudah Anda tulis di langkah 2. IP harus dapat dijangkau melalui peering privat ExpressRoute.

  5. Gunakan IP privat ini sebagai IP jarak jauh di firewall lokal Anda untuk membuat tunnel Situs-ke-Situs melalui peering privat ExpressRoute.

Langkah berikutnya

Untuk informasi selengkapnya tentang VPN Gateway, lihat Apa itu VPN Gateway?