Tento článok ukazuje, ako vytvoriť site-to-site VPN medzi firewallom USG a Microsoft Azure Virtual Gateway. Príklad popisuje, ako nakonfigurovať VPN tunel medzi jednotlivými lokalitami.
Poznámka! Tento článok funguje iba s jednou lokalitou VPN. Ak potrebujete pripojiť viac lokalít, pozrite si nasledujúci článok: USG/Zywall Series - Ako nakonfigurovať route-based IPsec VPN do Azure (BGP cez IKEv2/IPSec)
Pre Nebula: IPSec Site-to-Site-VPN z Nebula Security Gateway (NSG) do Azure
1) Konfigurácia IPSec VPN tunela na ZyWALL/USG
1.1 Spustite Sprievodcu a vyberte Pokročilú VPN politiku
V ZyWALL/USG prejdite na CONFIGURATION > Quick Setup > VPN Setup Wizard, použite sprievodcu VPN Settings na vytvorenie VPN pravidla, ktoré je možné použiť s MS Azure. Kliknite na Next.
Quick Setup > VPN Setup Wizard > Welcome
Vyberte Advanced na vytvorenie VPN pravidla s vlastnými nastaveniami fázy 1, fázy 2 a autentifikačnou metódou. Kliknite na Next.
Quick Setup > VPN Setup Wizard > Welcome > Wizard Type
1.2 Konfigurácia pokročilých VPN nastavení
1.2.1 Konfigurácia názvu pravidla a scenára
Zadajte Rule Name na identifikáciu tohto VPN pripojenia (a VPN brány). Môžete použiť 1-31 alfanumerických znakov. Táto hodnota je rozlišujúca veľkosť písmen. Vyberte pravidlo ako Site-to-site. Kliknite na Next.
Quick Setup > VPN Setup Wizard > Wizard Type > VPN Settings (Scenario)
1.2.2 Konfigurácia nastavení fázy 1
Následne nakonfigurujte IP adresu Secure Gateway ako peer IP adresu brány MS Azure (v príklade 13.75.42.148); vyberte My Address ako rozhranie pripojené na internet.
Nastavte Negotiation, Encryption, Authentication, Key Group a SA Life Time, ktoré MS Azure podporuje. Uistite sa, že máte vypnutú možnosť Dead Peer Detection (DPD), ktorá nie je podporovaná v MS Azure IKEv1 Policy-based. Zadajte bezpečný Pre-Shared Key.
Quick Setup > VPN Setup Wizard > Welcome > Wizard Type > VPN Settings (Phase 1 Setting)
1.2.3 Konfigurácia nastavení fázy 2
Pokračujte v nastaveniach fázy 2 výberom Encapsulation, Encryption, Authentication a SA Life Time, ktoré MS Azure podporuje.
Nastavte Local Policy ako rozsah IP adries siete pripojenej k ZyWALL/USG a Remote Policy ako rozsah IP adries siete pripojenej k MS Azure. Kliknite na OK.
Quick Setup > VPN Setup Wizard > Welcome > Wizard Type > VPN Settings (Phase 2 Setting)

Poznámka: Pre viac informácií o parametroch IPsec podporovaných v MS Azure, pozrite si Microsoft Azure dokumentáciu About VPN devices pre Site-to-Site VPN Gateway pripojenia.
1.2.4 Skontrolujte a uložte konfiguráciu
Táto obrazovka poskytuje iba na čítanie súhrn VPN tunela. Kliknite na Save.
Quick Setup > VPN Setup Wizard > Welcome > Wizard Type > VPN Settings (Summary)
Pravidlo je teraz nakonfigurované na ZyWALL/USG. Nastavenia fázy 1 sa zobrazujú v obrazovke VPN > IPSec VPN > VPN Gateway a nastavenia fázy 2 v obrazovke VPN > IPSec VPN > VPN Connection. Kliknite na Close pre ukončenie sprievodcu.
Quick Setup > VPN Setup Wizard > Welcome > Wizard Type > VPN Settings > Wizard Completed
2) Konfigurácia IPSec VPN tunela na MS Azure
2.1 Prihláste sa do Azure Management Portálu
Prihláste sa do Windows Azure Management Portal. V ľavom hornom rohu obrazovky kliknite na +New > Networking > Virtual Network.
Azure portal > New > Networking > Virtual Network
2.2 Vyberte model nasadenia vo Virtual Network konfigurácii
Blízko spodnej časti panela Virtual Network vyberte zo zoznamu Select a deployment model možnosť Resource Manager a kliknite na Create.
New > Networking > Virtual Network > Select a deployment model
2.3 Konfigurácia VPN nastavení na Azure
Na stránke Create virtual network zadajte NAME pre VPN sieť, napríklad VPN_Vnet_to_USG. Pridajte Address Space, Subnet name a jeden Subnet address range.
Kliknite na Resource group a vyberte existujúcu skupinu zdrojov alebo vytvorte novú zadaním názvu, napríklad RG_USG.
LOCATION priamo súvisí s fyzickou lokalitou (regiónom), kde sa nachádzajú virtuálne stroje (VM). Región priradený k virtuálnej sieti nie je možné po vytvorení zmeniť.
Potom kliknite na tlačidlo Create. Po kliknutí na Create sa na vašom dashboarde zobrazí dlaždica, ktorá bude zobrazovať priebeh vytvárania VNet. Dlaždica sa bude meniť počas tvorby VNet.
New > Networking > Virtual Network > Create virtual network
2.4 Konfigurácia Subnetu virtuálnej siete na Azure
V portáli prejdite na virtuálnu sieť, ktorú ste práve vytvorili. Na paneli vašej virtuálnej siete kliknite na ikonu Settings v hornej časti panela, aby sa rozbalil panel nastavení na Subnets > Add > Add Subnet. Pomenujte svoj subnet GatewaySubnet. Nemali by ste ho pomenovať inak, inak brána nebude fungovať. Pridajte IP Address range pre vašu bránu. Kliknite na OK v spodnej časti panela na vytvorenie subnetu.
VPN_Vnet_to_USG > Settings > Subnet > Add subnet
2.5 Konfigurácia Virtual Network Gateway na Azure
V portáli prejdite na New, potom Networking. Vyberte zo zoznamu Virtual network gateway. Na paneli Create virtual network gateway zadajte do poľa Name názov vašej brány. Potom vyberte Virtual network, do ktorej chcete bránu nasadiť.
Kliknite na šípku (>) na otvorenie panelu Choose public IP address. Potom kliknite na Create New, aby sa otvoril panel Create public IP address. Zadajte Name pre vašu verejnú IP adresu. Upozorňujeme, že sa nevyžaduje IP adresa, tá bude priradená dynamicky. Toto je názov objektu IP adresy, ku ktorému bude adresa priradená. Kliknite na OK na uloženie zmien.
Pre Gateway type vyberte VPN. Pre VPN type vyberte Policy-based. Pre Resource Group je skupina zdrojov určená virtuálnou sieťou, ktorú vyberiete. Pre Location sa uistite, že zobrazuje lokalitu, kde existujú vaša Resource Group a VNet.
New > Networking > Create virtual network gateway > Choose public IP address > Create public IP address
2.6 Konfigurácia Local Network Gateway na Azure
V Azure Portáli prejdite na New > Networking > Local network gateway. Local network gateway odkazuje na verejnú IP adresu ZyWALL/USG a nastavenia lokálnej podsiete.
Na paneli Create local network gateway zadajte názov pre váš ZyWALL/USG gateway objekt.
Zadajte verejnú IP adresu vášho ZyWALL/USG. Nemôže byť za NAT a musí byť dostupná z Azure. Address space označuje rozsahy adries v lokálnej sieti ZyWALL/USG. Pre Resource Group vyberte skupinu zdrojov, ktorú ste vytvorili predtým. Pre Location, ak vytvárate novú lokálnu sieťovú bránu, môžete použiť rovnakú lokalitu ako pre virtuálnu sieťovú bránu, ale nie je to povinné. Lokálna sieťová brána môže byť v inom umiestnení.
Kliknite na Create na vytvorenie lokálnej sieťovej brány.
New > Networking > Local network gateway
2.7 Pridanie pripojenia
Nájdite vašu virtuálnu sieťovú bránu (v tomto príklade VPN_Connection_to_USG) a kliknite na Settings > Connection > Add connection, pomenujte svoje pripojenie. Pre Connection type vyberte Site-to-site (IPSec). Pre Virtual network gateway je hodnota pevná, pretože sa pripájate z tejto brány (v tomto príklade VPN_GW_to_USG).
Pre Local network gateway vyberte lokálnu sieťovú bránu, ktorú chcete použiť (v tomto príklade VPN_Connection_to_USG).
Pre Shared Key (PSK) musí byť hodnota rovnaká ako tá, ktorú používate na ZyWALL/USG zariadení. Pre Resource Group vyberte skupinu zdrojov, ktorú ste vytvorili predtým. Kliknite na OK na vytvorenie pripojenia.
VPN_Connection_to_USG > Settings > Connections > Add connection
2.8 Skontrolujte nastavenia pripojenia
Keď je pripojenie dokončené, zobrazí sa v paneli Connections pre vašu bránu.
VPN_Connection_to_USG > Settings > Connections
3) Testovanie konektivity IPSec VPN tunela
Prejdite v ZyWALL/USG na CONFIGURATION > VPN > IPSec VPN > VPN Connection, kliknite na Connect v hornej lište. Ikona Status sa rozsvieti, keď je rozhranie pripojené.
CONFIGURATION > VPN > IPSec VPN > VPN Connection
Prejdite v ZyWALL/USG na MONITOR > VPN Monitor > IPSec a overte Up Time tunela a Inbound(Bytes)/Outbound(Bytes) prenos.
MONITOR > VPN Monitor > IPSec
Prejdite na Azure_Vnet_USG > Settings na kontrolu DATA IN a DATA OUT tunela.
VPN > VPN Settings > Currently Active VPN Tunnels
Na otestovanie funkčnosti tunela pingnite z počítača v jednej lokalite na počítač v druhej lokalite. Uistite sa, že oba počítače majú prístup na internet.
PC za ZyWALL/USG > Windows 7 > cmd > ping 10.1.0.33
PC za MS Azure > Windows 7 > cmd > ping 192.77.1.33


Príspevky
0 komentárovAk chcete napísať komentár, prihlásiť sa.