Tässä artikkelissa näytetään, kuinka luodaan site-to-site VPN USG-palomuuriin ja Microsoft Azure Virtual Gatewayhin. Esimerkissä ohjataan, kuinka määritetään VPN-tunneli kunkin sivuston välillä.
Huom! Tämä artikkeli toimii vain yksittäisen sivuston VPN:llä. Jos tarvitset useiden sivustojen yhdistämisen, tarkista seuraava artikkeli: USG/Zywall-sarja - Kuinka määrittää reitityspohjainen IPsec VPN Azureen (BGP IKEv2/IPSec:n yli)
Nebulalle: IPSec Site-to-Site-VPN Nebula Security Gatewayltä (NSG) Azureen
1) Määritä IPSec VPN -tunneli ZyWALL/USG:ssä
1.1 Käynnistä ohjattu toiminto ja valitse Lisäasetukset VPN-politiikalle
Siirry ZyWALL/USG:ssa kohtaan CONFIGURATION > Quick Setup > VPN Setup Wizard, käytä VPN Settings-ohjattua luodaksesi VPN-säännön, jota voidaan käyttää MS Azure kanssa. Napsauta Seuraava.
Quick Setup > VPN Setup Wizard > Tervetuloa
Valitse Advanced luodaksesi VPN-säännön, jossa voit mukauttaa vaihe 1:n, vaihe 2:n asetukset ja todennusmenetelmän. Napsauta Seuraava.
Quick Setup > VPN Setup Wizard > Tervetuloa > Ohjatun toiminnon tyyppi
1.2 Määritä Lisäasetukset VPN:lle
1.2.1 Määritä säännön nimi ja käyttötapaus
Kirjoita Rule Name, jolla tunnistat tämän VPN-yhteyden (ja VPN-portin). Voit käyttää 1–31 aakkosnumeerista merkkiä. Tämä arvo on kirjainkoolla erotteleva. Valitse säännöksi Site-to-site. Napsauta Seuraava.
Quick Setup > VPN Setup Wizard > Ohjatun toiminnon tyyppi > VPN Settings (Käyttötapaus)
1.2.2 Määritä vaihe 1:n asetukset
Määritä Secure Gateway -IP Azure-portin IP-osoitteeksi (esimerkissä 13.75.42.148); valitse My Address Internetiin kytketty käyttöliittymä.
Aseta Negotiation, Encryption, Authentication, Key Group ja SA Life Time asetukset, joita MS Azure tukee. Varmista, että Dead Peer Detection (DPD) on poistettu käytöstä, koska MS Azure ei tue sitä IKEv1-politiikkapohjaisessa yhteydessä. Kirjoita turvallinen Pre-Shared Key.
Quick Setup > VPN Setup Wizard > Tervetuloa > Ohjatun toiminnon tyyppi > VPN Settings (Vaihe 1:n asetukset)
1.2.3 Määritä vaihe 2:n asetukset
Jatka vaihe 2:n asetuksiin ja valitse Encapsulation, Encryption, Authentication ja SA Life Time asetukset, joita MS Azure tukee.
Aseta Local Policy ZyWALL/USG:hen kytketyn verkon IP-osoitealueeksi ja Remote Policy MS Azureen kytketyn verkon IP-osoitealueeksi. Napsauta OK.
Quick Setup > VPN Setup Wizard > Tervetuloa > Ohjatun toiminnon tyyppi > VPN Settings (Vaihe 2:n asetukset)

Huomautus: Lisätietoja MS Azuren tukemista IPsec-parametreista löytyy Microsoft Azuren dokumentaatiosta About VPN devices Site-to-Site VPN Gateway -yhteyksille.
1.2.4 Tarkista ja tallenna määritykset
Tällä näytöllä näet VPN-tunnelin lukuoikeudella olevan yhteenvedon. Napsauta Tallenna.
Quick Setup > VPN Setup Wizard > Tervetuloa > Ohjatun toiminnon tyyppi > VPN Settings (Yhteenveto)
Sääntö on nyt määritetty ZyWALL/USG:ssä. Vaihe 1:n sääntöasetukset näkyvät VPN > IPSec VPN > VPN Gateway -näytössä ja vaihe 2:n sääntöasetukset VPN > IPSec VPN > VPN Connection -näytössä. Napsauta Sulje poistuaksesi ohjatusta toiminnosta.
Quick Setup > VPN Setup Wizard > Tervetuloa > Ohjatun toiminnon tyyppi > VPN Settings > Ohjattu toiminto valmis
2) Määritä IPSec VPN -tunneli MS Azurella
2.1 Kirjaudu Azure-hallintaportaalille
Kirjaudu sisään Windows Azure Management Portal -portaaliin. Näytön vasemmassa yläkulmassa napsauta +New > Networking > Virtual Network.
Azure portal > New > Networking > Virtual Network
2.2 Valitse käyttöönoton malli virtuaaliverkon asetuksista
Virtuaaliverkon sivun alalaidassa, kohdassa Select a deployment model, valitse Resource Manager ja napsauta Create.
New > Networking > Virtual Network > Select a deployment model
2.3 Määritä VPN-asetukset Azurella
Syötä NAME VPN-verkolle Create virtual network -sivulla. Esimerkiksi VPN_Vnet_to_USG. Lisää Address Space, Subnet name ja yksittäinen Subnet address range.
Napsauta Resource group ja valitse olemassa oleva resurssiryhmä tai luo uusi kirjoittamalla nimi. Esimerkiksi RG_USG.
LOCATION liittyy fyysiseen sijaintiin (alueeseen), jossa virtuaalikoneet sijaitsevat. Virtuaaliverkkoon liitettyä aluetta ei voi muuttaa luomisen jälkeen.
Napsauta Create-painiketta. Luomisen jälkeen näet kojelaudalla laatikon, joka näyttää VNetin luomisen etenemisen. Laatikko muuttuu VNetin luomisen aikana.
New > Networking > Virtual Network > Create virtual network
2.4 Määritä virtuaaliverkon aliverkko Azurella
Siirry portaaliin juuri luomaasi virtuaaliverkkoon. Virtuaaliverkon sivulla napsauta ylhäällä Settings-kuvaketta laajentaaksesi asetukset kohtaan Subnets > Add > Add Subnet. Nimeä aliverkko GatewaySubnet. Älä nimeä sitä muulla nimellä, koska portti ei toimi. Lisää portin IP-osoitealue. Napsauta alareunassa OK luodaksesi aliverkon.
VPN_Vnet_to_USG > Settings > Subnet > Add subnet
2.5 Määritä virtuaaliverkon portti Azurella
Portaaliin siirry kohtaan New, sitten Networking. Valitse Virtual network gateway listalta. Create virtual network gateway -sivulla anna portille nimi Name-kenttään. Valitse seuraavaksi Virtual network, johon haluat asentaa portin.
Napsauta nuolta (>) avataksesi Choose public IP address -sivun. Napsauta Create NewCreate public IP address -sivun. Anna julkiselle IP-osoitteelle Name. Huomaa, että IP-osoitetta ei kysytä, vaan nimi IP-osoiteobjektille, johon osoite dynaamisesti annetaan. Napsauta OK tallentaaksesi muutokset.
Valitse Gateway typeksi VPN. Valitse VPN typeksi Policy-based. Resource Group määräytyy valitsemasi virtuaaliverkon mukaan. Location on oltava sama, missä resurssiryhmä ja VNet sijaitsevat.
New > Networking > Create virtual network gateway > Choose public IP address > Create public IP address
2.6 Määritä paikallinen verkon portti Azurella
Azure-portaalissa siirry kohtaan New > Networking > Local network gateway. Paikallinen verkon portti viittaa ZyWALL/USG:n julkiseen IP-osoitteeseen ja paikallisiin aliverkkoasetuksiin.
Anna paikallisen verkon portille nimi ZyWALL/USG-porttiobjektille.
Anna ZyWALL/USG:n julkinen IP-osoite. Sen ei saa olla NATin takana ja sen on oltava Azurelle saavutettavissa. Address space tarkoittaa ZyWALL/USG:n paikallisen verkon osoitealueita. Valitse resurssiryhmä, jonka loit aiemmin. Location voi olla sama kuin virtuaaliverkon portilla, mutta se ei ole pakollista. Paikallinen verkon portti voi sijaita eri paikassa.
Napsauta Create luodaksesi paikallisen verkon portin.
New > Networking > Local network gateway
2.7 Lisää yhteys
Etsi virtuaaliverkon portti (esimerkissä VPN_Connection_to_USG) ja napsauta Settings > Connection > Add connection. Anna yhteydelle nimi. Valitse Connection typeksi Site-to-site (IPSec). Virtual network gateway on kiinteä arvo, koska yhdistät tästä portista (esimerkissä VPN_GW_to_USG).
Valitse Local network gatewayksi paikallinen verkon portti, jota haluat käyttää (esimerkissä VPN_Connection_to_USG).
Shared Key (PSK) on oltava sama kuin ZyWALL/USG-laitteessasi käytetty arvo. Valitse Resource Group, jonka loit aiemmin. Napsauta OK luodaksesi yhteyden.
VPN_Connection_to_USG > Settings > Connections > Add connection
2.8 Tarkista yhteysasetukset
Kun yhteys on valmis, näet sen Connections-sivulla portillasi.
VPN_Connection_to_USG > Settings > Connections
3) Testaa IPSec VPN -tunnelin yhteys
Siirry ZyWALL/USG:ssa kohtaan CONFIGURATION > VPN > IPSec VPN > VPN Connection ja napsauta yläreunan palkissa Connect. Status-yhteyskuvake syttyy, kun yhteys on muodostettu.
CONFIGURATION > VPN > IPSec VPN > VPN Connection
Siirry ZyWALL/USG:ssa kohtaan MONITOR > VPN Monitor > IPSec ja tarkista tunnelin Up Time sekä Inbound(Bytes)/Outbound(Bytes) -liikenne.
MONITOR > VPN Monitor > IPSec
Siirry Azure_Vnet_USG > Settings tarkistaaksesi tunnelin DATA IN ja DATA OUT.
VPN > VPN Settings > Tällä hetkellä aktiiviset VPN-tunnelit
Testataksesi tunnelin toimivuutta pingaa yhdeltä sivustolta toisella olevaa tietokonetta. Varmista, että molemmilla tietokoneilla on internet-yhteys.
PC ZyWALL/USG:n takana > Windows 7 > cmd > ping 10.1.0.33
PC MS Azuren takana > Windows 7 > cmd > ping 192.77.1.33


Kommentit
0 kommenttiaKirjaudu sisään jättääksesi kommentin.