VPN - Konfigurer Site-to-site IPSec VPN med Microsoft (MS) Azure

Denne artikkelen viser hvordan man oppretter en site-to-site VPN mellom en USG-brannmur og Microsoft Azure Virtual Gateway. Eksemplet forklarer hvordan man konfigurerer VPN-tunnelen mellom hvert sted.

 

Merk! Denne artikkelen fungerer kun med en enkelt Site VPN. Hvis du trenger flere tilkoblede steder, vennligst sjekk følgende artikkel: USG/Zywall Series - Hvordan konfigurere rute-basert IPsec VPN til Azure (BGP over IKEv2/IPSec)
For Nebula: IPSec Site-to-Site-VPN fra Nebula Security Gateway (NSG) til Azure

 

1) Konfigurer IPSec VPN-tunnel på ZyWALL/USG

1.1 Start veiviseren og velg Avansert VPN-policy

I ZyWALL/USG, gå til CONFIGURATION > Quick Setup > VPN Setup Wizard, bruk VPN Settings-veiviseren for å opprette en VPN-regel som kan brukes med MS Azure. Klikk Next.

Quick Setup > VPN Setup Wizard > Velkommen

Velg Advanced for å opprette en VPN-regel med tilpassede fase 1, fase 2-innstillinger og autentiseringsmetode. Klikk Next.

Quick Setup > VPN Setup Wizard > Velkommen > Veiviser-type

1.2 Konfigurer de avanserte VPN-innstillingene

1.2.1 Konfigurer regelnavn og scenario

Skriv inn Rule Name som brukes til å identifisere denne VPN-tilkoblingen (og VPN-gateway). Du kan bruke 1-31 alfanumeriske tegn. Verdien er store/små bokstav-sensitiv. Velg regelen til å være Site-to-site. Klikk Next.

Quick Setup > VPN Setup Wizard > Veiviser-type > VPN Settings (Scenario)

1.2.2 Konfigurer fase 1-innstillingene

Deretter konfigurerer du Secure Gateway-IP som peer MS Azures Gateway-IP-adresse (i eksemplet 13.75.42.148); velg My Address til å være grensesnittet som er koblet til Internett.

Sett Negotiation, Encryption, Authentication, Key Group og SA Life Time som MS Azure støtter. Vennligst sørg for å deaktivere Dead Peer Detection (DPD) som ikke støttes i MS Azure IKEv1 Policy-basert. Skriv inn en sikker Pre-Shared Key.

Quick Setup > VPN Setup Wizard > Velkommen > Veiviser-type > VPN Settings (Fase 1-innstilling)

1.2.3 Konfigurer fase 2-innstillingene

Fortsett til fase 2-innstillingene for å velge Encapsulation, Encryption, Authentication og SA Life Time-innstillinger som MS Azure støtter.

Sett Local Policy til IP-adresseområdet for nettverket koblet til ZyWALL/USG, og Remote Policy til IP-adresseområdet for nettverket koblet til MS Azure. Klikk OK.

Quick Setup > VPN Setup Wizard > Velkommen > Veiviser-type > VPN Settings (Fase 2-innstilling)

Merk: For mer informasjon om IPsec-parametrene som støttes i MS Azure, se Microsoft Azure-dokumentasjonen Om VPN-enheter for Site-to-Site VPN Gateway-tilkoblinger.

1.2.4 Sjekk og lagre konfigurasjonen

Denne skjermen gir en skrivebeskyttet oppsummering av VPN-tunnelen. Klikk Save.

Quick Setup > VPN Setup Wizard > Velkommen > Veiviser-type > VPN Settings (Oppsummering)

Nå er regelen konfigurert på ZyWALL/USG. Fase 1-regelinnstillingene vises i skjermen VPN > IPSec VPN > VPN Gateway, og fase 2-regelinnstillingene vises i skjermen VPN > IPSec VPN > VPN Connection. Klikk Close for å avslutte veiviseren.

Quick Setup > VPN Setup Wizard > Velkommen > Veiviser-type > VPN Settings > Veiviser fullført

2) Konfigurer IPSec VPN-tunnel på MS Azure

2.1 Logg inn på Azure Management Portal

Logg inn på Windows Azure Management Portal. Øverst til venstre på skjermen, klikk +New > Networking > Virtual Network.

Azure portal > New > Networking > Virtual Network

2.2 Velg distribusjonsmodell fra Virtual Network-konfigurasjonen

Nær bunnen av Virtual Network-panelet, fra listen Select a deployment model, velg Resource Manager, og klikk deretter Create.

New > Networking > Virtual Network > Velg distribusjonsmodell

2.3 Konfigurer VPN-innstillingene i Azure

På siden Create virtual network, skriv inn NAME for VPN-nettverket. For eksempel, VPN_Vnet_to_USG. Legg til din Address Space, Subnet name og et enkelt Subnet address range.

Klikk Resource group og velg enten en eksisterende ressursgruppe, eller opprett en ny ved å skrive inn et navn for den nye ressursgruppen. For eksempel, RG_USG.

LOCATION er direkte relatert til den fysiske plasseringen (regionen) der virtuelle maskiner (VM-er) befinner seg. Regionen tilknyttet det virtuelle nettverket kan ikke endres etter opprettelse.

Deretter klikker du på Create-knappen. Etter å ha klikket Create, vil du se en flis på dashbordet som viser fremdriften til ditt VNet. Flisen endres mens VNet opprettes.

New > Networking > Virtual Network > Opprett virtuelt nettverk

2.4 Konfigurer subnettet for det virtuelle nettverket i Azure

I portalen, naviger til det virtuelle nettverket du nettopp opprettet. På panelet for ditt virtuelle nettverk, klikk på Settings-ikonet øverst for å åpne innstillingspanelet til Subnets > Add > Add Subnet. Gi subnettet navnet GatewaySubnet. Du bør ikke gi det noe annet navn, ellers vil ikke gatewayen fungere. Legg til IP Address range for din gateway. Klikk OK nederst i panelet for å opprette subnettet.

VPN_Vnet_to_USG > Settings > Subnet > Add subnet

2.5 Konfigurer Virtual Network Gateway i Azure

I portalen, gå til New, deretter Networking. Velg Virtual network gateway fra listen. På panelet Create virtual network gateway i feltet Name, gi gatewayen ditt navn. Velg deretter Virtual network som du ønsker å distribuere denne gatewayen til.

Klikk på pilen (>) for å åpne panelet Choose public IP address. Klikk deretter Create New for å åpne panelet Create public IP address. Skriv inn et Name for din offentlige IP-adresse. Merk at dette ikke er en forespørsel om IP-adresse. IP-adressen vil bli tildelt dynamisk. Dette er navnet på IP-adresseobjektet som adressen vil bli tildelt. Klikk OK for å lagre endringene.

For Gateway type, velg VPN. For VPN type, velg Policy-based. For Resource Group bestemmes ressursgruppen av det virtuelle nettverket du velger. For Location, sørg for at det viser stedet der både ressursgruppen og VNet eksisterer.

New > Networking > Opprett virtual network gateway > Velg offentlig IP-adresse > Opprett offentlig IP-adresse

2.6 Konfigurer Local Network Gateway i Azure

I Azure-portalen, naviger til New > Networking > Local network gateway. Local network gateway refererer til din ZyWALL/USG offentlige IP og lokale subnettinnstillinger.

På panelet Create local network gateway, spesifiser et navn for din ZyWALL/USG gateway-objekt.

Spesifiser den offentlige IP-adressen til din ZyWALL/USG. Den kan ikke være bak NAT og må være tilgjengelig for Azure. Address space refererer til adresseområdene på ditt lokale ZyWALL/USG-nettverk. For Resource Group, velg ressursgruppen du opprettet tidligere. For Location, hvis du oppretter en ny local network gateway, kan du bruke samme lokasjon som virtual network gateway, men det er ikke påkrevd. Den lokale nettverksgatewayen kan være i en annen lokasjon.

Klikk Create for å opprette local network gateway.

New > Networking > Local network gateway  

2.7 Legg til tilkobling

Finn din virtual network gateway (VPN_Connection_to_USG i dette eksemplet) og klikk Settings > Connection > Add connection, gi tilkoblingen et Name. For Connection type, velg Site-to-site (IPSec). For Virtual network gateway er verdien fastsatt fordi du kobler fra denne gatewayen (VPN_GW_to_USG i dette eksemplet).

For Local network gateway, velg den lokale nettverksgatewayen du ønsker å bruke (VPN_Connection_to_USG i dette eksemplet).

For Shared Key (PSK), må verdien her samsvare med den du bruker for din ZyWALL/USG-enhet. For Resource Group, velg ressursgruppen du opprettet tidligere. Klikk OK for å opprette tilkoblingen.

VPN_Connection_to_USG > Settings > Connections > Add connection

2.8 Sjekk tilkoblingsinnstillingene

Når tilkoblingen er fullført, vil du se den i Connections-panelet for din gateway.

VPN_Connection_to_USG > Settings > Connections

3) Test IPSec VPN-tunnelens tilkobling

Gå til ZyWALL/USG CONFIGURATION > VPN > IPSec VPN > VPN Connection, klikk Connect på øvre linje. Status-tilkoblingsikonet lyser når grensesnittet er tilkoblet.

CONFIGURATION > VPN > IPSec VPN > VPN Connection

Gå til ZyWALL/USG MONITOR > VPN Monitor > IPSec og verifiser tunnelens Up Time og Inbound(Bytes)/Outbound(Bytes)-trafikk.

MONITOR > VPN Monitor > IPSec

Gå til Azure_Vnet_USG > Settings for å sjekke tunnelens DATA IN og DATA OUT.

VPN > VPN Settings > Aktive VPN-tunneler

For å teste om en tunnel fungerer, ping fra en datamaskin på ett sted til en datamaskin på det andre. Sørg for at begge datamaskinene har Internett-tilgang.

PC bak ZyWALL/USG > Windows 7 > cmd > ping 10.1.0.33

PC bak MS Azure > Windows 7 > cmd > ping 192.77.1.33

Artikler i denne seksjonen

Var denne artikkelen nyttig?
0 av 0 syntes dette var nyttig
Del

Kommentarer

0 kommentarer

Logg på hvis du vil legge inn en kommentar.