VPN - Configurarea VPN IPSec Site-to-site cu Microsoft (MS) Azure

Aveți mai multe întrebări? Trimitere solicitare

Acest articol arată cum să creați un VPN site-to-site între un firewall USG și Microsoft Azure Virtual Gateway. Exemplul instruiește cum să configurați tunelul VPN între fiecare locație.

 

Notă! Acest articol funcționează doar cu un singur VPN de locație. Dacă aveți nevoie de mai multe locații conectate, vă rugăm să consultați următorul articol: Seria USG/Zywall - Cum să configurați VPN IPsec bazat pe rută către Azure (BGP peste IKEv2/IPSec)
Pentru Nebula: VPN IPSec Site-to-Site de la Nebula Security Gateway (NSG) către Azure

 

1) Configurarea tunelului VPN IPSec pe ZyWALL/USG

1.1 Porniți Asistentul & Alegeți Politica VPN Avansată

În ZyWALL/USG, accesați CONFIGURATION > Quick Setup > VPN Setup Wizard, folosiți asistentul VPN Settings pentru a crea o regulă VPN care poate fi utilizată cu MS Azure. Faceți clic pe Next.

Quick Setup > VPN Setup Wizard > Welcome

Alegeți Advanced pentru a crea o regulă VPN cu setări personalizate pentru faza 1, faza 2 și metoda de autentificare. Faceți clic pe Next.

Quick Setup > VPN Setup Wizard > Welcome > Wizard Type

1.2 Configurați setările VPN avansate

1.2.1 Configurați Numele Regulei & Scenariul

Tastați Rule Name folosit pentru identificarea acestei conexiuni VPN (și a gateway-ului VPN). Puteți folosi între 1 și 31 caractere alfanumerice. Această valoare este sensibilă la majuscule. Selectați regula ca fiind Site-to-site. Faceți clic pe Next.

Quick Setup > VPN Setup Wizard > Wizard Type > VPN Settings (Scenario)

1.2.2 Configurați setările pentru Faza 1

Apoi, configurați IP-ul Secure Gateway ca adresa peer IP a Gateway-ului MS Azure (în exemplu, 13.75.42.148); selectați My Address ca fiind interfața conectată la Internet.

Setați Negotiation, Encryption, Authentication, Key Group și SA Life Time acceptate de MS Azure. Asigurați-vă că dezactivați Dead Peer Detection (DPD) care nu este suportat în politica bazată pe IKEv1 a MS Azure. Tastați o Pre-Shared Key sigură.

Quick Setup > VPN Setup Wizard > Welcome > Wizard Type > VPN Settings (Phase 1 Setting)

1.2.3 Configurați setările pentru Faza 2

Continuați la setările pentru Faza 2 pentru a selecta Encapsulation, Encryption, Authentication și SA Life Time acceptate de MS Azure.

Setați Local Policy ca intervalul de adrese IP al rețelei conectate la ZyWALL/USG și Remote Policy ca intervalul de adrese IP al rețelei conectate la MS Azure. Faceți clic pe OK.

Quick Setup > VPN Setup Wizard > Welcome > Wizard Type > VPN Settings (Phase 2 Setting)

Notă: Pentru mai multe informații despre parametrii IPsec acceptați în MS Azure, consultați documentația Microsoft Azure Despre dispozitivele VPN pentru conexiuni Site-to-Site VPN Gateway.

1.2.4 Verificați & Salvați Configurația

Această pagină oferă un rezumat în mod read-only al tunelului VPN. Faceți clic pe Save.

Quick Setup > VPN Setup Wizard > Welcome > Wizard Type > VPN Settings (Summary)

Acum regula este configurată pe ZyWALL/USG. Setările pentru regula Faza 1 apar în ecranul VPN > IPSec VPN > VPN Gateway iar setările pentru regula Faza 2 apar în VPN > IPSec VPN > VPN Connection. Faceți clic pe Close pentru a ieși din asistent.

Quick Setup > VPN Setup Wizard > Welcome > Wizard Type > VPN Settings > Wizard Completed

2) Configurați tunelul VPN IPSec pe MS Azure

2.1 Autentificați-vă în Portalul de Administrare Azure

Autentificați-vă în Windows Azure Management Portal. În colțul din stânga sus al ecranului, faceți clic pe +New > Networking > Virtual Network.

Portal Azure > New > Networking > Virtual Network

2.2 Selectați un Model de Implementare din Configurația Rețelei Virtuale

În partea de jos a panoului Virtual Network, din lista Select a deployment model, selectați Resource Manager, apoi faceți clic pe Create.

New > Networking > Virtual Network > Select a deployment model

2.3 Configurați setările VPN pe Azure

Pe pagina Create virtual network, introduceți NAME pentru rețeaua VPN. De exemplu, VPN_Vnet_to_USG. Adăugați Address Space, Subnet name și un singur Subnet address range.

Faceți clic pe Resource group și selectați un grup de resurse existent sau creați unul nou tastând un nume pentru noul grup de resurse. De exemplu, RG_USG.

LOCATION este direct legat de locația fizică (regiunea) unde se află mașinile virtuale (VM-uri). Regiunea asociată rețelei virtuale nu poate fi schimbată după ce a fost creată.

Apoi, faceți clic pe butonul Create. După ce faceți clic pe Create, veți vedea un panou pe tabloul de bord care va reflecta progresul creării VNet-ului. Panoul se va schimba pe măsură ce VNet-ul este creat.

New > Networking > Virtual Network >  Create virtual network

2.4 Configurați Subrețeaua Rețelei Virtuale pe Azure

În portal, navigați la rețeaua virtuală pe care tocmai ați creat-o. Pe panoul rețelei virtuale, faceți clic pe pictograma Settings din partea de sus pentru a extinde panoul de Setări la Subnets > Add > Add Subnet. Denumiți subrețeaua GatewaySubnet. Nu ar trebui să o denumiți altfel, altfel gateway-ul nu va funcționa. Adăugați intervalul de adrese IP pentru gateway. Faceți clic pe OK în partea de jos a panoului pentru a crea subrețeaua.

VPN_Vnet_to_USG > Settings > Subnet > Add subnet

2.5 Configurați Gateway-ul Rețelei Virtuale pe Azure

În portal, accesați New, apoi Networking. Selectați Virtual network gateway din listă. Pe panoul Create virtual network gateway, în câmpul Name, denumiți gateway-ul. Apoi, alegeți Virtual network la care doriți să implementați acest gateway.

Faceți clic pe săgeată (>) pentru a deschide panoul Choose public IP address. Apoi faceți clic pe Create New pentru a deschide panoul Create public IP address. Introduceți un Name pentru adresa dvs. IP publică. Rețineți că nu vi se cere o adresă IP. Adresa IP va fi atribuită dinamic. Acesta este numele obiectului de adresă IP la care va fi atribuită adresa. Faceți clic pe OK pentru a salva modificările.

Pentru Gateway type, selectați VPN. Pentru VPN type, selectați Policy-based. Pentru Resource Group, grupul de resurse este determinat de rețeaua virtuală selectată. Pentru Location, asigurați-vă că afișează locația în care există atât grupul de resurse, cât și VNet-ul.

New > Networking > Create virtual network gateway > Choose public IP address > Create public IP address

2.6 Configurați Local Network Gateway pe Azure

În portalul Azure, navigați la New > Networking > Local network gateway. Local network gateway se referă la IP-ul public ZyWALL/USG și la setările subrețelei locale.

Pe panoul Create local network gateway, specificați un nume pentru obiectul gateway ZyWALL/USG.

Specificați adresa IP publică a ZyWALL/USG. Nu poate fi în spatele unui NAT și trebuie să fie accesibilă de Azure. Address space se referă la intervalele de adrese din rețeaua locală ZyWALL/USG. Pentru Resource Group, selectați grupul de resurse creat anterior. Pentru Location, dacă creați un gateway local nou, puteți folosi aceeași locație ca și gateway-ul rețelei virtuale. Totuși, acest lucru nu este obligatoriu. Gateway-ul local poate fi într-o locație diferită.

Faceți clic pe Create pentru a crea gateway-ul local.

New > Networking > Local network gateway  

2.7 Adăugați Conexiunea

Găsiți gateway-ul rețelei virtuale (VPN_Connection_to_USG în acest exemplu) și faceți clic pe Settings > Connection > Add connection, denumiți conexiunea. Pentru Connection type, selectați Site-to-site (IPSec). Pentru Virtual network gateway, valoarea este fixă deoarece vă conectați de la acest gateway (VPN_GW_to_USG în exemplu).

Pentru Local network gateway, selectați gateway-ul local pe care doriți să îl folosiți (VPN_Connection_to_USG în exemplu).

Pentru Shared Key (PSK), valoarea trebuie să corespundă cu cea utilizată pe dispozitivul ZyWALL/USG. Pentru Resource Group, selectați grupul de resurse creat anterior. Faceți clic pe OK pentru a crea conexiunea.

VPN_Connection_to_USG > Settings > Connections > Add connection

2.8 Verificați setările conexiunii

Când conexiunea este completă, o veți vedea în panoul Connections pentru Gateway-ul dvs.

VPN_Connection_to_USG > Settings > Connections

3) Testați conectivitatea tunelului VPN IPSec

Accesați ZyWALL/USG CONFIGURATION > VPN > IPSec VPN > VPN Connection, faceți clic pe Connect în bara de sus. Pictograma Status se aprinde când interfața este conectată.

CONFIGURATION > VPN > IPSec VPN > VPN Connection

Accesați ZyWALL/USG MONITOR > VPN Monitor > IPSec și verificați Up Time al tunelului și traficul Inbound(Bytes)/Outbound(Bytes).

MONITOR > VPN Monitor > IPSec

Accesați Azure_Vnet_USG > Settings pentru a verifica datele DATA IN și DATA OUT.

VPN > VPN Settings > Currently Active VPN Tunnels

Pentru a testa dacă tunelul funcționează, faceți ping de pe un calculator dintr-o locație către un calculator din cealaltă. Asigurați-vă că ambele calculatoare au acces la Internet.

PC în spatele ZyWALL/USG > Windows 7 > cmd > ping 10.1.0.33

PC în spatele MS Azure > Windows 7 > cmd > ping 192.77.1.33

Articole în această secțiune

A fost util acest articol?
0 din 0 au considerat acest conținut util
Partajare

Comentarii

0 comentarii

Vă rugăm să vă autentificați pentru a lăsa un comentariu.