VPN - Microsoft (MS) Azure ile Site-to-site IPSec VPN Yapılandırması

Başka sorularınız var mı? Bir talep gönder

Bu makale, bir USG güvenlik duvarı ile Microsoft Azure Sanal Ağ Geçidi arasında site-to-site VPN oluşturmayı gösterir. Örnek, her site arasındaki VPN tünelinin nasıl yapılandırılacağını anlatır.

 

Not! Bu Makale yalnızca tek Site VPN ile çalışır. Birden fazla Site bağlantısına ihtiyacınız varsa, lütfen aşağıdaki Makaleyi kontrol edin: USG/Zywall Serisi - Azure'a Yönlendirme Tabanlı IPsec VPN Nasıl Yapılandırılır (IKEv2/IPSec Üzerinden BGP)
Nebula için: Nebula Güvenlik Geçidi (NSG) ile Azure Arasında IPSec Site-to-Site-VPN

 

1) ZyWALL/USG Üzerinde IPSec VPN Tünelini Yapılandırma

1.1 Sihirbazı Başlat ve Gelişmiş VPN Politikası Seç

ZyWALL/USG’de YAPILANDIRMA > Hızlı Kurulum > VPN Kurulum Sihirbazı bölümüne gidin, MS Azure ile kullanılabilecek bir VPN kuralı oluşturmak için VPN Ayarları sihirbazını kullanın. İleriye tıklayın.

Hızlı Kurulum > VPN Kurulum Sihirbazı > Hoşgeldiniz

Özelleştirilmiş aşama 1, aşama 2 ayarları ve kimlik doğrulama yöntemi ile bir VPN kuralı oluşturmak için Gelişmiş seçeneğini seçin. İleriye tıklayın.

Hızlı Kurulum > VPN Kurulum Sihirbazı > Hoşgeldiniz > Sihirbaz Türü

1.2 Gelişmiş VPN Ayarlarını Yapılandırma

1.2.1 Kural Adı ve Senaryoyu Yapılandırma

Bu VPN bağlantısını (ve VPN geçidini) tanımlamak için kullanılan Kural Adını yazın. 1-31 alfasayısal karakter kullanabilirsiniz. Bu değer büyük/küçük harfe duyarlıdır. Kural türü olarak Site-to-site seçin. İleriye tıklayın.

Hızlı Kurulum > VPN Kurulum Sihirbazı > Sihirbaz Türü > VPN Ayarları (Senaryo)

1.2.2 Aşama 1 Ayarlarını Yapılandırma

Ardından, Güvenli Ağ Geçidi IP adresini MS Azure’ın Ağ Geçidi IP adresi olarak yapılandırın (örnekte, 13.75.42.148); Benim Adresim olarak İnternete bağlı arayüzü seçin.

MS Azure’ın desteklediği Müzakere, Şifreleme, Kimlik Doğrulama, Anahtar Grubu ve SA Ömür Süresi ayarlarını yapın. MS Azure IKEv1 Politika tabanlı yapılandırmasında desteklenmediği için Ölü Eş Algılama (DPD) özelliğini devre dışı bıraktığınızdan emin olun. Güvenli bir Ön Paylaşımlı Anahtar girin.

Hızlı Kurulum > VPN Kurulum Sihirbazı > Hoşgeldiniz > Sihirbaz Türü > VPN Ayarları (Aşama 1 Ayarları)

1.2.3 Aşama 2 Ayarlarını Yapılandırma

MS Azure’ın desteklediği Kapsülleme, Şifreleme, Kimlik Doğrulama ve SA Ömür Süresi ayarlarını seçmek için Aşama 2 Ayarlarına devam edin.

Yerel Politikayı ZyWALL/USG’ye bağlı ağın IP adresi aralığı olarak ve Uzak Politikayı MS Azure’a bağlı ağın IP adresi aralığı olarak ayarlayın. Tamama tıklayın.

Hızlı Kurulum > VPN Kurulum Sihirbazı > Hoşgeldiniz > Sihirbaz Türü > VPN Ayarları (Aşama 2 Ayarları)

Not: MS Azure’da desteklenen IPsec Parametreleri hakkında daha fazla bilgi için, Microsoft Azure Dokümantasyonundaki VPN cihazları hakkında Site-to-Site VPN Ağ Geçidi bağlantıları bölümüne bakınız.

1.2.4 Yapılandırmayı Kontrol Et ve Kaydet

Bu ekran VPN tünelinin salt okunur özetini sağlar. Kaydete tıklayın.

Hızlı Kurulum > VPN Kurulum Sihirbazı > Hoşgeldiniz > Sihirbaz Türü > VPN Ayarları (Özet)

Artık kural ZyWALL/USG üzerinde yapılandırıldı. Aşama 1 kural ayarları VPN > IPSec VPN > VPN Geçidi ekranında, Aşama 2 kural ayarları ise VPN > IPSec VPN > VPN Bağlantısı ekranında görünür. Sihirbazdan çıkmak için Kapata tıklayın.

Hızlı Kurulum > VPN Kurulum Sihirbazı > Hoşgeldiniz > Sihirbaz Türü > VPN Ayarları > Sihirbaz Tamamlandı

2) MS Azure Üzerinde IPSec VPN Tünelini Yapılandırma

2.1 Azure Yönetim Portalına Giriş Yapın

Windows Azure Yönetim Portalına giriş yapın. Ekranın sol üst köşesinde +Yeni > Ağ > Sanal Ağ seçeneğine tıklayın.

Azure portalı > Yeni > Ağ > Sanal Ağ

2.2 Sanal Ağ Yapılandırmasından Dağıtım Modeli Seçin

Sanal Ağ panelinin altına yakın yerde, Bir dağıtım modeli seçin listesinden Kaynak Yöneticisini seçin ve ardından Oluştura tıklayın.

Yeni > Ağ > Sanal Ağ > Bir dağıtım modeli seçin

2.3 Azure’da VPN Ayarlarını Yapılandırma

Sanal ağ oluştur sayfasında VPN ağı için AD girin. Örneğin, VPN_Vnet_to_USG. Adres Alanı, Alt Ağ Adı ve tek bir Alt Ağ adres aralığı ekleyin.

Kaynak grubuna tıklayın ve mevcut bir kaynak grubunu seçin veya yeni bir kaynak grubu oluşturmak için yeni kaynak grubu adını yazın. Örneğin, RG_USG.

Konum, sanal makinelerin (VM’lerin) fiziksel konumuna (bölge) doğrudan bağlıdır. Sanal ağ ile ilişkilendirilen bölge oluşturulduktan sonra değiştirilemez.

Ardından, Oluştur düğmesine tıklayın. Oluştur’a tıkladıktan sonra, VNet’in ilerlemesini gösteren bir kutucuk kontrol panelinizde görünür. Kutucuk, VNet oluşturulurken değişecektir.

Yeni > Ağ > Sanal Ağ > Sanal ağ oluştur

2.4 Azure’da Sanal Ağ Alt Ağını Yapılandırma

Portalda, az önce oluşturduğunuz sanal ağa gidin. Sanal ağ panelinde, panelin üst kısmındaki Ayarlar simgesine tıklayın ve Alt Ağlar > Ekle > Alt Ağ Ekle bölümünü genişletin. Alt ağınıza GatewaySubnet adını verin. Başka bir ad vermeyin, aksi takdirde ağ geçidi çalışmaz. Ağ geçidiniz için IP Adres aralığını ekleyin. Alt ağ oluşturmak için panelin altındaki Tamama tıklayın.

VPN_Vnet_to_USG > Ayarlar > Alt Ağ > Alt Ağ Ekle

2.5 Azure’da Sanal Ağ Geçidini Yapılandırma

Portalda Yeniye, ardından Ağ’a gidin. Listeden Sanal ağ geçidini seçin. Sanal ağ geçidi oluştur panelindeki Ad alanına ağ geçidinizin adını yazın. Sonra bu ağ geçidini dağıtmak istediğiniz Sanal ağı seçin.

Genel IP adresi seç panelini açmak için oka (>) tıklayın. Ardından Yeni Oluştura tıklayarak Genel IP adresi oluştur panelini açın. Genel IP adresiniz için bir Ad girin. Bu IP adresi istemez; IP adresi dinamik olarak atanacaktır. Bu, adresin atanacağı IP adresi nesnesinin adıdır. Değişiklikleri kaydetmek için Tamama tıklayın.

Ağ Geçidi türü olarak VPNyi seçin. VPN türü olarak Politika tabanlıyı seçin. Kaynak Grubu, seçtiğiniz Sanal Ağ tarafından belirlenir. Konum için, Kaynak Grubunuzun ve Sanal Ağınızın bulunduğu konumu gösterdiğinden emin olun.

Yeni > Ağ > Sanal ağ geçidi oluştur > Genel IP adresi seç > Genel IP adresi oluştur

2.6 Azure’da Yerel Ağ Geçidini Yapılandırma

Azure Portalda Yeni > Ağ > Yerel ağ geçidine gidin. Yerel ağ geçidi, ZyWALL/USG genel IP’niz ve yerel alt ağ ayarlarınızı ifade eder.

Yerel ağ geçidi oluştur panelinde, ZyWALL/USG ağ geçidi nesneniz için bir Ad belirtin.

ZyWALL/USG’nizin genel IP adresini belirtin. NAT arkasında olmamalı ve Azure tarafından erişilebilir olmalıdır. Adres alanı, ZyWALL/USG yerel ağınızdaki adres aralıklarını ifade eder. Kaynak Grubu için, daha önce oluşturduğunuz kaynak grubunu seçin. Konum için, yeni bir yerel ağ geçidi oluşturuyorsanız, sanal ağ geçidi ile aynı konumu kullanabilirsiniz. Ancak bu zorunlu değildir. Yerel ağ geçidi farklı bir konumda olabilir.

Yerel ağ geçidini oluşturmak için Oluştur’a tıklayın.

Yeni > Ağ > Yerel ağ geçidi  

2.7 Bağlantı Ekle

Sanal ağ geçidinizi bulun (örnekte VPN_Connection_to_USG) ve Ayarlar > Bağlantı > Bağlantı ekleye tıklayın, bağlantınıza bir Ad verin. Bağlantı türü olarak Site-to-site (IPSec) seçin. Sanal ağ geçidi için değer sabittir çünkü bu ağ geçidinden (örnekte VPN_GW_to_USG) bağlanıyorsunuz.

Yerel ağ geçidi için kullanmak istediğiniz yerel ağ geçidini seçin (örnekte VPN_Connection_to_USG).

Paylaşılan Anahtar (PSK) burada girilen değer, ZyWALL/USG cihazınızda kullandığınız değerle eşleşmelidir. Kaynak Grubu için daha önce oluşturduğunuz kaynak grubunu seçin. Bağlantınızı oluşturmak için Tamama tıklayın.

VPN_Connection_to_USG > Ayarlar > Bağlantılar > Bağlantı ekle

2.8 Bağlantı Ayarlarını Kontrol Et

Bağlantı tamamlandığında, Ağ Geçidiniz için Bağlantılar panelinde görünecektir.

VPN_Connection_to_USG > Ayarlar > Bağlantılar

3) IPSec VPN Tünel Bağlantısını Test Etme

ZyWALL/USG’de YAPILANDIRMA > VPN > IPSec VPN > VPN Bağlantısına gidin, üst çubuktaki Bağlana tıklayın. Bağlantı durumu simgesi, arayüz bağlı olduğunda yanar.

YAPILANDIRMA > VPN > IPSec VPN > VPN Bağlantısı

ZyWALL/USG’de İZLE > VPN İzleyici > IPSec bölümüne gidin ve tünelin Çalışma Süresini ve Gelen (Bayt)/Giden (Bayt) trafiğini doğrulayın.

İZLE > VPN İzleyici > IPSec

Azure_Vnet_USG > Ayarlar bölümüne giderek tünelin GİREN VERİ ve ÇIKAN VERİ değerlerini kontrol edin.

VPN > VPN Ayarları > Şu Anda Aktif VPN Tünelleri

Tünelin çalışıp çalışmadığını test etmek için, bir sitedeki bilgisayardan diğer sitedeki bilgisayara ping atın. Her iki bilgisayarın da İnternet erişimi olduğundan emin olun.

ZyWALL/USG arkasındaki PC > Windows 7 > cmd > ping 10.1.0.33

MS Azure arkasındaki PC > Windows 7 > cmd > ping 192.77.1.33

Bu bölümdeki makaleler

Bu makale yardımcı oldu mu?
0 kişi içerisinden 0 kişi bunun yardımcı olduğunu düşündü
Paylaş

Yorumlar

0 yorum

Yorum yazmak için lütfen oturum açın: oturum aç.