VPN - Konfigurácia Site-to-site IPSec VPN s Microsoft (MS) Azure

Máte ďalšie otázky? Vložiť žiadosť

Tento článok ukazuje, ako vytvoriť site-to-site VPN medzi firewallom USG a Microsoft Azure Virtual Gateway. Príklad popisuje, ako nakonfigurovať VPN tunel medzi jednotlivými lokalitami.

 

Poznámka! Tento článok funguje iba s jednou lokalitou VPN. Ak potrebujete pripojiť viac lokalít, pozrite si nasledujúci článok: USG/Zywall Series - Ako nakonfigurovať route-based IPsec VPN do Azure (BGP cez IKEv2/IPSec)
Pre Nebula: IPSec Site-to-Site-VPN z Nebula Security Gateway (NSG) do Azure

 

1) Konfigurácia IPSec VPN tunela na ZyWALL/USG

1.1 Spustite Sprievodcu a vyberte Pokročilú VPN politiku

V ZyWALL/USG prejdite na CONFIGURATION > Quick Setup > VPN Setup Wizard, použite sprievodcu VPN Settings na vytvorenie VPN pravidla, ktoré je možné použiť s MS Azure. Kliknite na Next.

Quick Setup > VPN Setup Wizard > Welcome

Vyberte Advanced na vytvorenie VPN pravidla s vlastnými nastaveniami fázy 1, fázy 2 a autentifikačnou metódou. Kliknite na Next.

Quick Setup > VPN Setup Wizard > Welcome > Wizard Type

1.2 Konfigurácia pokročilých VPN nastavení

1.2.1 Konfigurácia názvu pravidla a scenára

Zadajte Rule Name na identifikáciu tohto VPN pripojenia (a VPN brány). Môžete použiť 1-31 alfanumerických znakov. Táto hodnota je rozlišujúca veľkosť písmen. Vyberte pravidlo ako Site-to-site. Kliknite na Next.

Quick Setup > VPN Setup Wizard > Wizard Type > VPN Settings (Scenario)

1.2.2 Konfigurácia nastavení fázy 1

Následne nakonfigurujte IP adresu Secure Gateway ako peer IP adresu brány MS Azure (v príklade 13.75.42.148); vyberte My Address ako rozhranie pripojené na internet.

Nastavte Negotiation, Encryption, Authentication, Key Group a SA Life Time, ktoré MS Azure podporuje. Uistite sa, že máte vypnutú možnosť Dead Peer Detection (DPD), ktorá nie je podporovaná v MS Azure IKEv1 Policy-based. Zadajte bezpečný Pre-Shared Key.

Quick Setup > VPN Setup Wizard > Welcome > Wizard Type > VPN Settings (Phase 1 Setting)

1.2.3 Konfigurácia nastavení fázy 2

Pokračujte v nastaveniach fázy 2 výberom Encapsulation, Encryption, Authentication a SA Life Time, ktoré MS Azure podporuje.

Nastavte Local Policy ako rozsah IP adries siete pripojenej k ZyWALL/USG a Remote Policy ako rozsah IP adries siete pripojenej k MS Azure. Kliknite na OK.

Quick Setup > VPN Setup Wizard > Welcome > Wizard Type > VPN Settings (Phase 2 Setting)

Poznámka: Pre viac informácií o parametroch IPsec podporovaných v MS Azure, pozrite si Microsoft Azure dokumentáciu About VPN devices pre Site-to-Site VPN Gateway pripojenia.

1.2.4 Skontrolujte a uložte konfiguráciu

Táto obrazovka poskytuje iba na čítanie súhrn VPN tunela. Kliknite na Save.

Quick Setup > VPN Setup Wizard > Welcome > Wizard Type > VPN Settings (Summary)

Pravidlo je teraz nakonfigurované na ZyWALL/USG. Nastavenia fázy 1 sa zobrazujú v obrazovke VPN > IPSec VPN > VPN Gateway a nastavenia fázy 2 v obrazovke VPN > IPSec VPN > VPN Connection. Kliknite na Close pre ukončenie sprievodcu.

Quick Setup > VPN Setup Wizard > Welcome > Wizard Type > VPN Settings > Wizard Completed

2) Konfigurácia IPSec VPN tunela na MS Azure

2.1 Prihláste sa do Azure Management Portálu

Prihláste sa do Windows Azure Management Portal. V ľavom hornom rohu obrazovky kliknite na +New > Networking > Virtual Network.

Azure portal > New > Networking > Virtual Network

2.2 Vyberte model nasadenia vo Virtual Network konfigurácii

Blízko spodnej časti panela Virtual Network vyberte zo zoznamu Select a deployment model možnosť Resource Manager a kliknite na Create.

New > Networking > Virtual Network > Select a deployment model

2.3 Konfigurácia VPN nastavení na Azure

Na stránke Create virtual network zadajte NAME pre VPN sieť, napríklad VPN_Vnet_to_USG. Pridajte Address Space, Subnet name a jeden Subnet address range.

Kliknite na Resource group a vyberte existujúcu skupinu zdrojov alebo vytvorte novú zadaním názvu, napríklad RG_USG.

LOCATION priamo súvisí s fyzickou lokalitou (regiónom), kde sa nachádzajú virtuálne stroje (VM). Región priradený k virtuálnej sieti nie je možné po vytvorení zmeniť.

Potom kliknite na tlačidlo Create. Po kliknutí na Create sa na vašom dashboarde zobrazí dlaždica, ktorá bude zobrazovať priebeh vytvárania VNet. Dlaždica sa bude meniť počas tvorby VNet.

New > Networking > Virtual Network >  Create virtual network

2.4 Konfigurácia Subnetu virtuálnej siete na Azure

V portáli prejdite na virtuálnu sieť, ktorú ste práve vytvorili. Na paneli vašej virtuálnej siete kliknite na ikonu Settings v hornej časti panela, aby sa rozbalil panel nastavení na Subnets > Add > Add Subnet. Pomenujte svoj subnet GatewaySubnet. Nemali by ste ho pomenovať inak, inak brána nebude fungovať. Pridajte IP Address range pre vašu bránu. Kliknite na OK v spodnej časti panela na vytvorenie subnetu.

VPN_Vnet_to_USG > Settings > Subnet > Add subnet

2.5 Konfigurácia Virtual Network Gateway na Azure

V portáli prejdite na New, potom Networking. Vyberte zo zoznamu Virtual network gateway. Na paneli Create virtual network gateway zadajte do poľa Name názov vašej brány. Potom vyberte Virtual network, do ktorej chcete bránu nasadiť.

Kliknite na šípku (>) na otvorenie panelu Choose public IP address. Potom kliknite na Create New, aby sa otvoril panel Create public IP address. Zadajte Name pre vašu verejnú IP adresu. Upozorňujeme, že sa nevyžaduje IP adresa, tá bude priradená dynamicky. Toto je názov objektu IP adresy, ku ktorému bude adresa priradená. Kliknite na OK na uloženie zmien.

Pre Gateway type vyberte VPN. Pre VPN type vyberte Policy-based. Pre Resource Group je skupina zdrojov určená virtuálnou sieťou, ktorú vyberiete. Pre Location sa uistite, že zobrazuje lokalitu, kde existujú vaša Resource Group a VNet.

New > Networking > Create virtual network gateway > Choose public IP address > Create public IP address

2.6 Konfigurácia Local Network Gateway na Azure

V Azure Portáli prejdite na New > Networking > Local network gateway. Local network gateway odkazuje na verejnú IP adresu ZyWALL/USG a nastavenia lokálnej podsiete.

Na paneli Create local network gateway zadajte názov pre váš ZyWALL/USG gateway objekt.

Zadajte verejnú IP adresu vášho ZyWALL/USG. Nemôže byť za NAT a musí byť dostupná z Azure. Address space označuje rozsahy adries v lokálnej sieti ZyWALL/USG. Pre Resource Group vyberte skupinu zdrojov, ktorú ste vytvorili predtým. Pre Location, ak vytvárate novú lokálnu sieťovú bránu, môžete použiť rovnakú lokalitu ako pre virtuálnu sieťovú bránu, ale nie je to povinné. Lokálna sieťová brána môže byť v inom umiestnení.

Kliknite na Create na vytvorenie lokálnej sieťovej brány.

New > Networking > Local network gateway  

2.7 Pridanie pripojenia

Nájdite vašu virtuálnu sieťovú bránu (v tomto príklade VPN_Connection_to_USG) a kliknite na Settings > Connection > Add connection, pomenujte svoje pripojenie. Pre Connection type vyberte Site-to-site (IPSec). Pre Virtual network gateway je hodnota pevná, pretože sa pripájate z tejto brány (v tomto príklade VPN_GW_to_USG).

Pre Local network gateway vyberte lokálnu sieťovú bránu, ktorú chcete použiť (v tomto príklade VPN_Connection_to_USG).

Pre Shared Key (PSK) musí byť hodnota rovnaká ako tá, ktorú používate na ZyWALL/USG zariadení. Pre Resource Group vyberte skupinu zdrojov, ktorú ste vytvorili predtým. Kliknite na OK na vytvorenie pripojenia.

VPN_Connection_to_USG > Settings > Connections > Add connection

2.8 Skontrolujte nastavenia pripojenia

Keď je pripojenie dokončené, zobrazí sa v paneli Connections pre vašu bránu.

VPN_Connection_to_USG > Settings > Connections

3) Testovanie konektivity IPSec VPN tunela

Prejdite v ZyWALL/USG na CONFIGURATION > VPN > IPSec VPN > VPN Connection, kliknite na Connect v hornej lište. Ikona Status sa rozsvieti, keď je rozhranie pripojené.

CONFIGURATION > VPN > IPSec VPN > VPN Connection

Prejdite v ZyWALL/USG na MONITOR > VPN Monitor > IPSec a overte Up Time tunela a Inbound(Bytes)/Outbound(Bytes) prenos.

MONITOR > VPN Monitor > IPSec

Prejdite na Azure_Vnet_USG > Settings na kontrolu DATA IN a DATA OUT tunela.

VPN > VPN Settings > Currently Active VPN Tunnels

Na otestovanie funkčnosti tunela pingnite z počítača v jednej lokalite na počítač v druhej lokalite. Uistite sa, že oba počítače majú prístup na internet.

PC za ZyWALL/USG > Windows 7 > cmd > ping 10.1.0.33

PC za MS Azure > Windows 7 > cmd > ping 192.77.1.33

Články v tejto sekcii

Pomohol Vám tento článok?
0 z 0 to považovali za užitočné
Zdieľať

Príspevky

0 komentárov

Ak chcete napísať komentár, prihlásiť sa.