VPN - Site-to-site IPSec VPN konfigurálása Microsoft (MS) Azure-val

További kérdései vannak? Kérelem beküldése

Ez a cikk bemutatja, hogyan lehet site-to-site VPN-t létrehozni egy USG tűzfal és a Microsoft Azure Virtuális Átjáró között. A példa azt ismerteti, hogyan kell konfigurálni a VPN alagutat az egyes helyszínek között.

 

Megjegyzés! Ez a cikk csak egyetlen helyszínes VPN esetén működik. Ha több helyszínt szeretne összekapcsolni, kérjük, tekintse meg a következő cikket: USG/Zywall sorozat - Hogyan konfiguráljunk útvonal-alapú IPsec VPN-t Azure-hoz (BGP IKEv2/IPSec felett)
Nebula esetén: IPSec Site-to-Site VPN Nebula Security Gateway (NSG) és Azure között

 

1) IPSec VPN alagút konfigurálása a ZyWALL/USG-n

1.1 Indítsa el a varázslót és válassza a Speciális VPN szabályt

A ZyWALL/USG-ben lépjen a CONFIGURATION > Quick Setup > VPN Setup Wizard menüpontra, használja a VPN Settings varázslót egy VPN szabály létrehozásához, amely használható az MS Azure-ral. Kattintson a Következő gombra.

Quick Setup > VPN Setup Wizard > Welcome

Válassza a Speciális lehetőséget, hogy egyedi 1. és 2. fázis beállításokat és hitelesítési módot állíthasson be. Kattintson a Következő gombra.

Quick Setup > VPN Setup Wizard > Welcome > Wizard Type

1.2 Speciális VPN beállítások konfigurálása

1.2.1 Szabály név és forgatókönyv beállítása

Írja be a Szabály nevét, amellyel azonosítani tudja ezt a VPN kapcsolatot (és VPN átjárót). Használhat 1-31 alfanumerikus karaktert. Ez az érték kis- és nagybetű érzékeny. Válassza a Site-to-site szabályt. Kattintson a Következő gombra.

Quick Setup > VPN Setup Wizard > Wizard Type > VPN Settings (Forgatókönyv)

1.2.2 1. fázis beállításainak konfigurálása

Ezután állítsa be a Biztonságos átjáró IP-címét, amely az MS Azure átjáró IP-címe (a példában 13.75.42.148); válassza a Saját cím opciót az internethez csatlakozó interfészhez.

Állítsa be az MS Azure által támogatott Tárgyalási, Titkosítási, Hitelesítési, Kulcscsoport és SA élettartam beállításokat. Győződjön meg róla, hogy kikapcsolja a Dead Peer Detection (DPD) funkciót, amely nem támogatott az MS Azure IKEv1 Policy-based konfigurációban. Írjon be egy biztonságos Előre megosztott kulcsot.

Quick Setup > VPN Setup Wizard > Welcome > Wizard Type > VPN Settings (1. fázis beállítás)

1.2.3 2. fázis beállításainak konfigurálása

Folytassa a 2. fázis beállításaival, ahol válassza ki az MS Azure által támogatott Beágyazás, Titkosítás, Hitelesítés és SA élettartam beállításokat.

Állítsa be a Helyi szabályzatot a ZyWALL/USG-hez csatlakozó hálózat IP-címtartományára, a Távoli szabályzatot pedig az MS Azure-hoz csatlakozó hálózat IP-címtartományára. Kattintson az OK gombra.

Quick Setup > VPN Setup Wizard > Welcome > Wizard Type > VPN Settings (2. fázis beállítás)

Megjegyzés: Az MS Azure által támogatott IPsec paraméterekről további információért tekintse meg a Microsoft Azure dokumentációját a VPN eszközökről Site-to-Site VPN átjáró kapcsolatok esetén.

1.2.4 A konfiguráció ellenőrzése és mentése

Ez a képernyő csak olvasható összefoglalót nyújt a VPN alagútról. Kattintson a Mentés gombra.

Quick Setup > VPN Setup Wizard > Welcome > Wizard Type > VPN Settings (Összefoglaló)

Most a szabály beállításra került a ZyWALL/USG-n. Az 1. fázis szabálybeállításai a VPN > IPSec VPN > VPN Gateway képernyőn, a 2. fázis beállításai pedig a VPN > IPSec VPN > VPN Connection képernyőn jelennek meg. Kattintson a Bezárás gombra a varázslóból való kilépéshez.

Quick Setup > VPN Setup Wizard > Welcome > Wizard Type > VPN Settings > Wizard Completed

2) IPSec VPN alagút konfigurálása az MS Azure-on

2.1 Jelentkezzen be az Azure kezelőportálra

Jelentkezzen be a Windows Azure Management Portal-ba. A képernyő bal felső sarkában kattintson a +New > Networking > Virtual Network menüpontra.

Azure portal > New > Networking > Virtual Network

2.2 Válasszon telepítési modellt a Virtuális hálózat konfigurációjában

A Virtual Network panel alján a Select a deployment model legördülő listából válassza a Resource Manager opciót, majd kattintson a Create gombra.

New > Networking > Virtual Network > Select a deployment model

2.3 VPN beállítások konfigurálása az Azure-on

A Create virtual network oldalon adja meg a VPN hálózat NEVÉT. Például: VPN_Vnet_to_USG. Adja meg az Címtartományt, az Alhálózat nevét és egyetlen Alhálózati címtartományt.

Kattintson a Resource group gombra, majd válasszon ki egy meglévő erőforráscsoportot, vagy hozzon létre újat az új erőforráscsoport nevének beírásával. Például: RG_USG.

A HELYSZÍN közvetlenül kapcsolódik a virtuális gépek (VM-ek) fizikai helyéhez (régió). A virtuális hálózathoz társított régió nem módosítható a létrehozás után.

Ezután kattintson a Create gombra. A létrehozás után a műszerfalon megjelenik egy csempe, amely mutatja a VNet létrehozásának előrehaladását. A csempe változik a VNet létrehozása során.

New > Networking > Virtual Network >  Create virtual network

2.4 Virtuális hálózati alhálózat konfigurálása az Azure-on

Az Azure portálon navigáljon ahhoz a virtuális hálózathoz, amelyet éppen létrehozott. A virtuális hálózat paneljén kattintson a panel tetején található Settings ikonra, hogy kibővítse a beállítási panelt a Subnets > Add > Add Subnet menüpontig. Az alhálózatot nevezze el GatewaySubnet-nek. Ne nevezze el másként, mert az átjáró nem fog működni. Adja meg az átjáró IP címtartományát. Kattintson az OK gombra a panel alján az alhálózat létrehozásához.

VPN_Vnet_to_USG > Settings > Subnet > Add subnet

2.5 Virtuális hálózati átjáró konfigurálása az Azure-on

Az Azure portálon menjen a New menüpontra, majd a Networkinghez. Válassza a listából a Virtual network gateway opciót. A Create virtual network gateway panel Name mezőjébe írja be az átjáró nevét. Ezután válassza ki azt a Virtual network-öt, amelyhez ezt az átjárót telepíteni szeretné.

Kattintson a nyílra (>), hogy megnyissa a Choose public IP address panelt. Ezután kattintson a Create New gombra, hogy megnyissa a Create public IP address panelt. Adjon meg egy Nevet a nyilvános IP-címhez. Ez nem egy konkrét IP-cím kérése, hanem az IP-cím objektum neve, amelyhez az IP-cím dinamikusan lesz hozzárendelve. Kattintson az OK gombra a mentéshez.

A Gateway típus legyen VPN. A VPN típus legyen Policy-based. A Resource Group az a csoport, amelyet a kiválasztott virtuális hálózat határoz meg. A Location győződjön meg róla, hogy az azonos helyszínt mutatja, ahol az erőforráscsoport és a VNet is található.

New > Networking > Create virtual network gateway > Choose public IP address > Create public IP address

2.6 Helyi hálózati átjáró konfigurálása az Azure-on

Az Azure portálon navigáljon a New > Networking > Local network gateway menüpontra. A helyi hálózati átjáró a ZyWALL/USG nyilvános IP-címére és helyi alhálózati beállításaira utal.

A Create local network gateway panelen adjon meg egy nevet a ZyWALL/USG átjáró objektumának.

Adja meg a ZyWALL/USG nyilvános IP-címét. Ez nem lehet NAT mögött, és elérhetőnek kell lennie az Azure számára. Az Address space a ZyWALL/USG helyi hálózatának címtartományaira vonatkozik. A Resource Group-nál válassza ki a korábban létrehozott erőforráscsoportot. A Location-nál, ha új helyi hálózati átjárót hoz létre, használhatja ugyanazt a helyszínt, mint a virtuális hálózati átjáró, de ez nem kötelező. A helyi hálózati átjáró lehet más helyszínen is.

Kattintson a Create gombra a helyi hálózati átjáró létrehozásához.

New > Networking > Local network gateway  

2.7 Kapcsolat hozzáadása

Keresse meg a virtuális hálózati átjárót (a példában VPN_Connection_to_USG), és kattintson a Settings > Connection > Add connection menüpontra, nevezze el a kapcsolatot. A Connection type legyen Site-to-site (IPSec). A Virtual network gateway értéke rögzített, mert innen csatlakozik (a példában VPN_GW_to_USG).

A Local network gateway mezőben válassza ki a használni kívánt helyi hálózati átjárót (a példában VPN_Connection_to_USG).

A Shared Key (PSK) értékének meg kell egyeznie a ZyWALL/USG eszközön beállított kulccsal. A Resource Group mezőben válassza ki a korábban létrehozott erőforráscsoportot. Kattintson az OK gombra a kapcsolat létrehozásához.

VPN_Connection_to_USG > Settings > Connections > Add connection

2.8 A kapcsolat beállításainak ellenőrzése

Amikor a kapcsolat létrejött, megjelenik a Connections panelen az átjáróhoz.

VPN_Connection_to_USG > Settings > Connections

3) IPSec VPN alagút kapcsolat tesztelése

Lépjen a ZyWALL/USG-n a CONFIGURATION > VPN > IPSec VPN > VPN Connection menüpontra, majd kattintson a felső sávon a Connect gombra. A Status csatlakozási ikon világít, ha az interfész csatlakoztatva van.

CONFIGURATION > VPN > IPSec VPN > VPN Connection

Lépjen a ZyWALL/USG-n a MONITOR > VPN Monitor > IPSec menüpontra, és ellenőrizze az alagút Up Time és a Bejövő (Byte)/Kimenő (Byte) forgalmát.

MONITOR > VPN Monitor > IPSec

Lépjen az Azure_Vnet_USG > Settings menüpontra az alagút DATA IN és DATA OUT ellenőrzéséhez.

VPN > VPN Settings > Jelenleg aktív VPN alagutak

Az alagút működésének teszteléséhez pingeljen egy számítógépről az egyik helyszínen egy másik helyszínen lévő számítógépre. Győződjön meg róla, hogy mindkét számítógép rendelkezik internet-hozzáféréssel.

ZyWALL/USG mögötti PC > Windows 7 > cmd > ping 10.1.0.33

MS Azure mögötti PC > Windows 7 > cmd > ping 192.77.1.33

A szakasz cikkei

Hasznos volt ez a cikk?
0/0 szavazó hasznosnak találta ezt
Megosztás

Hozzászólások

0 hozzászólás

Hozzászólások írásához jelentkezzen be.