VNet-till-VNet-anslutning med Fortigate

I den här artikeln beskrivs hur du skapar en anslutning mellan två virtuella nätverk i samma miljö. När du konfigurerar anslutningarna får du lära dig hur VPN-gatewayer i Azure Stack Hub fungerar. Anslut två virtuella nätverk i samma Azure Stack Hub-miljö med Hjälp av Fortinet FortiGate. Den här proceduren distribuerar två virtuella nätverk med en FortiGate NVA, en virtuell nätverksinstallation, i varje virtuellt nätverk i en separat resursgrupp. Den beskriver också de ändringar som krävs för att konfigurera en IPSec VPN mellan de två virtuella nätverken. Upprepa stegen i den här artikeln för varje VNET-distribution.

Förutsättningar

  • Åtkomst till ett system med tillgänglig kapacitet för att distribuera nödvändiga beräknings-, nätverks- och resurskrav som krävs för den här lösningen.

  • En lösning för virtuell nätverksinstallation (NVA) har laddats ned och publicerats på Azure Stack Hub Marketplace. En NVA styr flödet av nätverkstrafik från ett perimeternätverk till andra nätverk eller undernät. I den här proceduren används lösningen Fortinet FortiGate Next-Generation Firewall Single VM.

  • Minst två tillgängliga FortiGate-licensfiler för att aktivera FortiGate NVA. Information om hur du hämtar dessa licenser finns i artikeln Fortinet-dokumentbiblioteket om registrering och nedladdning av din licens.

    Den här proceduren använder distributionen Single FortiGate-VM. Du hittar steg för hur du ansluter FortiGate NVA till det virtuella Azure Stack Hub-nätverket i ditt lokala nätverk.

    Mer information om hur du distribuerar FortiGate-lösningen i en aktiv-passiv (HA)-konfiguration finns i informationen i artikeln Fortinet-dokumentbibliotek HA for FortiGate-VM i Azure.

Distributionsparametrar

I följande tabell sammanfattas de parametrar som används i dessa distributioner som referens:

Distribution ett: Forti1

FortiGate-instansnamn Forti1
BYOL-licens/-version 6.0.3
Administratörsanvändarnamn för FortiGate fortiadmin
Namnet på resursgruppen forti1-rg1
Virtuellt nätverksnamn forti1vnet1
VNET-adressutrymme 172.16.0.0/16*
Namn på offentligt VNET-undernät forti1-PublicFacingSubnet
Offentligt VNET-adressprefix 172.16.0.0/24*
Inuti VNET-undernätsnamn forti1-InsideSubnet
Inuti VNET-undernätsprefix 172.16.1.0/24*
VM-storlek för FortiGate NVA Standard F2s_v2
Namn på offentlig IP-adress forti1-publicip1
Offentlig IP-adresstyp Statisk

Distribution två: Forti2

FortiGate-instansnamn Forti2
BYOL-licens/-version 6.0.3
Administratörsanvändarnamn för FortiGate fortiadmin
Namnet på resursgruppen forti2-rg1
Virtuellt nätverksnamn forti2vnet1
VNET-adressutrymme 172.17.0.0/16*
Namn på offentligt VNET-undernät forti2-PublicFacingSubnet
Offentligt VNET-adressprefix 172.17.0.0/24*
Inuti VNET-undernätsnamn Forti2-InsideSubnet
Inuti VNET-undernätsprefix 172.17.1.0/24*
VM-storlek för FortiGate NVA Standard F2s_v2
Namn på offentlig IP-adress Forti2-publicip1
Offentlig IP-adresstyp Statisk

Anteckning

* Välj en annan uppsättning adressutrymmen och undernätsprefix om ovanstående överlappar på något sätt med den lokala nätverksmiljön, inklusive VIP-poolen för azure stack-hubben. Se också till att adressintervallen inte överlappar varandra.

Distribuera FortiGate NGFW

  1. Öppna Azure Stack Hub-användarportalen.

  2. Välj Skapa en resurs och sök FortiGateefter .

    The search results list shows FortiGate NGFW - Single VM Deployment.

  3. Välj FortiGate NGFW och välj Skapa.

  4. Slutför grunderna med hjälp av parametrarna från tabellen Distributionsparametrar .

    The Basics screen has values from the deployment parameters selected and entered in list and text boxes.

  5. Välj OK.

  6. Ange information om virtuellt nätverk, undernät och VM-storlek med hjälp av tabellen Distributionsparametrar .

    Varning

    Om det lokala nätverket överlappar IP-intervallet 172.16.0.0/16måste du välja och konfigurera ett annat nätverksintervall och undernät. Om du vill använda andra namn och intervall än de i tabellen Distributionsparametrar använder du parametrar som inte kommer i konflikt med det lokala nätverket. Var försiktig när du anger VNET IP-intervall och undernätsintervall i det virtuella nätverket. Du vill inte att intervallet ska överlappa de IP-intervall som finns i ditt lokala nätverk.

  7. Välj OK.

  8. Konfigurera den offentliga IP-adressen för Fortigate NVA:

    The IP Assignment dialog box shows the value forti1-publicip1 for

  9. Välj OK. Och välj sedan OK.

  10. Välj Skapa.

Distributionen tar cirka 10 minuter.

Konfigurera vägar (UDR) för varje virtuellt nätverk

Utför de här stegen för båda distributionerna, forti1-rg1 och forti2-rg1.

  1. Öppna Azure Stack Hub-användarportalen.

  2. Välj Resursgrupper. Skriv forti1-rg1 i filtret och dubbelklicka på resursgruppen forti1-rg1.

    Ten resources are listed for the forti1-rg1 resource group.

  3. Välj resursen forti1-forti1-InsideSubnet-routes-xxxx .

  4. Välj Vägar under Inställningar.

    The Routes button is selected in the Settings dialog box.

  5. Ta bort vägen till Internet .

    The to-Internet Route is the only route listed, and it is selected. There is a delete button.

  6. Välj Ja.

  7. Välj Lägg till för att lägga till en ny väg.

  8. Ge vägen to-onpremnamnet .

  9. Ange DET IP-nätverksintervall som definierar nätverksintervallet för det lokala nätverk som VPN ska ansluta till.

  10. Välj Virtuell installation för Nästa hopptyp och 172.16.1.4. Använd ditt IP-intervall om du använder ett annat IP-intervall.

    The Add route dialog box shows the four values that have been selected and entered in the text boxes.

  11. Välj Spara.

Du behöver en giltig licensfil från Fortinet för att aktivera varje FortiGate NVA. NVA:erna fungerar inte förrän du har aktiverat varje NVA. Mer information om hur du hämtar en licensfil och steg för att aktivera NVA finns i artikeln Fortinet-dokumentbibliotek som registrerar och laddar ned din licens.

Två licensfiler måste hämtas – en för varje NVA.

Skapa en IPSec VPN mellan de två NVA:erna

När NVA:erna har aktiverats följer du de här stegen för att skapa en IPSec VPN mellan de två NVA:erna.

Följ stegen nedan för både forti1 NVA och forti2 NVA:

  1. Hämta den tilldelade offentliga IP-adressen genom att gå till översiktssidan för den virtuella fortiX-datorn:

    The forti1 virtual machine Overview page show values for forti1, such as the

  2. Kopiera den tilldelade IP-adressen, öppna en webbläsare och klistra in adressen i adressfältet. Webbläsaren kan varna dig om att säkerhetscertifikatet inte är betrott. Fortsätt ändå.

  3. Ange det administrativa användarnamnet och lösenordet för FortiGate som du angav under distributionen.

    The login dialog box has user and password text boxes, and a Login button.

  4. Välj SystemFirmware>.

  5. Markera rutan som visar den senaste inbyggda programvaran, till exempel FortiOS v6.2.0 build0866.

    The Firmware dialog box has the firmware identifier

  6. Välj Säkerhetskopieringskonfiguration ochuppgraderingFortsätt>.

  7. NVA uppdaterar sin inbyggda programvara till den senaste versionen och startar om. Processen tar ungefär fem minuter. Logga in på FortiGate-webbkonsolen igen.

  8. Klicka på VPNIPSec-guiden>.

  9. Ange ett namn för VPN, till exempel conn1 i guiden Skapa VPN.

  10. Välj Den här webbplatsen ligger bakom NAT.

    The screenshot of the VPN Creation Wizard shows it to be on the first step, VPN Setup. The following values are selected:

  11. Välj Nästa.

  12. Ange fjärr-IP-adressen för den lokala VPN-enhet som du ska ansluta till.

  13. Välj port1 som utgående gränssnitt.

  14. Välj I förväg delad nyckel och ange (och spela in) en i förväg delad nyckel.

    Anteckning

    Du behöver den här nyckeln för att konfigurera anslutningen på den lokala VPN-enheten, d.v.s. de måste matcha exakt.

    The screenshot of the VPN Creation Wizard shows it to be on the second step, Authentication, and the selected values are highlighted.

  15. Välj Nästa.

  16. Välj port2 för det lokala gränssnittet.

  17. Ange det lokala undernätsintervallet:

    • forti1: 172.16.0.0/16
    • forti2: 172.17.0.0/16

    Använd ditt IP-intervall om du använder ett annat IP-intervall.

  18. Ange lämpliga fjärrundernät som representerar det lokala nätverket, som du ska ansluta till via den lokala VPN-enheten.

    • forti1: 172.16.0.0/16
    • forti2: 172.17.0.0/16

    Använd ditt IP-intervall om du använder ett annat IP-intervall.

    The screenshot of the VPN Creation Wizard shows it to be on the third step, Policy & Routing. It shows the selected and entered values.

  19. Välj Skapa

  20. Välj NetworkInterfaces>.

    The interface list shows two interfaces: port1, which has been configured, and port2, which hasn't. There are buttons to create, edit, and delete interfaces.

  21. Dubbelklicka på port2.

  22. Välj LAN i rolllistan och DHCP för adresseringsläget.

  23. Välj OK.

Upprepa stegen för den andra NVA:n.

Ta upp alla fas 2-väljare

När ovanstående har slutförts för båda NVA:erna:

  1. På forti2 FortiGate-webbkonsolen väljer du övervakaIPsec> Monitor.

    The monitor for VPN connection conn1 is listed. It is shown as being down, as is the corresponding Phase 2 Selector.

  2. Markera conn1 och välj Bring UpAllPhase 2 Selectors (Ta uppAlla> fas 2-väljare).

    The monitor and Phase 2 Selector are both shown as up.

Testa och verifiera anslutningen

Nu bör du kunna dirigera mellan varje virtuellt nätverk via FortiGate NVA:erna. Verifiera anslutningen genom att skapa en virtuell Azure Stack Hub-dator i varje virtuellt nätverks InsideSubnet. Du kan skapa en virtuell Azure Stack Hub-dator via portalen, Azure CLI eller PowerShell. När du skapar de virtuella datorerna:

  • De virtuella Azure Stack Hub-datorerna placeras i InsideSubnet för varje virtuellt nätverk.

  • Du tillämpar inga NSG:er på den virtuella datorn när du skapar den (dvs. ta bort den NSG som läggs till som standard om du skapar den virtuella datorn från portalen.

  • Se till att VMS-brandväggsreglerna tillåter den kommunikation som du ska använda för att testa anslutningen. I testsyfte rekommenderar vi att du inaktiverar brandväggen helt i operativsystemet om det är möjligt.

Nästa steg

Skillnader och överväganden för Azure Stack Hub-nätverk
Erbjuda en nätverkslösning i Azure Stack Hub med Fortinet FortiGate