Sebelumnya

Berikutnya

Latihan - Membuat gateway Azure VPN

Selesai

Anda ingin memastikan bahwa Anda dapat menyambungkan klien atau situs dalam lingkungan Anda ke Azure menggunakan terowongan terenkripsi di internet publik. Di unit ini, Anda akan membuat gateway VPN titik-ke-situs, lalu menyambungkan ke gateway tersebut dari komputer klien Anda. Anda akan menggunakan koneksi autentikasi sertifikat Azure asli untuk keamanan.

Anda akan melakukan proses berikut:

1. Membuat gateway VPN RouteBased.

2. Mengunggah kunci publik untuk sertifikat akar untuk tujuan autentikasi.

3. Membuat sertifikat klien dari sertifikat akar, lalu memasang sertifikat klien pada setiap komputer klien yang akan terhubung ke jaringan virtual untuk tujuan autentikasi.

4. Membuat file konfigurasi klien VPN yang berisi informasi yang diperlukan bagi klien untuk tersambung ke jaringan virtual.

Penyiapan

Untuk menyelesaikan modul ini, gunakan Azure PowerShell dari komputer Windows 10 lokal Anda.

1. Buka sesi PowerShell baru di komputer Windows 10 lokal tempat Anda menginstal modul Azure PowerShell.

2. Masuk ke Azure dengan menjalankan cmdlet Connect-AzAccount PowerShell.

3. Siapkan variabel yang akan Anda gunakan untuk membuat jaringan virtual. Salin dan tempelkan variabel berikut ke PowerShell.

$VNetName  = "VNetData"
$FESubName = "FrontEnd"
$BESubName = "Backend"
$GWSubName = "GatewaySubnet"
$VNetPrefix1 = "192.168.0.0/16"
$VNetPrefix2 = "10.254.0.0/16"
$FESubPrefix = "192.168.1.0/24"
$BESubPrefix = "10.254.1.0/24"
$GWSubPrefix = "192.168.200.0/26"
$VPNClientAddressPool = "172.16.201.0/24"
$ResourceGroup = "VpnGatewayDemo"
$Location = "East US"
$GWName = "VNetDataGW"
$GWIPName = "VNetDataGWPIP"
$GWIPconfName = "gwipconf"

Mengonfigurasikan jaringan virtual

1. Jalankan perintah berikut untuk membuat grup sumber daya.

   New-AzResourceGroup -Name $ResourceGroup -Location $Location
   

2. Jalankan perintah berikut untuk membuat konfigurasi subnet untuk jaringan virtual. Konfigurasi ini memiliki nama FrontEnd, BackEnd, dan GatewaySubnet. Semua subnet ini ada dalam prefiks jaringan virtual.

   $fesub = New-AzVirtualNetworkSubnetConfig -Name $FESubName -AddressPrefix $FESubPrefix
   $besub = New-AzVirtualNetworkSubnetConfig -Name $BESubName -AddressPrefix $BESubPrefix
   $gwsub = New-AzVirtualNetworkSubnetConfig -Name $GWSubName -AddressPrefix $GWSubPrefix
   

3. Selanjutnya, jalankan perintah berikut untuk membuat jaringan virtual menggunakan nilai subnet dan server DNS statis.

   New-AzVirtualNetwork -Name $VNetName -ResourceGroupName $ResourceGroup -Location $Location -AddressPrefix $VNetPrefix1,$VNetPrefix2 -Subnet $fesub, $besub, $gwsub -DnsServer 10.2.1.3
   

4. Sekarang tentukan variabel untuk jaringan ini yang telah Anda buat.

   $vnet = Get-AzVirtualNetwork -Name $VNetName -ResourceGroupName $ResourceGroup
   $subnet = Get-AzVirtualNetworkSubnetConfig -Name $GWSubName -VirtualNetwork $vnet
   

5. Jalankan perintah berikut untuk meminta alamat IP publik yang ditetapkan secara dinamis.

   $pip = New-AzPublicIpAddress -Name $GWIPName -ResourceGroupName $ResourceGroup -Location $Location -AllocationMethod Dynamic
   $ipconf = New-AzVirtualNetworkGatewayIpConfig -Name $GWIPconfName -Subnet $subnet -PublicIpAddress $pip
   

Buat gateway VPN

Saat membuat gateway VPN ini:

• GatewayType harus Vpn
• VpnType harus RouteBased

Bagian latihan ini dapat memakan waktu hingga 45 menit untuk diselesaikan.

1. Untuk membuat gateway VPN, jalankan perintah berikut ini, dan tekan Enter.

   New-AzVirtualNetworkGateway -Name $GWName -ResourceGroupName $ResourceGroup `
   -Location $Location -IpConfigurations $ipconf -GatewayType Vpn `
   -VpnType RouteBased -EnableBgp $false -GatewaySku VpnGw1 -VpnClientProtocol "IKEv2"
   

2. Tunggu hingga output perintah muncul.

Menambahkan kumpulan alamat klien VPN

1. Jalankan perintah berikut untuk menambahkan kumpulan alamat klien VPN.

   $Gateway = Get-AzVirtualNetworkGateway -ResourceGroupName $ResourceGroup -Name $GWName
   Set-AzVirtualNetworkGateway -VirtualNetworkGateway $Gateway -VpnClientAddressPool $VPNClientAddressPool
   

2. Tunggu hingga output perintah muncul.

Membuat sertifikat klien

Dengan infrastruktur jaringan yang dibuat di Azure, kita perlu membuat sertifikat klien yang ditandatangani sendiri di komputer lokal kita. Pembuatan ini dapat dilakukan sama pada sebagian besar sistem operasi, tetapi kami akan membahas cara membuat sertifikat klien Anda di Windows 10 menggunakan PowerShell dengan modul Azure PowerShell dan utilitas Windows Certificate Manager .

1. Langkah pertama adalah membuat sertifikat akar yang ditandatangani sendiri. Jalankan perintah berikut.

   $cert = New-SelfSignedCertificate -Type Custom -KeySpec Signature `
   -Subject "CN=P2SRootCert" -KeyExportPolicy Exportable `
   -HashAlgorithm sha256 -KeyLength 2048 `
   -CertStoreLocation "Cert:\CurrentUser\My" -KeyUsageProperty Sign -KeyUsage CertSign
   

2. Selanjutnya, buat sertifikat klien yang ditandatangani oleh sertifikat akar baru Anda.

   New-SelfSignedCertificate -Type Custom -DnsName P2SChildCert -KeySpec Signature `
   -Subject "CN=P2SChildCert" -KeyExportPolicy Exportable `
   -HashAlgorithm sha256 -KeyLength 2048 `
   -CertStoreLocation "Cert:\CurrentUser\My" `
   -Signer $cert -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.2")
   

Mengekspor kunci publik sertifikat

Dengan sertifikat kita yang dihasilkan, kita perlu mengekspor kunci publik sertifikat akar kita.

1. Jalankan certmgr dari PowerShell untuk membuka Manajer Sertifikat.

2. Buka Sertifikat>Pribadi.

3. Klik kanan sertifikat P2SRootCert dalam daftar, dan pilih Semua tugas>Ekspor.

4. Di Wizard Ekspor Sertifikat, pilih Berikutnya.

5. Pastikan bahwa Tidak, jangan ekspor kunci privat dipilih, lalu pilih Berikutnya.

6. Pada halaman Ekspor Format File, pastikan bahwa Base-64 encoded X.509 (.CER) dipilih, lalu pilih Berikutnya.

7. Di halaman File untuk Diekspor, di Nama file, navigasi ke lokasi yang akan Anda ingat, dan simpan file sebagai P2SRootCert.cer, lalu pilih Berikutnya.

8. Pada halaman Menyelesaikan Wizard Ekspor Sertifikat, pilih Selesai.

9. Pada kotak pesan Wizard Ekspor Sertifikat, pilih OK.

Mengunggah informasi kunci publik sertifikat akar

1. Di jendela PowerShell, jalankan perintah berikut ini untuk mendeklarasikan variabel untuk nama sertifikat.

   $P2SRootCertName = "P2SRootCert.cer"
   

2. Ganti placeholder <cert-path> dengan lokasi ekspor sertifikat akar Anda, dan jalankan perintah berikut.

   $filePathForCert = "<cert-path>\P2SRootCert.cer"
   $cert = new-object System.Security.Cryptography.X509Certificates.X509Certificate2($filePathForCert)
   $CertBase64 = [system.convert]::ToBase64String($cert.RawData)
   $p2srootcert = New-AzVpnClientRootCertificate -Name $P2SRootCertName -PublicCertData $CertBase64
   

3. Dengan set nama grup, unggah sertifikat ke Azure dengan perintah berikut.

   Add-AzVpnClientRootCertificate -VpnClientRootCertificateName $P2SRootCertName -VirtualNetworkGatewayname $GWName -ResourceGroupName $ResourceGroup -PublicCertData $CertBase64
   

   Azure sekarang akan mengenali sertifikat ini sebagai sertifikat akar tepercaya untuk jaringan virtual kita.

Mengonfigurasi klien VPN asli

1. Jalankan perintah berikut untuk membuat file konfigurasi klien VPN dalam format .ZIP.

   $profile = New-AzVpnClientConfiguration -ResourceGroupName $ResourceGroup -Name $GWName -AuthenticationMethod "EapTls"
   $profile.VPNProfileSASUrl
   

2. Salin URL yang dikembalikan dalam output dari perintah ini, dan tempelkan ke browser Anda. Browser Anda akan mulai mengunduh file .ZIP. Ekstrak konten arsip dan letakkan di lokasi yang sesuai.

   Beberapa browser awalnya akan mencoba memblokir pengunduhan file ZIP ini sebagai pengunduhan berbahaya. Anda harus mengambil alih ini di browser Anda untuk dapat mengekstrak konten arsip.

3. Di folder yang diekstrak, navigasikan ke folder WindowsAmd64 (untuk komputer Windows 64-bit) atau folder WindowsX86 (untuk komputer 32-bit).

   Jika Anda ingin mengonfigurasi VPN pada komputer non-Windows, Anda dapat menggunakan sertifikat dan file pengaturan dari folder Generik.

4. Klik ganda file VpnClientSetup{architecture}.exe, dengan {architecture} mencerminkan arsitektur Anda.

5. Di layar PC Anda yang dilindungi Windows, pilih Info selengkapnya, lalu pilih Tetap jalankan.

6. Dalam kotak dialog Kontrol Akun Pengguna, pilih Ya.

7. Dalam kotak dialog VNetData, pilih Ya.

Hubungkan ke Azure

1. Tekan tombol Windows, masuk ke Pengaturan, dan tekan kbd>Enter.

2. Di jendela Pengaturan, pilih Jaringan dan Internet.

3. Di panel sebelah kiri, pilih VPN.

4. Di panel kanan, pilih VNetData, lalu pilih Sambungkan.

5. Di jendela VNetData, pilih Sambungkan.

6. Di jendela VNetData berikutnya, pilih Lanjutkan.

7. Dalam kotak pesan Kontrol Akun Pengguna, pilih Ya.

Jika langkah-langkah ini tidak berhasil, Anda mungkin perlu memulai ulang komputer Anda.

Verifikasi koneksi Anda

1. Di prompt perintah Windows baru, jalankan IPCONFIG /ALL.

2. Salin alamat IP di PPP adapter VNetData, atau tulis.

3. Konfirmasi bahwa alamat IP berada di kisaran VPNClientAddressPool 172.16.201.0/24.

4. Anda berhasil membuat koneksi ke gateway Azure VPN.

Anda baru saja menyiapkan gateway VPN yang memungkinkan Anda membuat koneksi klien terenkripsi ke jaringan virtual di Azure. Pendekatan ini sangat cocok untuk komputer klien dan koneksi situs-ke-situs yang lebih kecil.

Lanjutkan