VPN - Конфигуриране на Site-to-site IPSec VPN с Microsoft (MS) Azure

Имате още въпроси? Подаване на заявка

Тази статия показва как да създадете site-to-site VPN между USG защитна стена и Microsoft Azure Virtual Gateway. Примерът показва как да конфигурирате VPN тунела между всеки сайт.

 

Забележка! Тази статия работи само с единичен Site VPN. Ако имате нужда от свързване на множество сайтове, моля, разгледайте следната статия: USG/Zywall серия - Как да конфигурирате маршрутно базиран IPsec VPN към Azure (BGP през IKEv2/IPSec)
За Nebula: IPSec Site-to-Site-VPN от Nebula Security Gateway (NSG) към Azure

 

1) Конфигуриране на IPSec VPN тунел на ZyWALL/USG

1.1 Стартирайте съветника и изберете Разширена VPN политика

В ZyWALL/USG отидете на CONFIGURATION > Quick Setup > VPN Setup Wizard, използвайте съветника VPN Settings, за да създадете VPN правило, което може да се използва с MS Azure. Кликнете на Next.

Quick Setup > VPN Setup Wizard > Welcome

Изберете Advanced, за да създадете VPN правило с персонализирани настройки за фаза 1, фаза 2 и метод за удостоверяване. Кликнете на Next.

Quick Setup > VPN Setup Wizard > Welcome > Wizard Type

1.2 Конфигуриране на разширените VPN настройки

1.2.1 Конфигуриране на име на правило и сценарий

Въведете Rule Name, който ще се използва за идентифициране на тази VPN връзка (и VPN шлюза). Можете да използвате от 1 до 31 буквено-цифрови знака. Тази стойност е чувствителна към главни и малки букви. Изберете правилото да бъде Site-to-site. Кликнете на Next.

Quick Setup > VPN Setup Wizard > Wizard Type > VPN Settings (Scenario)

1.2.2 Конфигуриране на настройки за фаза 1

След това конфигурирайте IP адреса на Secure Gateway като IP адреса на MS Azure Gateway (в примера, 13.75.42.148); изберете My Address да бъде интерфейсът, свързан с Интернет.

Настройте Negotiation, Encryption, Authentication, Key Group и SA Life Time, които MS Azure поддържа. Моля, уверете се, че сте изключили Dead Peer Detection (DPD), който не се поддържа в MS Azure IKEv1 Policy-based. Въведете сигурен Pre-Shared Key.

Quick Setup > VPN Setup Wizard > Welcome > Wizard Type > VPN Settings (Phase 1 Setting)

1.2.3 Конфигуриране на настройки за фаза 2

Продължете към настройките за фаза 2, за да изберете Encapsulation, Encryption, Authentication и SA Life Time настройки, които MS Azure поддържа.

Настройте Local Policy да бъде диапазонът на IP адресите на мрежата, свързана към ZyWALL/USG, а Remote Policy да бъде диапазонът на IP адресите на мрежата, свързана към MS Azure. Кликнете OK.

Quick Setup > VPN Setup Wizard > Welcome > Wizard Type > VPN Settings (Phase 2 Setting)

Забележка: За повече информация относно IPsec параметрите, поддържани в MS Azure, вижте Microsoft Azure документацията За VPN устройства за Site-to-Site VPN Gateway връзки.

1.2.4 Проверка и запазване на конфигурацията

Този екран предоставя само за четене обобщение на VPN тунела. Кликнете Save.

Quick Setup > VPN Setup Wizard > Welcome > Wizard Type > VPN Settings (Summary)

Сега правилото е конфигурирано на ZyWALL/USG. Настройките за фаза 1 се показват на екрана VPN > IPSec VPN > VPN Gateway, а настройките за фаза 2 се показват на екрана VPN > IPSec VPN > VPN Connection. Кликнете Close, за да излезете от съветника.

Quick Setup > VPN Setup Wizard > Welcome > Wizard Type > VPN Settings > Wizard Completed

2) Конфигуриране на IPSec VPN тунел в MS Azure

2.1 Влезте в Azure Management Portal

Влезте в Windows Azure Management Portal. В горния ляв ъгъл на екрана кликнете +New > Networking > Virtual Network.

Azure portal > New > Networking > Virtual Network

2.2 Изберете модел на разгръщане от конфигурацията на виртуалната мрежа

Близо до дъното на панела Virtual Network, от списъка Select a deployment model изберете Resource Manager, след което кликнете Create.

New > Networking > Virtual Network > Select a deployment model

2.3 Конфигурирайте VPN настройките в Azure

На страницата за Create virtual network въведете NAME за VPN мрежата. Например, VPN_Vnet_to_USG. Добавете вашето Address Space, Subnet name и един Subnet address range.

Кликнете Resource group и изберете съществуваща ресурсна група или създайте нова, като въведете име за новата ресурсна група. Например, RG_USG.

LOCATION е директно свързано с физическото местоположение (регион), където се намират виртуалните машини (VM). Регионът, асоцииран с виртуалната мрежа, не може да бъде променян след създаването ѝ.

След това кликнете бутона Create. След като кликнете Create, ще видите плочка на таблото си, която ще отразява прогреса на създаването на вашата VNet. Плочката ще се променя, докато VNet се създава.

New > Networking > Virtual Network >  Create virtual network

2.4 Конфигуриране на подмрежата на виртуалната мрежа в Azure

В портала навигирайте до виртуалната мрежа, която току-що създадохте. В панела за вашата виртуална мрежа кликнете върху иконата Settings в горната част, за да разширите панела с настройки до Subnets > Add > Add Subnet. Назовете вашата подмрежа GatewaySubnet. Не трябва да я назовавате по друг начин, иначе шлюзът няма да работи. Добавете IP Address range за вашия шлюз. Кликнете OK в долната част на панела, за да създадете подмрежата.

VPN_Vnet_to_USG > Settings > Subnet > Add subnet

2.5 Конфигуриране на виртуалния мрежов шлюз в Azure

В портала отидете на New, след това Networking. Изберете Virtual network gateway от списъка. В панела Create virtual network gateway в полето Name дайте име на вашия шлюз. След това изберете Virtual network, към която искате да разположите този шлюз.

Кликнете стрелката (>) за да отворите панела Choose public IP address. След това кликнете Create New, за да отворите панела Create public IP address. Въведете Name за вашия публичен IP адрес. Обърнете внимание, че тук не се въвежда IP адрес. IP адресът ще бъде присвоен динамично. Това е името на обекта за IP адрес, към който ще бъде присвоен адресът. Кликнете OK, за да запазите промените.

За Gateway type изберете VPN. За VPN type изберете Policy-based. За Resource Group ресурсната група се определя от избраната виртуална мрежа. За Location се уверете, че показва местоположението, в което съществуват както вашата ресурсна група, така и VNet.

New > Networking > Create virtual network gateway > Choose public IP address > Create public IP address

2.6 Конфигуриране на Local Network Gateway в Azure

В Azure портала навигирайте до New > Networking > Local network gateway. Локалният мрежов шлюз се отнася до публичния IP и локалните подмрежови настройки на вашия ZyWALL/USG.

В панела за създаване на локален мрежов шлюз посочете име за вашия ZyWALL/USG шлюз обект.

Посочете публичния IP адрес на вашия ZyWALL/USG. Той не може да бъде зад NAT и трябва да бъде достъпен от Azure. Address space се отнася до диапазоните на адресите във вашата локална мрежа на ZyWALL/USG. За Resource Group изберете ресурсната група, която създадохте преди това. За Location, ако създавате нов локален мрежов шлюз, можете да използвате същото местоположение като виртуалния мрежов шлюз, но това не е задължително. Локалният мрежов шлюз може да бъде в различно местоположение.

Кликнете Create, за да създадете локалния мрежов шлюз.

New > Networking > Local network gateway  

2.7 Добавяне на връзка

Намерете вашия виртуален мрежов шлюз (в този пример VPN_Connection_to_USG) и кликнете Settings > Connection > Add connection, дайте Name на връзката. За Connection type изберете Site-to-site (IPSec). За Virtual network gateway стойността е фиксирана, защото се свързвате от този шлюз (в примера VPN_GW_to_USG).

За Local network gateway изберете локалния мрежов шлюз, който искате да използвате (в примера VPN_Connection_to_USG).

За Shared Key (PSK) стойността тук трябва да съвпада с тази, която използвате за вашето ZyWALL/USG устройство. За Resource Group изберете ресурсната група, която създадохте преди. Кликнете OK, за да създадете връзката.

VPN_Connection_to_USG > Settings > Connections > Add connection

2.8 Проверка на настройките на връзката

Когато връзката бъде установена, ще я видите в панела Connections за вашия шлюз.

VPN_Connection_to_USG > Settings > Connections

3) Тест на свързаността на IPSec VPN тунела

Отидете в ZyWALL/USG CONFIGURATION > VPN > IPSec VPN > VPN Connection и кликнете Connect в горната лента. Иконата на Status за връзка се осветява, когато интерфейсът е свързан.

CONFIGURATION > VPN > IPSec VPN > VPN Connection

Отидете в ZyWALL/USG MONITOR > VPN Monitor > IPSec и проверете Up Time на тунела и трафика Inbound(Bytes)/Outbound(Bytes).

MONITOR > VPN Monitor > IPSec

Отидете в Azure_Vnet_USG > Settings, за да проверите DATA IN и DATA OUT на тунела.

VPN > VPN Settings > Currently Active VPN Tunnels

За да тествате дали тунелът работи, направете ping от компютър на един сайт до компютър на другия. Уверете се, че и двата компютъра имат достъп до Интернет.

PC зад ZyWALL/USG > Windows 7 > cmd > ping 10.1.0.33

PC зад MS Azure > Windows 7 > cmd > ping 192.77.1.33

Статии в този раздел

Беше ли полезна тази статия?
0 от 0 считат материала за полезен
Споделяне

Коментари

0 коментара

Влезте в услугата, за да оставите коментар.