VPN - Configurare una VPN IPsec basata su routing verso Azure (BGP su IKEv2/IPSec)

Questo articolo mostra come configurare una connessione multi-sito Azure (gateway VNet/Virtual Network) tramite VPN IPsec site-to-site utilizzando VPN basata su routing e BGP su IKEv2 (serie USG FLEX / ATP / VPN).

Introduzione

Questo tipo di connessione è una variazione della connessione Site-to-Site. Si creano più connessioni VPN dal gateway della rete virtuale, tipicamente collegandosi a più siti on-premises.
Quando si lavora con più connessioni, è necessario utilizzare un tipo di VPN basata su routing (conosciuta come gateway dinamico quando si lavora con VNets classiche). Poiché ogni rete virtuale può avere un solo gateway VPN, tutte le connessioni attraverso il gateway condividono la larghezza di banda disponibile. Questo è spesso chiamato una connessione "multi-sito".

Prima di iniziare

Prima di iniziare la configurazione, verifica di avere quanto segue:

  1. -Hai una rete virtuale Azure creata utilizzando il modello di distribuzione Resource Manager
  2. -Il gateway della rete virtuale per la tua VNet è di tipo RouteBased. Se hai un gateway VPN basato su policy, devi eliminare il gateway della rete virtuale e crearne uno nuovo come RouteBased.
  3. -Nessuno degli intervalli di indirizzi dei siti delle reti locali si sovrappone per nessuna delle VNet a cui questa VNet si connette.
  4. -Un indirizzo IPv4 pubblico esterno per ciascun dispositivo ZyWALL. L'indirizzo IP non può essere dietro un NAT. Questo è un requisito.

4xfl3chatw7o.png

 

1. Creare una rete virtuale (VNet)

1.       Dal browser, vai al portale Azure e accedi con il tuo account Azure.

2.       Clicca su Crea una risorsa. Nel campo Cerca nel marketplace, digita 'virtual network'. Trova Rete virtuale dalla lista restituita e clicca per aprire la pagina Rete virtuale.

3.       Verso il fondo della pagina Rete virtuale, dal menu Seleziona un modello di distribuzione, seleziona Resource Manager e poi clicca Crea. Questo apre la pagina 'Crea rete virtuale'.

ekpusf18udsr.png

2. Creare la subnet del gateway

Il gateway della rete virtuale utilizza una subnet specifica chiamata subnet del gateway. Fa parte dello spazio degli indirizzi IP della rete virtuale che specifichi durante la creazione della rete virtuale. Contiene gli indirizzi IP che le risorse e i servizi del gateway della rete virtuale utilizzano.

1.       Nel portale, vai alla rete virtuale per la quale vuoi creare un gateway di rete virtuale.

2.       Nella sezione Impostazioni della pagina della tua VNet, clicca su Subnet per espandere la pagina Subnet.

3.       Nella pagina Subnet, clicca su +Subnet gateway in alto per aprire la pagina Aggiungi subnet.

v7xc8ijlgk3w.png

 

4. Il Nome della tua subnet viene compilato automaticamente con il valore 'GatewaySubnet'. Il valore GatewaySubnet è richiesto affinché Azure riconosca la subnet come subnet del gateway. Adatta i valori Intervallo indirizzi precompilati per soddisfare i requisiti della tua configurazione.

18ykjeocboi9.png

5. Per creare la subnet, clicca su OK in fondo alla pagina.

3. Creare il gateway VPN

1. Sul lato sinistro della pagina del portale, clicca su + e digita 'Virtual Network Gateway' nella ricerca. Nei Risultati, trova e clicca su Gateway di rete virtuale.

2. In fondo alla pagina 'Gateway di rete virtuale', clicca su Crea. Questo apre la pagina Crea gateway di rete virtuale.

3. Nella pagina Crea gateway di rete virtuale, specifica i valori per il tuo gateway di rete virtuale.

w4ucdcjggbmx.png

· Nome: Vnet1GW

· Tipo di gateway: VPN

· Tipo di VPN: seleziona il tipo di VPN Route-based

· SKU: VpnGw1

BGP è supportato su Azure VpnGw1, VpnGw2, VpnGw3, SKU Standard e HighPerformance.
La SKU Basic NON è supportata. Qui devi selezionare almeno VpnGw1.

· Rete virtuale: Clicca su Rete virtuale/Scegli una rete virtuale per aprire la pagina Scegli una rete virtuale. Seleziona VNet1.

· Indirizzo IP pubblico: Questa impostazione specifica l'oggetto indirizzo IP pubblico che viene associato al gateway VPN.

-Lascia selezionato Crea nuovo.

-Nella casella di testo, digita un Nome per il tuo indirizzo IP pubblico. Per questo esercizio, usa VNet1GWIP.

· Seleziona l'opzione Configura ASN BGP e digita il numero ASN. Azure riserva i seguenti ASN sia per peerings interni che esterni:

         · ASN pubblici: 8074, 8075, 12076

         · ASN privati: 65515, 65517, 65518, 65519, 65520

· Posizione: seleziona la stessa posizione della tua VNet

4. Clicca su Crea per iniziare la creazione del gateway VPN.

Dopo che il gateway è stato creato, sul lato sinistro della pagina del portale, clicca su Tutte le risorse e accedi al gateway di rete virtuale per visualizzare ulteriori informazioni. L'indirizzo IP pubblico verrà mostrato sulla destra.

4. Ottenere l'indirizzo IP peer BGP di Azure

Devi ottenere l'indirizzo IP peer BGP di questo gateway VPN. Questo indirizzo è necessario per configurare il tuo ZyWALL come vicino BGP.

Apri la pagina di configurazione del tuo Azure VPN Gateway per ottenerlo.

34atj65u3n5c.png

5. Creare il gateway della rete locale

Il gateway della rete locale si riferisce tipicamente alla tua sede on-premises. Dai un nome al sito con cui Azure può riferirsi ad esso, quindi specifica l'indirizzo IP del dispositivo ZyWALL on-premises con cui creerai la connessione.

1.       Nel portale, clicca su +Crea una risorsa.

2.       Nella casella di ricerca, digita Gateway rete locale, quindi premi Invio per cercare. Verrà restituita una lista di risultati. Clicca su Gateway rete locale, poi clicca sul pulsante Crea per aprire la pagina Crea gateway rete locale.

3.       Nella pagina Crea gateway rete locale, specifica i valori per il tuo gateway rete locale.

La parte più importante è la lista dello spazio indirizzi. Qui va l'indirizzo IP peer BGP del tuo ZyWALL, solitamente l'indirizzo IP dell'interfaccia tunnel VTI. In questo esempio è 10.1.254.1/32

Seleziona Configura impostazioni BGP e digita l'ASN BGP del tuo ZyWALL.

Indirizzo IP peer BGP: digita l'indirizzo IP della tua interfaccia VTI su ZyWALL. In questo esempio è 10.1.254.1

9rrd3x2slk8z.png

6. Creare la connessione VPN

1.       Vai e apri la pagina del tuo gateway di rete virtuale.

2.       Nella pagina di VNet1GW, clicca su Connessioni. In cima alla pagina Connessioni, clicca su +Aggiungi per aprire la pagina Aggiungi connessione.

7uahk0fe9ssw.png

3.      Nella pagina Aggiungi connessione, configura i valori per la tua connessione. Seleziona Site-to-site (IPSec) come tipo di connessione.

Digita la Chiave condivisa (PSK) che deve corrispondere al valore della chiave pre-condivisa nella pagina delle impostazioni del gateway VPN del tuo ZyWALL.

Nota: La chiave pre-condivisa deve essere lunga almeno da 8 a 32 caratteri.

wcbrlvft8sb6.png

7. Abilitare BGP sulla connessione VPN Azure

1.       Vai e apri la pagina della connessione VPN Azure creata.

2.       Clicca su Configurazione per aprire la pagina di configurazione

3.       Abilita BGP e poi clicca su Salva

dkuhb32e00dr.png

Dopo aver completato la configurazione VPN sul portale Azure, puoi configurare le impostazioni VPN correlate sul tuo ZyWALL.

8. Creare la regola Gateway VPN (Fase 1)

Nel Web GUI di ZyWALL, vai su CONFIGURAZIONE > VPN > IPSec VPN > Gateway VPN, clicca su Aggiungi per creare una regola Gateway VPN.

Nella pagina Aggiungi Gateway VPN, specifica i valori per il tuo gateway di rete virtuale.

meodw6099556.png

·         Abilita: seleziona la casella Abilita per attivare questa regola

·         Nome: “Azure” come nome della regola in questo esempio

·         Versione IKE: IKEv2

·         Indirizzo Gateway Peer: seleziona indirizzo statico e inserisci l'indirizzo IP pubblico del gateway di rete virtuale Azure nel campo Primario

·         Chiave Pre-Condivisa: inserisci la chiave condivisa (PSK) della connessione VPN Azure

·         Durata SA: 28800 secondi

·         Algoritmo di crittografia: mantieni il valore predefinito, AES128

·         Algoritmo di autenticazione: mantieni il valore predefinito, SHA1

·         Gruppo chiavi: mantieni il valore predefinito, DH2

9. Creare la regola Connessione VPN (Fase 2)

Nel Web GUI di ZyWALL, vai su CONFIGURAZIONE > VPN > IPSec VPN > Connessione VPN, clicca su Aggiungi per creare una regola Connessione VPN.

Nella pagina Aggiungi Connessione VPN, specifica i valori per il tuo gateway di rete virtuale.

na4xvbix64cn.png

·         Abilita: seleziona la casella Abilita per attivare questa regola

·         Nome: “Azure” come nome della regola in questo esempio

·         TCP MSS: 1379 Byte

·         Scenario Applicativo: seleziona Interfaccia Tunnel VPN per VPN basata su routing

·         Gateway VPN: seleziona “Azure.”

·         Durata SA: 3600 secondi

·         Algoritmo di crittografia: seleziona AES256

·         Algoritmo di autenticazione: mantieni il valore predefinito, SHA1

·         PFS: seleziona nessuno

Nota: L'algoritmo di crittografia della Fase 2 deve essere selezionato come AES256 solo per garantire piena compatibilità con il gateway VPN Azure.

10. Creare un'interfaccia VTI

Nel Web GUI di ZyWALL, vai su CONFIGURAZIONE > Rete > Interfaccia > VTI, clicca su Aggiungi per creare un'interfaccia VTI

d68jwzldb683.png

·         Nome Interfaccia: vti0

·         Zona: IPSec_VPN

·         vpn-regola: Azure

·         Indirizzo IP: 10.1.245.1

·         Maschera di sottorete: 255.255.255.252

11. Creare rotte statiche per il peer BGP

Nel Web GUI di ZyWALL, vai su CONFIGURAZIONE > Rete > Routing > Rotta statica.

Aggiungi una rotta verso la subnet del gateway di Azure, in questo esempio 10.0.0.0/29

Questa è la rotta per la connessione TCP del BGP all'indirizzo IP peer BGP di Azure.

pr2fdpor8vdo.png

12. Configurare BGP

Nel Web GUI di ZyWALL, vai su CONFIGURAZIONE > Rete > Routing > BGP

1. Digita l'ASN BGP di questo sito

2. Digita l'ID router di questo ZyWALL. Solitamente sarà l'indirizzo IP dell'interfaccia LAN del tuo ZyWALL.

fj8ablursxea.png

3. Aggiungi il peer BGP di Azure come vicino. Digita l'indirizzo IP peer BGP di Azure. Digita l'ASN BGP di Azure VNet. Abilita eBGP Multihop.

Seleziona l'interfaccia VTI come sorgente del pacchetto BGP inviato tra peer.

hdqb7kd1ioi9.png

4. Aggiungi le voci di routing che vuoi pubblicizzare al peer BGP di Azure.

2e5a5iv1vcs0.png

Articoli in questa sezione

Questo articolo ti è stato utile?
Utenti che ritengono sia utile: 0 su 0
Condividi

Commenti

0 commenti

Accedi per aggiungere un commento.