FortiGate NVA kullanarak Azure Stack Hub için VPN ağ geçidini ayarlama

Bu makalede Azure Stack Hub'ınıza vpn bağlantısı oluşturma adımları anlatılmaktadır. VPN ağ geçidi, Azure Stack Hub'daki sanal ağınız ile uzak VPN ağ geçidi arasında şifrelenmiş trafik gönderen bir sanal ağ geçidi türüdür. Aşağıdaki yordam, bir kaynak grubu içinde bir ağ sanal gereci olan FortiGate NVA ile bir sanal ağ dağıtır. Ayrıca FortiGate NVA'da IPSec VPN'i ayarlama adımlarını da sağlar.

Önkoşullar

  • Bu çözüm için gereken işlem, ağ ve kaynak gereksinimlerini dağıtmak için kullanılabilir kapasiteye sahip Azure Stack Hub tümleşik sistemlerine erişim.

    Not

    Bu yönergeler, ASDK'deki ağ sınırlamaları nedeniyle Azure Stack Geliştirme Seti (ASDK) ile çalışmaz. Daha fazla bilgi için bkz . ASDK gereksinimleri ve dikkat edilmesi gerekenler.

  • Azure Stack Hub tümleşik sistemini barındıran şirket içi ağdaki bir VPN cihazına erişim. Cihazın Dağıtım parametrelerinde açıklanan parametreleri karşılayan bir IPSec tüneli oluşturması gerekir.

  • Azure Stack Hub Marketi'nizde kullanılabilen bir ağ sanal gereci (NVA) çözümü. NVA, bir çevre ağından diğer ağlara veya alt ağlara giden ağ trafiğinin akışını denetler. Bu yordamda Fortinet FortiGate Yeni Nesil Güvenlik Duvarı Tek VM Çözümü kullanılır.

    Not

    Azure Stack Hub Marketinizde Fortinet FortiGate-VM For Azure BYOL ve FortiGate NGFW - Tek VM Dağıtımı (KLG) yoksa bulut operatörünüze başvurun.

  • FortiGate NVA'yı etkinleştirmek için en az bir fortiGate lisans dosyası gerekir. Bu lisansları nasıl edinebileceğiniz hakkında bilgi için Fortinet Belge Kitaplığı'nda lisansınızı kaydetme ve indirme makalesine bakın.

    Bu yordam, Tek FortiGate-VM dağıtımını kullanır. FortiGate NVA'yı şirket içi ağınızdaki Azure Stack Hub sanal ağına bağlama adımlarını bulabilirsiniz.

    FortiGate çözümünü active-passive (HA) kurulumunda dağıtma hakkında daha fazla bilgi için Azure'da FortiGate-VM için FortiNet Belge Kitaplığı makalesindeki ayrıntılara bakın.

Dağıtım parametreleri

Aşağıdaki tabloda, başvuru için bu dağıtımlarda kullanılan parametreler özetlenmiştir.

Parametre Değer
FortiGate Örneği Adı forti1
KLG Lisansı/Sürümü 6.0.3
FortiGate yönetim kullanıcı adı fortiadmin
Kaynak Grubu adı forti1-rg1
Sanal ağın adı forti1vnet1
Sanal Ağ Adres Alanı 172.16.0.0/16*
Genel sanal ağ alt ağ adı forti1-PublicFacingSubnet
Genel sanal ağ adres ön eki 172.16.0.0/24*
İç sanal ağ alt ağı adı forti1-InsideSubnet
VNET alt ağı ön eki içinde 172.16.1.0/24*
FortiGate NVA'nın VM Boyutu Standart F2s_v2
Genel IP adresi adı forti1-publicip1
Genel IP adresi türü Statik

Not

* Şirket içi ağ veya Azure Stack Hub VIP havuzuyla çakışıyorsa 172.16.0.0/16 farklı bir adres alanı ve alt ağ ön ekleri seçin.

FortiGate NGFW Market öğelerini dağıtma

  1. Azure Stack Hub kullanıcı portalını açın.

  2. Kaynak oluştur'u seçin ve için FortiGatearama yapın.

    The search results list shows FortiGate NGFW - Single VM Deployment.

  3. FortiGate NGFW'yi ve ardından Oluştur'u seçin.

  4. Dağıtım parametreleri tablosundaki parametreleri kullanarak TemelBilgileri tamamlayın.

    The Basics screen has values from the deployment parameters table entered in list and text boxes.

  5. Tamam’ı seçin.

  6. Dağıtım parametreleri tablosunu kullanarak Sanal ağ, Alt Ağlar ve VM Boyutu ayrıntılarını sağlayın.

    Uyarı

    Şirket içi ağ IP aralığıyla 172.16.0.0/16çakışıyorsa, farklı bir ağ aralığı ve alt ağ seçip ayarlamanız gerekir. Dağıtım parametreleri tablosundakilerden farklı adlar ve aralıklar kullanmak istiyorsanız, şirket içi ağ ile çakışmayacak parametreleri kullanın. VNET IP aralığını ve sanal ağ içindeki alt ağ aralıklarını ayarlarken dikkatli olun. Aralığın şirket içi ağınızda bulunan IP aralıklarıyla çakışmasını istemezsiniz.

  7. Tamam’ı seçin.

  8. FortiGate NVA için Genel IP'yi yapılandırın:

    The IP Assignment dialog box shows the value forti1-publicip1 for

  9. Tamam’ı seçin. Sonrasında Tamam’ı seçin.

  10. Oluştur’u seçin.

    Dağıtım yaklaşık 10 dakika sürer.

Sanal ağ için yolları (UDR) yapılandırma

  1. Azure Stack Hub kullanıcı portalını açın.

  2. Kaynak grupları'ı seçin. Filtreyi yazın forti1-rg1 ve forti1-rg1 kaynak grubuna çift tıklayın.

    Ten resources are listed for the forti1-rg1 resource group.

  3. 'forti1-forti1-InsideSubnet-routes-xxxx' kaynağını seçin.

  4. Ayarlar altında Yollar'ı seçin.

    The Routes button is selected in the Settings dialog box.

  5. İnternet Yolu'nı silin.

    The to-Internet Route is the only route listed, and it is selected. There is a delete button.

  6. Evet’i seçin.

  7. Yeni bir yol eklemek için Ekle'yi seçin.

  8. Yolu olarak adlandırın to-onprem.

  9. VPN'nin bağlanacağı şirket içi ağın ağ aralığını tanımlayan IP ağ aralığını girin.

  10. Sonraki atlama türü ve 172.16.1.4için Sanal gereç'i seçin. Farklı bir IP aralığı kullanıyorsanız IP aralığınızı kullanın.

    The Add route dialog box shows the four values that have been entered into the text boxes.

  11. Kaydet’i seçin.

FortiGate NVA'sını etkinleştirme

FortiGate NVA'yı etkinleştirin ve her NVA'da bir IPSec VPN bağlantısı ayarlayın.

Her FortiGate NVA'sını etkinleştirmek için Fortinet'ten geçerli bir lisans dosyası gerekir. NVA'lar her NVA'yi etkinleştirene kadar çalışmaz. Lisans dosyasını alma hakkında daha fazla bilgi ve NVA'yı etkinleştirme adımları için Fortinet Belge Kitaplığı makalesine bakın. Lisansınızı kaydetme ve indirme.

NVA'ları etkinleştirdikten sonra NVA üzerinde bir IPSec VPN tüneli oluşturun.

  1. Azure Stack Hub kullanıcı portalını açın.

  2. Kaynak grupları'ı seçin. Filtreye girin forti1 ve forti1 kaynak grubuna çift tıklayın.

  3. Kaynak grubu dikey penceresindeki kaynak türleri listesinde forti1 sanal makinesine çift tıklayın.

    The forti1 virtual machine Overview page show values for forti1, such as the

  4. Atanan IP adresini kopyalayın, bir tarayıcı açın ve IP adresini adres çubuğuna yapıştırın. Site, güvenlik sertifikasına güvenilmediğine dair bir uyarı tetikleyebilir. Yine de devam edin.

  5. Dağıtım sırasında sağladığınız FortiGate yönetici kullanıcı adını ve parolasını girin.

    The login dialog box has user and password text boxes, and a Login button.

  6. SystemFirmware'i> seçin.

  7. En son üretici yazılımını gösteren kutuyu seçin, örneğin, FortiOS v6.2.0 build0866.

    The Firmware dialog box has the firmware identifier

  8. Yedekleme yapılandırması veupgradeContinue'u> seçin.

  9. NVA, üretici yazılımını en son derlemeye güncelleştirir ve yeniden başlatır. İşlem yaklaşık beş dakika sürer. FortiGate web konsolunda yeniden oturum açın.

  10. VPNIPSec>Sihirbazı'nı tıklatın.

  11. ÖRNEĞIN conn1 , VPN Oluşturma Sihirbazı'na VPN için bir ad girin.

  12. Bu site NAT'nin arkasında'ı seçin.

    The screenshot of the VPN Creation Wizard shows it to be on the first step, VPN Setup. The following values are selected:

  13. İleri’yi seçin.

  14. Bağlanacağınız şirket içi VPN cihazının uzak IP adresini girin.

  15. Giden Arabirimi olarak bağlantı noktası1'i seçin.

  16. Önceden Paylaşılan Anahtar'ı seçin ve önceden paylaşılan bir anahtar girin (ve kaydedin).

    Not

    Şirket içi VPN cihazında bağlantıyı ayarlamak için bu anahtara ihtiyacınız olacaktır, yani tam olarak eşleşmeleri gerekir.

    The screenshot of the VPN Creation Wizard shows it to be on the second step, Authentication, and the selected values are highlighted.

  17. İleri’yi seçin.

  18. Yerel Arabirim için bağlantı noktası2'yi seçin.

  19. Yerel alt ağ aralığını girin:

    • forti1: 172.16.0.0/16
    • forti2: 172.17.0.0/16

    Farklı bir IP aralığı kullanıyorsanız IP aralığınızı kullanın.

  20. Şirket içi VPN cihazı aracılığıyla bağlanacağınız şirket içi ağı temsil eden uygun Uzak Alt Ağları girin.

    The screenshot of the VPN Creation Wizard shows it to be on the third step, Policy & Routing. It shows the selected and entered values.

  21. Oluştur’u seçin

  22. AğInterfaces'i> seçin.

    The interface list shows two interfaces: port1, which has been configured, and port2, which hasn't. There are buttons to create, edit, and delete interfaces.

  23. Bağlantı noktası2'ye çift tıklayın.

  24. Rol listesinde LAN'ı ve Adresleme modu için DHCP'yi seçin.

  25. Tamam’ı seçin.

Şirket içi VPN'yi yapılandırma

Şirket içi VPN cihazı, IPSec VPN tüneli oluşturacak şekilde yapılandırılmalıdır. Aşağıdaki tabloda, şirket içi VPN cihazını ayarlamak için ihtiyacınız olan parametreler sağlanır. Şirket içi VPN cihazını yapılandırma hakkında bilgi için cihazınızın belgelerine bakın.

Parametre Değer
Uzak Ağ Geçidi IP'si forti1'e atanan genel IP adresi - bkz. FortiGate NVA'sını etkinleştirme.
Uzak IP Ağı 172.16.0.0/16 (sanal ağ için bu yönergelerdeki IP aralığını kullanıyorsanız).
Kimlik Doğrulaması. Yöntem = Önceden paylaşılan anahtar (PSK) Adım 16'dan.
IKE Sürümü 1
IKE Modu Ana (Kimlik koruması)
1. Aşama Teklif Algoritmaları AES128-SHA256, AES256-SHA256, AES128-SHA1, AES256-SHA1
Diffie-Hellman Grupları 14, 5

VPN tüneli oluşturma

Şirket içi VPN cihazı uygun şekilde yapılandırıldıktan sonra VPN tüneli oluşturulabilir.

FortiGate NVA'dan:

  1. forti1 FortiGate web konsolunda İzleyiciIPsec> İzleyicisi'ne gidin.

    The monitor for VPN connection conn1 is listed. It is shown as being down, as is the corresponding Phase 2 Selector.

  2. conn1'i vurgulayın ve GetirTüm Aşama 2 Seçicileri'ni> seçin.

    The monitor and Phase 2 Selector are both shown as up.

Bağlantıyı test etme ve doğrulama

Sanal ağ ile şirket içi ağ arasında şirket içi VPN cihazı aracılığıyla yönlendirme yapabilirsiniz.

Bağlantıyı doğrulamak için:

  1. Azure Stack Hub sanal ağlarında bir VM ve şirket içi ağda bir sistem oluşturun. Hızlı Başlangıç: Azure Stack Hub portalıyla Windows sunucu VM'sini oluşturma başlığı altında VM oluşturma yönergelerini izleyebilirsiniz.

  2. Azure Stack Hub VM'sini oluştururken ve şirket içi sistemi hazırlarken şunları denetleyin:

  • Azure Stack Hub VM, sanal ağın InsideSubnet'ine yerleştirilir.

  • Şirket içi sistem, IPSec yapılandırmasında tanımlandığı gibi tanımlı IP aralığındaki şirket içi ağa yerleştirilir. Ayrıca, şirket içi VPN cihazının yerel arabirim IP adresinin şirket içi sisteme Azure Stack Hub VNET ağına ulaşabilecek bir yol olarak sağlandığından emin olun. Örneğin, 172.16.0.0/16.

  • Oluşturma işleminde Azure Stack Hub VM'sine hiçbir NSG uygulamayın. VM'yi portaldan oluşturuyorsanız varsayılan olarak eklenen NSG'yi kaldırmanız gerekebilir.

  • Şirket içi sistem işletim sisteminde ve Azure Stack Hub VM işletim sisteminde bağlantıyı test etmek için kullanacağınız iletişimi yasaklayacak işletim sistemi güvenlik duvarı kurallarının olmadığından emin olun. Test amacıyla, güvenlik duvarının her iki sistemin işletim sistemi içinde tamamen devre dışı bırakılması önerilir.

Sonraki adımlar

Azure Stack Hub ağıyla ilgili farklılıklar ve dikkat edilmesi gerekenler
Fortinet FortiGate ile Azure Stack Hub'da ağ çözümü sunma