VPN - Konfiguracja Site-to-site IPSec VPN z Microsoft (MS) Azure

Ten artykuł pokazuje, jak utworzyć VPN site-to-site pomiędzy zaporą USG a Microsoft Azure Virtual Gateway. Przykład instruuje, jak skonfigurować tunel VPN pomiędzy każdą lokalizacją.

 

Uwaga! Ten artykuł działa tylko z pojedynczym VPN Site. Jeśli potrzebujesz połączyć wiele lokalizacji, sprawdź następujący artykuł: Seria USG/Zywall - Jak skonfigurować trasowany VPN IPsec do Azure (BGP przez IKEv2/IPSec)
Dla Nebula: IPSec Site-to-Site-VPN z Nebula Security Gateway (NSG) do Azure

 

1) Konfiguracja tunelu IPSec VPN na ZyWALL/USG

1.1 Uruchom kreatora i wybierz Zaawansowaną politykę VPN

W ZyWALL/USG przejdź do CONFIGURATION > Quick Setup > VPN Setup Wizard, użyj kreatora VPN Settings, aby utworzyć regułę VPN, która może być używana z MS Azure. Kliknij Next.

Quick Setup > VPN Setup Wizard > Welcome

Wybierz Advanced, aby utworzyć regułę VPN z dostosowanymi ustawieniami fazy 1, fazy 2 oraz metodą uwierzytelniania. Kliknij Next.

Quick Setup > VPN Setup Wizard > Welcome > Wizard Type

1.2 Konfiguracja zaawansowanych ustawień VPN

1.2.1 Konfiguracja nazwy reguły i scenariusza

Wpisz Rule Name, który będzie używany do identyfikacji tego połączenia VPN (i bramy VPN). Możesz użyć od 1 do 31 znaków alfanumerycznych. Wartość jest rozróżniana pod względem wielkości liter. Wybierz regułę jako Site-to-site. Kliknij Next.

Quick Setup > VPN Setup Wizard > Wizard Type > VPN Settings (Scenario)

1.2.2 Konfiguracja ustawień fazy 1

Następnie skonfiguruj IP Secure Gateway jako adres IP bramy MS Azure (w przykładzie 13.75.42.148); wybierz My Address jako interfejs podłączony do Internetu.

Ustaw Negotiation, Encryption, Authentication, Key Group oraz SA Life Time, które są obsługiwane przez MS Azure. Upewnij się, że wyłączysz Dead Peer Detection (DPD), które nie jest obsługiwane w MS Azure IKEv1 opartej na polityce. Wpisz bezpieczny Pre-Shared Key.

Quick Setup > VPN Setup Wizard > Welcome > Wizard Type > VPN Settings (Phase 1 Setting)

1.2.3 Konfiguracja ustawień fazy 2

Kontynuuj do ustawień fazy 2, aby wybrać Encapsulation, Encryption, Authentication oraz SA Life Time obsługiwane przez MS Azure.

Ustaw Local Policy jako zakres adresów IP sieci podłączonej do ZyWALL/USG oraz Remote Policy jako zakres adresów IP sieci podłączonej do MS Azure. Kliknij OK.

Quick Setup > VPN Setup Wizard > Welcome > Wizard Type > VPN Settings (Phase 2 Setting)

Uwaga: Aby uzyskać więcej informacji o parametrach IPsec obsługiwanych w MS Azure, zobacz dokumentację Microsoft Azure About VPN devices dotyczącą połączeń Site-to-Site VPN Gateway.

1.2.4 Sprawdź i zapisz konfigurację

Ten ekran wyświetla podsumowanie tunelu VPN w trybie tylko do odczytu. Kliknij Save.

Quick Setup > VPN Setup Wizard > Welcome > Wizard Type > VPN Settings (Summary)

Reguła jest teraz skonfigurowana na ZyWALL/USG. Ustawienia reguły fazy 1 pojawią się na ekranie VPN > IPSec VPN > VPN Gateway, a ustawienia reguły fazy 2 na ekranie VPN > IPSec VPN > VPN Connection. Kliknij Close, aby wyjść z kreatora.

Quick Setup > VPN Setup Wizard > Welcome > Wizard Type > VPN Settings > Wizard Completed

2) Konfiguracja tunelu IPSec VPN w MS Azure

2.1 Zaloguj się do portalu zarządzania Azure

Zaloguj się do Windows Azure Management Portal. W lewym górnym rogu ekranu kliknij +New > Networking > Virtual Network.

Azure portal > New > Networking > Virtual Network

2.2 Wybierz model wdrożenia w konfiguracji Virtual Network

Na dole panelu Virtual Network, z listy Select a deployment model wybierz Resource Manager, a następnie kliknij Create.

New > Networking > Virtual Network > Select a deployment model

2.3 Konfiguracja ustawień VPN w Azure

Na stronie Create virtual network wpisz NAME sieci VPN. Na przykład VPN_Vnet_to_USG. Dodaj Address Space, Subnet name oraz pojedynczy zakres adresów Subnet address range.

Kliknij Resource group i wybierz istniejącą grupę zasobów lub utwórz nową, wpisując nazwę nowej grupy zasobów, np. RG_USG.

LOCATION jest bezpośrednio powiązane z fizyczną lokalizacją (regionem), w którym znajdują się maszyny wirtualne (VM). Region powiązany z siecią wirtualną nie może być zmieniony po jej utworzeniu.

Następnie kliknij przycisk Create. Po kliknięciu Create zobaczysz kafelek na pulpicie, który będzie odzwierciedlał postęp tworzenia VNet. Kafelek będzie się zmieniał podczas tworzenia VNet.

New > Networking > Virtual Network >  Create virtual network

2.4 Konfiguracja podsieci Virtual Network w Azure

W portalu przejdź do utworzonej sieci wirtualnej. Na panelu swojej sieci wirtualnej kliknij ikonę Settings na górze panelu, aby rozwinąć ustawienia do Subnets > Add > Add Subnet. Nazwij swoją podsieć GatewaySubnet. Nie powinieneś nazywać jej inaczej, ponieważ brama nie będzie działać. Dodaj zakres adresów IP Address range dla swojej bramy. Kliknij OK na dole panelu, aby utworzyć podsieć.

VPN_Vnet_to_USG > Settings > Subnet > Add subnet

2.5 Konfiguracja Virtual Network Gateway w Azure

W portalu przejdź do New, następnie Networking. Wybierz z listy Virtual network gateway. Na panelu Create virtual network gateway w polu Name wpisz nazwę swojej bramy. Następnie wybierz Virtual network, do której chcesz wdrożyć tę bramę.

Kliknij strzałkę (>), aby otworzyć panel Choose public IP address. Następnie kliknij Create New, aby otworzyć panel Create public IP address. Wpisz Name dla swojego publicznego adresu IP. Zwróć uwagę, że nie jest to prośba o adres IP — adres zostanie przypisany dynamicznie. To jest nazwa obiektu adresu IP, do którego adres zostanie przypisany. Kliknij OK, aby zapisać zmiany.

Dla Gateway type wybierz VPN. Dla VPN type wybierz Policy-based. Dla Resource Group grupa zasobów jest określana przez wybraną sieć wirtualną. Dla Location upewnij się, że pokazuje lokalizację, w której znajdują się zarówno grupa zasobów, jak i VNet.

New > Networking > Create virtual network gateway > Choose public IP address > Create public IP address

2.6 Konfiguracja Local Network Gateway w Azure

W portalu Azure przejdź do New > Networking > Local network gateway. Lokalna brama sieciowa odnosi się do publicznego IP i ustawień lokalnej podsieci Twojego ZyWALL/USG.

Na panelu Create local network gateway podaj nazwę obiektu bramy ZyWALL/USG.

Podaj publiczny adres IP swojego ZyWALL/USG. Nie może on być za NAT i musi być osiągalny przez Azure. Address space odnosi się do zakresów adresów w lokalnej sieci ZyWALL/USG. Dla Resource Group wybierz grupę zasobów, którą utworzyłeś wcześniej. Dla Location, jeśli tworzysz nową lokalną bramę sieciową, możesz użyć tej samej lokalizacji co brama sieci wirtualnej, ale nie jest to wymagane. Lokalna brama sieciowa może znajdować się w innej lokalizacji.

Kliknij Create, aby utworzyć lokalną bramę sieciową.

New > Networking > Local network gateway  

2.7 Dodaj połączenie

Zlokalizuj swoją wirtualną bramę sieciową (w tym przykładzie VPN_Connection_to_USG) i kliknij Settings > Connection > Add connection, nadaj Name swojemu połączeniu. Dla Connection type wybierz Site-to-site (IPSec). Dla Virtual network gateway wartość jest ustalona, ponieważ łączysz się z tej bramy (w tym przykładzie VPN_GW_to_USG).

Dla Local network gateway wybierz lokalną bramę sieciową, której chcesz użyć (w tym przykładzie VPN_Connection_to_USG).

Dla Shared Key (PSK) wartość musi być zgodna z wartością używaną na urządzeniu ZyWALL/USG. Dla Resource Group wybierz grupę zasobów, którą utworzyłeś wcześniej. Kliknij OK, aby utworzyć połączenie.

VPN_Connection_to_USG > Settings > Connections > Add connection

2.8 Sprawdź ustawienia połączenia

Po zakończeniu połączenia zobaczysz je na panelu Connections dla swojej bramy.

VPN_Connection_to_USG > Settings > Connections

3) Test połączenia tunelu IPSec VPN

Przejdź do ZyWALL/USG CONFIGURATION > VPN > IPSec VPN > VPN Connection, kliknij Connect na górnym pasku. Ikona statusu Status jest podświetlona, gdy interfejs jest połączony.

CONFIGURATION > VPN > IPSec VPN > VPN Connection

Przejdź do ZyWALL/USG MONITOR > VPN Monitor > IPSec i zweryfikuj Up Time tunelu oraz ruch Inbound(Bytes)/Outbound(Bytes).

MONITOR > VPN Monitor > IPSec

Przejdź do Azure_Vnet_USG > Settings, aby sprawdzić ruch tunelu DATA IN i DATA OUT.

VPN > VPN Settings > Currently Active VPN Tunnels

Aby przetestować, czy tunel działa, wykonaj ping z komputera w jednej lokalizacji do komputera w drugiej lokalizacji. Upewnij się, że oba komputery mają dostęp do Internetu.

PC za ZyWALL/USG > Windows 7 > cmd > ping 10.1.0.33

PC za MS Azure > Windows 7 > cmd > ping 192.77.1.33

Artykuły w tej sekcji

Czy ten artykuł był pomocny?
Liczba użytkowników, którzy uważają ten artykuł za przydatny: 0 z 0
Udostępnij

Komentarze

Komentarze: 0

Zaloguj się, aby dodać komentarz.