VPN - Настройка IPSec VPN Site-to-site с Microsoft (MS) Azure

Еще есть вопросы? Отправить запрос

В этой статье показано, как создать VPN site-to-site между файрволом USG и виртуальным шлюзом Microsoft Azure. В примере описывается, как настроить VPN-туннель между двумя сайтами.

 

Внимание! Эта статья работает только с VPN для одного сайта. Если вам нужно подключить несколько сайтов, пожалуйста, ознакомьтесь со следующей статьей: Серии USG/Zywall - Как настроить маршрутизируемый IPsec VPN к Azure (BGP поверх IKEv2/IPSec)
Для Nebula: IPSec Site-to-Site VPN от шлюза безопасности Nebula (NSG) к Azure

 

1) Настройка IPSec VPN туннеля на ZyWALL/USG

1.1 Запуск мастера и выбор расширенной VPN политики

В ZyWALL/USG перейдите в CONFIGURATION > Quick Setup > VPN Setup Wizard, используйте мастер VPN Settings для создания правила VPN, которое можно использовать с MS Azure. Нажмите Next.

Quick Setup > VPN Setup Wizard > Welcome

Выберите Advanced, чтобы создать правило VPN с настраиваемыми параметрами фазы 1, фазы 2 и методом аутентификации. Нажмите Next.

Quick Setup > VPN Setup Wizard > Welcome > Wizard Type

1.2 Настройка расширенных параметров VPN

1.2.1 Настройка имени правила и сценария

Введите Rule Name, используемое для идентификации этого VPN-соединения (и VPN-шлюза). Можно использовать от 1 до 31 буквенно-цифровых символов. Значение чувствительно к регистру. Выберите правило как Site-to-site. Нажмите Next.

Quick Setup > VPN Setup Wizard > Wizard Type > VPN Settings (Scenario)

1.2.2 Настройка параметров фазы 1

Далее настройте IP-адрес Secure Gateway как IP-адрес шлюза MS Azure (в примере 13.75.42.148); выберите My Address как интерфейс, подключенный к Интернету.

Установите параметры Negotiation, Encryption, Authentication, Key Group и SA Life Time, поддерживаемые MS Azure. Обязательно отключите Dead Peer Detection (DPD), который не поддерживается в MS Azure для политики IKEv1 на основе политики. Введите надежный Pre-Shared Key.

Quick Setup > VPN Setup Wizard > Welcome > Wizard Type > VPN Settings (Phase 1 Setting)

1.2.3 Настройка параметров фазы 2

Перейдите к настройкам фазы 2, выберите Encapsulation, Encryption, Authentication и SA Life Time, поддерживаемые MS Azure.

Установите Local Policy как диапазон IP-адресов сети, подключенной к ZyWALL/USG, и Remote Policy как диапазон IP-адресов сети, подключенной к MS Azure. Нажмите OK.

Quick Setup > VPN Setup Wizard > Welcome > Wizard Type > VPN Settings (Phase 2 Setting)

Примечание: Для получения дополнительной информации о параметрах IPsec, поддерживаемых в MS Azure, смотрите документацию Microsoft Azure О VPN-устройствах для подключений шлюза Site-to-Site VPN.

1.2.4 Проверка и сохранение конфигурации

На этом экране отображается сводка VPN-туннеля в режиме только для чтения. Нажмите Save.

Quick Setup > VPN Setup Wizard > Welcome > Wizard Type > VPN Settings (Summary)

Теперь правило настроено на ZyWALL/USG. Настройки фазы 1 отображаются на экране VPN > IPSec VPN > VPN Gateway, а настройки фазы 2 — на экране VPN > IPSec VPN > VPN Connection. Нажмите Close, чтобы выйти из мастера.

Quick Setup > VPN Setup Wizard > Welcome > Wizard Type > VPN Settings > Wizard Completed

2) Настройка IPSec VPN туннеля в MS Azure

2.1 Вход в портал управления Azure

Войдите в Windows Azure Management Portal. В левом верхнем углу экрана нажмите +New > Networking > Virtual Network.

Azure portal > New > Networking > Virtual Network

2.2 Выбор модели развертывания в конфигурации виртуальной сети

В нижней части панели Virtual Network в списке Select a deployment model выберите Resource Manager, затем нажмите Create.

New > Networking > Virtual Network > Select a deployment model

2.3 Настройка параметров VPN в Azure

На странице Create virtual network введите NAME для VPN-сети, например, VPN_Vnet_to_USG. Добавьте Address Space, Subnet name и один диапазон адресов Subnet address range.

Нажмите Resource group и выберите существующую группу ресурсов или создайте новую, введя имя новой группы ресурсов, например, RG_USG.

LOCATION напрямую связано с физическим расположением (регион), где находятся виртуальные машины (VM). Регион, связанный с виртуальной сетью, нельзя изменить после создания.

Затем нажмите кнопку Create. После нажатия Create на панели управления появится плитка, отражающая процесс создания VNet. Плитка будет изменяться по мере создания VNet.

New > Networking > Virtual Network >  Create virtual network

2.4 Настройка подсети виртуальной сети в Azure

В портале перейдите к созданной виртуальной сети. На панели вашей виртуальной сети нажмите значок Settings вверху панели, чтобы раскрыть настройки, затем выберите Subnets > Add > Add Subnet. Назовите подсеть GatewaySubnet. Не используйте другое имя, иначе шлюз не будет работать. Добавьте диапазон IP-адресов для вашего шлюза. Нажмите OK внизу панели для создания подсети.

VPN_Vnet_to_USG > Settings > Subnet > Add subnet

2.5 Настройка виртуального сетевого шлюза в Azure

В портале перейдите в New, затем Networking. Выберите из списка Virtual network gateway. В поле Name на панели создания виртуального сетевого шлюза введите имя вашего шлюза. Затем выберите Virtual network, к которой вы хотите применить этот шлюз.

Нажмите стрелку (>) для открытия панели Choose public IP address. Затем нажмите Create New для открытия панели создания публичного IP-адреса. Введите Name для вашего публичного IP-адреса. Обратите внимание, что это не сам IP-адрес, а имя объекта IP-адреса, к которому будет назначен адрес динамически. Нажмите OK для сохранения изменений.

Для Gateway type выберите VPN. Для VPN type выберите Policy-based. Для Resource Group группа ресурсов определяется выбранной виртуальной сетью. Для Location убедитесь, что отображается регион, в котором находятся и ваша группа ресурсов, и виртуальная сеть.

New > Networking > Create virtual network gateway > Choose public IP address > Create public IP address

2.6 Настройка локального сетевого шлюза в Azure

В портале Azure перейдите в New > Networking > Local network gateway. Локальный сетевой шлюз относится к публичному IP-адресу ZyWALL/USG и настройкам локальной подсети.

На панели создания локального сетевого шлюза укажите имя объекта шлюза ZyWALL/USG.

Укажите публичный IP-адрес вашего ZyWALL/USG. Он не должен быть за NAT и должен быть доступен из Azure. Address space — это диапазоны адресов вашей локальной сети ZyWALL/USG. Для Resource Group выберите ранее созданную группу ресурсов. Для Location, если вы создаете новый локальный сетевой шлюз, можно использовать тот же регион, что и для виртуального сетевого шлюза, но это не обязательно. Локальный сетевой шлюз может находиться в другом регионе.

Нажмите Create для создания локального сетевого шлюза.

New > Networking > Local network gateway  

2.7 Добавление соединения

Найдите ваш виртуальный сетевой шлюз (в примере VPN_Connection_to_USG) и перейдите в Settings > Connection > Add connection, укажите Name для соединения. Для Connection type выберите Site-to-site (IPSec). Для Virtual network gateway значение фиксировано, так как вы подключаетесь от этого шлюза (в примере VPN_GW_to_USG).

Для Local network gateway выберите локальный сетевой шлюз, который хотите использовать (в примере VPN_Connection_to_USG).

Для Shared Key (PSK) значение должно совпадать с ключом, используемым на устройстве ZyWALL/USG. Для Resource Group выберите ранее созданную группу ресурсов. Нажмите OK для создания соединения.

VPN_Connection_to_USG > Settings > Connections > Add connection

2.8 Проверка настроек соединения

Когда соединение будет установлено, оно появится в панели Connections для вашего шлюза.

VPN_Connection_to_USG > Settings > Connections

3) Тестирование подключения IPSec VPN туннеля

Перейдите в ZyWALL/USG в CONFIGURATION > VPN > IPSec VPN > VPN Connection, нажмите Connect в верхней панели. Иконка Status будет подсвечена, когда интерфейс подключен.

CONFIGURATION > VPN > IPSec VPN > VPN Connection

Перейдите в ZyWALL/USG в MONITOR > VPN Monitor > IPSec и проверьте время работы туннеля Up Time и трафик Inbound(Bytes)/Outbound(Bytes).

MONITOR > VPN Monitor > IPSec

Перейдите в Azure_Vnet_USG > Settings, чтобы проверить трафик туннеля DATA IN и DATA OUT.

VPN > VPN Settings > Currently Active VPN Tunnels

Для проверки работоспособности туннеля выполните ping с компьютера на одном сайте на компьютер на другом сайте. Убедитесь, что оба компьютера имеют доступ в Интернет.

ПК за ZyWALL/USG > Windows 7 > cmd > ping 10.1.0.33

ПК за MS Azure > Windows 7 > cmd > ping 192.77.1.33

Статьи в этом разделе

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 0 из 0
Поделиться

Комментарии

0 комментариев

Войдите в службу, чтобы оставить комментарий.