Nastavení brány VPN pro Azure Stack Hub pomocí síťového virtuálního zařízení FortiGate

  • Článek

Tento článek popisuje, jak vytvořit připojení VPN ke službě Azure Stack Hub. Brána VPN je typ brány virtuální sítě, která odesílá šifrovaný provoz mezi virtuální sítí ve službě Azure Stack Hub a vzdálenou bránou VPN. Následující postup nasadí jednu virtuální síť se síťovým virtuálním zařízením FortiGate v rámci skupiny prostředků. Obsahuje také postup nastavení sítě IPSec VPN na síťovém virtuálním zařízení FortiGate.

Požadavky

  • Přístup k integrovaným systémům Azure Stack Hub s dostupnou kapacitou pro nasazení požadovaných požadavků na výpočetní prostředky, síť a prostředky potřebné pro toto řešení.

    Poznámka

    Tyto pokyny nebudou fungovat se sadou Azure Stack Development Kit (ASDK) kvůli omezením sítě v ASDK. Další informace najdete v tématu Požadavky a důležité informace o ASDK.

  • Přístup k zařízení VPN v místní síti, které je hostitelem integrovaného systému Azure Stack Hub. Zařízení musí vytvořit tunel IPSec, který splňuje parametry popsané v části Parametry nasazení.

  • Řešení síťového virtuálního zařízení dostupné na marketplace služby Azure Stack Hub. Síťové virtuální zařízení řídí tok síťového provozu z hraniční sítě do jiných sítí nebo podsítí. Tento postup používá jednoúčelové řešení brány firewall nové generace Fortinet FortiGate.

    Poznámka

    Pokud na marketplace služby Azure Stack Hub nemáte k dispozici fortinet FortiGate-VM pro Azure BYOL a FortiGate NGFW – jednoúčelové nasazení virtuálního počítače (BYOL), obraťte se na svého operátora cloudu.

  • K aktivaci síťového virtuálního zařízení FortiGate budete potřebovat alespoň jeden dostupný licenční soubor FortiGate. Informace o tom, jak tyto licence získat, najdete v článku o registraci a stažení licence v knihovně dokumentů Fortinet.

    Tento postup používá nasazení Single FortiGate-VM. Tady najdete postup připojení síťového virtuálního zařízení FortiGate k virtuální síti Azure Stack Hub ve vaší místní síti.

    Další informace o nasazení řešení FortiGate v nastavení aktivní-pasivní (HA) najdete v článku o vysoké dostupnosti knihovny dokumentů Fortinet pro fortiGate-VM v Azure.

Parametry nasazení

Následující tabulka shrnuje parametry, které se v těchto nasazeních používají pro referenci.

Parametr Hodnota
Název instance FortiGate forti1
Licence/verze BYOL 6.0.3
Uživatelské jméno správce FortiGate fortiadmin
Název skupiny prostředků forti1-rg1
Název virtuální sítě forti1vnet1
Adresní prostor virtuální sítě 172.16.0.0/16*
Název podsítě veřejné virtuální sítě forti1-PublicFacingSubnet
Předpona adresy veřejné virtuální sítě 172.16.0.0/24*
Název podsítě virtuální sítě forti1-InsideSubnet
Předpona podsítě virtuální sítě 172.16.1.0/24*
Velikost virtuálního počítače pro síťové virtuální zařízení FortiGate Standardní F2s_v2
Název veřejné IP adresy forti1-publicip1
Typ veřejné IP adresy Static

Poznámka

* Zvolte jiný adresní prostor a předpony podsítě, pokud 172.16.0.0/16 se překrývají s místní sítí nebo fondem virtuálních ip adres služby Azure Stack Hub.

Nasazení položek FortiGate na webu NGFW Marketplace

  1. Otevřete uživatelský portál služby Azure Stack Hub.

  2. Vyberte Vytvořit prostředek a vyhledejte FortiGate.

    Seznam výsledků hledání zobrazuje FortiGate NGFW – nasazení jednoho virtuálního počítače.

  3. Vyberte FortiGate NGFW a vyberte Vytvořit.

  4. Dokončete základy pomocí parametrů z tabulky Parametry nasazení .

    Obrazovka Základy obsahuje hodnoty z tabulky parametrů nasazení zadané v seznamu a textových polích.

  5. Vyberte OK.

  6. Zadejte podrobnosti o virtuální síti, podsítích a velikosti virtuálního počítače pomocí tabulky Parametry nasazení .

    Upozornění

    Pokud se místní síť překrývá s rozsahem 172.16.0.0/16IP adres , musíte vybrat a nastavit jiný rozsah sítě a podsítě. Pokud chcete použít jiné názvy a rozsahy, než jsou názvy v tabulce Parametry nasazení , použijte parametry, které nebudou v konfliktu s místní sítí. Při nastavování rozsahu IP adres virtuální sítě a rozsahů podsítí ve virtuální síti dbejte na pozoru. Nechcete, aby se rozsah překrýval s rozsahy IP adres, které existují ve vaší místní síti.

  7. Vyberte OK.

  8. Nakonfigurujte veřejnou IP adresu pro síťové virtuální zařízení FortiGate:

    V dialogovém okně Přiřazení IP adresy se zobrazí hodnota forti1-publicip1 pro název veřejné IP adresy a statická pro typ veřejné IP adresy.

  9. Vyberte OK. A pak vyberte OK.

  10. Vyberte Vytvořit.

    Nasazení bude trvat přibližně 10 minut.

Konfigurace tras (UDR) pro virtuální síť

  1. Otevřete uživatelský portál služby Azure Stack Hub.

  2. Vyberte Skupiny prostředků. Zadejte forti1-rg1 filtr a poklikejte na skupinu prostředků forti1-rg1.

    Pro skupinu prostředků forti1-rg1 je uvedeno deset prostředků.

  3. Vyberte prostředek forti1-forti1-InsideSubnet-routes-xxxx.

  4. V části Nastavení vyberte Trasy.

    V dialogovém okně Nastavení je vybrané tlačítko Trasy.

  5. Odstraňte trasu do internetu .

    Trasa do internetu je jedinou uvedenou trasou a je vybraná. K dispozici je tlačítko odstranit.

  6. Vyberte Ano.

  7. Vyberte Přidat a přidejte novou trasu.

  8. Pojmenujte trasu to-onprem.

  9. Zadejte rozsah sítě IP, který definuje rozsah sítě místní sítě, ke které se bude SÍŤ VPN připojovat.

  10. Jako Typ dalšího segmentu směrování vyberte Virtuální zařízení a 172.16.1.4. Pokud používáte jiný rozsah IP adres, použijte svůj rozsah IP adres.

    Dialogové okno Přidat trasu zobrazuje čtyři hodnoty, které byly zadány do textových polí.

  11. Vyberte Uložit.

Aktivace síťového virtuálního zařízení FortiGate

Aktivujte síťové virtuální zařízení FortiGate a nastavte připojení IPSec VPN na každém síťovém virtuálním zařízení.

K aktivaci každého síťového virtuálního zařízení FortiGate bude vyžadovat platný licenční soubor z Fortinetu. Síťová virtuální zařízení nebudou fungovat, dokud neaktivujete jednotlivá síťová virtuální zařízení. Další informace o tom, jak získat licenční soubor a postup aktivace síťového virtuálního zařízení, najdete v článku o registraci a stažení licence v knihovně dokumentů Fortinet.

Po aktivaci síťových virtuálních zařízení vytvořte na síťovém virtuálním zařízení tunel VPN IPSec.

  1. Otevřete uživatelský portál služby Azure Stack Hub.

  2. Vyberte Skupiny prostředků. Zadejte forti1 do filtru a poklikejte na skupinu prostředků forti1.

  3. V seznamu typů prostředků v okně skupiny prostředků poklikejte na virtuální počítač forti1 .

    Na stránce přehledu virtuálního počítače forti1 se zobrazují hodnoty pro forti1, například

  4. Zkopírujte přiřazenou IP adresu, otevřete prohlížeč a vložte IP adresu do panelu Adresa. Web může aktivovat upozornění, že certifikát zabezpečení není důvěryhodný. Přesto pokračujte.

  5. Zadejte uživatelské jméno a heslo pro správu FortiGate, které jste zadali během nasazení.

    Dialogové okno přihlášení obsahuje textová pole pro uživatele a heslo a tlačítko Přihlásit se.

  6. Vyberte Firmware systému>.

  7. Zaškrtněte políčko s nejnovějším firmwarem, FortiOS v6.2.0 build0866například .

    Dialogové okno Firmware má identifikátor firmwaru FortiOS v6.2.0 build0866. K dispozici je odkaz na poznámky k verzi a dvě tlačítka: Konfigurace a upgrade zálohování a Upgrade.

  8. Vyberte Konfigurace zálohování a upgrade>Pokračovat.

  9. Síťové virtuální zařízení aktualizuje svůj firmware na nejnovější build a restartuje se. Proces trvá asi pět minut. Přihlaste se zpět do webové konzoly FortiGate.

  10. Klikněte na Průvodce VPN>IPSec.

  11. Zadejte název sítě VPN, například conn1 v Průvodci vytvořením sítě VPN.

  12. Vyberte Tento web je za překladem adres (NAT).

    Snímek obrazovky Průvodce vytvořením sítě VPN ukazuje, že je v prvním kroku – Nastavení sítě VPN. Jsou vybrány následující hodnoty:

  13. Vyberte Další.

  14. Zadejte vzdálenou IP adresu místního zařízení VPN, ke kterému se chcete připojit.

  15. Jako odchozí rozhraní vyberte port1.

  16. Vyberte Předsdílený klíč a zadejte (a zaznamenejte) předsdílený klíč.

    Poznámka

    Tento klíč budete potřebovat k nastavení připojení k místnímu zařízení VPN, to znamená, že se musí přesně shodovat.

    Snímek obrazovky Průvodce vytvořením sítě VPN ukazuje, že se nachází ve druhém kroku– Ověřování a vybrané hodnoty jsou zvýrazněné.

  17. Vyberte Další.

  18. Jako místní rozhraní vyberte port2.

  19. Zadejte rozsah místní podsítě:

    • forti1: 172.16.0.0/16
    • forti2: 172.17.0.0/16

    Pokud používáte jiný rozsah IP adres, použijte svůj rozsah IP adres.

  20. Zadejte příslušné vzdálené podsítě, které představují místní síť, ke které se budete připojovat prostřednictvím místního zařízení VPN.

    Snímek obrazovky Průvodce vytvořením sítě VPN ukazuje, že je ve třetím kroku, Zásady & Směrování. Zobrazí vybrané a zadané hodnoty.

  21. Vyberte Vytvořit.

  22. Vyberte Síťová>rozhraní.

    Seznam rozhraní zobrazuje dvě rozhraní: port1, který je nakonfigurovaný, a port2, který není nakonfigurovaný. K dispozici jsou tlačítka pro vytváření, úpravy a odstraňování rozhraní.

  23. Poklikejte na port2.

  24. V seznamu Role zvolte SÍŤ LAN a jako režim adresování zvolte DHCP.

  25. Vyberte OK.

Konfigurace místní sítě VPN

Místní zařízení VPN musí být nakonfigurované tak, aby vytvořilo tunel IPSec VPN. Následující tabulka obsahuje parametry, které budete potřebovat k nastavení místního zařízení VPN. Informace o konfiguraci místního zařízení VPN najdete v dokumentaci k vašemu zařízení.

Parametr Hodnota
IP adresa vzdálené brány Veřejná IP adresa přiřazená forti1 – viz Aktivace síťového virtuálního zařízení FortiGate.
Vzdálená ip síť 172.16.0.0/16 (pokud pro virtuální síť používáte rozsah IP adres v těchto pokynech).
Auth. Method = Preshared key (PSK) Z kroku 16.
Verze IKE 1
Režim IKE Main (ochrana ID)
Algoritmy návrhu fáze 1 AES128-SHA256, AES256-SHA256, AES128-SHA1, AES256-SHA1
skupiny Diffie-Hellman 14, 5

Vytvoření tunelu VPN

Jakmile je místní zařízení VPN správně nakonfigurované, je teď možné vytvořit tunel VPN.

Z síťového virtuálního zařízení FortiGate:

  1. Ve webové konzole forti1 FortiGate přejděte na Monitorování>monitorování protokolu IPsec.

    Je uveden monitor připojení VPN conn1. Zobrazuje se jako mimo provoz, stejně jako odpovídající selektor fáze 2.

  2. Zvýrazněte conn1 a vyberteSelektoryVyvolat> všechny fáze 2.

    Monitor a Selektor fáze 2 se zobrazí jako nahoře.

Testování a ověření připojení

Můžete směrovat mezi sítí virtuální sítě a místní sítí prostřednictvím místního zařízení VPN.

Ověření připojení:

  1. Vytvořte virtuální počítač ve virtuálních sítích služby Azure Stack Hub a v systému v místní síti. Pokyny k vytvoření virtuálního počítače najdete v tématu Rychlý start: Vytvoření virtuálního počítače s Windows Serverem pomocí portálu Azure Stack Hub.

  2. Při vytváření virtuálního počítače Azure Stack Hub a přípravě místního systému zkontrolujte:

  • Virtuální počítač služby Azure Stack Hub se umístí do vnitřní podsítě virtuální sítě.

  • Místní systém je umístěn v místní síti v rámci definovaného rozsahu IP adres, jak je definováno v konfiguraci protokolu IPSec. Ujistěte se také, že místní IP adresa místního zařízení VPN je k místnímu systému poskytována jako trasa, která se může dostat do sítě virtuální sítě Azure Stack Hub, 172.16.0.0/16například .

  • Při vytváření neaplikujte na virtuální počítač služby Azure Stack Hub žádné skupiny zabezpečení sítě. Při vytváření virtuálního počítače z portálu může být potřeba odebrat skupinu zabezpečení sítě, která se přidá ve výchozím nastavení.

  • Ujistěte se, že místní systémový operační systém a operační systém virtuálního počítače Azure Stack Hub nemají pravidla brány firewall operačního systému, která by zakazovala komunikaci, kterou budete používat k testování připojení. Pro účely testování se doporučuje zcela zakázat bránu firewall v operačním systému obou systémů.

Další kroky

Rozdíly a důležité informace týkající se sítí služby Azure Stack Hub
Nabídka síťového řešení ve službě Azure Stack Hub s fortinet FortiGate