VPN – Route-basierte IPsec VPN zu Azure konfigurieren (BGP über IKEv2/IPSec)

Dieser Artikel zeigt, wie Sie eine Azure-Multi-Site-Verbindung (VNet/Virtual Network Gateways) über site-to-site IPsec VPN mit route-basierter VPN und BGP über IKEv2 (USG FLEX / ATP / VPN-Serie) konfigurieren.

Einführung

Diese Verbindungsart ist eine Variante der Site-to-Site-Verbindung. Sie erstellen mehr als eine VPN-Verbindung von Ihrem virtuellen Netzwerkgateway, die typischerweise mehrere lokale Standorte verbindet.
Bei der Arbeit mit mehreren Verbindungen müssen Sie einen route-basierten VPN-Typ verwenden (bekannt als dynamisches Gateway bei klassischen VNets). Da jedes virtuelle Netzwerk nur ein VPN-Gateway haben kann, teilen sich alle Verbindungen über das Gateway die verfügbare Bandbreite. Dies wird oft als "Multi-Site"-Verbindung bezeichnet.

Bevor Sie beginnen

Bevor Sie mit der Konfiguration beginnen, vergewissern Sie sich, dass Sie Folgendes haben:

  1. - Ein Azure Virtual Network, das mit dem Resource Manager-Bereitstellungsmodell erstellt wurde
  2. - Das virtuelle Netzwerkgateway für Ihr VNet ist RouteBased. Wenn Sie ein richtlinienbasiertes VPN-Gateway haben, müssen Sie das virtuelle Netzwerkgateway löschen und ein neues VPN-Gateway als RouteBased erstellen.
  3. - Keine der Adressbereiche der einzelnen lokalen Netzwerke überschneiden sich für eines der VNets, mit denen dieses VNet verbunden ist.
  4. - Eine öffentlich zugängliche IPv4-Adresse für jedes ZyWALL-Gerät. Die IP-Adresse darf sich nicht hinter einem NAT befinden. Dies ist eine Voraussetzung.

4xfl3chatw7o.png

 

1. Ein virtuelles Netzwerk (VNet) erstellen

1.       Öffnen Sie in einem Browser das Azure-Portal und melden Sie sich mit Ihrem Azure-Konto an.

2.       Klicken Sie auf Ressource erstellen. Geben Sie im Feld Marketplace durchsuchen „virtual network“ ein. Suchen Sie Virtuelles Netzwerk in der Ergebnisliste und klicken Sie, um die Virtuelles Netzwerk-Seite zu öffnen.

3.       Wählen Sie am unteren Rand der Seite „Virtuelles Netzwerk“ im Dropdown-Menü Bereitstellungsmodell auswählen die Option Resource Manager aus und klicken Sie dann auf Erstellen. Dies öffnet die Seite „Virtuelles Netzwerk erstellen“.

ekpusf18udsr.png

2. Das Gateway-Subnetz erstellen

Das virtuelle Netzwerkgateway verwendet ein spezielles Subnetz namens Gateway-Subnetz. Es ist Teil des IP-Adressraums des virtuellen Netzwerks, den Sie beim Erstellen Ihres virtuellen Netzwerks angeben. Es enthält IP-Adressen, die von den Ressourcen und Diensten des virtuellen Netzwerkgateways verwendet werden.

1.       Navigieren Sie im Portal zu dem virtuellen Netzwerk, für das Sie ein virtuelles Netzwerkgateway erstellen möchten.

2.       Klicken Sie im Abschnitt Einstellungen Ihrer VNet-Seite auf Subnets, um die Seite Subnets zu erweitern.

3.       Klicken Sie auf der Seite Subnets oben auf + Gateway-Subnetz, um die Seite Subnetz hinzufügen zu öffnen.

v7xc8ijlgk3w.png

 

4. Der Name für Ihr Subnetz wird automatisch mit dem Wert „GatewaySubnet“ ausgefüllt. Der Wert GatewaySubnet ist erforderlich, damit Azure das Subnetz als Gateway-Subnetz erkennt. Passen Sie die automatisch ausgefüllten Adressbereich-Werte an Ihre Konfigurationsanforderungen an.

18ykjeocboi9.png

5. Klicken Sie unten auf der Seite auf OK, um das Subnetz zu erstellen.

3. Das VPN-Gateway erstellen

1. Klicken Sie auf der linken Seite der Portal-Seite auf + und geben Sie „Virtual Network Gateway“ in die Suche ein. Suchen Sie in den Ergebnissen und klicken Sie auf Virtuelles Netzwerkgateway.

2. Klicken Sie unten auf der Seite „Virtuelles Netzwerkgateway“ auf Erstellen. Dies öffnet die Seite Virtuelles Netzwerkgateway erstellen.

3. Geben Sie auf der Seite Virtuelles Netzwerkgateway erstellen die Werte für Ihr virtuelles Netzwerkgateway an.

w4ucdcjggbmx.png

· Name: Vnet1GW

· Gateway-Typ: VPN

· VPN-Typ: Wählen Sie den route-basierten VPN-Typ aus

· SKU: VpnGw1

BGP wird auf Azure VpnGw1, VpnGw2, VpnGw3, Standard und HighPerformance SKU unterstützt.
Basic SKU wird NICHT unterstützt. Hier müssen Sie mindestens VpnGw1 auswählen.

· Virtuelles Netzwerk: Klicken Sie auf Virtuelles Netzwerk/Ein virtuelles Netzwerk auswählen, um die Seite Virtuelles Netzwerk auswählen zu öffnen. Wählen Sie VNet1.

· Öffentliche IP-Adresse: Diese Einstellung legt das öffentliche IP-Adressobjekt fest, das mit dem VPN-Gateway verknüpft wird.

- Lassen Sie Neu erstellen ausgewählt.

- Geben Sie im Textfeld einen Namen für Ihre öffentliche IP-Adresse ein. Verwenden Sie für diese Übung VNet1GWIP.

· Aktivieren Sie die Option BGP ASN konfigurieren und geben Sie die ASN-Nummer ein. Azure reserviert die folgenden ASNs für interne und externe Peering-Verbindungen:

         · Öffentliche ASNs: 8074, 8075, 12076

         · Private ASNs: 65515, 65517, 65518, 65519, 65520

· Standort: Wählen Sie denselben Standort wie Ihr VNet

4. Klicken Sie auf Erstellen, um mit der Erstellung des VPN-Gateways zu beginnen.

Nachdem das Gateway erstellt wurde, klicken Sie auf der linken Seite der Portal-Seite auf Alle Ressourcen und dann auf das virtuelle Netzwerkgateway, um weitere Informationen anzuzeigen. Die öffentliche IP-Adresse wird auf der rechten Seite angezeigt.

4. Die Azure BGP Peer-IP-Adresse ermitteln

Sie müssen die BGP Peer-IP-Adresse dieses VPN-Gateways ermitteln. Diese Adresse wird benötigt, um sie auf Ihrer ZyWALL als BGP-Nachbar zu konfigurieren.

Öffnen Sie die Konfigurationsseite Ihres Azure VPN-Gateways, um diese zu erhalten.

34atj65u3n5c.png

5. Das lokale Netzwerkgateway erstellen

Das lokale Netzwerkgateway bezieht sich typischerweise auf Ihren lokalen Standort. Sie vergeben einen Namen, unter dem Azure darauf verweisen kann, und geben dann die IP-Adresse des lokalen ZyWALL-Geräts an, zu dem Sie eine Verbindung herstellen möchten.

1.       Klicken Sie im Portal auf +Ressource erstellen.

2.       Geben Sie im Suchfeld Lokales Netzwerkgateway ein und drücken Sie Enter, um zu suchen. Es wird eine Ergebnisliste angezeigt. Klicken Sie auf Lokales Netzwerkgateway und dann auf die Schaltfläche Erstellen, um die Seite Lokales Netzwerkgateway erstellen zu öffnen.

3.       Geben Sie auf der Seite Lokales Netzwerkgateway erstellen die Werte für Ihr lokales Netzwerkgateway ein.

Der wichtigste Teil ist die Liste der Adressbereiche. Hier geben Sie die BGP Peer-IP-Adresse Ihrer ZyWALL ein, normalerweise die IP-Adresse der VTI-Tunnel-Schnittstelle. In diesem Beispiel ist es 10.1.254.1/32.

Aktivieren Sie BGP-Einstellungen konfigurieren und geben Sie die BGP ASN Ihrer ZyWALL ein.

BGP Peer-IP-Adresse: Geben Sie die IP-Adresse Ihrer VTI-Schnittstelle auf der ZyWALL ein. In diesem Beispiel ist es 10.1.254.1.

9rrd3x2slk8z.png

6. Die VPN-Verbindung erstellen

1.       Navigieren Sie zur Seite Ihres virtuellen Netzwerkgateways und öffnen Sie diese.

2.       Klicken Sie auf der Seite für VNet1GW auf Verbindungen. Klicken Sie oben auf der Seite Verbindungen auf +Hinzufügen, um die Seite Verbindung hinzufügen zu öffnen.

7uahk0fe9ssw.png

3.      Konfigurieren Sie auf der Seite Verbindung hinzufügen die Werte für Ihre Verbindung. Wählen Sie Site-to-site (IPSec) als Verbindungstyp aus.

Geben Sie den Gemeinsamen Schlüssel (PSK) ein, der denselben Wert wie der Pre-Shared Key auf der VPN-Gateway-Konfigurationsseite Ihrer ZyWALL haben muss.

Hinweis: Der Pre-Shared Key muss mindestens 8 bis 32 Zeichen lang sein.

wcbrlvft8sb6.png

7. BGP auf der Azure VPN-Verbindung aktivieren

1.       Navigieren Sie zur Seite der erstellten Azure VPN-Verbindung und öffnen Sie diese.

2.       Klicken Sie auf Konfiguration, um die Konfigurationsseite zu öffnen.

3.       Aktivieren Sie BGP und klicken Sie dann auf Speichern.

dkuhb32e00dr.png

Nachdem Sie die VPN-Konfiguration im Azure-Portal abgeschlossen haben, können Sie die zugehörigen VPN-Einstellungen auf Ihrer ZyWALL konfigurieren.

8. Die VPN-Gateway-Regel erstellen (Phase 1)

Gehen Sie in der ZyWALL-Web-GUI zu KONFIGURATION > VPN > IPSec VPN > VPN-Gateway und klicken Sie auf Hinzufügen, um eine VPN-Gateway-Regel zu erstellen.

Geben Sie auf der Seite VPN-Gateway hinzufügen die Werte für Ihr virtuelles Netzwerkgateway ein.

meodw6099556.png

·         Aktivieren: Aktivieren Sie das Kontrollkästchen, um diese Regel zu aktivieren

·         Name: In diesem Beispiel „Azure“ als Regelname

·         IKE-Version: IKEv2

·         Peer-Gateway-Adresse: Wählen Sie statische Adresse aus und tragen Sie die öffentliche IP-Adresse des Azure-Virtual-Network-Gateways im Feld „Primär“ ein

·         Pre-Shared Key: Geben Sie den gemeinsamen Schlüssel (PSK) der Azure-VPN-Verbindung ein

·         SA-Lebensdauer: 28800 Sekunden

·         Verschlüsselungsalgorithmus: Standardwert beibehalten, AES128

·         Authentifizierungsalgorithmus: Standardwert beibehalten, SHA1

·         Schlüsselgruppe: Standardwert beibehalten, DH2

9. Die VPN-Verbindungsregel erstellen (Phase 2)

Gehen Sie in der ZyWALL-Web-GUI zu KONFIGURATION > VPN > IPSec VPN > VPN-Verbindung und klicken Sie auf Hinzufügen, um eine VPN-Verbindungsregel zu erstellen.

Geben Sie auf der Seite VPN-Verbindung hinzufügen die Werte für Ihr virtuelles Netzwerkgateway ein.

na4xvbix64cn.png

·         Aktivieren: Aktivieren Sie das Kontrollkästchen, um diese Regel zu aktivieren

·         Name: In diesem Beispiel „Azure“ als Regelname

·         TCP MSS: 1379 Bytes

·         Anwendungsszenario: Wählen Sie VPN-Tunnel-Schnittstelle für route-basierte VPN

·         VPN-Gateway: Wählen Sie „Azure“ aus.

·         SA-Lebensdauer: 3600 Sekunden

·         Verschlüsselungsalgorithmus: Wählen Sie AES256 aus

·         Authentifizierungsalgorithmus: Standardwert beibehalten, SHA1

·         PFS: Wählen Sie keine aus

Hinweis: Der Verschlüsselungsalgorithmus der Phase 2 sollte nur AES256 sein, um vollständig mit dem Azure VPN-Gateway kompatibel zu sein.

10. Eine VTI-Schnittstelle erstellen

Gehen Sie in der ZyWALL-Web-GUI zu KONFIGURATION > Netzwerk > Schnittstelle > VTI und klicken Sie auf Hinzufügen, um eine VTI-Schnittstelle zu erstellen.

d68jwzldb683.png

·         Schnittstellenname: vti0

·         Zone: IPSec_VPN

·         VPN-Regel: Azure

·         IP-Adresse: 10.1.245.1

·         Subnetzmaske: 255.255.255.252

11. Statische Routen für BGP-Peer erstellen

Gehen Sie in der ZyWALL-Web-GUI zu KONFIGURATION > Netzwerk > Routing > Statische Route.

Fügen Sie eine Route zum Gateway-Subnetz von Azure hinzu, in diesem Beispiel 10.0.0.0/29.

Dies ist die Route für die TCP-Verbindung von BGP zur Azure BGP Peer-IP-Adresse.

pr2fdpor8vdo.png

12. BGP konfigurieren

Gehen Sie in der ZyWALL-Web-GUI zu KONFIGURATION > Netzwerk > Routing > BGP.

1. Geben Sie die BGP ASN dieses Standorts ein.

2. Geben Sie die Router-ID dieser ZyWALL ein. Üblicherweise ist dies die IP-Adresse der LAN-Schnittstelle Ihrer ZyWALL.

fj8ablursxea.png

3. Fügen Sie den Azure BGP Peer als Nachbar hinzu. Geben Sie die Azure BGP Peer-IP-Adresse ein. Geben Sie die BGP ASN des Azure VNet ein. Aktivieren Sie eBGP Multihop.

Wählen Sie die VTI-Schnittstelle als Quelle für BGP-Pakete, die zwischen den Peers gesendet werden.

hdqb7kd1ioi9.png

4. Fügen Sie die Router-Einträge hinzu, die Sie dem Azure BGP Peer ankündigen möchten.

2e5a5iv1vcs0.png

Beiträge in diesem Abschnitt

War dieser Beitrag hilfreich?
0 von 0 fanden dies hilfreich
Teilen

Kommentare

0 Kommentare

Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.