Delen via

Destination NAT (DNAT) configureren voor virtueel netwerkapparaat in een Azure Virtual WAN-hub

  • Artikel

In het volgende artikel wordt beschreven hoe u Doel-NAT configureert voor virtuele netwerkapparaten met de volgende generatie-firewall die zijn geïmplementeerd met de Virtual WAN-hub.

Belangrijk

Destination NAT (DNAT) voor virtual WAN integrated Network Virtual Appliances is momenteel in openbare preview en wordt geleverd zonder een service level agreement. Deze mag niet worden gebruikt voor productieworkloads. Bepaalde functies worden mogelijk niet ondersteund, zijn mogelijk beperkt of zijn mogelijk niet beschikbaar op alle Azure-locaties. Raadpleeg de Aanvullende voorwaarden voor Microsoft Azure-previews voor juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.

Achtergrond

Virtuele netwerkapparaten (NVA's) met firewallmogelijkheden van de volgende generatie die zijn geïntegreerd met Virtual WAN, bieden klanten de mogelijkheid om verkeer tussen privénetwerken die zijn verbonden met Virtual WAN te beveiligen en te inspecteren.

Met doel-NAT voor virtuele netwerkapparaten in de Virtual WAN-hub kunt u toepassingen publiceren naar de gebruikers op internet zonder dat de toepassing of het openbare IP-adres van de server rechtstreeks wordt weergegeven. Consumenten hebben toegang tot toepassingen via een openbaar IP-adres dat is toegewezen aan een virtueel firewallnetwerkapparaat. De NVA is geconfigureerd voor het filteren en vertalen van verkeer en het beheren van de toegang tot back-endtoepassingen.

Infrastructuurbeheer en programmering voor de DNAT-use case in Virtual WAN is automatisch. Het programmeren van de DNAT-regel op de NVA met behulp van de NVA-indelingssoftware of NVA-opdrachtregel programma's automatisch Azure-infrastructuur om DNAT-verkeer te accepteren en te routeren voor ondersteunde NVA-partners. Zie de sectie beperkingen voor de lijst met ondersteunde NVA-partners.

Concepten

Als u de DNAT-use case wilt inschakelen, koppelt u een of meer openbare IP-adresresources van Azure aan de resource van het virtuele netwerkapparaat. Deze IP-adressen worden ip-adressen voor inkomend internet of inkomend internet genoemd en zijn de doel-IP-adressen waar gebruikers verbindingsaanvragen naar initiëren om toegang te krijgen tot toepassingen achter de NVA. Nadat u een DNAT-regel hebt geconfigureerd op de orchestrator- en beheersoftware van het virtuele netwerkapparaat (zie partnerhandleiding), wordt de NVA-beheersoftware automatisch gebruikt:

  • Programma's nva-apparaatsoftware die wordt uitgevoerd in Virtual WAN om het bijbehorende verkeer te controleren en te vertalen (instellen van NAT-regels en firewallregels op NVA-apparaat). De regels die op de NVA zijn geprogrammeerd, worden NVA DNAT-regels genoemd.
  • Communiceert met Azure-API's om binnenkomende beveiligingsregels te maken en bij te werken. Virtual WAN-besturingsvlak verwerkt inkomende beveiligingsregels en programma's Virtual WAN en door Azure beheerde ONDERDELEN van de NVA-infrastructuur ter ondersteuning van destination NAT-use case.

Opmerking

In het volgende voorbeeld hebben gebruikers toegang tot een toepassing die wordt gehost in een virtueel Azure-netwerk (toepassings-IP 10.60.0.4) verbinding maken met een openbaar DNAT-IP-adres (4.4.4.4) dat is toegewezen aan de NVA op poort 443.

De volgende configuraties worden uitgevoerd:

  • Ip-adressen voor binnenkomend internet die zijn toegewezen aan de NVA zijn 4.4.4.4 en 5.5.5.5.
  • NVA DNAT-regel is geprogrammeerd om verkeer te vertalen met bestemming 4.4.4.4:443 naar 10.60.0.4:443.
  • NVA-orchestratorinterfaces met Azure-API's voor het maken van binnenkomende beveiligingsregels en infrastructuur voor Virtual WAN-besturingsvlakprogramma's om de verkeersstroom te ondersteunen.

Binnenkomende verkeersstroom

Schermopname van de binnenkomende verkeersstroom.

De onderstaande lijst komt overeen met het bovenstaande diagram en beschrijft de pakketstroom voor de binnenkomende verbinding:

  1. De gebruiker initieert een verbinding met een van de openbare IP-adressen die worden gebruikt voor DNAT die aan de NVA zijn gekoppeld.
  2. Azure load balancer de verbindingsaanvraag naar een van de NVA-exemplaren van de firewall. Verkeer wordt verzonden naar de externe/niet-vertrouwde interface van de NVA.
  3. NVA inspecteert het verkeer en vertaalt het pakket op basis van de regelconfiguratie. In dit geval is de NVA geconfigureerd voor NAT en wordt binnenkomend verkeer doorgestuurd naar 10.60.0.4:443. De bron van het pakket wordt ook vertaald naar het privé-IP-adres (IP van vertrouwde/interne interface) van het gekozen firewallexemplaren om symmetrie van stromen te garanderen. De NVA stuurt het pakket door en Virtual WAN stuurt het pakket door naar de uiteindelijke bestemming.

Uitgaande verkeersstroom

Schermopname van de uitgaande verkeersstroom.

De onderstaande lijst komt overeen met het bovenstaande diagram en beschrijft de pakketstroom voor het uitgaande antwoord:

  1. De server reageert en verzendt de antwoordpakketten naar het NVA Firewall-exemplaar via het privé-IP-adres van de firewall.
  2. De NAT-vertaling wordt omgekeerd en het antwoord wordt verzonden naar de niet-vertrouwde interface. Azure stuurt het pakket vervolgens rechtstreeks terug naar de gebruiker.

Bekende beperkingen en overwegingen

Beperkingen

  • Doel-NAT wordt alleen ondersteund voor de volgende NVA's: controlepunt, fortinet-sdwan-and-ngfw en fortinet-ngfw.
  • Openbare IP-adressen die worden gebruikt voor Destination NAT moeten voldoen aan de volgende vereisten:
    • Openbare IP-adressen van doel-NAT moeten afkomstig zijn uit dezelfde regio als de NVA-resource. Als de NVA bijvoorbeeld is geïmplementeerd in de regio VS - oost, moet het openbare IP-adres ook afkomstig zijn uit de regio VS - oost.
    • Openbare IP-adressen van doel-NAT kunnen niet worden gebruikt door een andere Azure-resource. U kunt bijvoorbeeld geen IP-adres gebruiken dat wordt gebruikt door een IP-configuratie van de netwerkinterface van een virtuele machine of een front-endconfiguratie van een Standard Load Balancer.
    • Openbare IP-adressen moeten afkomstig zijn van IPv4-adresruimten. Virtual WAN biedt geen ondersteuning voor IPv6-adressen.
    • Openbare IP-adressen moeten worden geïmplementeerd met standard-SKU. Openbare IP-adressen van basic-SKU's worden niet ondersteund.
  • Doel-NAT wordt alleen ondersteund voor nieuwe NVA-implementaties die worden gemaakt met ten minste één openbaar IP-adres van destination NAT. Bestaande NVA-implementaties of NVA-implementaties waarvoor tijdens het maken van NVA geen openbaar DOEL-IP-adres is gekoppeld, komen niet in aanmerking voor het gebruik van Destination NAT.
  • Het programmeren van Azure-infrastructuuronderdelen ter ondersteuning van DNAT-scenario's wordt automatisch uitgevoerd door NVA-indelingssoftware wanneer er een DNAT-regel wordt gemaakt. Daarom kunt u NVA-regels niet programmeren via Azure Portal. U kunt echter wel de binnenkomende beveiligingsregels weergeven die zijn gekoppeld aan elk openbaar IP-adres voor inkomend internet.
  • DNAT-verkeer in Virtual WAN kan alleen worden gerouteerd naar verbindingen met dezelfde hub als de NVA. Verkeerspatronen tussen hubs met DNAT worden niet ondersteund.

Overwegingen

  • Inkomend verkeer wordt automatisch verdeeld over alle gezonde exemplaren van het virtuele netwerkapparaat.
  • In de meeste gevallen moeten NVA's bron-NAT uitvoeren op het privé-IP-adres van de firewall naast destination-NAT om stroomsymmetrie te garanderen. Voor bepaalde NVA-typen is mogelijk geen bron-NAT vereist. Neem contact op met uw NVA-provider voor aanbevolen procedures voor bron-NAT.
  • Time-out voor niet-actieve stromen wordt automatisch ingesteld op 4 minuten.
  • U kunt afzonderlijke IP-adresbronnen die zijn gegenereerd op basis van een IP-adresvoorvoegsel toewijzen aan de NVA als inkomende IP-adressen via internet. Wijs elk IP-adres afzonderlijk toe vanuit het voorvoegsel.

BINNENKOMENDE DNAT-/internetconfiguraties beheren

In de volgende sectie wordt beschreven hoe u NVA-configuraties beheert met betrekking tot inkomend internet en DNAT.

  1. Navigeer naar uw Virtual WAN-hub. Selecteer Virtuele netwerkapparaten onder Externe providers. Klik op Configuraties beheren naast de NVA. Schermopname van het beheren van configuraties voor NVA.

  2. Selecteer Inkomend internet onder instellingen. Schermopname die laat zien hoe u IP selecteert om toe te voegen aan NVA.

Een IP-adres koppelen aan een NVA voor inkomend internet

  1. Als de NVA in aanmerking komt voor inkomend internet en er geen huidige ip-adressen voor binnenkomend internet zijn gekoppeld aan de NVA, selecteert u Internet binnenkomend verkeer inschakelen (Destination NAT) door een openbaar IP-adres te koppelen aan dit virtuele netwerkapparaat. Als IP-adressen al aan deze NVA zijn gekoppeld, selecteert u Toevoegen. Schermopname die laat zien hoe u IP toevoegt aan NVA.

  2. Selecteer de resourcegroep en de IP-adresresource die u wilt gebruiken voor inkomend internet in de vervolgkeuzelijst. Schermopname die laat zien hoe u een IP-adres selecteert.

  3. Klik op Opslaan. Schermopname die laat zien hoe u HET IP-adres opslaat.

Actieve binnenkomende beveiligingsregels weergeven met behulp van een openbaar IP-adres voor binnenkomend internet

  1. Zoek het openbare IP-adres dat u wilt weergeven en klik op Regels weergeven. Schermopname van het weergeven van regels die zijn gekoppeld aan NVA.
  2. Bekijk de regels die zijn gekoppeld aan het openbare IP-adres. Schermopname van weergegeven regels die zijn gekoppeld aan NVA.

Openbaar IP-adres van internet uit bestaande NVA verwijderen

Notitie

IP-adressen kunnen alleen worden verwijderd als er geen regels zijn gekoppeld aan dat IP-adres 0. Verwijder alle regels die aan het IP-adres zijn gekoppeld door DNAT-regels te verwijderen die aan dat IP-adres zijn toegewezen vanuit uw NVA-beheersoftware.

Selecteer het IP-adres dat u uit het raster wilt verwijderen en klik op Verwijderen. Schermopname van het verwijderen van IP uit NVA.

DNAT-regels programmeren

De volgende sectie bevat specifieke instructies voor de NVA-provider voor het configureren van DNAT-regels met NVA's in Virtual WAN

Partner Instructies
checkpoint Documentatie voor Check Point
fortinet Contactpersoon azurevwan@fortinet.com voor toegang tot de preview en documentatie

Probleemoplossing

In de volgende sectie worden enkele veelvoorkomende scenario's voor probleemoplossing beschreven.

Openbare IP-koppeling/ontkoppeling

  • Optie voor het koppelen van IP-adressen aan NVA-resources die niet beschikbaar zijn via De Azure-portal : alleen NVA's die tijdens de implementatie zijn gemaakt met DNAT/Internet Inkomende IP-adressen komen in aanmerking voor het gebruik van DNAT-mogelijkheden. Verwijder en maak de NVA opnieuw met een ip-adres voor inkomend internet dat is toegewezen tijdens de implementatie.
  • IP-adres wordt niet weergegeven in de vervolgkeuzelijst van Azure Portal: openbare IP-adressen worden alleen weergegeven in de vervolgkeuzelijst als het IP-adres IPv4 is, in dezelfde regio als de NVA en niet wordt gebruikt/toegewezen aan een andere Azure-resource. Zorg ervoor dat het IP-adres dat u probeert te gebruiken voldoet aan de bovenstaande vereisten of maak een nieuw IP-adres.
  • Kan openbare IP-adressen niet verwijderen/loskoppelen van NVA: alleen IP-adressen waaraan geen regels zijn gekoppeld, kunnen worden verwijderd. Gebruik de NVA-indelingssoftware om DNAT-regels te verwijderen die aan dat IP-adres zijn gekoppeld.
  • NvA-inrichtingsstatus is niet geslaagd: als er actieve bewerkingen zijn op de NVA of als de inrichtingsstatus van de NVA niet is geslaagd, mislukt de IP-adreskoppeling. Wacht tot alle bestaande bewerkingen zijn beëindigd.

Statustests van load balancer

NVA met internet binnenkomende/DNAT-mogelijkheden is afhankelijk van de NVA die reageert op drie verschillende statustests van Azure Load Balancer om ervoor te zorgen dat de NVA werkt zoals verwacht en verkeer routeert. Statustestaanvragen worden altijd gedaan vanaf het niet-openbaar routeerbare Azure IP-adres 168.63.129.16. U ziet nu een TCP-handshake in drie richtingen met 168.63.129.16 in uw NVA-logboeken.

Zie de documentatie voor statustests van Azure Load Balancer voor meer informatie over statustests van Azure.

Voor de statustests van Virtual WAN is het volgende vereist:

  • Binnenkomende internet- of DNAT-statustest: wordt gebruikt om binnenkomend internetverkeer door te sturen naar niet-vertrouwde/externe interfaces van NVA. Deze statustest controleert alleen de status van de niet-vertrouwde/externe interface van de NVA.

    NVA-provider Poort
    fortinet 8008
    checkpoint 8117

  • Datapath-statustest: wordt gebruikt om privéverkeer (VNET/on-premises) door te sturen naar vertrouwde/interne NVA-interfaces. Vereist voor beleid voor privéroutering. Deze statustest controleert alleen de status van de vertrouwde/interne interface van de NVA.

    NVA-provider Poort
    fortinet 8008
    checkpoint 8117

  • NVA-statustest: wordt gebruikt om de status van de virtuele-machineschaalset met de NVA-software te bepalen. Deze statustest controleert de status van alle interfaces van de NVA (zowel niet-vertrouwd/extern als vertrouwd/intern).

    NVA-provider Poort
    fortinet 8008
    checkpoint 8117

Zorg ervoor dat de NVA juist is geconfigureerd om te reageren op de drie statustests. Veelvoorkomende problemen zijn:

  • Statustestantwoord ingesteld op een onjuiste poort.
  • Het antwoord van de statustest is onjuist ingesteld op alleen de interne/vertrouwde interface.
  • Firewallregels die het antwoord van de statustest verhinderen.

DNAT-regel maken

  • Het maken van DNAT-regels mislukt: zorg ervoor dat de inrichtingsstatus van de NVA is geslaagd en dat alle NVA-exemplaren in orde zijn. Raadpleeg de documentatie van de NVA-provider voor meer informatie over het oplossen van problemen of neem contact op met de leverancier voor verdere ondersteuning.

    Zorg er bovendien voor dat de NVA reageert op NVA-statustests op alle interfaces. Zie de sectie statustests voor meer informatie.

Datapath

  • NVA ziet geen pakketten nadat de gebruiker verbinding heeft gemaakt met een openbaar IP-adres: Zorg ervoor dat de NVA alleen reageert op DNAT-statustests op de externe/niet-vertrouwde interface. Zie de sectie statustests voor meer informatie.

  • De doelserver ziet geen pakketten na de NVA-vertaling: overweeg de volgende mechanismen voor probleemoplossing als pakketten niet worden doorgestuurd naar de uiteindelijke doelserver.

    • Probleem met Azure-routering: gebruik de Azure Virtual WAN-portal om de effectieve routes van de defaultRouteTable of de effectieve routes van uw virtuele netwerkapparaat te controleren. U ziet nu het subnet van de doeltoepassing in de effectieve routes.
    • Probleem met routering van NVA-besturingssysteem: controleer de interne routeringstabel van het NVA-besturingssysteem. U zou routes moeten zien die overeenkomen met de bestemmingssubnetten die dynamisch van de NVA zijn geleerd. Zorg ervoor dat er geen routefilters/kaarten zijn die relevante voorvoegsels verwijderen.
    • Inter-hubbestemmingen zijn niet bereikbaar: Routering tussen hubs voor DNAT-gebruiksscenario's wordt niet ondersteund. Zorg ervoor dat de resource die u probeert te openen, is verbonden met dezelfde hub als de NVA waarop de DNAT-regel is geconfigureerd.
    • Pakketopname op NVA-interfaces: pakketopnamen uitvoeren op de niet-vertrouwde en vertrouwde NVA-interfaces. Op de niet-vertrouwde interface ziet u het oorspronkelijke pakket met bron-IP als het openbare IP-adres van de gebruiker en het doel-IP dat het binnenkomende INTERNET-IP-adres is dat is toegewezen aan de NVA. In de vertrouwde interface ziet u de na NAT vertaalde pakketten (zowel bron-NAT als doel-NAT worden toegepast). Vergelijk pakketopnamen voor en nadat firewallregels zijn toegepast om de juiste configuratie van firewallregels te garanderen.
    • SNAT-poortuitputting: voor elk NVA-exemplaar moet een binnenkomende verbinding met één back-endtoepassing een unieke poort naar NAT-verkeer gebruiken naar het privé-IP-adres van het NVA-exemplaar. Als gevolg hiervan kan elk NVA-exemplaar ongeveer 65.000 gelijktijdige verbindingen met dezelfde bestemming verwerken. Zorg ervoor dat de NVA is geconfigureerd voor het doorsturen naar meerdere IP-adressen van toepassingen om het hergebruik van poorten mogelijk te maken voor grootschalige gebruiksscenario's.

  • Retourverkeer niet terug naar NVA:

    • Toepassing die wordt gehost in Azure: Gebruik Azure Portal om de effectieve routes van de toepassingsserver te controleren. U ziet nu de hubadresruimte in de effectieve routes van de toepassingsserver.
    • Toepassing die on-premises wordt gehost: zorg ervoor dat er geen routefilters aan de on-premises zijde zijn die routes filteren die overeenkomen met de adresruimte van de hub. Omdat het verkeer van de NVA-bron-NAT naar een privé-IP-adres van de firewall gaat, moet de on-premises adresruimte van de hub accepteren.
    • Toepassings-inter-hub: routering tussen hubs voor DNAT-gebruiksscenario's wordt niet ondersteund. Zorg ervoor dat de resource die u probeert te openen, is verbonden met dezelfde hub als de NVA waarop de DNAT-regel is geconfigureerd.
    • Pakketopname op NVA-interface: pakketopnamen uitvoeren op de vertrouwde NVA-interface. U ziet dat de toepassingsserver retourverkeer rechtstreeks naar het NVA-exemplaar verzendt. Zorg ervoor dat u pakketopnamen vergelijkt voor en nadat firewallregels zijn toegepast om ervoor te zorgen dat pakketten de juiste configuratie van firewallregels garanderen.