Dieser Artikel zeigt, wie man ein Site-to-Site VPN zwischen einer USG-Firewall und dem Microsoft Azure Virtual Gateway erstellt. Das Beispiel erklärt, wie der VPN-Tunnel zwischen den einzelnen Standorten konfiguriert wird.
Hinweis! Dieser Artikel funktioniert nur mit einem einzelnen Site-VPN. Wenn Sie mehrere Standorte verbinden möchten, lesen Sie bitte den folgenden Artikel: USG/Zywall-Serie - Wie man ein routenbasiertes IPsec VPN zu Azure (BGP über IKEv2/IPSec) konfiguriert
Für Nebula: IPSec Site-to-Site-VPN vom Nebula Security Gateway (NSG) zu Azure
1) Konfiguration des IPSec VPN-Tunnels auf der ZyWALL/USG
1.1 Starten Sie den Assistenten & wählen Sie Erweiterte VPN-Richtlinie
Gehen Sie in der ZyWALL/USG zu CONFIGURATION > Quick Setup > VPN Setup Wizard, verwenden Sie den VPN Settings-Assistenten, um eine VPN-Regel zu erstellen, die mit MS Azure verwendet werden kann. Klicken Sie auf Weiter.
Quick Setup > VPN Setup Wizard > Willkommen
Wählen Sie Erweitert, um eine VPN-Regel mit benutzerdefinierten Phase-1-, Phase-2-Einstellungen und Authentifizierungsmethode zu erstellen. Klicken Sie auf Weiter.
Quick Setup > VPN Setup Wizard > Willkommen > Assistententyp
1.2 Konfigurieren Sie die erweiterten VPN-Einstellungen
1.2.1 Konfigurieren Sie den Regelsnamen & Szenario
Geben Sie den Regelsnamen ein, mit dem diese VPN-Verbindung (und das VPN-Gateway) identifiziert wird. Sie können 1-31 alphanumerische Zeichen verwenden. Dieser Wert ist Groß-/Kleinschreibung empfindlich. Wählen Sie die Regel als Site-to-site. Klicken Sie auf Weiter.
Quick Setup > VPN Setup Wizard > Assistententyp > VPN-Einstellungen (Szenario)
1.2.2 Konfigurieren Sie die Phase-1-Einstellungen
Konfigurieren Sie dann die IP des Sicheren Gateways als die Peer-IP-Adresse des MS Azure Gateways (im Beispiel 13.75.42.148); wählen Sie Meine Adresse als die Schnittstelle, die mit dem Internet verbunden ist.
Stellen Sie Verhandlung, Verschlüsselung, Authentifizierung, Schlüsselgruppe und SA-Lebensdauer ein, die von MS Azure unterstützt werden. Stellen Sie sicher, dass Sie Dead Peer Detection (DPD) deaktivieren, da es in der MS Azure IKEv1 Policy-basierten Konfiguration nicht unterstützt wird. Geben Sie einen sicheren Pre-Shared Key ein.
Quick Setup > VPN Setup Wizard > Willkommen > Assistententyp > VPN-Einstellungen (Phase-1-Einstellung)
1.2.3 Konfigurieren Sie die Phase-2-Einstellungen
Fahren Sie mit den Phase-2-Einstellungen fort, um Kapselung, Verschlüsselung, Authentifizierung und SA-Lebensdauer auszuwählen, die von MS Azure unterstützt werden.
Setzen Sie Lokale Richtlinie auf den IP-Adressbereich des Netzwerks, das mit der ZyWALL/USG verbunden ist, und Remote-Richtlinie auf den IP-Adressbereich des Netzwerks, das mit MS Azure verbunden ist. Klicken Sie auf OK.
Quick Setup > VPN Setup Wizard > Willkommen > Assistententyp > VPN-Einstellungen (Phase-2-Einstellung)

Hinweis: Für weitere Informationen zu den von MS Azure unterstützten IPsec-Parametern siehe die Microsoft Azure Dokumentation Über VPN-Geräte für Site-to-Site VPN-Gateway-Verbindungen.
1.2.4 Überprüfen & Speichern der Konfiguration
Dieser Bildschirm bietet eine schreibgeschützte Zusammenfassung des VPN-Tunnels. Klicken Sie auf Speichern.
Quick Setup > VPN Setup Wizard > Willkommen > Assistententyp > VPN-Einstellungen (Zusammenfassung)
Die Regel ist nun auf der ZyWALL/USG konfiguriert. Die Phase-1-Regel erscheint im Bildschirm VPN > IPSec VPN > VPN Gateway und die Phase-2-Regel erscheint im Bildschirm VPN > IPSec VPN > VPN Connection. Klicken Sie auf Schließen, um den Assistenten zu beenden.
Quick Setup > VPN Setup Wizard > Willkommen > Assistententyp > VPN-Einstellungen > Assistent abgeschlossen
2) Konfigurieren Sie den IPSec VPN-Tunnel in MS Azure
2.1 Anmelden im Azure Management Portal
Melden Sie sich im Windows Azure Management Portal an. Klicken Sie oben links auf dem Bildschirm auf +Neu > Netzwerk > Virtuelles Netzwerk.
Azure-Portal > Neu > Netzwerk > Virtuelles Netzwerk
2.2 Wählen Sie ein Bereitstellungsmodell in der Konfiguration des virtuellen Netzwerks
Wählen Sie nahe dem unteren Rand des Virtuelles Netzwerk-Fensters aus der Liste Bereitstellungsmodell auswählen Resource Manager und klicken Sie dann auf Erstellen.
Neu > Netzwerk > Virtuelles Netzwerk > Bereitstellungsmodell auswählen
2.3 Konfigurieren Sie die VPN-Einstellungen in Azure
Geben Sie auf der Seite Virtuelles Netzwerk erstellen den NAMEN für das VPN-Netzwerk ein. Zum Beispiel VPN_Vnet_to_USG. Fügen Sie Ihren Adressbereich, Subnetz-Namen und einen einzelnen Subnetz-Adressbereich hinzu.
Klicken Sie auf Ressourcengruppe und wählen Sie entweder eine vorhandene Ressourcengruppe aus oder erstellen Sie eine neue, indem Sie einen Namen für Ihre neue Ressourcengruppe eingeben. Zum Beispiel RG_USG.
STANDORT ist direkt mit dem physischen Standort (Region) verbunden, in dem sich die virtuellen Maschinen (VMs) befinden. Die Region, die dem virtuellen Netzwerk zugeordnet ist, kann nach der Erstellung nicht mehr geändert werden.
Klicken Sie dann auf die Schaltfläche Erstellen. Nach dem Klicken auf Erstellen sehen Sie eine Kachel auf Ihrem Dashboard, die den Fortschritt Ihres VNet anzeigt. Die Kachel ändert sich, während das VNet erstellt wird.
Neu > Netzwerk > Virtuelles Netzwerk > Virtuelles Netzwerk erstellen
2.4 Konfigurieren Sie das Subnetz des virtuellen Netzwerks in Azure
Navigieren Sie im Portal zu dem virtuellen Netzwerk, das Sie gerade erstellt haben. Klicken Sie auf der Ansicht Ihres virtuellen Netzwerks auf das Einstellungen-Symbol oben im Fenster, um die Einstellungen zu erweitern zu Subnetze > Hinzufügen > Subnetz hinzufügen. Benennen Sie Ihr Subnetz GatewaySubnet. Es darf keinen anderen Namen haben, sonst funktioniert das Gateway nicht. Fügen Sie den IP-Adressbereich für Ihr Gateway hinzu. Klicken Sie unten im Fenster auf OK, um das Subnetz zu erstellen.
VPN_Vnet_to_USG > Einstellungen > Subnetz > Subnetz hinzufügen
2.5 Konfigurieren Sie das virtuelle Netzwerk-Gateway in Azure
Gehen Sie im Portal zu Neu, dann Netzwerk. Wählen Sie Virtuelles Netzwerk-Gateway aus der Liste. Geben Sie im Feld Name des Fensters Virtuelles Netzwerk-Gateway erstellen Ihrem Gateway einen Namen. Wählen Sie anschließend das Virtuelle Netzwerk aus, in dem Sie dieses Gateway bereitstellen möchten.
Klicken Sie auf den Pfeil (>), um das Fenster Öffentliche IP-Adresse auswählen zu öffnen. Klicken Sie dann auf Neu erstellen, um das Fenster Öffentliche IP-Adresse erstellen zu öffnen. Geben Sie einen Namen für Ihre öffentliche IP-Adresse ein. Beachten Sie, dass hier nicht nach einer IP-Adresse gefragt wird. Die IP-Adresse wird dynamisch zugewiesen. Dies ist vielmehr der Name des IP-Adressobjekts, dem die Adresse zugewiesen wird. Klicken Sie auf OK, um Ihre Änderungen zu speichern.
Wählen Sie für Gatewaytyp VPN. Für VPN-Typ wählen Sie Policy-basiert. Für Ressourcengruppe wird die Ressourcengruppe durch das ausgewählte virtuelle Netzwerk bestimmt. Für Standort stellen Sie sicher, dass der Standort angezeigt wird, in dem sowohl Ihre Ressourcengruppe als auch Ihr VNet existieren.
Neu > Netzwerk > Virtuelles Netzwerk-Gateway erstellen > Öffentliche IP-Adresse auswählen > Öffentliche IP-Adresse erstellen
2.6 Konfigurieren Sie das lokale Netzwerk-Gateway in Azure
Navigieren Sie im Azure-Portal zu Neu > Netzwerk > Lokales Netzwerk-Gateway. Das lokale Netzwerk-Gateway bezieht sich auf die öffentliche IP-Adresse und die lokalen Subnetz-Einstellungen Ihrer ZyWALL/USG.
Geben Sie auf der Seite zum Erstellen des lokalen Netzwerk-Gateways einen Namen für Ihr ZyWALL/USG-Gateway-Objekt an.
Geben Sie die öffentliche IP-Adresse Ihrer ZyWALL/USG an. Diese darf sich nicht hinter NAT befinden und muss von Azure erreichbar sein. Der Adressbereich bezieht sich auf die Adressbereiche Ihres lokalen Netzwerks der ZyWALL/USG. Wählen Sie für Ressourcengruppe die zuvor erstellte Ressourcengruppe aus. Für den Standort können Sie, wenn Sie ein neues lokales Netzwerk-Gateway erstellen, denselben Standort wie das virtuelle Netzwerk-Gateway verwenden. Dies ist jedoch nicht zwingend erforderlich. Das lokale Netzwerk-Gateway kann sich an einem anderen Standort befinden.
Klicken Sie auf Erstellen, um das lokale Netzwerk-Gateway zu erstellen.
Neu > Netzwerk > Lokales Netzwerk-Gateway
2.7 Verbindung hinzufügen
Suchen Sie Ihr virtuelles Netzwerk-Gateway (im Beispiel VPN_Connection_to_USG) und klicken Sie auf Einstellungen > Verbindung > Verbindung hinzufügen, geben Sie Ihrer Verbindung einen Namen. Wählen Sie für Verbindungstyp Site-to-site (IPSec). Der Wert für Virtuelles Netzwerk-Gateway ist fest, da Sie von diesem Gateway verbinden (im Beispiel VPN_GW_to_USG).
Wählen Sie für Lokales Netzwerk-Gateway das lokale Netzwerk-Gateway aus, das Sie verwenden möchten (im Beispiel VPN_Connection_to_USG).
Der Shared Key (PSK) muss mit dem Wert übereinstimmen, den Sie für Ihr ZyWALL/USG-Gerät verwenden. Wählen Sie für Ressourcengruppe die Ressourcengruppe, die Sie zuvor erstellt haben. Klicken Sie auf OK, um Ihre Verbindung zu erstellen.
VPN_Connection_to_USG > Einstellungen > Verbindungen > Verbindung hinzufügen
2.8 Überprüfen Sie die Verbindungseinstellungen
Wenn die Verbindung abgeschlossen ist, wird sie im Bereich Verbindungen für Ihr Gateway angezeigt.
VPN_Connection_to_USG > Einstellungen > Verbindungen
3) Testen der IPSec VPN-Tunnelverbindung
Gehen Sie zur ZyWALL/USG unter CONFIGURATION > VPN > IPSec VPN > VPN Connection und klicken Sie auf der oberen Leiste auf Verbinden. Das Status-Verbindungssymbol leuchtet, wenn die Schnittstelle verbunden ist.
CONFIGURATION > VPN > IPSec VPN > VPN Connection
Gehen Sie zur ZyWALL/USG unter MONITOR > VPN Monitor > IPSec und überprüfen Sie die Tunnel-Up Time sowie den eingehenden (Bytes) / ausgehenden (Bytes) Verkehr.
MONITOR > VPN Monitor > IPSec
Gehen Sie zu Azure_Vnet_USG > Einstellungen, um den Tunnel-DATA IN und DATA OUT zu überprüfen.
VPN > VPN-Einstellungen > Aktuell aktive VPN-Tunnel
Um zu testen, ob ein Tunnel funktioniert, führen Sie einen Ping von einem Computer an einem Standort zu einem Computer am anderen Standort durch. Stellen Sie sicher, dass beide Computer Internetzugang haben.
PC hinter ZyWALL/USG > Windows 7 > cmd > ping 10.1.0.33
PC hinter MS Azure > Windows 7 > cmd > ping 192.77.1.33


Kommentare
0 KommentareBitte melden Sie sich an, um einen Kommentar zu hinterlassen.