Questo articolo mostra come creare una VPN site-to-site tra un firewall USG e il Gateway Virtuale di Microsoft Azure. L'esempio spiega come configurare il tunnel VPN tra i due siti.
Nota! Questo articolo funziona solo con una VPN per un singolo sito. Se hai bisogno di connettere più siti, consulta il seguente articolo: Serie USG/Zywall - Come configurare VPN IPsec basata su routing verso Azure (BGP su IKEv2/IPSec)
Per Nebula: VPN IPSec Site-to-Site da Nebula Security Gateway (NSG) ad Azure
1) Configurare il tunnel VPN IPSec sul ZyWALL/USG
1.1 Avviare la procedura guidata e scegliere Politica VPN avanzata
Nel ZyWALL/USG, vai su CONFIGURATION > Quick Setup > VPN Setup Wizard, usa la procedura guidata VPN Settings per creare una regola VPN utilizzabile con MS Azure. Clicca su Next.
Quick Setup > VPN Setup Wizard > Welcome
Scegli Advanced per creare una regola VPN con impostazioni personalizzate per fase 1, fase 2 e metodo di autenticazione. Clicca su Next.
Quick Setup > VPN Setup Wizard > Welcome > Wizard Type
1.2 Configurare le impostazioni VPN avanzate
1.2.1 Configurare Nome Regola e Scenario
Digita il Nome Regola usato per identificare questa connessione VPN (e il gateway VPN). Puoi usare da 1 a 31 caratteri alfanumerici. Il valore fa distinzione tra maiuscole e minuscole. Seleziona la regola come Site-to-site. Clicca su Next.
Quick Setup > VPN Setup Wizard > Wizard Type > VPN Settings (Scenario)
1.2.2 Configurare le impostazioni della Fase 1
Configura l’IP del Secure Gateway come l’indirizzo IP del gateway peer di MS Azure (nell’esempio, 13.75.42.148); seleziona My Address come l’interfaccia connessa a Internet.
Imposta Negotiation, Encryption, Authentication, Key Group e SA Life Time supportati da MS Azure. Assicurati di disabilitare Dead Peer Detection (DPD) che non è supportato nella policy IKEv1 basata su policy di MS Azure. Digita una Pre-Shared Key sicura.
Quick Setup > VPN Setup Wizard > Welcome > Wizard Type > VPN Settings (Phase 1 Setting)
1.2.3 Configurare le impostazioni della Fase 2
Continua con le impostazioni della Fase 2 per selezionare Encapsulation, Encryption, Authentication e SA Life Time supportati da MS Azure.
Imposta Local Policy come l’intervallo di indirizzi IP della rete collegata al ZyWALL/USG e Remote Policy come l’intervallo di indirizzi IP della rete collegata a MS Azure. Clicca su OK.
Quick Setup > VPN Setup Wizard > Welcome > Wizard Type > VPN Settings (Phase 2 Setting)

Nota: Per maggiori informazioni sui parametri IPsec supportati in MS Azure, consulta la documentazione Microsoft Azure About VPN devices per le connessioni Site-to-Site VPN Gateway.
1.2.4 Controlla e salva la configurazione
Questa schermata fornisce un riepilogo in sola lettura del tunnel VPN. Clicca su Save.
Quick Setup > VPN Setup Wizard > Welcome > Wizard Type > VPN Settings (Summary)
Ora la regola è configurata sul ZyWALL/USG. Le impostazioni della fase 1 appaiono nella schermata VPN > IPSec VPN > VPN Gateway, mentre quelle della fase 2 nella schermata VPN > IPSec VPN > VPN Connection. Clicca su Close per uscire dalla procedura guidata.
Quick Setup > VPN Setup Wizard > Welcome > Wizard Type > VPN Settings > Wizard Completed
2) Configurare il tunnel VPN IPSec su MS Azure
2.1 Accedi al portale di gestione Azure
Accedi al Windows Azure Management Portal. Nell’angolo in alto a sinistra dello schermo, clicca su +New > Networking > Virtual Network.
Azure portal > New > Networking > Virtual Network
2.2 Seleziona un modello di distribuzione dalla configurazione della rete virtuale
Verso il fondo del pannello Virtual Network, dal menu Select a deployment model, seleziona Resource Manager, quindi clicca su Create.
New > Networking > Virtual Network > Select a deployment model
2.3 Configura le impostazioni VPN su Azure
Nella pagina di Create virtual network, inserisci il NOME per la rete VPN. Per esempio, VPN_Vnet_to_USG. Aggiungi il tuo Address Space, Nome subnet e un singolo intervallo indirizzi subnet.
Clicca su Resource group e seleziona un gruppo di risorse esistente oppure creane uno nuovo digitando un nome per il nuovo gruppo. Per esempio, RG_USG.
LOCATION è direttamente collegata alla posizione fisica (regione) dove risiedono le macchine virtuali (VM). La regione associata alla rete virtuale non può essere modificata dopo la creazione.
Quindi, clicca sul pulsante Create. Dopo aver cliccato Create, vedrai un riquadro nella tua dashboard che riflette il progresso della creazione della VNet. Il riquadro cambierà mentre la VNet viene creata.
New > Networking > Virtual Network > Create virtual network
2.4 Configura la subnet della rete virtuale su Azure
Nel portale, naviga alla rete virtuale appena creata. Nel pannello della rete virtuale, clicca sull’icona Settings in alto per espandere il pannello delle impostazioni a Subnets > Add > Add Subnet. Dai alla subnet il nome GatewaySubnet. Non devi usare nessun altro nome, altrimenti il gateway non funzionerà. Aggiungi l’intervallo di indirizzi IP per il tuo gateway. Clicca su OK in fondo al pannello per creare la subnet.
VPN_Vnet_to_USG > Settings > Subnet > Add subnet
2.5 Configura il Virtual Network Gateway su Azure
Nel portale, vai su New, poi Networking. Seleziona Virtual network gateway dalla lista. Nel pannello Create virtual network gateway, nel campo Name, dai un nome al tuo gateway. Poi scegli la Virtual network su cui vuoi distribuire questo gateway.
Clicca sulla freccia (>) per aprire il pannello Choose public IP address. Clicca su Create New per aprire il pannello Create public IP address. Inserisci un Nome per il tuo indirizzo IP pubblico. Nota che non si tratta di inserire un indirizzo IP, ma il nome dell’oggetto indirizzo IP a cui sarà assegnato dinamicamente un indirizzo. Clicca su OK per salvare le modifiche.
Per Gateway type, seleziona VPN. Per VPN type, seleziona Policy-based. Per Resource Group, il gruppo di risorse è determinato dalla rete virtuale che selezioni. Per Location, assicurati che sia mostrata la posizione in cui esistono sia il gruppo di risorse sia la VNet.
New > Networking > Create virtual network gateway > Choose public IP address > Create public IP address
2.6 Configura il Local Network Gateway su Azure
Nel portale Azure, vai su New > Networking > Local network gateway. Il local network gateway si riferisce all’IP pubblico del tuo ZyWALL/USG e alle impostazioni della subnet locale.
Nel pannello Create local network gateway, specifica un nome per l’oggetto gateway ZyWALL/USG.
Specifica l’indirizzo IP pubblico del tuo ZyWALL/USG. Non può essere dietro NAT e deve essere raggiungibile da Azure. L’address space si riferisce agli intervalli di indirizzi della rete locale ZyWALL/USG. Per Resource Group, seleziona il gruppo di risorse creato in precedenza. Per Location, se stai creando un nuovo local network gateway, puoi usare la stessa posizione del virtual network gateway, ma non è obbligatorio. Il local network gateway può essere in una posizione diversa.
Clicca su Create per creare il local network gateway.
New > Networking > Local network gateway
2.7 Aggiungi Connessione
Individua il tuo virtual network gateway (VPN_Connection_to_USG in questo esempio) e clicca su Settings > Connection > Add connection, dai un Nome alla connessione. Per Connection type, seleziona Site-to-site (IPSec). Per Virtual network gateway, il valore è fisso perché stai connettendo da questo gateway (VPN_GW_to_USG in questo esempio).
Per Local network gateway, seleziona il local network gateway che vuoi usare (VPN_Connection_to_USG in questo esempio).
Per Shared Key (PSK), il valore deve corrispondere a quello usato nel dispositivo ZyWALL/USG. Per Resource Group, seleziona il gruppo di risorse creato prima. Clicca su OK per creare la connessione.
VPN_Connection_to_USG > Settings > Connections > Add connection
2.8 Controlla le impostazioni della connessione
Quando la connessione è completata, la vedrai apparire nel pannello Connections del tuo Gateway.
VPN_Connection_to_USG > Settings > Connections
3) Testare la connettività del tunnel VPN IPSec
Vai su ZyWALL/USG CONFIGURATION > VPN > IPSec VPN > VPN Connection, clicca su Connect nella barra superiore. L’icona Status si illumina quando l’interfaccia è connessa.
CONFIGURATION > VPN > IPSec VPN > VPN Connection
Vai su ZyWALL/USG MONITOR > VPN Monitor > IPSec e verifica il Up Time del tunnel e il traffico Inbound(Bytes)/Outbound(Bytes).
MONITOR > VPN Monitor > IPSec
Vai su Azure_Vnet_USG > Settings per controllare i dati DATA IN e DATA OUT.
VPN > VPN Settings > Currently Active VPN Tunnels
Per testare se il tunnel funziona, esegui un ping da un computer in un sito a un computer nell’altro sito. Assicurati che entrambi i computer abbiano accesso a Internet.
PC dietro ZyWALL/USG > Windows 7 > cmd > ping 10.1.0.33
PC dietro MS Azure > Windows 7 > cmd > ping 192.77.1.33


Commenti
0 commentiAccedi per aggiungere un commento.