Denne artikel viser, hvordan man opretter en site-to-site VPN mellem en USG-firewall og Microsoft Azure Virtual Gateway. Eksemplet vejleder i, hvordan man konfigurerer VPN-tunnelen mellem hver lokalitet.
Bemærk! Denne artikel fungerer kun med en enkelt Site VPN. Hvis du har brug for at forbinde flere lokaliteter, bedes du tjekke følgende artikel: USG/Zywall Series - Sådan konfigureres Route-baseret IPsec VPN til Azure (BGP over IKEv2/IPSec)
For Nebula: IPSec Site-to-Site-VPN fra Nebula Security Gateway (NSG) til Azure
1) Konfigurer IPSec VPN Tunnel på ZyWALL/USG
1.1 Start guiden & vælg Avanceret VPN-politik
I ZyWALL/USG, gå til CONFIGURATION > Quick Setup > VPN Setup Wizard, brug VPN Settings-guiden til at oprette en VPN-regel, der kan bruges med MS Azure. Klik på Næste.
Quick Setup > VPN Setup Wizard > Velkommen
Vælg Avanceret for at oprette en VPN-regel med tilpassede fase 1, fase 2 indstillinger og autentificeringsmetode. Klik på Næste.
Quick Setup > VPN Setup Wizard > Velkommen > Guidetype
1.2 Konfigurer de avancerede VPN-indstillinger
1.2.1 Konfigurer regelnavn & scenarie
Skriv Regelnavnet, der bruges til at identificere denne VPN-forbindelse (og VPN-gateway). Du kan bruge 1-31 alfanumeriske tegn. Denne værdi er store/små bogstaver følsom. Vælg reglen som Site-to-site. Klik på Næste.
Quick Setup > VPN Setup Wizard > Guidetype > VPN-indstillinger (Scenarie)
1.2.2 Konfigurer fase 1-indstillingerne
Konfigurer derefter Secure Gateway IP som peer MS Azures Gateway IP-adresse (i eksemplet 13.75.42.148); vælg My Address som den grænseflade, der er forbundet til internettet.
Indstil Negotiation, Encryption, Authentication, Key Group og SA Life Time som MS Azure understøtter. Sørg for at deaktivere Dead Peer Detection (DPD), som ikke understøttes i MS Azure IKEv1 Policy-baseret. Indtast en sikker Pre-Shared Key.
Quick Setup > VPN Setup Wizard > Velkommen > Guidetype > VPN-indstillinger (Fase 1-indstilling)
1.2.3 Konfigurer fase 2-indstillingerne
Fortsæt til fase 2-indstillingerne for at vælge Encapsulation, Encryption, Authentication og SA Life Time indstillinger, som MS Azure understøtter.
Indstil Local Policy til IP-adresseområdet for netværket tilsluttet ZyWALL/USG og Remote Policy til IP-adresseområdet for netværket tilsluttet MS Azure. Klik på OK.
Quick Setup > VPN Setup Wizard > Velkommen > Guidetype > VPN-indstillinger (Fase 2-indstilling)

Bemærk: For mere information om IPsec-parametre understøttet i MS Azure, se Microsoft Azure-dokumentationen Om VPN-enheder for Site-to-Site VPN Gateway-forbindelser.
1.2.4 Tjek og gem konfigurationen
Denne skærm giver et skrivebeskyttet sammendrag af VPN-tunnelen. Klik på Gem.
Quick Setup > VPN Setup Wizard > Velkommen > Guidetype > VPN-indstillinger (Sammendrag)
Nu er reglen konfigureret på ZyWALL/USG. Fase 1-regelindstillingerne vises på VPN > IPSec VPN > VPN Gateway-skærmen, og fase 2-regelindstillingerne vises på VPN > IPSec VPN > VPN Connection-skærmen. Klik på Luk for at afslutte guiden.
Quick Setup > VPN Setup Wizard > Velkommen > Guidetype > VPN-indstillinger > Guiden fuldført
2) Konfigurer IPSec VPN Tunnel på MS Azure
2.1 Log ind på Azure Management Portal
Log ind på Windows Azure Management Portal. Øverst til venstre på skærmen klikker du på +New > Networking > Virtual Network.
Azure portal > New > Networking > Virtual Network
2.2 Vælg en implementeringsmodel i Virtual Network-konfigurationen
Langt nede på Virtual Network-panelet vælger du fra listen Select a deployment model Resource Manager, og klik derefter på Create.
New > Networking > Virtual Network > Select a deployment model
2.3 Konfigurer VPN-indstillingerne på Azure
På siden Create virtual network indtast NAME for VPN-netværket. For eksempel VPN_Vnet_to_USG. Tilføj dit Address Space, Subnet name og et enkelt Subnet address range.
Klik på Resource group og vælg enten en eksisterende ressourcegruppe eller opret en ny ved at skrive et navn til din nye ressourcegruppe. For eksempel RG_USG.
LOCATION er direkte relateret til den fysiske placering (region), hvor de virtuelle maskiner (VM'er) befinder sig. Regionen tilknyttet det virtuelle netværk kan ikke ændres efter oprettelsen.
Klik derefter på Create-knappen. Efter klik på Create vil du se en flise på dit dashboard, der viser fremskridtet for dit VNet. Flisen ændrer sig, mens VNet oprettes.
New > Networking > Virtual Network > Create virtual network
2.4 Konfigurer Virtual Network Subnet på Azure
I portalen navigerer du til det virtuelle netværk, du netop har oprettet. På panelet for dit virtuelle netværk klikker du på Settings-ikonet øverst for at udvide indstillingspanelet til Subnets > Add > Add Subnet. Navngiv dit subnet GatewaySubnet. Du bør ikke navngive det andet, ellers fungerer gatewayen ikke. Tilføj IP Address range for din gateway. Klik på OK nederst i panelet for at oprette subnettet.
VPN_Vnet_to_USG > Settings > Subnet > Add subnet
2.5 Konfigurer Virtual Network Gateway på Azure
I portalen går du til New, derefter Networking. Vælg Virtual network gateway fra listen. På Create virtual network gateway-panelet i Name-feltet navngiver du din gateway. Vælg derefter det Virtual network, som du vil implementere denne gateway til.
Klik på pilen (>) for at åbne Choose public IP address-panelet. Klik derefter på Create New for at åbne Create public IP address-panelet. Indtast et Name for din offentlige IP-adresse. Bemærk, at der ikke bliver spurgt efter en IP-adresse. IP-adressen tildeles dynamisk. Dette er navnet på IP-adresseobjektet, som adressen tildeles til. Klik på OK for at gemme dine ændringer.
For Gateway type vælg VPN. For VPN type vælg Policy-based. For Resource Group bestemmes ressourcgruppen af det virtuelle netværk, du vælger. For Location skal du sikre, at det viser den placering, hvor både din Resource Group og VNet findes.
New > Networking > Create virtual network gateway > Choose public IP address > Create public IP address
2.6 Konfigurer Local Network Gateway på Azure
I Azure-portalen navigerer du til New > Networking > Local network gateway. Den lokale netværksgateway refererer til din ZyWALL/USG’s offentlige IP og lokale subnetindstillinger.
På panelet Create local network gateway angiver du et navn for dit ZyWALL/USG gateway-objekt.
Angiv den offentlige IP-adresse på din ZyWALL/USG. Den må ikke være bag NAT og skal være tilgængelig fra Azure. Address space refererer til adresseområderne på dit lokale netværk tilsluttet ZyWALL/USG. For Resource Group vælg den ressourcegruppe, du oprettede tidligere. For Location, hvis du opretter en ny lokal netværksgateway, kan du bruge samme placering som den virtuelle netværksgateway, men det er ikke et krav. Den lokale netværksgateway kan være i en anden placering.
Klik på Opret for at oprette den lokale netværksgateway.
New > Networking > Local network gateway
2.7 Tilføj forbindelse
Find din virtuelle netværksgateway (VPN_Connection_to_USG i dette eksempel) og klik på Settings > Connection > Add connection, navngiv din forbindelse. For Connection type vælg Site-to-site (IPSec). For Virtual network gateway er værdien fastsat, fordi du forbinder fra denne gateway (VPN_GW_to_USG i dette eksempel).
For Local network gateway vælg den lokale netværksgateway, du vil bruge (VPN_Connection_to_USG i dette eksempel).
For Shared Key (PSK) skal værdien her matche den værdi, du bruger for din ZyWALL/USG-enhed. For Resource Group vælg den ressourcegruppe, du oprettede tidligere. Klik på OK for at oprette din forbindelse.
VPN_Connection_to_USG > Settings > Connections > Add connection
2.8 Tjek forbindelsesindstillingerne
Når forbindelsen er fuldført, vil du se den vises i Connections-panelet for din gateway.
VPN_Connection_to_USG > Settings > Connections
3) Test IPSec VPN Tunnel-forbindelsen
Gå til ZyWALL/USG CONFIGURATION > VPN > IPSec VPN > VPN Connection, klik på Connect i den øverste bjælke. Status-forbindelsesikonet lyser, når interfacet er forbundet.
CONFIGURATION > VPN > IPSec VPN > VPN Connection
Gå til ZyWALL/USG MONITOR > VPN Monitor > IPSec og bekræft tunnelens Up Time og Inbound(Bytes)/Outbound(Bytes) trafik.
MONITOR > VPN Monitor > IPSec
Gå til Azure_Vnet_USG > Settings for at tjekke tunnelens DATA IN og DATA OUT.
VPN > VPN Settings > Aktive VPN-tunneler
For at teste, om en tunnel fungerer, pinger du fra en computer på den ene lokalitet til en computer på den anden. Sørg for, at begge computere har internetadgang.
PC bag ZyWALL/USG > Windows 7 > cmd > ping 10.1.0.33
PC bag MS Azure > Windows 7 > cmd > ping 192.77.1.33


Kommentarer
0 kommentarerLog ind for at kommentere.