Важное замечание: |
Обратите внимание, что эта статья работает только с VPN для одного сайта.
Если вам нужно подключить несколько сайтов, ознакомьтесь со следующей статьей:
Серия USG/Zywall — Как настроить IPsec VPN на основе маршрута для Azure (BGP через IKEv2/IPSec)
Для Nebula:
IPSec Site-to-Site-VPN от Nebula Security Gateway (NSG) до Azure
В этом примере показано, как использовать мастер настройки VPN для создания VPN типа «сеть-сеть» между ZyWALL/USG и платформой Microsoft (MS) Azure. В примере показано, как настроить VPN-туннель между каждым сайтом. Когда VPN-туннель настроен, к каждому сайту можно получить безопасный доступ.
Настройте туннель IPSec VPN на ZyWALL/USG
1
В ZyWALL/USG перейдите в раздел КОНФИГУРАЦИЯ > Быстрая настройка > Мастер настройки VPN , используйте мастер настроек VPN , чтобы создать правило VPN, которое можно использовать с MS Azure. Нажмите «Далее» .
Быстрая настройка > Мастер настройки VPN > Добро пожаловать
2
Выберите « Дополнительно », чтобы создать правило VPN с настройкой параметров фазы 1, фазы 2 и метода аутентификации. Нажмите «Далее» .
Быстрая настройка > Мастер настройки VPN > Добро пожаловать > Тип мастера
3
Введите Имя правила , используемое для идентификации этого VPN-подключения (и VPN-шлюза). Вы можете использовать от 1 до 31 буквенно-цифрового символа. Это значение чувствительно к регистру. Выберите правило Site-to-Site . Нажмите «Далее» .
Быстрая настройка > Мастер настройки VPN > Тип мастера > Настройки VPN (сценарий)
4
Затем настройте безопасный IP-адрес Gateway в качестве IP-адреса Gateway партнера MS Azure (в примере 13.75.42.148); выберите «Мой адрес» в качестве интерфейса, подключенного к Интернету.
Установите согласование , шифрование , аутентификацию , группу ключей и время жизни SA , которые поддерживает MS Azure. Убедитесь, что вы отключили обнаружение мертвых узлов (DPD) , которое не поддерживается на основе политики MS Azure IKEv1. Введите безопасный предварительный общий ключ .
Быстрая настройка > Мастер настройки VPN > Добро пожаловать > Тип мастера > Настройки VPN (настройка фазы 1)
5
Перейдите к настройкам этапа 2, чтобы выбрать параметры Encapsulation , Encryption , Authentication и SA Life Time , которые поддерживает MS Azure.
Установите для локальной политики диапазон IP-адресов сети, подключенной к ZyWALL/USG, а для удаленной политики — диапазон IP-адресов сети, подключенной к MS Azure. Нажмите ОК .
Быстрая настройка > Мастер настройки VPN > Добро пожаловать > Тип мастера > Настройки VPN (настройка этапа 2)
Примечание. Дополнительные сведения о параметрах IPsec, поддерживаемых в MS Azure, см. в документации Microsoft Azure об устройствах VPN для подключений Site-to-Site VPN Gateway.
6
На этом экране представлена сводка VPN-туннеля, доступная только для чтения. Нажмите Сохранить .
Быстрая настройка > Мастер настройки VPN > Добро пожаловать > Тип мастера > Настройки VPN (краткая информация)
7
Теперь правило настроено на ZyWALL/USG. Параметры правила этапа 1 отображаются на экране VPN > IPSec VPN > VPN Gateway , а параметры правила этапа 2 отображаются на экране VPN > IPSec VPN > VPN Connection . Щелкните Закрыть , чтобы выйти из мастера.
Быстрая настройка > Мастер настройки VPN > Добро пожаловать > Тип мастера > Настройки VPN > Мастер завершен
Настройте VPN-туннель IPSec в MS Azure.
1
Войдите в систему управления Windows Azure Portal . В верхнем левом углу экрана нажмите +Создать > Сеть > Виртуальная сеть .
Портал Azure > Создать > Сеть > Виртуальная сеть
2
В нижней части колонки « Виртуальная сеть » в списке « Выбрать модель развертывания» выберите « Диспетчер ресурсов » и нажмите « Создать ».
Создать > Сеть > Виртуальная сеть > Выберите модель развертывания
3
На странице Создать виртуальную сеть введите ИМЯ для сети VPN. Например, VPN_Vnet_to_USG . Добавьте адресное пространство , имя подсети и один диапазон адресов подсети .
Щелкните Группа ресурсов и либо выберите существующую группу ресурсов, либо создайте новую, введя имя для новой группы ресурсов. Например, RG_USG .
РАСПОЛОЖЕНИЕ напрямую связано с физическим местоположением (регионом), в котором находятся виртуальные машины (ВМ). Регион, связанный с виртуальной сетью, нельзя изменить после его создания.
Затем нажмите кнопку « Создать ». Нажав кнопку Создать, вы увидите плитку на панели мониторинга, которая будет отражать ход работы вашей виртуальной сети. Плитка изменится по мере создания виртуальной сети.
Создать > Сеть > Виртуальная сеть > Создать виртуальную сеть
4
На портале перейдите к виртуальной сети, которую вы только что создали. В колонке виртуальной сети щелкните значок Параметры в верхней части колонки, чтобы развернуть колонку Настройка до Подсети > Добавить > Добавить подсеть . Назовите свою подсеть GatewaySubnet . Вы не должны называть его как-то иначе, иначе шлюз не будет работать. Добавьте диапазон IP- адресов для вашего шлюза. Нажмите OK в нижней части колонки, чтобы создать подсеть.
VPN_Vnet_to_USG > Настройки > Подсеть > Добавить подсеть
5
На портале выберите « Создать », затем «Сеть». Выберите Виртуальный сетевой шлюз из списка. В поле Имя блейда шлюза виртуальной сети укажите имя своего шлюза. Затем выберите виртуальную сеть , в которой вы хотите развернуть этот шлюз.
Щелкните стрелку (>), чтобы открыть колонку Выберите общедоступный IP-адрес . Затем щелкните Создать , чтобы открыть колонку Создать общедоступный IP-адрес . Введите имя для вашего общедоступного IP-адреса. Обратите внимание, что это не запрашивает IP-адрес. IP-адрес будет назначен динамически. Скорее, это имя объекта IP-адреса, которому будет присвоен адрес. Нажмите OK , чтобы сохранить изменения.
В качестве типа шлюза выберите VPN . В качестве типа VPN выберите На основе политик . Для группы ресурсов группа ресурсов определяется выбранной виртуальной сетью. Убедитесь, что в поле Location отображается расположение, в котором существуют и ваша группа ресурсов, и виртуальная сеть.
Создать > Сеть > Создать виртуальный сетевой шлюз > Выбрать общедоступный IP-адрес > Создать общедоступный IP-адрес
6
В Azure Portal выберите Создать > Сеть > Шлюз локальной сети . Шлюз локальной сети относится к общедоступному IP-адресу ZyWALL/USG и настройкам локальной подсети.
В колонке Создать шлюз локальной сети укажите Имя для объекта шлюза ZyWALL/USG.
Укажите общедоступный IP-адрес вашего ZyWALL/USG. Он не может находиться за NAT и должен быть доступен для Azure. Адресное пространство относится к диапазонам адресов в вашей локальной сети ZyWALL/USG. В группе ресурсов выберите созданную ранее группу ресурсов. В качестве местоположения, если вы создаете новый шлюз локальной сети, вы можете использовать то же расположение, что и шлюз виртуальной сети. Но это не обязательно. Шлюз локальной сети может находиться в другом месте.
Щелкните Создать, чтобы создать шлюз локальной сети.
Создать > Сеть > Шлюз локальной сети
7
Найдите шлюз виртуальной сети (VPN_Connection_to_USG в этом примере) и нажмите « Настройки» > «Подключение» > «Добавить подключение » и назовите свое подключение. В поле Тип подключения выберите Site-to-site (IPSec) . Для виртуального сетевого шлюза значение фиксировано, так как вы подключаетесь через этот шлюз (в данном примере VPN_GW_to_USG).
В поле Шлюз локальной сети выберите шлюз локальной сети, который вы хотите использовать (в данном примере — VPN_Connection_to_USG).
Для общего ключа (PSK) значение здесь должно совпадать со значением, которое вы используете для своего устройства ZyWALL/USG. В группе ресурсов выберите созданную ранее группу ресурсов. Нажмите OK , чтобы создать подключение.
VPN_Connection_to_USG > Настройки > Подключения > Добавить подключение
8
Когда подключение будет установлено, вы увидите его в колонке « Подключения » для вашего Gateway.
VPN_Connection_to_USG > Настройки > Подключения
Протестируйте VPN-туннель IPSec
1
Перейдите в раздел КОНФИГУРАЦИЯ ZyWALL/USG > VPN > IPSec VPN > VPN-подключение и нажмите Подключить на верхней панели. Значок состояния подключения горит, когда интерфейс подключен.
КОНФИГУРАЦИЯ > VPN > IPSec VPN > VPN-подключение
2
Перейдите в ZyWALL /USG MONITOR > VPN Monitor > IPSec и проверьте время работы туннеля и входящий (в байтах)/исходящий (в байтах) трафик.
МОНИТОР > Монитор VPN > IPSec
3
Перейдите в Azure_Vnet_USG > Параметры , чтобы проверить туннель DATA IN и DATA OUT .
VPN > Настройки VPN > Текущие активные туннели VPN
4
Чтобы проверить, работает ли туннель, отправьте эхо-запрос с компьютера на одном сайте на компьютер на другом. Убедитесь, что оба компьютера имеют доступ в Интернет.
ПК за ZyWALL/USG > Window 7 > cmd > ping 10.1.0.33
ПК за MS Azure > Window 7 > cmd > ping 192.77.1.33
Что может пойти не так?
1
Если вы видите ниже сообщение журнала [info] или [error], проверьте настройки ZyWALL/USG Phase 1. Убедитесь, что ваши настройки ZyWALL/USG Phase 1 поддерживаются в списке установки MS Azure IKE Phase 1.
МОНИТОР > Журнал
2
Если вы видите, что процесс IKE SA фазы 1 завершен, но по-прежнему отображается сообщение в журнале ниже [info], проверьте настройки ZyWALL/USG Phase 2. Убедитесь, что ваши настройки ZyWALL/USG Phase 2 поддерживаются в списке установки MS Azure IKE Phase 2.
МОНИТОР > Журнал
Комментарии
0 комментариев
Войдите в службу, чтобы оставить комментарий.