Den här artikeln visar hur man skapar en site-to-site VPN mellan en USG-brandvägg och Microsoft Azure Virtual Gateway. Exemplet instruerar hur man konfigurerar VPN-tunneln mellan varje plats.
Observera! Denna artikel fungerar endast med en enda plats VPN. Om du behöver flera platser anslutna, vänligen se följande artikel: USG/Zywall Series - Hur man konfigurerar Route-baserad IPsec VPN till Azure (BGP över IKEv2/IPSec)
För Nebula: IPSec Site-to-Site-VPN från Nebula Security Gateway (NSG) till Azure
1) Konfigurera IPSec VPN-tunnel på ZyWALL/USG
1.1 Starta guiden & välj Avancerad VPN-policy
I ZyWALL/USG, gå till CONFIGURATION > Quick Setup > VPN Setup Wizard, använd VPN Settings-guiden för att skapa en VPN-regel som kan användas med MS Azure. Klicka på Nästa.
Quick Setup > VPN Setup Wizard > Välkommen
Välj Avancerad för att skapa en VPN-regel med anpassade inställningar för fas 1, fas 2 och autentiseringsmetod. Klicka på Nästa.
Quick Setup > VPN Setup Wizard > Välkommen > Guidetyp
1.2 Konfigurera de avancerade VPN-inställningarna
1.2.1 Konfigurera regelnamn & scenario
Skriv in Regelnamn som används för att identifiera denna VPN-anslutning (och VPN-gateway). Du kan använda 1-31 alfanumeriska tecken. Detta värde är skiftlägeskänsligt. Välj regeln som Site-to-site. Klicka på Nästa.
Quick Setup > VPN Setup Wizard > Guidetyp > VPN-inställningar (Scenario)
1.2.2 Konfigurera fas 1-inställningarna
Konfigurera sedan Secure Gateway IP som peer MS Azures Gateway IP-adress (i exemplet 13.75.42.148); välj My Address som gränssnittet anslutet till Internet.
Ange Negotiation, Encryption, Authentication, Key Group och SA Life Time som MS Azure stöder. Se till att du inaktiverar Dead Peer Detection (DPD) som inte stöds i MS Azures IKEv1 Policy-baserade inställning. Skriv in en säker Pre-Shared Key.
Quick Setup > VPN Setup Wizard > Välkommen > Guidetyp > VPN-inställningar (Fas 1-inställning)
1.2.3 Konfigurera fas 2-inställningarna
Fortsätt till fas 2-inställningarna för att välja Encapsulation, Encryption, Authentication och SA Life Time som MS Azure stöder.
Ange Local Policy som IP-adressintervallet för nätverket anslutet till ZyWALL/USG och Remote Policy som IP-adressintervallet för nätverket anslutet till MS Azure. Klicka på OK.
Quick Setup > VPN Setup Wizard > Välkommen > Guidetyp > VPN-inställningar (Fas 2-inställning)

Notera: För mer information om IPsec-parametrar som stöds i MS Azure, se Microsoft Azure-dokumentationen Om VPN-enheter för Site-to-Site VPN Gateway-anslutningar.
1.2.4 Kontrollera & spara konfigurationen
Denna skärm visar en skrivskyddad sammanfattning av VPN-tunneln. Klicka på Spara.
Quick Setup > VPN Setup Wizard > Välkommen > Guidetyp > VPN-inställningar (Sammanfattning)
Nu är regeln konfigurerad på ZyWALL/USG. Fas 1-regelinställningarna visas i VPN > IPSec VPN > VPN Gateway-skärmen och fas 2-regelinställningarna visas i VPN > IPSec VPN > VPN Connection-skärmen. Klicka på Stäng för att avsluta guiden.
Quick Setup > VPN Setup Wizard > Välkommen > Guidetyp > VPN-inställningar > Guiden slutförd
2) Konfigurera IPSec VPN-tunnel på MS Azure
2.1 Logga in på Azure Management Portal
Logga in på Windows Azure Management Portal. Klicka i det övre vänstra hörnet på skärmen på +New > Networking > Virtual Network.
Azure portal > New > Networking > Virtual Network
2.2 Välj en distribueringsmodell i Virtual Network-konfigurationen
Längst ner i Virtual Network-panelen, från listan Select a deployment model, välj Resource Manager och klicka sedan på Create.
New > Networking > Virtual Network > Välj en distribueringsmodell
2.3 Konfigurera VPN-inställningarna på Azure
På sidan Create virtual network, ange NAMN för VPN-nätverket. Till exempel VPN_Vnet_to_USG. Lägg till ditt Address Space, Subnet name och ett enda Subnet address range.
Klicka på Resource group och välj antingen en befintlig resursgrupp eller skapa en ny genom att skriva ett namn för din nya resursgrupp. Till exempel RG_USG.
LOCATION är direkt relaterat till den fysiska platsen (regionen) där virtuella maskiner (VMs) finns. Regionen som är kopplad till det virtuella nätverket kan inte ändras efter att det har skapats.
Klicka sedan på Create-knappen. Efter att du klickat på Create kommer du att se en ruta på din instrumentpanel som visar VNet:ets skapandeprocess. Rutan ändras medan VNet skapas.
New > Networking > Virtual Network > Skapa virtuellt nätverk
2.4 Konfigurera den virtuella nätverkssubnet på Azure
I portalen, navigera till det virtuella nätverk du just skapade. På din virtuella nätverkspanel klickar du på Settings-ikonen högst upp för att expandera inställningspanelen till Subnets > Add > Add Subnet. Namnge din subnet GatewaySubnet. Du bör inte namnge den något annat, annars fungerar inte gatewayen. Lägg till IP-Address range för din gateway. Klicka på OK längst ner i panelen för att skapa subneten.
VPN_Vnet_to_USG > Settings > Subnet > Add subnet
2.5 Konfigurera Virtual Network Gateway på Azure
I portalen, gå till New, sedan Networking. Välj Virtual network gateway från listan. På panelen Create virtual network gateway i fältet Name, namnge din gateway. Välj sedan det Virtual network som du vill distribuera denna gateway till.
Klicka på pilen (>) för att öppna panelen Choose public IP address. Klicka sedan på Create New för att öppna panelen Create public IP address. Ange ett Name för din publika IP-adress. Observera att detta inte är en fråga om IP-adressen. IP-adressen tilldelas dynamiskt. Detta är namnet på IP-adressobjektet som adressen kommer att tilldelas. Klicka på OK för att spara dina ändringar.
För Gateway type, välj VPN. För VPN type, välj Policy-based. För Resource Group bestäms resursgruppen av det virtuella nätverk du väljer. För Location, se till att det visar platsen där både din Resource Group och VNet finns.
New > Networking > Skapa virtual network gateway > Välj public IP-adress > Skapa public IP-adress
2.6 Konfigurera Local Network Gateway på Azure
I Azure-portalen, navigera till New > Networking > Local network gateway. Local network gateway refererar till din ZyWALL/USG offentliga IP och lokala subnet-inställningar.
På panelen Create local network gateway, ange ett namn för din ZyWALL/USG gateway-objekt.
Ange den offentliga IP-adressen för din ZyWALL/USG. Den kan inte vara bakom NAT och måste vara nåbar från Azure. Address space refererar till adressintervallen i ditt lokala nätverk på ZyWALL/USG. För Resource Group, välj den resursgrupp du skapade tidigare. För Location, om du skapar en ny local network gateway kan du använda samma plats som den virtuella nätverks-gatewayen. Men detta är inte obligatoriskt. Den lokala nätverks-gatewayen kan finnas på en annan plats.
Klicka på Create för att skapa den lokala nätverks-gatewayen.
New > Networking > Local network gateway
2.7 Lägg till anslutning
Hitta din virtuella nätverks-gateway (VPN_Connection_to_USG i detta exempel) och klicka på Settings > Connection > Add connection, namnge din anslutning. För Connection type, välj Site-to-site (IPSec). För Virtual network gateway är värdet fast eftersom du ansluter från denna gateway (VPN_GW_to_USG i detta exempel).
För Local network gateway, välj den lokala nätverks-gateway som du vill använda (VPN_Connection_to_USG i detta exempel).
För Shared Key (PSK) måste värdet här matcha det värde du använder för din ZyWALL/USG-enhet. För Resource Group, välj den resursgrupp som du skapade tidigare. Klicka på OK för att skapa din anslutning.
VPN_Connection_to_USG > Settings > Connections > Lägg till anslutning
2.8 Kontrollera anslutningsinställningarna
När anslutningen är klar kommer du att se den visas i Connections-panelen för din gateway.
VPN_Connection_to_USG > Settings > Connections
3) Testa IPSec VPN-tunnelns anslutning
Gå till ZyWALL/USG CONFIGURATION > VPN > IPSec VPN > VPN Connection, klicka på Connect i övre menyn. Status-anslutningsikonen lyser när gränssnittet är anslutet.
CONFIGURATION > VPN > IPSec VPN > VPN Connection
Gå till ZyWALL/USG MONITOR > VPN Monitor > IPSec och verifiera tunnelns Up Time samt Inbound(Bytes)/Outbound(Bytes)-trafik.
MONITOR > VPN Monitor > IPSec
Gå till Azure_Vnet_USG > Settings för att kontrollera tunnelns DATA IN och DATA OUT.
VPN > VPN Settings > Aktuellt aktiva VPN-tunnlar
För att testa om en tunnel fungerar, pinga från en dator på en plats till en dator på den andra. Se till att båda datorerna har internetåtkomst.
PC bakom ZyWALL/USG > Windows 7 > cmd > ping 10.1.0.33
PC bakom MS Azure > Windows 7 > cmd > ping 192.77.1.33


Kommentarer
0 kommentarerlogga in för att lämna en kommentar.