Compartilhar via

Configurar o gateway de VPN para o Azure Stack Hub usando o FortiGate NVA

  • Artigo

Este artigo descreve como criar uma conexão VPN com o Azure Stack Hub. Um gateway de VPN é um tipo de gateway de rede virtual que envia tráfego criptografado entre sua rede virtual no Azure Stack Hub e um gateway de VPN remoto. O procedimento a seguir implanta uma VNET com uma NVA fortiGate, uma dispositivo virtual de rede, dentro de um grupo de recursos. Ele também fornece etapas para configurar uma VPN IPSec na NVA do FortiGate.

Pré-requisitos

  • Acesso a sistemas integrados do Azure Stack Hub com capacidade disponível para implantar os requisitos de computação, rede e recursos necessários para essa solução.

    Observação

    Essas instruções não funcionarão com um ASDK (Kit de Desenvolvimento do Azure Stack) devido às limitações de rede no ASDK. Para obter mais informações, consulte Requisitos e considerações do ASDK.

  • Acesso a um dispositivo VPN na rede local que hospeda o sistema integrado do Azure Stack Hub. O dispositivo precisa criar um túnel IPSec, que atende aos parâmetros descritos nos Parâmetros de implantação.

  • Uma solução de NVA (dispositivo virtual) de rede disponível no Marketplace do Azure Stack Hub. Uma NVA controla o fluxo de tráfego de rede de uma rede de perímetro para outras redes ou sub-redes. Este procedimento usa a solução de VM única de firewall de última geração Fortinet FortiGate.

    Observação

    Se você não tiver a Fortinet FortiGate-VM para BYOL do Azure e o FortiGate NGFW – BYOL (implantação de VM única) disponíveis no marketplace do Azure Stack Hub, entre em contato com o operador de nuvem.

  • Para ativar a NVA do FortiGate, você precisará de pelo menos um arquivo de licença FortiGate disponível. Informações sobre como adquirir essas licenças, consulte o artigo Biblioteca de Documentos fortinet Registrando e baixando sua licença.

    Este procedimento usa a implantação de FortiGate-VM única. Você pode encontrar etapas sobre como conectar a NVA do FortiGate à VNET do Azure Stack Hub em sua rede local.

    Para obter mais informações sobre como implantar a solução FortiGate em uma configuração de HA (ativo-passivo), consulte os detalhes no artigo HA da Biblioteca de Documentos Fortinet para FortiGate-VM no Azure.

Parâmetros de implantação

A tabela a seguir resume os parâmetros usados nessas implantações para referência.

Parâmetro Valor
Nome da instância do FortiGate forti1
Licença/versão BYOL 6.0.3
Nome de usuário administrativo do FortiGate fortiadmin
Nome do Grupo de Recursos forti1-rg1
Nome da rede virtual forti1vnet1
Espaço de Endereço da VNET 172.16.0.0/16*
Nome da sub-rede da VNET pública forti1-PublicFacingSubnet
Prefixo de endereço VNET público 172.16.0.0/24*
Dentro do nome da sub-rede da VNET forti1-InsideSubnet
Dentro do prefixo de sub-rede da VNET 172.16.1.0/24*
Tamanho da VM da NVA do FortiGate F2s_v2 Padrão
Nome do endereço IP público forti1-publicip1
Tipo de endereço IP público Estático

Observação

* Escolha um espaço de endereço diferente e prefixos de sub-rede se 172.16.0.0/16 sobrepor à rede local ou ao pool VIP do Azure Stack Hub.

Implantar os itens do Marketplace NGFW do FortiGate

  1. Abra o portal do usuário do Azure Stack Hub.

  2. Selecione Criar um recurso e pesquise por FortiGate.

    A lista de resultados da pesquisa mostra FortiGate NGFW – Implantação de VM única.

  3. Selecione o FortiGate NGFW e selecione Criar.

  4. Conclua noções básicas usando os parâmetros da tabela Parâmetros de implantação .

    A tela Noções básicas tem valores da tabela de parâmetros de implantação inserida em caixas de texto e lista.

  5. Selecione OK.

  6. Forneça os detalhes de Rede virtual, Sub-redes e Tamanho da VM usando a tabela Parâmetros de implantação .

    Aviso

    Se a rede local se sobrepor ao intervalo 172.16.0.0/16de IP, você deverá selecionar e configurar um intervalo de rede e sub-redes diferentes. Se você quiser usar nomes e intervalos diferentes dos da tabela Parâmetros de implantação , use parâmetros que não entrarão em conflito com a rede local. Tome cuidado ao definir o intervalo de IP da VNET e os intervalos de sub-rede dentro da VNET. Você não deseja que o intervalo se sobreponha aos intervalos de IP existentes em sua rede local.

  7. Selecione OK.

  8. Configure o IP público para a NVA do FortiGate:

    A caixa de diálogo Atribuição de IP mostra o valor forti1-publicip1 para

  9. Selecione OK. E, em seguida, selecione OK.

  10. Selecione Criar.

    A implantação levará cerca de 10 minutos.

Configurar rotas (UDR) para a VNET

  1. Abra o portal do usuário do Azure Stack Hub.

  2. Selecione Grupos de recursos. Digite forti1-rg1 o filtro e clique duas vezes no grupo de recursos forti1-rg1.

    Dez recursos são listados para o grupo de recursos forti1-rg1.

  3. Selecione o recurso 'forti1-forti1-InsideSubnet-routes-xxxx'.

  4. Selecione Rotas, em Configurações.

    O botão Rotas está selecionado na caixa de diálogo Configurações.

  5. Exclua a rota para a Internet .

    A Rota para a Internet é a única rota listada e está selecionada. Há um botão excluir.

  6. Selecione Sim.

  7. Selecione Adicionar para adicionar uma nova rota.

  8. Nomeie a rota to-onpremcomo .

  9. Insira o intervalo de rede IP que define o intervalo de rede da rede local à qual a VPN se conectará.

  10. Selecione Dispositivo Virtual para Tipo de próximo salto e 172.16.1.4. Use o intervalo de IP se estiver usando um intervalo de IP diferente.

    A caixa de diálogo Adicionar rota mostra os quatro valores que foram inseridos nas caixas de texto.

  11. Clique em Salvar.

Ativar a NVA do FortiGate

Ative a NVA do FortiGate e configure uma conexão VPN IPSec em cada NVA.

Para ativar cada NVA do FortiGate, será necessário um arquivo de licença válido da Fortinet. As NVAs não funcionarão até que você tenha ativado cada NVA. Para obter mais informações sobre como obter um arquivo de licença e as etapas para ativar a NVA, consulte o artigo Biblioteca de Documentos fortinet Registrando e baixando sua licença.

Depois de ativar as NVAs, crie um túnel VPN IPSec na NVA.

  1. Abra o portal do usuário do Azure Stack Hub.

  2. Selecione Grupos de recursos. Insira forti1 no filtro e clique duas vezes no grupo de recursos forti1.

  3. Clique duas vezes na máquina virtual forti1 na lista de tipos de recursos na folha do grupo de recursos.

    A página Visão geral da máquina virtual forti1 mostra valores para forti1, como

  4. Copie o endereço IP atribuído, abra um navegador e cole o endereço IP na barra de endereços. O site pode disparar um aviso de que o certificado de segurança não é confiável. Continue assim mesmo.

  5. Insira o nome de usuário administrativo e a senha do FortiGate fornecidos durante a implantação.

    A caixa de diálogo de logon tem caixas de texto de usuário e senha e um botão Logon.

  6. SelecioneFirmware doSistema>.

  7. Selecione a caixa mostrando o firmware mais recente, por exemplo, FortiOS v6.2.0 build0866.

    A caixa de diálogo Firmware tem o identificador de firmware

  8. Selecione Configuração de backup e atualizar>Continuar.

  9. A NVA atualiza seu firmware para o build e as reinicializações mais recentes. O processo leva cerca de cinco minutos. Faça logon novamente no console Web do FortiGate.

  10. Clique emAssistente de IPSec de VPN>.

  11. Insira um nome para a VPN, por exemplo, conn1 no Assistente de Criação de VPN.

  12. Selecione Este site está atrás do NAT.

    A captura de tela do Assistente de Criação de VPN mostra que ele está na primeira etapa, Configuração de VPN. Os seguintes valores são selecionados:

  13. Selecione Avançar.

  14. Insira o endereço IP remoto do dispositivo VPN local ao qual você vai se conectar.

  15. Selecione port1 como a Interface de Saída.

  16. Selecione Chave Pré-compartilhada e insira (e registre) uma chave pré-compartilhada.

    Observação

    Você precisará dessa chave para configurar a conexão no dispositivo VPN local, ou seja, ela deve corresponder exatamente.

    A captura de tela do Assistente de Criação de VPN mostra que ele está na segunda etapa, Autenticação, e os valores selecionados estão realçados.

  17. Selecione Avançar.

  18. Selecione port2 para a Interface Local.

  19. Insira o intervalo de sub-rede local:

    • forti1: 172.16.0.0/16
    • forti2: 172.17.0.0/16

    Use o intervalo de IP se você estiver usando um intervalo de IP diferente.

  20. Insira as Sub-redes Remotas apropriadas que representam a rede local à qual você se conectará por meio do dispositivo VPN local.

    A captura de tela do Assistente de Criação de VPN mostra que ele está na terceira etapa, Política & Roteamento. Ele mostra os valores selecionados e inseridos.

  21. Escolha Criar

  22. SelecioneAdaptadores deRede>.

    A lista de interfaces mostra duas interfaces: port1, que foi configurada, e port2, que não foi. Há botões para criar, editar e excluir interfaces.

  23. Clique duas vezes em porta2.

  24. Escolha LAN na lista Função e DHCP para o modo de Endereçamento.

  25. Selecione OK.

Configurar a VPN local

O dispositivo VPN local deve ser configurado para criar o túnel VPN IPSec. A tabela a seguir fornece os parâmetros necessários para configurar o dispositivo VPN local. Para obter informações sobre como configurar o dispositivo VPN local, consulte a documentação do dispositivo.

Parâmetro Valor
IP do Gateway Remoto Endereço IP público atribuído a forti1 – consulte Ativar a NVA do FortiGate.
Rede IP remota 172.16.0.0/16 (se estiver usando o intervalo de IP nestas instruções para a VNET).
Método Auth. = PSK (chave pré-compartilhada) Da Etapa 16.
Versão IKE 1
Modo IKE Principal (proteção de ID)
Algoritmos de proposta da fase 1 AES128-SHA256, AES256-SHA256, AES128-SHA1, AES256-SHA1
Grupos Diffie-Hellman 14, 5

Criar o túnel VPN

Depois que o dispositivo VPN local estiver configurado adequadamente, o túnel VPN agora poderá ser estabelecido.

Na NVA do FortiGate:

  1. No console Web forti1 FortiGate, acesse Monitorar>Monitor IPsec.

    O monitor para conexão VPN conn1 está listado. Ele é mostrado como inativo, assim como o Seletor de Fase 2 correspondente.

  2. Realce conn1 e selecione Os Seletores da>Fase 2.

    O monitor e o Seletor de Fase 2 são mostrados como acima.

Testar e validar a conectividade

Você pode rotear entre a rede VNET e a rede local por meio do dispositivo VPN local.

Para validar a conexão:

  1. Crie uma VM nas VNETs do Azure Stack Hub e um sistema na rede local. Você pode seguir as instruções para criar uma VM no Início Rápido: Criar uma VM do Servidor Windows com o portal do Azure Stack Hub.

  2. Ao criar a VM do Azure Stack Hub e preparar o sistema local, marcar:

  • A VM do Azure Stack Hub é colocada no InsideSubnet da VNET.

  • O sistema local é colocado na rede local dentro do intervalo de IP definido, conforme definido na configuração do IPSec. Verifique também se o endereço IP da interface local do dispositivo VPN local é fornecido ao sistema local como uma rota que pode alcançar a rede VNET do Azure Stack Hub, por exemplo, 172.16.0.0/16.

  • Não aplique nenhum NSG à VM do Azure Stack Hub na criação. Talvez seja necessário remover o NSG que é adicionado por padrão se estiver criando a VM do portal.

  • Verifique se o sistema operacional do sistema local e o so da VM do Azure Stack Hub não têm regras de firewall do sistema operacional que proibiriam a comunicação que você usará para testar a conectividade. Para fins de teste, é recomendável desabilitar o firewall completamente dentro do sistema operacional de ambos os sistemas.

Próximas etapas

Diferenças e considerações para a rede do Azure Stack Hub
Oferecer uma solução de rede no Azure Stack Hub com o Fortinet FortiGate