Поделиться через

Настройка VPN-шлюза для Azure Stack Hub с использованием виртуального сетевого модуля FortiGate

  • Статья

В этой статье описывается создание VPN-подключения к Azure Stack Hub. VPN-шлюз — это разновидность шлюза виртуальной сети, который передает зашифрованный трафик между виртуальной сетью в Azure Stack Hub и удаленным VPN-шлюзом. Приведенная ниже процедура развертывает одну виртуальную сеть с виртуальным сетевым модулем (NVA) FortiGate в группе ресурсов. Здесь также приводятся инструкции по настройке VPN-подключения IPSec к виртуальному сетевому модулю FortiGate.

Предварительные требования

  • Доступ к интегрированным системам Azure Stack Hub с доступной емкостью для развертывания обязательных ресурсов вычисления, сети и других ресурсов, необходимых для этого решения.

    Примечание

    Эти инструкции не будут работать с пакетом средств разработки Azure Stack (ASDK) из-за сетевых ограничений в ASDK. Дополнительные сведения см. в статье Требования и рекомендации для ASDK.

  • Доступ к VPN-устройству в локальной сети, в которой размещена интегрированная система Azure Stack Hub. Устройству необходимо создать туннель IPSec, который соответствует параметрам, описанным в разделе Параметры развертывания.

  • Решение виртуального сетевого модуля (NVA), доступное в Azure Stack Hub Marketplace. Виртуальный сетевой модуль используется для управления передачей сетевого трафика из сети периметра к другим сетям и подсетям. В этой процедуре используется решение с одной виртуальной машиной с брандмауэром следующего поколения Fortinet FortiGate.

    Примечание

    Если в Azure Stack Hub Marketplace нет виртуальной машины Fortinet FortiGate-VM для Azure BYOL и развертывания одной виртуальной машины (BYOL) FortiGate NGFW, обратитесь к оператору облака.

  • Чтобы активировать NVA FortiGate, потребуется по крайней мере один доступный файл лицензии FortiGate. Сведения о том, как получить эти лицензии, см. в библиотеке документации Fortinet.

    В этой процедуре используется развертывание одной виртуальной машины FortiGate-VM. Вы узнаете, как подключить NVA FortiGate к виртуальной сети Azure Stack Hub в вашей локальной сети.

    Дополнительные сведения о развертывании решения FortiGate в режиме "активный — пассивный" (высокий уровень доступности) см. в документации по высокому уровню доступности FortiGate-VM в Azure.

Параметры развертывания

В следующей таблице для справки перечислены параметры, которые используются в этих развертываниях.

Параметр Значение
Имя экземпляра FortiGate forti1
Лицензия BYOL, версия 6.0.3
Имя пользователя с правами администратора FortiGate fortiadmin
Имя группы ресурсов forti1-rg1
Имя виртуальной сети forti1vnet1
Адресное пространство виртуальной сети 172.16.0.0/16*
Имя подсети общедоступной виртуальной сети forti1-PublicFacingSubnet
Префикс адреса общедоступной виртуальной сети 172.16.0.0/24*
Имя подсети виртуальной сети forti1-InsideSubnet
Префикс подсети виртуальной сети 172.16.1.0/24*
Размер виртуальной машины NVA FortiGate Standard F2s_v2
Имя общедоступного IP-адреса forti1-publicip1
Тип общедоступного IP-адреса Статические

Примечание

* Выберите другое адресное пространство и префиксы подсети, если 172.16.0.0/16 они перекрываются с локальной сетью или пулом ВИРТУАЛЬНЫх IP-адресов Azure Stack Hub.

Развертывание элементов Marketplace FortiGate NGFW

  1. Откройте портал пользователя Azure Stack Hub.

  2. Щелкните Создать ресурс и выполните поиск по запросу FortiGate.

    В списке результатов поиска отображается FortiGate NGFW — развертывание одной виртуальной машины.

  3. Щелкните FortiGate NGFW и нажмите кнопку Создать.

  4. Заполните поля на вкладке Основные сведения, используя параметры из таблицы Параметры развертывания.

    Экран Основные сведения содержит значения из таблицы параметров развертывания, введенные в списки и текстовые поля.

  5. Щелкните ОК.

  6. Укажите виртуальную сеть, подсети и сведения о размере виртуальной машины, используя таблицу Параметры развертывания.

    Предупреждение

    Если локальная сеть перекрывается диапазоном IP-адресов 172.16.0.0/16, необходимо выбрать и настроить другой диапазон сети и подсети. Если вы хотите использовать имена и диапазоны, отличные от имен, указанных в таблице Параметры развертывания, используйте параметры, которые не конфликтуют с локальной сетью. Будьте внимательны при настройке диапазона IP-адресов виртуальной сети и диапазонов подсетей в виртуальной сети. Диапазон не должен перекрываться диапазонами IP-адресов, которые существуют в локальной сети.

  7. Щелкните ОК.

  8. Настройте общедоступный IP-адрес для NVA FortiGate:

    В диалоговом окне Назначение IP-адресов отображается значение forti1-publicip1 для параметра

  9. Щелкните ОК. Затем нажмите кнопку ОК.

  10. Нажмите кнопку создания.

    Развертывание займет около 10 минут.

Настройка маршрутов (UDR) для виртуальной сети

  1. Откройте портал пользователя Azure Stack Hub.

  2. Выберите "Группы ресурсов". Введите forti1-rg1 в фильтре и дважды щелкните группу ресурсов forti1-rg1.

    Для группы ресурсов forti1-rg1 перечислены десять ресурсов.

  3. Выберите ресурс forti1-forti1-InsideSubnet-routes-xxxx.

  4. В разделе Параметры выберите Маршруты.

    В диалоговом окне Параметры выбрана кнопка Маршруты.

  5. Удалите маршрут to-Internet.

    Маршрут к Интернету является единственным маршрутом в списке, и он выбран. Есть кнопка удаления.

  6. Выберите ответ Да.

  7. Нажмите кнопку Добавить, чтобы добавить новый маршрут.

  8. Присвойте маршруту имя to-onprem.

  9. Введите диапазон IP-адресов, определяющий диапазон локальной сети, к которой будет подключаться VPN.

  10. Выберите Виртуальный модуль в поле Тип следующего прыжка и укажите 172.16.1.4. Укажите собственный диапазон IP-адресов, если вы используете другой диапазон.

    В диалоговом окне Добавление маршрута отображаются четыре значения, введенные в текстовые поля.

  11. Щелкните Сохранить.

Активация NVA FortiGate

Активируйте NVA FortiGate и настройте VPN-подключение IPSec для каждого NVA.

Чтобы активировать каждый NVA FortiGate потребуется действительный файл лицензии из Fortinet. Модули NVA не будут работать до тех пор, пока они все не будут активированы. Дополнительные сведения о том, как получить файл лицензии и шаги по активации NVA, см. в библиотеке документации по Fortinet.

После активации NVA создайте на нем VPN-туннель IPSec.

  1. Откройте портал пользователя Azure Stack Hub.

  2. Выберите "Группы ресурсов". Введите forti1 в фильтре и дважды щелкните группу ресурсов forti1.

  3. Дважды щелкните виртуальную машину forti1 в списке типов ресурсов в колонке группы ресурсов.

    На странице обзора виртуальной машины forti1 отображаются значения forti1, такие как

  4. Скопируйте назначенный IP-адрес, откройте браузер и вставьте адрес в адресную строку. Сайт может отобразить предупреждение о том, что сертификат безопасности не является доверенным. Не обращайте внимание.

  5. Введите имя пользователя с правами администратора и пароль FortiGate, указанные во время развертывания.

    Диалоговое окно входа содержит текстовые поля пользователя и пароля, а также кнопку Входа.

  6. Выберите Системное>встроенное ПО.

  7. Установите флажок напротив последней версии встроенного ПО, например FortiOS v6.2.0 build0866.

    В диалоговом окне Встроенное ПО имеется идентификатор встроенного ПО FortiOS версии 6.2.0 build0866. Есть ссылка на заметки о выпуске и две кнопки:

  8. Выберите Конфигурация резервного копирования и обновление>Продолжить.

  9. В NVA встроенное ПО обновляется до последней сборки, а модуль перезагружается. Процесс займет около пяти минут. Снова войдите в веб-консоль FortiGate.

  10. Щелкните Мастер VPN>IPSec.

  11. Введите имя VPN, например conn1, в мастере создания VPN.

  12. Щелкните This site is behind NAT (Сайт скрыт за NAT).

    Снимок экрана мастера создания VPN показывает, что он должен быть на первом шаге— настройка VPN. Выбраны следующие значения:

  13. Выберите Далее.

  14. Введите удаленный IP-адрес локального VPN-устройства, к которому будет выполнено подключение.

  15. Выберите port1 в качестве исходящего интерфейса.

  16. Выберите Pre-shared Key (Общий ключ) и введите (и сохраните) общий ключ.

    Примечание

    Этот ключ потребуется для настройки подключения на локальном VPN-устройстве, то есть ключи должны полностью совпадать.

    Снимок экрана мастера создания VPN показывает, что он выполняется на втором шаге Проверка подлинности, а выбранные значения выделены.

  17. Выберите Далее.

  18. Выберите port2 в качестве локального интерфейса

  19. Введите диапазон локальной подсети:

    • forti1: 172.16.0.0/16
    • forti2: 172.17.0.0/16

    Укажите собственный диапазон IP-адресов, если вы используете другой диапазон.

  20. Введите соответствующие удаленные подсети, представляющие локальную сеть, к которой вы будете подключаться через локальное VPN-устройство.

    Снимок экрана мастера создания VPN показывает, что он выполняется на третьем шаге, Политика & маршрутизация. Здесь отображаются выбранные и введенные значения.

  21. Выберите Создать.

  22. Выберите Сетевые>интерфейсы.

    В списке интерфейсов отображаются два интерфейса: port1, который был настроен, и port2, который не имеет. Существуют кнопки для создания, изменения и удаления интерфейсов.

  23. Дважды щелкните port2.

  24. Выберите LAN в списке Role (Роль) и DHCP в качестве режима адресации.

  25. Щелкните ОК.

Настройка локального VPN-устройства

На локальном VPN-устройстве следует настроить создание VPN-туннеля IPSec. В следующей таблице приведены параметры, которые потребуется настроить для локального VPN-устройства. Сведения о настройке локального VPN-устройства см. в документации для вашего устройства.

Параметр Значение
IP-адрес удаленного шлюза Общедоступный IP-адрес, назначенный forti1. См . раздел Активация NVA FortiGate.
Удаленная IP-сеть 172.16.0.0/16 (при использовании диапазона IP-адресов в этих инструкциях для виртуальной сети).
Проверка подлинности. Метод = общий ключ (PSK) Из шага 16.
Версия IKE 1
Режим IKE Главный (защита идентификатора)
Алгоритмы предложений первого этапа AES128-SHA256, AES256-SHA256, AES128-SHA1, AES256-SHA1
Группы Диффи-Хеллмана 14, 5

Создание туннеля VPN

После того как локальное VPN-устройство будет настроено надлежащим образом, можно установить VPN-туннель.

На модуле NVA FortiGate:

  1. В веб-консоли forti1 FortiGate перейдите в раздел Мониторинг>монитора IPsec.

    Отображается монитор для VPN-подключения conn1. Он отображается как не работает, как и соответствующий селектор этапа 2.

  2. Выделите conn1 и выберите Bring Up>All Phase 2 Selectors (Открыть > Все селекторы этапа 2).

    Монитор и селектор этапа 2 отображаются как

Проверка подключения

Между сетью виртуальной сети и локальной сетью можно осуществлять маршрутизацию с помощью локального VPN-устройства.

Чтобы проверить подключение:

  1. Создайте виртуальную машину в виртуальной сети Azure Stack Hub и систему в локальной сети. Инструкции по созданию виртуальной машины см. в статье Краткое руководство. Создание виртуальной машины Windows Server с помощью портала Azure Stack Hub.

  2. При создании виртуальной машины Azure Stack Hub и подготовке локальной системы проверьте следующее:

  • Виртуальная машина Azure Stack Hub размещается во внутренней подсети виртуальной сети.

  • Локальная система помещается в локальную сеть в пределах заданного диапазона IP-адресов, как определено в конфигурации IPSec. Убедитесь также, что IP-адрес локального интерфейса локального VPN-устройства предоставляется локальной системе в качестве маршрута, который может подключиться к виртуальной сети Azure Stack Hub, например 172.16.0.0/16.

  • Не применяйте группы безопасности сети к виртуальной машине Azure Stack Hub при создании. Может потребоваться удалить группу безопасности сети, которая добавляется по умолчанию при создании виртуальной машины на портале.

  • Убедитесь, что ОС локальной системы и ОС виртуальной машины Azure Stack Hub не использует правила брандмауэра ОС, которые запрещают обмен данными для проверки подключения. В целях тестирования рекомендуется полностью отключить брандмауэр в операционной системе обеих систем.

Дальнейшие действия

Сети Azure Stack Hub: различия и рекомендации
Предложение сетевого решения для Azure Stack Hub с помощью Fortinet FortiGate