VNet-naar-VNet-connectiviteit met Fortigate
In dit artikel wordt beschreven hoe u een verbinding maakt tussen twee virtuele netwerken in dezelfde omgeving. Wanneer u de verbindingen instelt, leert u hoe VPN-gateways in Azure Stack Hub werken. Verbind twee VNET's binnen dezelfde Azure Stack Hub-omgeving met behulp van Fortinet FortiGate. Met deze procedure worden twee VNET's met een FortiGate NVA, een virtueel netwerkapparaat, geïmplementeerd in elk VNET binnen een afzonderlijke resourcegroep. Ook worden de wijzigingen die nodig zijn voor het instellen van een IPSec-VPN tussen de twee VNET's, weergegeven. Herhaal de stappen in dit artikel voor elke VNET-implementatie.
Vereisten
Toegang tot een systeem met beschikbare capaciteit voor het implementeren van de vereiste reken-, netwerk- en resourcevereisten die nodig zijn voor deze oplossing.
Een NVA-oplossing (virtueel netwerkapparaat) die is gedownload en gepubliceerd naar de Azure Stack Hub Marketplace. Een NVA bepaalt de stroom van netwerkverkeer van een perimeternetwerk naar andere netwerken of subnetten. In deze procedure wordt de Fortinet FortiGate Next-Generation Firewall Single VM Solution gebruikt.
Ten minste twee beschikbare FortiGate-licentiebestanden om de FortiGate NVA te activeren. Zie het artikel Uw licentie registreren en downloaden in de Fortinet-documentbibliotheek voor informatie over het verkrijgen van deze licenties.
In deze procedure wordt de implementatie Single FortiGate-VM gebruikt. U vindt stappen voor het verbinden van de FortiGate NVA met het Azure Stack Hub VNET in uw on-premises netwerk.
Voor meer informatie over het implementeren van de FortiGate-oplossing in een instelling voor actief-passief (HA) raadpleegt u de details in het artikel Ha voor FortiGate-VM in Azure in de Fortinet-documentbibliotheek.
Implementatieparameters
De volgende tabel bevat een overzicht van de parameters die worden gebruikt in deze implementaties ter referentie:
Implementatie één: Forti1
Naam van FortiGate-exemplaar | Forti1 |
---|---|
BYOL-licentie/-versie | 6.0.3 |
FortiGate-beheerdersnaam | fortiadmin |
Naam resourcegroep | forti1-rg1 |
Naam van virtueel netwerk | forti1vnet1 |
VNET-adresruimte | 172.16.0.0/16* |
Naam van openbaar VNET-subnet | forti1-PublicFacingSubnet |
Openbaar VNET-adresvoorvoegsel | 172.16.0.0/24* |
Naam van VNET-subnet | forti1-InsideSubnet |
Binnen VNET-subnetvoorvoegsel | 172.16.1.0/24* |
VM-grootte van FortiGate NVA | Standaard F2s_v2 |
Naam openbaar IP-adres | forti1-publicip1 |
Type openbaar IP-adres | Statisch |
Implementatie twee: Forti2
Naam van FortiGate-exemplaar | Forti2 |
---|---|
BYOL-licentie/-versie | 6.0.3 |
FortiGate-beheerdersnaam | fortiadmin |
Naam resourcegroep | forti2-rg1 |
Naam van virtueel netwerk | forti2vnet1 |
VNET-adresruimte | 172.17.0.0/16* |
Naam van openbaar VNET-subnet | forti2-PublicFacingSubnet |
Openbaar VNET-adresvoorvoegsel | 172.17.0.0/24* |
Naam van VNET-subnet | Forti2-InsideSubnet |
Binnen VNET-subnetvoorvoegsel | 172.17.1.0/24* |
VM-grootte van FortiGate NVA | Standaard F2s_v2 |
Naam openbaar IP-adres | Forti2-publicip1 |
Type openbaar IP-adres | Statisch |
Notitie
* Kies een andere set adresruimten en subnetvoorvoegsels als het bovenstaande op enigerlei wijze overlapt met de on-premises netwerkomgeving, inclusief de VIP-pool van een van beide Azure Stack Hubs. Zorg er ook voor dat de adresbereiken elkaar niet overlappen.
FortiGate NGFW implementeren
Open de Azure Stack Hub-gebruikersportal.
Selecteer Een resource maken en zoek
FortiGate
naar .Selecteer fortiGate NGFW en selecteer Maken.
Voltooi de Basisbeginselen met behulp van de parameters uit de tabel Implementatieparameters .
Selecteer OK.
Geef de details van het virtuele netwerk, de subnetten en de VM-grootte op met behulp van de tabel Implementatieparameters .
Waarschuwing
Als het on-premises netwerk overlapt met het IP-bereik
172.16.0.0/16
, moet u een ander netwerkbereik en andere subnetten selecteren en instellen. Als u andere namen en bereiken wilt gebruiken dan die in de tabel Implementatieparameters , gebruikt u parameters die geen conflict veroorzaken met het on-premises netwerk. Pas op bij het instellen van het IP-bereik en subnetbereiken van het VNET. U wilt niet dat het bereik overlapt met de IP-bereiken die aanwezig zijn in uw on-premises netwerk.Selecteer OK.
Configureer het openbare IP-adres voor de Fortigate NVA:
Selecteer OK. En selecteer vervolgens OK.
Selecteer Maken.
De implementatie duurt ongeveer 10 minuten.
Routes (UDR's) configureren voor elk VNET
Voer deze stappen uit voor beide implementaties, forti1-rg1 en forti2-rg1.
Open de Azure Stack Hub-gebruikersportal.
Selecteer Resourcegroepen. Typ
forti1-rg1
het filter en dubbelklik op de resourcegroep forti1-rg1.Selecteer de resource forti1-forti1-InsideSubnet-routes-xxxx .
Selecteer Routes onder Instellingen.
Verwijder de route naar internet .
Selecteer Ja.
Selecteer Toevoegen om een nieuwe route toe te voegen.
Geef de route
to-onprem
de naam .Voer het IP-netwerkbereik in dat het netwerkbereik definieert van het on-premises netwerk waarmee het VPN verbinding maakt.
Selecteer Virtueel apparaat bij Volgend hoptype en
172.16.1.4
. Gebruik uw IP-bereik als u een ander IP-bereik gebruikt.Selecteer Opslaan.
U hebt een geldig licentiebestand van Fortinet nodig om elke FortiGate NVA te activeren. De NVA's werken pas als u elke NVA hebt geactiveerd. Zie het artikel Uw licentie registreren en downloaden in de Fortinet-documentbibliotheek voor meer informatie over het verkrijgen van een licentiebestand en de stappen om de NVA te activeren.
Er moeten twee licentiebestanden worden verkregen: één voor elke NVA.
Een IPSec-VPN maken tussen de twee NVA's
Zodra de NVA's zijn geactiveerd, volgt u deze stappen om een IPSec VPN tussen de twee NVA's te maken.
Volg de onderstaande stappen voor zowel de forti1 NVA als forti2 NVA:
Haal het toegewezen openbare IP-adres op door te navigeren naar de overzichtspagina van de fortiX-VM:
Kopieer het toegewezen IP-adres, open een browser en plak het adres in de adresbalk. Uw browser kan u waarschuwen dat het beveiligingscertificaat niet wordt vertrouwd. Toch doorgaan.
Voer de FortiGate-gebruikersnaam en het wachtwoord voor beheerdersrechten in die u tijdens de implementatie hebt opgegeven.
Selecteer Systeemfirmware>.
Schakel het selectievakje in met de meest recente firmware,
FortiOS v6.2.0 build0866
bijvoorbeeld .Selecteer Back-upconfiguratie en upgrade>Doorgaan.
De NVA werkt de firmware bij naar de nieuwste build en start opnieuw op. Het proces duurt ongeveer vijf minuten. Meld u opnieuw aan bij de FortiGate-webconsole.
Klik op WIZARD VPN>IPSec.
Voer een naam in voor het VPN, bijvoorbeeld
conn1
in de wizard VPN maken.Selecteer Deze site bevindt zich achter NAT.
Selecteer Next.
Voer het externe IP-adres in van het on-premises VPN-apparaat waarmee u verbinding wilt maken.
Selecteer poort1 als de uitgaande interface.
Selecteer Vooraf gedeelde sleutel en voer een vooraf gedeelde sleutel in (en noteer) .
Notitie
U hebt deze sleutel nodig om de verbinding op het on-premises VPN-apparaat in te stellen, dat wil gezegd dat ze precies overeenkomen.
Selecteer Next.
Selecteer poort2 voor de lokale interface.
Voer het lokale subnetbereik in:
- forti1: 172.16.0.0/16
- forti2: 172.17.0.0/16
Gebruik uw IP-bereik als u een ander IP-bereik gebruikt.
Voer de juiste externe subnetten in die het on-premises netwerk vertegenwoordigen, waarmee u verbinding maakt via het on-premises VPN-apparaat.
- forti1: 172.16.0.0/16
- forti2: 172.17.0.0/16
Gebruik uw IP-bereik als u een ander IP-bereik gebruikt.
Selecteer Maken
SelecteerNetwerkinterfaces>.
Dubbelklik op poort2.
Kies LANin de rollenlijst en DHCP voor de adresseringsmodus.
Selecteer OK.
Herhaal de stappen voor de andere NVA.
Alle fase 2-selectors weergeven
Zodra het bovenstaande is voltooid voor beide NVA's:
Selecteer in de forti2 FortiGate-webconsole deoptieIPsec Monitor bewaken>.
Markeer
conn1
en selecteer alle fase>2-selectors weergeven.
Connectiviteit testen en valideren
U moet nu tussen elk VNET kunnen routeren via de FortiGate-NVA's. Als u de verbinding wilt valideren, maakt u een Azure Stack Hub-VM in het InsideSubnet van elk VNET. U kunt een Azure Stack Hub-VM maken via de portal, Azure CLI of PowerShell. Bij het maken van de VM's:
De Azure Stack Hub-VM's worden in het InsideSubnet van elk VNET geplaatst.
U past geen NSG's toe op de virtuele machine bij het maken (dat wil gezegd, verwijder de NSG die standaard wordt toegevoegd als u de VM vanuit de portal maakt.
Zorg ervoor dat de firewallregels voor VMS de communicatie toestaan die u gaat gebruiken om de connectiviteit te testen. Voor testdoeleinden wordt aanbevolen om de firewall volledig uit te schakelen binnen het besturingssysteem, indien mogelijk.
Volgende stappen
Verschillen en overwegingen voor Azure Stack Hub-netwerken
Een netwerkoplossing aanbieden in Azure Stack Hub met Fortinet FortiGate
Feedback
https://aka.ms/ContentUserFeedback.
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie:Feedback verzenden en weergeven voor