Avis important: |
Connexion multisite Azure
Pour Nebula :
IPSec Site-to-Site-VPN de Nebula Sécurité Gateway (NSG) à Azure
Cet article explique comment configurer une connexion multisite Azure (passerelles VNet/réseau virtuel) via un VPN IPsec de site à site à l'aide d'un VPN basé sur le routage et de BGP sur IKEv2 (série USG FLEX/ATP/VPN).
Table des matières
2. Créez le sous-réseau de la passerelle
4. Obtenir l'adresse IP Azure BGP Peer
5. Créez la passerelle de réseau local
7. Activer BGP sur la connexion VPN Azure
9. Créer la règle de connexion VPN (Phase 2)
11. Créer des routes statiques pour le pair BGP
Introduction
Ce type de connexion est une variante de la connexion site à site. Vous créez plusieurs connexions VPN à partir de votre passerelle de réseau virtuel, en vous connectant généralement à plusieurs sites sur site.
Lorsque vous travaillez avec plusieurs connexions, vous devez utiliser un type de VPN basé sur une route (appelé passerelle dynamique lorsque vous travaillez avec des réseaux virtuels classiques). Étant donné que chaque réseau virtuel ne peut avoir qu'une seule passerelle VPN, toutes les connexions via la passerelle partagent la bande passante disponible. C'est ce qu'on appelle souvent une connexion "multi-sites".
Avant que tu commences
Avant de commencer la configuration, vérifiez que vous disposez des éléments suivants :
- -Vous disposez d'un réseau virtuel Azure qui a été créé à l'aide du modèle de déploiement Resource Manager
- -La passerelle de réseau virtuel pour votre réseau virtuel est RouteBased. Si vous disposez d'une passerelle VPN basée sur des stratégies, vous devez supprimer la passerelle de réseau virtuel et créer une nouvelle passerelle VPN en tant que RouteBased.
- -Aucune des plages d'adresses de chaque site de réseau local ne se chevauche pour l'un des réseaux virtuels auxquels ce réseau virtuel se connecte.
- -Une adresse IP IPv4 publique orientée vers l'extérieur pour chaque appareil ZyWALL. L'adresse IP ne peut pas être située derrière un NAT. C'est une exigence.
1. Créer un réseau virtuel (VNet)
1. À partir d'un navigateur, accédez au Portail Azure et connectez-vous avec votre compte Azure.
2. Cliquez sur Créer une ressource . Dans le Rechercher sur le marché champ, tapez 'réseau virtuel'. Localiser Réseau virtuel dans la liste retournée et cliquez pour ouvrir le Réseau virtuel page.
3. Près du bas de la page Réseau virtuel, à partir de la Sélectionnez un modèle de déploiement liste, sélectionnez Gestionnaire de ressources , puis cliquez sur Créer . Cela ouvre la page "Créer un réseau virtuel".
2. Créer le sous-réseau de la passerelle
La passerelle de réseau virtuel utilise un sous-réseau spécifique appelé sous-réseau de passerelle. Il fait partie de l'espace d'adressage IP du réseau virtuel que vous spécifiez lors de la création de votre réseau virtuel. Il contient les adresses IP utilisées par les ressources et les services de la passerelle de réseau virtuel.
1. Dans le portail, accédez au réseau virtuel pour lequel vous souhaitez créer une passerelle de réseau virtuel.
2. Dans le Réglages section de votre page VNet, cliquez sur Sous-réseaux pour développer la page Sous-réseaux.
3. Sur le Sous-réseaux page, cliquez + Sous-réseau de la passerelle en haut pour ouvrir le Ajouter un sous-réseau page.
4. Le nom pour votre sous-réseau est automatiquement rempli avec la valeur 'GatewaySubnet'. La valeur GatewaySubnet est requise pour qu'Azure reconnaisse le sous-réseau comme sous-réseau de la passerelle. Ajuster la plage d'adresses remplie automatiquement valeurs correspondant à vos exigences de configuration.
5. Pour créer le sous-réseau, cliquez sur D'ACCORD au bas de la page.
3. Créer la passerelle VPN
1. Sur le côté gauche de la page du portail, cliquez sur + et tapez 'Réseau virtuel Gateway' dans la recherche. Dans Résultats , recherchez et cliquez sur la passerelle de réseau virtuel .
2. En bas de la page "Passerelle de réseau virtuel", cliquez sur Créer . Cela ouvre le Créer une passerelle de réseau virtuel page.
3. Sur le Créer une passerelle de réseau virtuel , spécifiez les valeurs de votre passerelle de réseau virtuel.
· Nom : Vnet1GW
· Type de passerelle : VPN
· Type de VPN : sélectionnez le Basé sur l'itinéraire Type de VPN
· UGS : VpnGw1
BGP est pris en charge sur Azure VpnGw1, VpnGw2, VpnGw3 , Standard et Haute performance UGS.
Le SKU de base n'est PAS pris en charge. Ici, vous devez au moins sélectionner VpnGw1.
· Réseau virtuel : Cliquez Réseau virtuel/Choisir un réseau virtuel pour ouvrir le Choisissez un réseau virtuel page. Sélectionner Réseau virtuel1 .
· Adresse IP publique : ce paramètre spécifie l'objet d'adresse IP publique qui est associé à la passerelle VPN.
-Partir Créer un nouveau choisi.
-Dans la zone de texte, tapez un Nom pour votre adresse IP publique. Pour cet exercice, utilisez VNet1GWIP .
· Vérifier la Configurer l'ASN BGP option et saisissez le numéro ASN. Azure réserve les ASN suivants pour les peerings internes et externes :
· ASN publics : 8074, 8075, 12076
· ASN privés : 65515, 65517, 65518, 65519, 65520
· Emplacement : sélectionnez le même emplacement que votre réseau virtuel
4. Cliquez sur Créer pour commencer à créer la passerelle VPN.
Une fois la passerelle créée, sur le côté gauche de la page du portail, cliquez sur Toutes les ressources et cliquez sur la passerelle de réseau virtuel pour afficher plus d'informations. L'adresse IP publique s'affichera sur le côté droit.
4. Obtenir l'adresse IP du pair Azure BGP
Vous devez obtenir l'adresse IP BGP Peer de ce VPN Gateway. Cette adresse est nécessaire pour configurer sur votre ZyWALL en tant que voisin BGP.
Ouvrez la page de configuration de votre VPN Azure Gateway pour l'obtenir.
5. Créez la passerelle de réseau local
La passerelle de réseau local fait généralement référence à votre emplacement sur site. Vous donnez au site un nom par lequel Azure peut y faire référence, puis spécifiez l'adresse IP de l'appareil ZyWALL sur site auquel vous allez créer une connexion.
1. Dans le portail, cliquez sur +Créer une ressource .
2. Dans la zone de recherche, saisissez Passerelle de réseau local , puis appuyez sur Entrer chercher. Cela renverra une liste de résultats. Cliquez sur Passerelle de réseau local , puis cliquez sur le Créer bouton pour ouvrir le Créer une passerelle de réseau local page.
3. Sur le Page Créer une passerelle de réseau local , spécifiez les valeurs de votre passerelle de réseau local.
La partie la plus importante est la liste des espaces d'adressage. Voici l'adresse IP du pair BGP de votre ZyWALL, généralement l'adresse IP de l'interface du tunnel VTI. Dans cet exemple, c'est 10.1.254.1/32
Vérifier Configurer les paramètres BGP et saisissez le ASN BGP de votre ZyWALL.
Adresse IP du pair BGP : Saisissez l'adresse IP de votre interface VTI sur ZyWALL. Dans cet exemple est 10.1.254.1
6. Créez la connexion VPN
1. Accédez à la page de votre passerelle de réseau virtuel et ouvrez-la.
2. Sur la page de VNet1GW, cliquez sur Connexions . En haut de la page Connexions, cliquez sur +Ajouter pour ouvrir le Ajouter une connexion page.
3. Sur le Ajouter une connexion page, configurez les valeurs de votre connexion. Sélectionner Site à site (IPSec) comme type de connexion.
Tapez le Clé partagée (PSK) dont vous avez besoin pour configurer la même valeur que la clé pré-partagée dans la page des paramètres de la passerelle VPN de votre ZyWALL.
Remarque : La clé pré-partagée doit comporter au moins 8 à 32 caractères.
sept. Activer BGP sur la connexion VPN Azure
1. Accédez à la page de la connexion VPN Azure créée et ouvrez-la.
2. Cliquez sur Configuration pour ouvrir la page de configuration
3. Activez BGP puis cliquez sur Enregistrer
Après avoir terminé la configuration VPN sur le portail Azure. Ensuite, vous pouvez configurer les paramètres VPN associés sur votre ZyWALL.
----------------------
Voici les étapes de configuration sur votre ZyWALL
8. Créer la règle VPN Gateway (Phase 1)
Sur l'interface graphique Web ZyWALL, accédez à CONFIGURATION> VPN> VPN IPSec> VPN
Passerelle, cliquez sur Ajouter pour créer une règle VPN Gateway.
Sur le Ajouter VPN Gateway , spécifiez les valeurs de votre passerelle de réseau virtuel.
· Activer : cochez la case Activer pour activer cette règle
· Nom : "Azure" comme nom de règle dans cet exemple
· Version IKE : IKEv2
· Peer Gateway Address : sélectionnez l'adresse statique et renseignez Public IP address of Azure virtual network gateway dans le champ Primary
· Clé pré-partagée : renseignez la clé partagée (PSK) de la connexion VPN Azure
· Durée de vie SA : 28800 secondes
· Algorithme de chiffrement : gardez la valeur par défaut, AES128
· Algorithme d'authentification : conserver la valeur par défaut, SHA1
· Groupe clé : garder la valeur par défaut, DH2
9. Créer la règle de connexion VPN (Phase 2)
Sur l'interface graphique Web ZyWALL, accédez à CONFIGURATION> VPN> VPN IPSec> VPN
Connexion, cliquez sur Ajouter pour créer une règle de connexion VPN.
Sur le Ajouter une connexion VPN , spécifiez les valeurs de votre passerelle de réseau virtuel.
· Activer : cochez la case Activer pour activer cette règle
· Nom : "Azure" comme nom de règle dans cet exemple
· TCP MSS : 1379 octets
· Scénario d'application : sélectionnez l'interface de tunnel VPN pour le VPN basé sur la route
· VPN Gateway : sélectionnez "Azure".
· Durée de vie SA : 3600 secondes
· Algorithme de chiffrement : sélectionnez AES256
· Algorithme d'authentification : conserver la valeur par défaut, SHA1
· PSF : sélectionner rien
Remarque : L'algorithme de chiffrement de phase 2 doit être sélectionné comme AES256 uniquement pour être entièrement compatible avec la passerelle VPN Azure.
10. Créer une interface VTI
Sur l'interface graphique Web ZyWALL, accédez à CONFIGURATION> Réseau> Interface> VTI, cliquez sur Ajouter pour créer une interface VTI
· Nom de l'interface : vti0
· Zone : IPSec_VPN
· vpn-règle : Azure
· Adresse IP : 10.1.245.1
· Masque de sous-réseau : 255.255.255.252
11. Créer des routes statiques pour le pair BGP
Sur l'interface graphique Web ZyWALL, accédez à CONFIGURATION> Réseau> Routage> Route statique.
Ajouter une route au sous-réseau Gateway d'Azure, dans cet exemple est 10.0.0.0/29
Il s'agit de la route pour la connexion TCP de BGP à l'adresse IP du pair Azure BGP.
12. Configurer BGP
Sur l'interface graphique Web ZyWALL, accédez à CONFIGURATION> Réseau> Routage> BGP
1. Saisissez l'ASN BGP de ce site
2. Tapez l'ID du routeur de ce ZyWALL. Habituellement, ce sera l'adresse IP de l'interface LAN de votre ZyWALL.
3. Ajoutez le pair Azure BGP en tant que voisin Tapez l'adresse IP du pair Azure BGP Tapez l'ASN BGP du réseau virtuel Azure Activez eBGP Multihop
Sélectionnez l'interface VTI comme source du paquet BGP envoyé entre pairs
4. Ajoutez les entrées de routeur qui souhaitent annoncer au pair Azure BGP