VPN – Konfigurácia trasovanej IPsec VPN do Azure (BGP cez IKEv2/IPSec)

Máte ďalšie otázky? Vložiť žiadosť

Tento článok ukazuje, ako nakonfigurovať Azure multi-site pripojenie (brány virtuálnych sietí/VNet) prostredníctvom site-to-site IPsec VPN pomocou trasovanej VPN a BGP cez IKEv2 (USG FLEX / ATP / VPN séria).

Úvod

Tento typ pripojenia je variantom Site-to-Site pripojenia. Vytvoríte viac ako jedno VPN pripojenie z vašej brány virtuálnej siete, typicky na viacero lokálnych lokalít.
Pri práci s viacerými pripojeniami musíte použiť typ trasovanej VPN (Route-based VPN) (známy ako dynamická brána pri práci s klasickými VNet). Keďže každá virtuálna sieť môže mať iba jednu VPN bránu, všetky pripojenia cez túto bránu zdieľajú dostupnú šírku pásma. Toto sa často nazýva „multi-site“ pripojenie.

Pred začatím

Pred začatím konfigurácie si overte, že máte nasledovné:

  1. - Máte Azure virtuálnu sieť vytvorenú pomocou modelu nasadenia Resource Manager
  2. - Virtuálna sieťová brána pre váš VNet je typu RouteBased. Ak máte VPN bránu založenú na politike (policy-based), musíte ju odstrániť a vytvoriť novú VPN bránu ako RouteBased.
  3. - Žiadne z adresných rozsahov jednotlivých lokálnych sietí sa neprekrývajú pre žiadne z VNetov, ku ktorým sa tento VNet pripája.
  4. - Externá verejná IPv4 adresa pre každý ZyWALL zariadenie. Adresa nesmie byť za NATom. Toto je požiadavka.

4xfl3chatw7o.png

 

1. Vytvorenie virtuálnej siete (VNet)

1.       Z prehliadača prejdite na Azure portál a prihláste sa so svojím Azure účtom.

2.       Kliknite na Vytvoriť zdroj. Do poľa Vyhľadať na trhu zadajte 'virtual network'. Nájdite Virtuálna sieť v zozname a kliknite na otvorenie stránky Virtuálna sieť.

3.       V spodnej časti stránky Virtuálna sieť, z rozbaľovacieho zoznamu Vybrať model nasadenia vyberte Resource Manager a potom kliknite na Vytvoriť. Otvorí sa stránka „Vytvoriť virtuálnu sieť“.

ekpusf18udsr.png

2. Vytvorenie podsiete brány

Virtuálna sieťová brána používa špecifickú podsieť nazývanú gateway subnet. Je súčasťou adresného priestoru virtuálnej siete, ktorý zadáte pri vytváraní virtuálnej siete. Obsahuje IP adresy, ktoré používajú zdroje a služby virtuálnej sieťovej brány.

1.       V portáli prejdite na virtuálnu sieť, pre ktorú chcete vytvoriť virtuálnu sieťovú bránu.

2.       V sekcii Nastavenia stránky vašej VNet kliknite na Podsiete, čím rozbalíte stránku Podsiete.

3.       Na stránke Podsiete kliknite hore na + Gateway subnet, čím otvoríte stránku Pridať podsieť.

v7xc8ijlgk3w.png

 

4. Názov podsiete sa automaticky vyplní hodnotou 'GatewaySubnet'. Táto hodnota je požadovaná, aby Azure rozpoznal podsieť ako gateway subnet. Upravte automaticky vyplnené hodnoty Adresný rozsah podľa svojich konfiguračných požiadaviek.

18ykjeocboi9.png

5. Pre vytvorenie podsiete kliknite na OK v spodnej časti stránky.

3. Vytvorenie VPN brány

1. Na ľavej strane portálovej stránky kliknite na a zadajte do vyhľadávania 'Virtual Network Gateway'. V Výsledkoch nájdite a kliknite na Virtuálna sieťová brána.

2. V spodnej časti stránky 'Virtuálna sieťová brána' kliknite na Vytvoriť. Otvorí sa stránka Vytvoriť virtuálnu sieťovú bránu.

3. Na stránke Vytvoriť virtuálnu sieťovú bránu zadajte hodnoty pre vašu virtuálnu sieťovú bránu.

w4ucdcjggbmx.png

· Názov: Vnet1GW

· Typ brány: VPN

· Typ VPN: vyberte trasovanú (Route-based) VPN

· SKU: VpnGw1

BGP je podporovaný na Azure VpnGw1, VpnGw2, VpnGw3, Standard a HighPerformance SKU.
Základný SKU nie je podporovaný. Tu je potrebné vybrať minimálne VpnGw1.

· Virtuálna sieť: Kliknite na Virtuálna sieť/Vybrať virtuálnu sieť, čím otvoríte stránku Vybrať virtuálnu sieť. Vyberte VNet1.

· Verejná IP adresa: Toto nastavenie určuje verejný IP objekt, ktorý sa priradí k VPN bráne.

-Nechajte vybrané Vytvoriť novú.

-Do textového poľa zadajte Názov pre vašu verejnú IP adresu. Pre tento príklad použite VNet1GWIP.

· Zaškrtnite možnosť Konfigurovať BGP ASN a zadajte číslo ASN. Azure vyhradzuje nasledujúce ASN pre interné aj externé peerovania:

         · Verejné ASN: 8074, 8075, 12076

         · Súkromné ASN: 65515, 65517, 65518, 65519, 65520

· Miesto: vyberte rovnaké miesto ako vaša VNet

4. Kliknite na Vytvoriť pre začatie vytvárania VPN brány.

Po vytvorení brány kliknite na ľavej strane portálu na Všetky zdroje a vyberte virtuálnu sieťovú bránu pre zobrazenie ďalších informácií. Verejná IP adresa sa zobrazí na pravej strane.

4. Získanie Azure BGP Peer IP adresy

Musíte získať BGP Peer IP adresu tejto VPN brány. Táto adresa je potrebná na konfiguráciu na vašom ZyWALL ako BGP sused.

Otvorte konfiguračnú stránku vašej Azure VPN brány, aby ste ju získali.

34atj65u3n5c.png

5. Vytvorenie lokálnej sieťovej brány

Lokálna sieťová brána typicky odkazuje na vašu lokálnu (on-premises) lokalitu. Zadáte názov lokality, podľa ktorého na ňu Azure odkazuje, a potom špecifikujete IP adresu lokálneho ZyWALL zariadenia, ku ktorému vytvoríte pripojenie.

1.       V portáli kliknite na +Vytvoriť zdroj.

2.       Do vyhľadávacieho poľa zadajte Lokálna sieťová brána a stlačte Enter pre vyhľadávanie. Zobrazí sa zoznam výsledkov. Kliknite na Lokálna sieťová brána a potom kliknite na tlačidlo Vytvoriť pre otvorenie stránky Vytvoriť lokálnu sieťovú bránu.

3.       Na stránke Vytvoriť lokálnu sieťovú bránu zadajte hodnoty pre vašu lokálnu sieťovú bránu.

Najdôležitejšia časť je zoznam adresných priestorov. Tu je BGP peer IP adresa vášho ZyWALL, zvyčajne IP adresa VTI tunelového rozhrania. V tomto príklade je to 10.1.254.1/32

Zaškrtnite Konfigurovať BGP nastavenia a zadajte BGP ASN vášho ZyWALL.

BGP peer IP adresa: Zadajte IP adresu vášho VTI rozhrania na ZyWALL. V tomto príklade je to 10.1.254.1

9rrd3x2slk8z.png

6. Vytvorenie VPN pripojenia

1.       Prejdite na stránku vašej virtuálnej sieťovej brány.

2.       Na stránke VNet1GW kliknite na Pripojenia. V hornej časti stránky Pripojenia kliknite na +Pridať, čím otvoríte stránku Pridať pripojenie.

7uahk0fe9ssw.png

3.      Na stránke Pridať pripojenie nakonfigurujte hodnoty pre vaše pripojenie. Vyberte Site-to-site (IPSec) ako typ pripojenia.

Zadajte Zdieľaný kľúč (PSK), ktorý musí byť rovnaký ako predzdieľaný kľúč v nastaveniach VPN brány vášho ZyWALL.

Poznámka: Predzdieľaný kľúč musí mať aspoň 8 až 32 znakov.

wcbrlvft8sb6.png

7. Povolenie BGP na Azure VPN pripojení

1.       Prejdite na stránku vytvoreného Azure VPN pripojenia.

2.       Kliknite na Konfigurácia pre otvorenie konfiguračnej stránky.

3.       Povoliť BGP a potom kliknite na Uložiť.

dkuhb32e00dr.png

Po dokončení konfigurácie VPN na Azure portáli môžete nakonfigurovať súvisiace VPN nastavenia na vašom ZyWALL.

8. Vytvorenie pravidla VPN brány (Fáza 1)

Na ZyWALL Web GUI prejdite do sekcie KONFIGURÁCIA > VPN > IPSec VPN > VPN

Brána, kliknite na Pridať pre vytvorenie pravidla VPN brány.

Na stránke Pridať VPN bránu zadajte hodnoty pre vašu virtuálnu sieťovú bránu.

meodw6099556.png

·         Povoliť: zaškrtnite políčko Povoliť pre aktiváciu tohto pravidla

·         Názov: „Azure“ ako názov pravidla v tomto príklade

·         Verzia IKE: IKEv2

·         Adresa peer brány: vyberte statickú adresu a vyplňte verejnú IP adresu Azure virtuálnej sieťovej brány do poľa Primárna

·         Predzdieľaný kľúč: vyplňte zdieľaný kľúč (PSK) Azure VPN pripojenia

·         Životnosť SA: 28800 sekúnd

·         Šifrovací algoritmus: ponechajte predvolenú hodnotu, AES128

·         Autentifikačný algoritmus: ponechajte predvolenú hodnotu, SHA1

·         Skupina kľúčov: ponechajte predvolenú hodnotu, DH2

9. Vytvorenie pravidla VPN pripojenia (Fáza 2)

Na ZyWALL Web GUI prejdite do sekcie KONFIGURÁCIA > VPN > IPSec VPN > VPN

Pripojenie, kliknite na Pridať pre vytvorenie pravidla VPN pripojenia.

Na stránke Pridať VPN pripojenie zadajte hodnoty pre vašu virtuálnu sieťovú bránu.

na4xvbix64cn.png

·         Povoliť: zaškrtnite políčko Povoliť pre aktiváciu tohto pravidla

·         Názov: „Azure“ ako názov pravidla v tomto príklade

·         TCP MSS: 1379 bajtov

·         Scenár aplikácie: vyberte VPN tunelové rozhranie pre trasovanú VPN

·         VPN brána: vyberte „Azure“.

·         Životnosť SA: 3600 sekúnd

·         Šifrovací algoritmus: vyberte AES256

·         Autentifikačný algoritmus: ponechajte predvolenú hodnotu, SHA1

·         PFS: vyberte žiadne

Poznámka: Šifrovací algoritmus fázy 2 by mal byť AES256, aby bol plne kompatibilný s Azure VPN bránou.

10. Vytvorenie VTI rozhrania

Na ZyWALL Web GUI prejdite do sekcie KONFIGURÁCIA > Sieť > Rozhranie > VTI, kliknite na Pridať pre vytvorenie VTI rozhrania

d68jwzldb683.png

·         Názov rozhrania: vti0

·         Zóna: IPSec_VPN

·         vpn-pravidlo: Azure

·         IP adresa: 10.1.245.1

·         Maska podsiete: 255.255.255.252

11. Vytvorenie statických trás pre BGP peer

Na ZyWALL Web GUI prejdite do sekcie KONFIGURÁCIA > Sieť > Smerovanie > Statická trasa.

Pridajte trasu do Gateway Subnet Azure, v tomto príklade je to 10.0.0.0/29

Toto je trasa pre TCP spojenie BGP na Azure BGP peer IP adresu.

pr2fdpor8vdo.png

12. Konfigurácia BGP

Na ZyWALL Web GUI prejdite do sekcie KONFIGURÁCIA > Sieť > Smerovanie > BGP

1. Zadajte BGP ASN tejto lokality

2. Zadajte Router ID tohto ZyWALL. Zvyčajne to bude IP adresa LAN rozhrania vášho ZyWALL.

fj8ablursxea.png

3. Pridajte Azure BGP peer ako suseda. Zadajte IP adresu Azure BGP peer. Zadajte BGP ASN Azure VNet. Povoliť eBGP Multihop.

Vyberte VTI rozhranie ako zdroj BGP paketov odosielaných medzi peermi.

hdqb7kd1ioi9.png

4. Pridajte záznamy smerovača, ktoré chcete inzerovať Azure BGP peerovi.

2e5a5iv1vcs0.png

Články v tejto sekcii

Pomohol Vám tento článok?
0 z 0 to považovali za užitočné
Zdieľať

Príspevky

0 komentárov

Ak chcete napísať komentár, prihlásiť sa.