Övning – Skapa en Azure VPN-gateway

  • 40 minuter

Du vill vara säker på att du kan ansluta klienter eller platser inom din miljö i Azure med hjälp av krypterade tunnlar över det offentliga internet. I den här utbildningsenheten skapar du en VPN-gateway av typen punkt till plats och ansluter sedan till gatewayen från en klientdator. Du använder inbyggda Azure-anslutningar för certifikatautentisering som säkerhet.

Du utför följande process:

  1. Skapa en routningsbaserad VPN-gateway.

  2. Överföra den offentliga nyckeln för ett rotcertifikat i autentiseringssyfte.

  3. Generera ett klientcertifikat från rotcertifikatet och sedan installera klientcertifikatet på varje klientdator som ska ansluta till det virtuella nätverket i autentiseringssyfte.

  4. Skapa VPN-klientkonfigurationsfiler som innehåller all nödvändig information för att klienten ska kunna ansluta till det virtuella nätverket.

Ställ in

I den här modulen använder du Azure PowerShell från din lokala Windows 10-dator.

  1. Öppna en ny PowerShell-session på din lokala Windows 10-dator där du installerade Azure PowerShell-modulen.

  2. Logga in på Azure genom att köra PowerShell-cmdleten Connect-AzAccount.

  3. Konfigurera de variabler du ska använda för att skapa ett virtuellt nätverk. Kopiera och klistra in följande variabler i PowerShell.

$VNetName  = "VNetData"
$FESubName = "FrontEnd"
$BESubName = "Backend"
$GWSubName = "GatewaySubnet"
$VNetPrefix1 = "192.168.0.0/16"
$VNetPrefix2 = "10.254.0.0/16"
$FESubPrefix = "192.168.1.0/24"
$BESubPrefix = "10.254.1.0/24"
$GWSubPrefix = "192.168.200.0/26"
$VPNClientAddressPool = "172.16.201.0/24"
$ResourceGroup = "VpnGatewayDemo"
$Location = "East US"
$GWName = "VNetDataGW"
$GWIPName = "VNetDataGWPIP"
$GWIPconfName = "gwipconf"

Konfigurera ett virtuellt nätverk

  1. Kör följande kommando för att skapa en resursgrupp.

    New-AzResourceGroup -Name $ResourceGroup -Location $Location

  2. Kör följande kommandon för att skapa undernätskonfigurationer för det virtuella nätverket. Dessa konfigurationer har namnet FrontEnd, BackEnd och GatewaySubnet. Alla dessa undernät ligger i det virtuella nätverkets prefix.

    $fesub = New-AzVirtualNetworkSubnetConfig -Name $FESubName -AddressPrefix $FESubPrefix
$besub = New-AzVirtualNetworkSubnetConfig -Name $BESubName -AddressPrefix $BESubPrefix
$gwsub = New-AzVirtualNetworkSubnetConfig -Name $GWSubName -AddressPrefix $GWSubPrefix

  3. Kör sedan följande kommando för att skapa det virtuella nätverket med undernätsvärdena och en statisk DNS-server.

    New-AzVirtualNetwork -Name $VNetName -ResourceGroupName $ResourceGroup -Location $Location -AddressPrefix $VNetPrefix1,$VNetPrefix2 -Subnet $fesub, $besub, $gwsub -DnsServer 10.2.1.3

  4. Ange nu variablerna för det här nätverket som du har skapat.

    $vnet = Get-AzVirtualNetwork -Name $VNetName -ResourceGroupName $ResourceGroup
$subnet = Get-AzVirtualNetworkSubnetConfig -Name $GWSubName -VirtualNetwork $vnet

  5. Kör följande kommando för att begära en dynamiskt tilldelad offentlig IP-adress.

    $pip = New-AzPublicIpAddress -Name $GWIPName -ResourceGroupName $ResourceGroup -Location $Location -AllocationMethod Dynamic
$ipconf = New-AzVirtualNetworkGatewayIpConfig -Name $GWIPconfName -Subnet $subnet -PublicIpAddress $pip

Skapa VPN-gatewayen

När du skapar denna VPN-gateway:

  • GatewayType måste vara Vpn
  • VpnType måste vara RouteBased

Den här delen av övningen kan ta upp till 45 minuter att slutföra.

  1. Skapa VPN-gatewayen genom att köra följande kommando och trycka på Retur.

    New-AzVirtualNetworkGateway -Name $GWName -ResourceGroupName $ResourceGroup `
-Location $Location -IpConfigurations $ipconf -GatewayType Vpn `
-VpnType RouteBased -EnableBgp $false -GatewaySku VpnGw1 -VpnClientProtocol "IKEv2"

  2. Vänta tills kommandoutdatan visas.

Lägga till VPN-klientadresspoolen

  1. Kör följande kommando för att lägga till VPN-klientadresspoolen.

    $Gateway = Get-AzVirtualNetworkGateway -ResourceGroupName $ResourceGroup -Name $GWName
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $Gateway -VpnClientAddressPool $VPNClientAddressPool

  2. Vänta tills kommandoutdatan visas.

Generera ett klientcertifikat

Med nätverksinfrastrukturen som skapats i Azure måste vi skapa ett självsignerat certifikat i den lokala datorn. Den här genereringen kan göras på samma sätt i de flesta operativsystem, men vi går igenom hur du genererar ditt klientcertifikat i Windows 10 med Hjälp av PowerShell med Azure PowerShell-modulen och verktyget Windows Certificate Manager .

  1. Det första steget är att skapa det självsignerade rotcertifikatet. Kör följande kommando.

    $cert = New-SelfSignedCertificate -Type Custom -KeySpec Signature `
-Subject "CN=P2SRootCert" -KeyExportPolicy Exportable `
-HashAlgorithm sha256 -KeyLength 2048 `
-CertStoreLocation "Cert:\CurrentUser\My" -KeyUsageProperty Sign -KeyUsage CertSign

  2. Sedan ska du generera ett klientcertifikat som signerats av det nya rotcertifikatet.

    New-SelfSignedCertificate -Type Custom -DnsName P2SChildCert -KeySpec Signature `
-Subject "CN=P2SChildCert" -KeyExportPolicy Exportable `
-HashAlgorithm sha256 -KeyLength 2048 `
-CertStoreLocation "Cert:\CurrentUser\My" `
-Signer $cert -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.2")

Exportera den offentliga nyckeln för certifikatet

När våra certifikat är genererade måste vi exportera rotcertifikatets offentliga nyckel.

  1. Kör certmgr från PowerShell så att du öppnar Certifikathanteraren.

  2. Navigera till Personligt>Certifikat.

  3. Högerklicka på P2SRootCert-certifikatet i listan och välj Alla aktiviteter>Exportera.

  4. I guiden Certifikatexport väljer du Nästa.

  5. Kontrollera att Nej, exportera inte den privata nyckeln är markerad och välj sedan Nästa.

  6. På sidan Exportera filformat kontrollerar du att Base-64-kodade X.509 (. CER) har valts och välj sedan Nästa.

  7. På sidan Fil att exportera går du till en plats som du kommer ihåg under Filnamn och sparar filen som P2SRootCert.cer och väljer sedan Nästa.

  8. På sidan Slutför guiden Exportera certifikat väljer du Slutför.

  9. I meddelanderutan Certifikatexportguiden väljer du OK.

Ladda upp informationen om den offentliga nyckeln för rotcertifikatet

  1. I PowerShell-fönstret kör du följande kommando för att deklarera en variabel för certifikatnamnet.

    $P2SRootCertName = "P2SRootCert.cer"

  2. <cert-path> Ersätt platshållaren med exportplatsen för rotcertifikatet och kör följande kommando.

    $filePathForCert = "<cert-path>\P2SRootCert.cer"
$cert = new-object System.Security.Cryptography.X509Certificates.X509Certificate2($filePathForCert)
$CertBase64 = [system.convert]::ToBase64String($cert.RawData)
$p2srootcert = New-AzVpnClientRootCertificate -Name $P2SRootCertName -PublicCertData $CertBase64

  3. När gruppnamnet är inställt laddar du upp certifikatet till Azure med följande kommando.

    Add-AzVpnClientRootCertificate -VpnClientRootCertificateName $P2SRootCertName -VirtualNetworkGatewayname $GWName -ResourceGroupName $ResourceGroup -PublicCertData $CertBase64

    Azure identifierar nu det här certifikatet som ett betrott rotcertifikat för vårt virtuella nätverk.

Konfigurera den inbyggda VPN-klienten

  1. Kör följande kommando för att skapa VPN-klientkonfigurationsfiler i .ZIP-format.

    $profile = New-AzVpnClientConfiguration -ResourceGroupName $ResourceGroup -Name $GWName -AuthenticationMethod "EapTls"
$profile.VPNProfileSASUrl

  2. Kopiera URL:en som returneras i utdata från det här kommandot och klistra in den i webbläsaren. Webbläsaren bör nu börja ladda ned en .ZIP-fil. Extrahera innehållet och placera det på en lämplig plats.

    Vissa webbläsare kan försöka blockera nedladdningen av ZIP-filen eftersom den kan vara farlig. Du måste åsidosätta detta i webbläsaren för att kunna extrahera arkivinnehållet.

  3. I den extraherade mappen navigerar du till antingen mappen WindowsAmd64 (för 64-bitars Windows-datorer) eller WindowsX86 (för 32-bitars datorer).

    Om du vill konfigurera ett VPN på en dator som inte kör Windows kan du använda certifikat och inställningsfiler från mappen Generic.

  4. Dubbelklicka på filen VpnClientSetup{architecture}.exe med {architecture} en återspegling av arkitekturen.

  5. På skärmen Windows-skyddad dator väljer du Mer information och sedan Kör ändå.

  6. I dialogrutan Kontroll av användarkonto väljer du Ja.

  7. I dialogrutan VNetData väljer du Ja.

Ansluta till Azure

  1. Tryck på Windows-tangenten, ange Inställningar och tryck på kbd>Retur.

  2. I fönstret Inställningar väljer du Nätverk och Internet.

  3. I den vänstra rutan väljer du VPN.

  4. I den högra rutan väljer du VNetData och sedan Anslut.

  5. I fönstret VNetData väljer du Anslut.

  6. I nästa VNetData-fönster väljer du Fortsätt.

  7. I meddelanderutan User Account Control (Användarkontokontroll) väljer du Ja.

Om de här stegen inte fungerar kan du behöva starta om datorn.

Verifiera din anslutning

  1. Öppna en ny Windows-kommandotolk och kör IPCONFIG /ALL.

  2. Kopiera IP-adressen under PPP-anslutningen för VNetData eller skriv ned den.

  3. Bekräfta att IP-adressen finns i VPNClientAddressPool-intervallet 172.16.201.0/24.

  4. Du har nu upprättat en anslutning till Azure VPN-gatewayen.

Du har precis konfigurerat en VPN-gateway så att du kan upprätta en krypterad klientanslutning till ett virtuellt nätverk i Azure. Den här metoden är mycket bra med klientdatorer och mindre plats till plats-anslutningar.