В этой статье показано, как создать VPN site-to-site между файрволом USG и виртуальным шлюзом Microsoft Azure. В примере описывается, как настроить VPN-туннель между двумя сайтами.
Внимание! Эта статья работает только с VPN для одного сайта. Если вам нужно подключить несколько сайтов, пожалуйста, ознакомьтесь со следующей статьей: Серии USG/Zywall - Как настроить маршрутизируемый IPsec VPN к Azure (BGP поверх IKEv2/IPSec)
Для Nebula: IPSec Site-to-Site VPN от шлюза безопасности Nebula (NSG) к Azure
1) Настройка IPSec VPN туннеля на ZyWALL/USG
1.1 Запуск мастера и выбор расширенной VPN политики
В ZyWALL/USG перейдите в CONFIGURATION > Quick Setup > VPN Setup Wizard, используйте мастер VPN Settings для создания правила VPN, которое можно использовать с MS Azure. Нажмите Next.
Quick Setup > VPN Setup Wizard > Welcome
Выберите Advanced, чтобы создать правило VPN с настраиваемыми параметрами фазы 1, фазы 2 и методом аутентификации. Нажмите Next.
Quick Setup > VPN Setup Wizard > Welcome > Wizard Type
1.2 Настройка расширенных параметров VPN
1.2.1 Настройка имени правила и сценария
Введите Rule Name, используемое для идентификации этого VPN-соединения (и VPN-шлюза). Можно использовать от 1 до 31 буквенно-цифровых символов. Значение чувствительно к регистру. Выберите правило как Site-to-site. Нажмите Next.
Quick Setup > VPN Setup Wizard > Wizard Type > VPN Settings (Scenario)
1.2.2 Настройка параметров фазы 1
Далее настройте IP-адрес Secure Gateway как IP-адрес шлюза MS Azure (в примере 13.75.42.148); выберите My Address как интерфейс, подключенный к Интернету.
Установите параметры Negotiation, Encryption, Authentication, Key Group и SA Life Time, поддерживаемые MS Azure. Обязательно отключите Dead Peer Detection (DPD), который не поддерживается в MS Azure для политики IKEv1 на основе политики. Введите надежный Pre-Shared Key.
Quick Setup > VPN Setup Wizard > Welcome > Wizard Type > VPN Settings (Phase 1 Setting)
1.2.3 Настройка параметров фазы 2
Перейдите к настройкам фазы 2, выберите Encapsulation, Encryption, Authentication и SA Life Time, поддерживаемые MS Azure.
Установите Local Policy как диапазон IP-адресов сети, подключенной к ZyWALL/USG, и Remote Policy как диапазон IP-адресов сети, подключенной к MS Azure. Нажмите OK.
Quick Setup > VPN Setup Wizard > Welcome > Wizard Type > VPN Settings (Phase 2 Setting)

Примечание: Для получения дополнительной информации о параметрах IPsec, поддерживаемых в MS Azure, смотрите документацию Microsoft Azure О VPN-устройствах для подключений шлюза Site-to-Site VPN.
1.2.4 Проверка и сохранение конфигурации
На этом экране отображается сводка VPN-туннеля в режиме только для чтения. Нажмите Save.
Quick Setup > VPN Setup Wizard > Welcome > Wizard Type > VPN Settings (Summary)
Теперь правило настроено на ZyWALL/USG. Настройки фазы 1 отображаются на экране VPN > IPSec VPN > VPN Gateway, а настройки фазы 2 — на экране VPN > IPSec VPN > VPN Connection. Нажмите Close, чтобы выйти из мастера.
Quick Setup > VPN Setup Wizard > Welcome > Wizard Type > VPN Settings > Wizard Completed
2) Настройка IPSec VPN туннеля в MS Azure
2.1 Вход в портал управления Azure
Войдите в Windows Azure Management Portal. В левом верхнем углу экрана нажмите +New > Networking > Virtual Network.
Azure portal > New > Networking > Virtual Network
2.2 Выбор модели развертывания в конфигурации виртуальной сети
В нижней части панели Virtual Network в списке Select a deployment model выберите Resource Manager, затем нажмите Create.
New > Networking > Virtual Network > Select a deployment model
2.3 Настройка параметров VPN в Azure
На странице Create virtual network введите NAME для VPN-сети, например, VPN_Vnet_to_USG. Добавьте Address Space, Subnet name и один диапазон адресов Subnet address range.
Нажмите Resource group и выберите существующую группу ресурсов или создайте новую, введя имя новой группы ресурсов, например, RG_USG.
LOCATION напрямую связано с физическим расположением (регион), где находятся виртуальные машины (VM). Регион, связанный с виртуальной сетью, нельзя изменить после создания.
Затем нажмите кнопку Create. После нажатия Create на панели управления появится плитка, отражающая процесс создания VNet. Плитка будет изменяться по мере создания VNet.
New > Networking > Virtual Network > Create virtual network
2.4 Настройка подсети виртуальной сети в Azure
В портале перейдите к созданной виртуальной сети. На панели вашей виртуальной сети нажмите значок Settings вверху панели, чтобы раскрыть настройки, затем выберите Subnets > Add > Add Subnet. Назовите подсеть GatewaySubnet. Не используйте другое имя, иначе шлюз не будет работать. Добавьте диапазон IP-адресов для вашего шлюза. Нажмите OK внизу панели для создания подсети.
VPN_Vnet_to_USG > Settings > Subnet > Add subnet
2.5 Настройка виртуального сетевого шлюза в Azure
В портале перейдите в New, затем Networking. Выберите из списка Virtual network gateway. В поле Name на панели создания виртуального сетевого шлюза введите имя вашего шлюза. Затем выберите Virtual network, к которой вы хотите применить этот шлюз.
Нажмите стрелку (>) для открытия панели Choose public IP address. Затем нажмите Create New для открытия панели создания публичного IP-адреса. Введите Name для вашего публичного IP-адреса. Обратите внимание, что это не сам IP-адрес, а имя объекта IP-адреса, к которому будет назначен адрес динамически. Нажмите OK для сохранения изменений.
Для Gateway type выберите VPN. Для VPN type выберите Policy-based. Для Resource Group группа ресурсов определяется выбранной виртуальной сетью. Для Location убедитесь, что отображается регион, в котором находятся и ваша группа ресурсов, и виртуальная сеть.
New > Networking > Create virtual network gateway > Choose public IP address > Create public IP address
2.6 Настройка локального сетевого шлюза в Azure
В портале Azure перейдите в New > Networking > Local network gateway. Локальный сетевой шлюз относится к публичному IP-адресу ZyWALL/USG и настройкам локальной подсети.
На панели создания локального сетевого шлюза укажите имя объекта шлюза ZyWALL/USG.
Укажите публичный IP-адрес вашего ZyWALL/USG. Он не должен быть за NAT и должен быть доступен из Azure. Address space — это диапазоны адресов вашей локальной сети ZyWALL/USG. Для Resource Group выберите ранее созданную группу ресурсов. Для Location, если вы создаете новый локальный сетевой шлюз, можно использовать тот же регион, что и для виртуального сетевого шлюза, но это не обязательно. Локальный сетевой шлюз может находиться в другом регионе.
Нажмите Create для создания локального сетевого шлюза.
New > Networking > Local network gateway
2.7 Добавление соединения
Найдите ваш виртуальный сетевой шлюз (в примере VPN_Connection_to_USG) и перейдите в Settings > Connection > Add connection, укажите Name для соединения. Для Connection type выберите Site-to-site (IPSec). Для Virtual network gateway значение фиксировано, так как вы подключаетесь от этого шлюза (в примере VPN_GW_to_USG).
Для Local network gateway выберите локальный сетевой шлюз, который хотите использовать (в примере VPN_Connection_to_USG).
Для Shared Key (PSK) значение должно совпадать с ключом, используемым на устройстве ZyWALL/USG. Для Resource Group выберите ранее созданную группу ресурсов. Нажмите OK для создания соединения.
VPN_Connection_to_USG > Settings > Connections > Add connection
2.8 Проверка настроек соединения
Когда соединение будет установлено, оно появится в панели Connections для вашего шлюза.
VPN_Connection_to_USG > Settings > Connections
3) Тестирование подключения IPSec VPN туннеля
Перейдите в ZyWALL/USG в CONFIGURATION > VPN > IPSec VPN > VPN Connection, нажмите Connect в верхней панели. Иконка Status будет подсвечена, когда интерфейс подключен.
CONFIGURATION > VPN > IPSec VPN > VPN Connection
Перейдите в ZyWALL/USG в MONITOR > VPN Monitor > IPSec и проверьте время работы туннеля Up Time и трафик Inbound(Bytes)/Outbound(Bytes).
MONITOR > VPN Monitor > IPSec
Перейдите в Azure_Vnet_USG > Settings, чтобы проверить трафик туннеля DATA IN и DATA OUT.
VPN > VPN Settings > Currently Active VPN Tunnels
Для проверки работоспособности туннеля выполните ping с компьютера на одном сайте на компьютер на другом сайте. Убедитесь, что оба компьютера имеют доступ в Интернет.
ПК за ZyWALL/USG > Windows 7 > cmd > ping 10.1.0.33
ПК за MS Azure > Windows 7 > cmd > ping 192.77.1.33


Комментарии
0 комментариевВойдите в службу, чтобы оставить комментарий.