Dit artikel laat zien hoe u een site-to-site VPN maakt tussen een USG-firewall en Microsoft Azure Virtual Gateway. Het voorbeeld geeft instructies over hoe u de VPN-tunnel tussen elke site configureert.
Opmerking! Dit artikel werkt alleen met een enkele site VPN. Als u meerdere sites wilt verbinden, raadpleeg dan het volgende artikel: USG/Zywall Series - Hoe een route-based IPsec VPN naar Azure te configureren (BGP over IKEv2/IPSec)
Voor Nebula: IPSec Site-to-Site-VPN van Nebula Security Gateway (NSG) naar Azure
1) Configureer IPSec VPN-tunnel op de ZyWALL/USG
1.1 Start de wizard & kies Geavanceerd VPN-beleid
Ga in de ZyWALL/USG naar CONFIGURATION > Quick Setup > VPN Setup Wizard, gebruik de VPN Settings wizard om een VPN-regel te maken die gebruikt kan worden met MS Azure. Klik op Next.
Quick Setup > VPN Setup Wizard > Welcome
Kies Advanced om een VPN-regel te maken met aangepaste fase 1, fase 2 instellingen en authenticatiemethode. Klik op Next.
Quick Setup > VPN Setup Wizard > Welcome > Wizard Type
1.2 Configureer de geavanceerde VPN-instellingen
1.2.1 Configureer regelnaam & scenario
Typ de Rule Name die gebruikt wordt om deze VPN-verbinding (en VPN-gateway) te identificeren. U kunt 1-31 alfanumerieke tekens gebruiken. Deze waarde is hoofdlettergevoelig. Selecteer de regel als Site-to-site. Klik op Next.
Quick Setup > VPN Setup Wizard > Wizard Type > VPN Settings (Scenario)
1.2.2 Configureer de fase 1-instellingen
Configureer vervolgens het Secure Gateway IP als het peer MS Azure Gateway IP-adres (in het voorbeeld 13.75.42.148); selecteer My Address als de interface die verbonden is met het internet.
Stel de Negotiation, Encryption, Authentication, Key Group en SA Life Time in die MS Azure ondersteunt. Zorg ervoor dat u Dead Peer Detection (DPD) uitschakelt, omdat dit niet wordt ondersteund in het MS Azure IKEv1 Policy-based. Typ een veilige Pre-Shared Key.
Quick Setup > VPN Setup Wizard > Welcome > Wizard Type > VPN Settings (Phase 1 Setting)
1.2.3 Configureer fase 2-instellingen
Ga door naar fase 2-instellingen om de Encapsulation, Encryption, Authentication en SA Life Time instellingen te selecteren die MS Azure ondersteunt.
Stel Local Policy in op het IP-adresbereik van het netwerk verbonden met de ZyWALL/USG en Remote Policy op het IP-adresbereik van het netwerk verbonden met MS Azure. Klik op OK.
Quick Setup > VPN Setup Wizard > Welcome > Wizard Type > VPN Settings (Phase 2 Setting)

Opmerking: Voor meer informatie over de IPsec-parameters die MS Azure ondersteunt, zie de Microsoft Azure-documentatie Over VPN-apparaten voor Site-to-Site VPN Gateway-verbindingen.
1.2.4 Controleer & sla de configuratie op
Dit scherm geeft een alleen-lezen overzicht van de VPN-tunnel. Klik op Save.
Quick Setup > VPN Setup Wizard > Welcome > Wizard Type > VPN Settings (Summary)
De regel is nu geconfigureerd op de ZyWALL/USG. De fase 1 regelinstellingen verschijnen in het scherm VPN > IPSec VPN > VPN Gateway en de fase 2 regelinstellingen verschijnen in het scherm VPN > IPSec VPN > VPN Connection. Klik op Close om de wizard te sluiten.
Quick Setup > VPN Setup Wizard > Welcome > Wizard Type > VPN Settings > Wizard Completed
2) Configureer de IPSec VPN-tunnel op MS Azure
2.1 Meld u aan bij Azure Management Portal
Meld u aan bij het Windows Azure Management Portal. Klik linksboven in het scherm op +New > Networking > Virtual Network.
Azure portal > New > Networking > Virtual Network
2.2 Selecteer een implementatiemodel in Virtual Network-configuratie
Onderaan het Virtual Network blad, selecteer in de lijst Select a deployment model Resource Manager en klik daarna op Create.
New > Networking > Virtual Network > Select a deployment model
2.3 Configureer de VPN-instellingen in Azure
Voer op de pagina Create virtual network de NAME in voor het VPN-netwerk. Bijvoorbeeld VPN_Vnet_to_USG. Voeg uw Address Space, Subnet name en een enkel Subnet address range toe.
Klik op Resource group en selecteer een bestaande resourcegroep of maak een nieuwe aan door een naam te typen, bijvoorbeeld RG_USG.
LOCATION is direct gerelateerd aan de fysieke locatie (regio) waar de virtuele machines (VM's) zich bevinden. De regio van het virtuele netwerk kan na aanmaak niet worden gewijzigd.
Klik daarna op de knop Create. Na het klikken ziet u een tegel op uw dashboard die de voortgang van uw VNet weergeeft. De tegel verandert tijdens het aanmaken van het VNet.
New > Networking > Virtual Network > Create virtual network
2.4 Configureer het Virtual Network Subnet in Azure
Navigeer in het portal naar het virtuele netwerk dat u zojuist hebt gemaakt. Klik op het blad van uw virtuele netwerk op het Settings icoon bovenaan om het instellingenblad uit te klappen naar Subnets > Add > Add Subnet. Geef uw subnet de naam GatewaySubnet. Gebruik geen andere naam, want dan werkt de gateway niet. Voeg het IP Address range toe voor uw gateway. Klik onderaan het blad op OK om het subnet aan te maken.
VPN_Vnet_to_USG > Settings > Subnet > Add subnet
2.5 Configureer de Virtual Network Gateway in Azure
Ga in het portal naar New, daarna Networking. Selecteer Virtual network gateway uit de lijst. Vul op het blad Create virtual network gateway in het veld Name een naam in voor uw gateway. Kies vervolgens het Virtual network waar u deze gateway wilt inzetten.
Klik op de pijl (>) om het blad Choose public IP address te openen. Klik daarna op Create New om het blad Create public IP address te openen. Voer een Name in voor uw publieke IP-adres. Dit is niet het IP-adres zelf, maar de naam van het IP-adresobject waaraan het adres dynamisch wordt toegewezen. Klik op OK om uw wijzigingen op te slaan.
Kies bij Gateway type voor VPN. Bij VPN type kiest u Policy-based. De Resource Group wordt bepaald door het geselecteerde virtuele netwerk. Controleer bij Location of de locatie overeenkomt met die van uw Resource Group en VNet.
New > Networking > Create virtual network gateway > Choose public IP address > Create public IP address
2.6 Configureer Local Network Gateway in Azure
Navigeer in de Azure Portal naar New > Networking > Local network gateway. De local network gateway verwijst naar het publieke IP en de lokale subnetinstellingen van uw ZyWALL/USG.
Geef op het blad Create local network gateway een naam op voor uw ZyWALL/USG gateway-object.
Specificeer het publieke IP-adres van uw ZyWALL/USG. Dit mag niet achter NAT zitten en moet bereikbaar zijn door Azure. Address space verwijst naar de adresbereiken van uw lokale netwerk achter de ZyWALL/USG. Selecteer bij Resource Group de eerder aangemaakte resourcegroep. Voor Location kunt u dezelfde locatie gebruiken als de virtuele netwerkgateway, maar dit is niet verplicht. De local network gateway kan in een andere locatie staan.
Klik op Create om de local network gateway aan te maken.
New > Networking > Local network gateway
2.7 Voeg verbinding toe
Zoek uw virtual network gateway (in dit voorbeeld VPN_Connection_to_USG) en klik op Settings > Connection > Add connection. Geef uw verbinding een Name. Selecteer bij Connection type Site-to-site (IPSec). Bij Virtual network gateway is de waarde vast, omdat u vanaf deze gateway (VPN_GW_to_USG in dit voorbeeld) verbindt.
Selecteer bij Local network gateway de local network gateway die u wilt gebruiken (VPN_Connection_to_USG in dit voorbeeld).
De Shared Key (PSK) moet overeenkomen met de waarde die u gebruikt op uw ZyWALL/USG-apparaat. Selecteer bij Resource Group de eerder aangemaakte resourcegroep. Klik op OK om uw verbinding aan te maken.
VPN_Connection_to_USG > Settings > Connections > Add connection
2.8 Controleer de verbindingsinstellingen
Wanneer de verbinding tot stand is gebracht, ziet u deze verschijnen in het blad Connections van uw Gateway.
VPN_Connection_to_USG > Settings > Connections
3) Test de IPSec VPN-tunnelconnectiviteit
Ga naar ZyWALL/USG CONFIGURATION > VPN > IPSec VPN > VPN Connection en klik bovenaan op Connect. Het Status connectie-icoon wordt verlicht wanneer de interface verbonden is.
CONFIGURATION > VPN > IPSec VPN > VPN Connection
Ga naar ZyWALL/USG MONITOR > VPN Monitor > IPSec en controleer de tunnel Up Time en het Inbound(Bytes)/Outbound(Bytes) verkeer.
MONITOR > VPN Monitor > IPSec
Ga naar Azure_Vnet_USG > Settings om de tunnel DATA IN en DATA OUT te controleren.
VPN > VPN Settings > Currently Active VPN Tunnels
Om te testen of een tunnel werkt, ping vanaf een computer op de ene site naar een computer op de andere site. Zorg dat beide computers internettoegang hebben.
PC achter ZyWALL/USG > Windows 7 > cmd > ping 10.1.0.33
PC achter MS Azure > Windows 7 > cmd > ping 192.77.1.33


Opmerkingen
0 opmerkingenU moet u aanmelden om een opmerking te plaatsen.