Conectividade de VNet para VNet entre instâncias do Azure Stack Hub com o Fortinet FortiGate NVA

  • Artigo

Neste artigo, você conectará uma VNET em um Azure Stack Hub a uma VNET em outro Azure Stack Hub usando o Fortinet FortiGate NVA, um dispositivo virtual de rede.

Este artigo aborda a limitação atual do Azure Stack Hub, que permite que os locatários configurem apenas uma conexão VPN em dois ambientes. Os usuários aprenderão a configurar um gateway personalizado em uma máquina virtual Linux que permitirá várias conexões VPN em diferentes Azure Stack Hub. O procedimento neste artigo implanta duas VNETs com uma NVA FortiGate em cada VNET: uma implantação por ambiente do Azure Stack Hub. Ele também detalha as alterações necessárias para configurar uma VPN IPSec entre as duas VNETs. As etapas neste artigo devem ser repetidas para cada VNET em cada Azure Stack Hub.

Pré-requisitos

  • Acesso a sistemas integrados do Azure Stack Hub com capacidade disponível para implantar os requisitos de computação, rede e recursos necessários para essa solução.

    Observação

    Essas instruções não funcionarão com um ASDK (Kit de Desenvolvimento do Azure Stack) devido às limitações de rede no ASDK. Para obter mais informações, consulte Requisitos e considerações do ASDK.

  • Uma solução de NVA (dispositivo virtual) de rede baixada e publicada no Marketplace do Azure Stack Hub. Uma NVA controla o fluxo de tráfego de rede de uma rede de perímetro para outras redes ou sub-redes. Este procedimento usa a solução de VM única de firewall de última geração Fortinet FortiGate.

  • Pelo menos dois arquivos de licença do FortiGate disponíveis para ativar a NVA do FortiGate. Informações sobre como obter essas licenças, consulte o artigo Biblioteca de Documentos fortinet Registrando e baixando sua licença.

    Este procedimento usa a implantação de FortiGate-VM única. Você pode encontrar etapas sobre como conectar a NVA do FortiGate à VNET do Azure Stack Hub em sua rede local.

    Para obter mais informações sobre como implantar a solução FortiGate em uma configuração de HA (ativo-passivo), consulte o artigo HA da Biblioteca de Documentos Fortinet para FortiGate-VM no Azure.

Parâmetros de implantação

A tabela a seguir resume os parâmetros usados nessas implantações para referência:

Implantação um: Forti1

Nome da instância do FortiGate Forti1
Licença/versão BYOL 6.0.3
Nome de usuário administrativo do FortiGate fortiadmin
Nome do Grupo de Recursos forti1-rg1
Nome da rede virtual forti1vnet1
Espaço de Endereço da VNET 172.16.0.0/16*
Nome da sub-rede da VNET pública forti1-PublicFacingSubnet
Prefixo de endereço VNET público 172.16.0.0/24*
Dentro do nome da sub-rede da VNET forti1-InsideSubnet
Dentro do prefixo de sub-rede da VNET 172.16.1.0/24*
Tamanho da VM da NVA do FortiGate F2s_v2 Padrão
Nome do endereço IP público forti1-publicip1
Tipo de endereço IP público Estático

Implantação dois: Forti2

Nome da instância do FortiGate Forti2
Licença/versão BYOL 6.0.3
Nome de usuário administrativo do FortiGate fortiadmin
Nome do Grupo de Recursos forti2-rg1
Nome da rede virtual forti2vnet1
Espaço de Endereço da VNET 172.17.0.0/16*
Nome da sub-rede da VNET pública forti2-PublicFacingSubnet
Prefixo de endereço VNET público 172.17.0.0/24*
Dentro do nome da sub-rede da VNET Forti2-InsideSubnet
Dentro do prefixo de sub-rede da VNET 172.17.1.0/24*
Tamanho da VM da NVA do FortiGate F2s_v2 Padrão
Nome do endereço IP público Forti2-publicip1
Tipo de endereço IP público Estático

Observação

* Escolha um conjunto diferente de espaços de endereço e prefixos de sub-rede se o acima se sobrepor de alguma forma com o ambiente de rede local, incluindo o pool vip de qualquer um dos Azure Stack Hub. Verifique também se os intervalos de endereços não se sobrepõem uns aos outros.**

Implantar os itens do Marketplace NGFW do FortiGate

Repita essas etapas para ambos os ambientes do Azure Stack Hub.

  1. Abra o portal do usuário do Azure Stack Hub. Certifique-se de usar credenciais que tenham pelo menos direitos de Colaborador para uma assinatura.

  2. Selecione Criar um recurso e pesquise por FortiGate.

    A captura de tela mostra uma única linha de resultados da pesquisa por

  3. Selecione o FortiGate NGFW e selecione Criar.

  4. Conclua noções básicas usando os parâmetros da tabela Parâmetros de implantação .

    Seu formulário deve conter as seguintes informações:

    As caixas de texto (como Nome da Instância e Licença BYOL) da caixa de diálogo Noções Básicas foram preenchidas com valores da Tabela de Implantação.

  5. Selecione OK.

  6. Forneça a rede virtual, as sub-redes e os detalhes de tamanho da VM dos parâmetros de Implantação.

    Se você quiser usar diferentes nomes e intervalos, tome cuidado para não usar parâmetros que entrarão em conflito com os outros recursos de VNET e FortiGate no outro ambiente do Azure Stack Hub. Isso é especialmente verdadeiro ao definir o intervalo de IP da VNET e os intervalos de sub-rede dentro da VNET. Verifique se eles não se sobrepõem aos intervalos de IP para a outra VNET que você criar.

  7. Selecione OK.

  8. Configure o IP público que será usado para a NVA do FortiGate:

    A caixa de texto

  9. Selecione OK e, em seguida, Selecione OK.

  10. Selecione Criar.

A implantação levará cerca de 10 minutos. Agora você pode repetir as etapas para criar a outra implantação de NVA e VNET do FortiGate no outro ambiente do Azure Stack Hub.

Configurar UDRs (rotas) para cada VNET

Execute estas etapas para ambas as implantações, forti1-rg1 e forti2-rg1.

  1. Navegue até o Grupo de Recursos forti1-rg1 no portal do Azure Stack Hub.

    Esta é uma captura de tela da lista de recursos no grupo de recursos forti1-rg1.

  2. Selecione o recurso 'forti1-forti1-InsideSubnet-routes-xxxx'.

  3. Selecione Rotas, em Configurações.

    A captura de tela mostra o item Rotas realçado de Configurações.

  4. Exclua a rota para a Internet .

    A captura de tela mostra a rota realçada para a Internet. Há um botão excluir.

  5. Selecione Sim.

  6. Selecione Adicionar.

  7. Nomeie a Rotato-forti1 ou to-forti2. Use o intervalo de IP se estiver usando um intervalo de IP diferente.

  8. Digite:

    • forti1: 172.17.0.0/16
    • forti2: 172.16.0.0/16

    Use o intervalo de IP se estiver usando um intervalo de IP diferente.

  9. Selecione Dispositivo virtual para o tipo Próximo salto.

    • forti1: 172.16.1.4
    • forti2: 172.17.0.4

    Use o intervalo de IP se estiver usando um intervalo de IP diferente.

    A caixa de diálogo Editar rota para to-forti2 tem caixas de texto com valores.

  10. Clique em Salvar.

Repita as etapas para cada rota InsideSubnet para cada grupo de recursos.

Ativar os NVAs do FortiGate e configurar uma conexão VPN IPSec em cada NVA

Você precisará de um arquivo de licença válido do Fortinet para ativar cada NVA do FortiGate. As NVAs não funcionarão até que você tenha ativado cada NVA. Para obter mais informações sobre como obter um arquivo de licença e as etapas para ativar a NVA, consulte o artigo Biblioteca de Documentos fortinet Registrando e baixando sua licença.

Dois arquivos de licença precisarão ser adquiridos – um para cada NVA.

Criar uma VPN IPSec entre os dois NVAs

Depois que os NVAs tiverem sido ativados, siga estas etapas para criar uma VPN IPSec entre os dois NVAs.

Seguindo as etapas abaixo para a NVA forti1 e a NVA forti2:

  1. Obtenha o endereço IP público atribuído navegando até a página Visão geral da VM fortiX:

    A página de visão geral do forti1 mostra o grupo de recursos, status e assim por diante.

  2. Copie o endereço IP atribuído, abra um navegador e cole o endereço na barra de endereços. Seu navegador pode avisá-lo de que o certificado de segurança não é confiável. Continue de qualquer maneira.

  3. Insira o nome de usuário administrativo e a senha do FortiGate fornecidos durante a implantação.

    A captura de tela é da tela de logon, que tem um botão logon e caixas de texto para nome de usuário e senha.

  4. SelecioneFirmware dosistema>.

  5. Selecione a caixa mostrando o firmware mais recente, por exemplo, FortiOS v6.2.0 build0866.

    A captura de tela do firmware

  6. Selecione Configuração de backup e atualização e Continuar quando solicitado.

  7. A NVA atualiza seu firmware para o build e as reinicializações mais recentes. O processo leva cerca de cinco minutos. Faça logon novamente no console Web do FortiGate.

  8. Clique emAssistente IPSec de VPN>.

  9. Insira um nome para a VPN, por exemplo, conn1 no Assistente de Criação de VPN.

  10. Selecione Este site está por trás da NAT.

    A captura de tela do Assistente de Criação de VPN mostra que ele está na primeira etapa, Configuração de VPN. Os seguintes valores são selecionados:

  11. Selecione Avançar.

  12. Insira o endereço IP remoto do dispositivo VPN local ao qual você vai se conectar.

  13. Selecione port1 como a Interface de Saída.

  14. Selecione Chave Pré-compartilhada e insira (e registre) uma chave pré-compartilhada.

    Observação

    Você precisará dessa chave para configurar a conexão no dispositivo VPN local, ou seja, ela deve corresponder exatamente.

    A captura de tela do Assistente de Criação de VPN mostra que ele está na segunda etapa, Autenticação e os valores selecionados estão realçados.

  15. Selecione Avançar.

  16. Selecione a porta2 para a Interface Local.

  17. Insira o intervalo de sub-rede local:

    • forti1: 172.16.0.0/16
    • forti2: 172.17.0.0/16

    Use o intervalo de IP se estiver usando um intervalo de IP diferente.

  18. Insira as sub-redes remotas apropriadas que representam a rede local à qual você se conectará por meio do dispositivo VPN local.

    • forti1: 172.16.0.0/16
    • forti2: 172.17.0.0/16

    Use o intervalo de IP se estiver usando um intervalo de IP diferente.

    A captura de tela do Assistente de Criação de VPN mostra que ele está na terceira etapa, Política & Roteamento, mostrando os valores selecionados e inseridos.

  19. Escolha Criar

  20. SelecioneInterfaces deRede>.

    A lista de interfaces mostra duas interfaces: port1, que foi configurada, e porta2, que não foi. Há botões para criar, editar e excluir interfaces.

  21. Clique duas vezes na porta2.

  22. Escolha LAN na lista Função e DHCP para o modo endereçamento.

  23. Selecione OK.

Repita as etapas para a outra NVA.

Abrir todos os seletores da fase 2

Depois que o acima tiver sido concluído para ambos os NVAs:

  1. No console Web forti2 FortiGate, selecione Monitorar>o IPsec Monitor.

    O monitor para conexão VPN conn1 está listado. Ele é mostrado como inativo, assim como o Seletor de Fase 2 correspondente.

  2. Realce conn1 e selecione os Seletores Da>Fase 2.

    O monitor e o Seletor de Fase 2 são mostrados como acima.

Testar e validar a conectividade

Agora você deve ser capaz de rotear entre cada VNET por meio dos NVAs do FortiGate. Para validar a conexão, crie uma VM do Azure Stack Hub no InsideSubnet de cada VNET. A criação de uma VM do Azure Stack Hub pode ser feita por meio do portal, da CLI do Azure ou do PowerShell. Ao criar as VMs:

  • As VMs do Azure Stack Hub são colocadas no InsideSubnet de cada VNET.

  • Você não aplica nenhum NSG à VM após a criação (ou seja, remova o NSG que é adicionado por padrão se criar a VM do portal.

  • Verifique se as regras de firewall da VM permitem a comunicação que você usará para testar a conectividade. Para fins de teste, é recomendável desabilitar o firewall completamente dentro do sistema operacional, se possível.

Próximas etapas

Diferenças e considerações para a rede do Azure Stack Hub
Oferecer uma solução de rede no Azure Stack Hub com Fortinet FortiGate