VNET-zu-VNET-Konnektivität mit Fortigate

  • Artikel
  • 7 Minuten Lesedauer

In diesem Artikel wird beschrieben, wie Sie eine Verbindung zwischen zwei virtuellen Netzwerken in derselben Umgebung herstellen. Im Rahmen der Verbindungseinrichtung werden Sie auch mit der Funktionsweise von VPN-Gateways in Azure Stack Hub vertraut gemacht. Verbinden Sie zwei VNETs in derselben Azure Stack Hub-Umgebung, indem Sie Fortinet FortiGate verwenden. Bei diesem Verfahren werden zwei VNETs mit einer FortiGate NVA (virtuelles Netzwerkgerät, Network Virtual Appliance) in jedem VNET bereitgestellt – jeweils in einer separaten Ressourcengruppe. Darüber hinaus werden die Änderungen beschrieben, die für die Einrichtung eines IPSec-VPN zwischen den beiden VNETs vorgenommen werden müssen. Wiederholen Sie die Schritte in diesem Artikel für jede VNET-Bereitstellung.

Voraussetzungen

  • Zugriff auf ein System mit verfügbarer Kapazität, um die Compute-, Netzwerk- und Ressourcenanforderungen für diese Lösung zu erfüllen.

  • Eine Lösung für ein virtuelles Netzwerkgerät (Network Virtual Appliance, NVA), die heruntergeladen und im Azure Stack Hub-Marketplace veröffentlicht wird. Mit einem virtuellen Netzwerkgerät (Network Virtual Appliance, NVA) wird der Fluss des Netzwerkdatenverkehrs aus einem Umkreisnetzwerk in andere Netzwerke oder Subnetze gesteuert. In diesem Verfahren wird die Lösung FortiGate Next-Generation Firewall – Single VM genutzt.

  • Mindestens zwei verfügbare FortiGate-Lizenzdateien zum Aktivieren der FortiGate NVA. Informationen zur Beschaffung dieser Lizenzen finden Sie in der Fortinet-Dokumentbibliothek im Artikel zum Registrieren und Herunterladen Ihrer Lizenz.

    In diesem Verfahren wird die Bereitstellung einer einzelnen FortiGate-VM durchgeführt. Sie finden die Schritte zum Herstellen einer Verbindung zwischen der FortiGate NVA und dem Azure Stack Hub-VNET in Ihrem lokalen Netzwerk.

    Weitere Informationen zur Bereitstellung der FortiGate-Lösung als Aktiv/Passiv-Setup (zur Erzielung von Hochverfügbarkeit) finden Sie in der Fortinet-Dokumentbibliothek im Artikel zur Hochverfügbarkeit für FortiGate-VM in Azure.

Bereitstellungsparameter

In der folgenden Tabelle sind als Referenz die Parameter zusammengefasst, die in diesen Bereitstellungen verwendet werden:

Erste Bereitstellung: Forti1

Name der FortiGate-Instanz Forti1
BYOL: Lizenz/Version 6.0.3
Benutzername des FortiGate-Administrators fortiadmin
Ressourcengruppenname forti1-rg1
Name des virtuellen Netzwerks forti1vnet1
VNET-Adressraum 172.16.0.0/16*
Name des öffentlichen VNET-Subnetzes forti1-PublicFacingSubnet
Präfix der öffentlichen VNET-Adresse 172.16.0.0/24*
Name des Subnetzes im VNET forti1-InsideSubnet
Präfix des Subnetzes im VNET 172.16.1.0/24*
VM-Größe der FortiGate NVA Standard F2s_v2
Name der öffentlichen IP-Adresse forti1-publicip1
Typ der öffentlichen IP-Adresse statischen

Zweite Bereitstellung: Forti2

Name der FortiGate-Instanz Forti2
BYOL: Lizenz/Version 6.0.3
Benutzername des FortiGate-Administrators fortiadmin
Ressourcengruppenname forti2-rg1
Name des virtuellen Netzwerks forti2vnet1
VNET-Adressraum 172.17.0.0/16*
Name des öffentlichen VNET-Subnetzes forti2-PublicFacingSubnet
Präfix der öffentlichen VNET-Adresse 172.17.0.0/24*
Name des Subnetzes im VNET Forti2-InsideSubnet
Präfix des Subnetzes im VNET 172.17.1.0/24*
VM-Größe der FortiGate NVA Standard F2s_v2
Name der öffentlichen IP-Adresse Forti2-publicip1
Typ der öffentlichen IP-Adresse statischen

Hinweis

* Wählen Sie andere Adressräume und Subnetzpräfixe aus, falls es für die obigen Angaben zu Überschneidungen mit der lokalen Netzwerkumgebung kommt, einschließlich dem VIP-Pool der beiden Azure Stack Hub-Instanzen. Stellen Sie auch sicher, dass sich die Adressbereiche nicht gegenseitig überschneiden.

Bereitstellen der FortiGate NGFW

  1. Öffnen Sie das Azure Stack Hub-Benutzerportal.

  2. Wählen Sie Ressource erstellen aus, und suchen Sie nach FortiGate.

    The search results list shows FortiGate NGFW - Single VM Deployment.

  3. Wählen Sie FortiGate NGFW und dann die Option Erstellen aus.

  4. Fügen Sie unter Grundlagen die Parameter aus der Tabelle unter Bereitstellungsparameter ein.

    The Basics screen has values from the deployment parameters selected and entered in list and text boxes.

  5. Klicken Sie auf OK.

  6. Geben Sie die Details zum virtuellen Netzwerk, zu den Subnetzen und zur VM-Größe ein, indem Sie die Tabelle unter Bereitstellungsparameter verwenden.

    Warnung

    Falls es für das lokale Netzwerk zu einer Überschneidung mit dem IP-Adressbereich 172.16.0.0/16 kommt, müssen Sie einen anderen Netzwerkbereich und entsprechende Subnetze auswählen und einrichten. Wenn Sie andere Namen und Bereiche als in der Tabelle Bereitstellungsparameter verwenden möchten, sollten Sie Parameter nutzen, die nicht mit dem lokalen Netzwerk in Konflikt stehen. Gehen Sie beim Festlegen des VNET-IP-Bereichs und der Subnetzbereiche im VNET mit Bedacht vor. Der Bereich darf sich nicht mit den IP-Adressbereichen in Ihrem lokalen Netzwerk überschneiden.

  7. Klicken Sie auf OK.

  8. Konfigurieren Sie die öffentliche IP-Adresse für die Fortigate NVA:

    The IP Assignment dialog box shows the value forti1-publicip1 for

  9. Klicken Sie auf OK. Wählen Sie dann OK.

  10. Klicken Sie auf Erstellen.

Die Bereitstellung dauert ungefähr zehn Minuten.

Konfigurieren von Routen (UDRs) für jedes VNET

Führen Sie diese Schritte für beide Bereitstellungen aus („forti1-rg1“ und „forti2-rg1“).

  1. Öffnen Sie das Azure Stack Hub-Benutzerportal.

  2. Wählen Sie die Option „Ressourcengruppen“ aus. Geben Sie forti1-rg1 in den Filter ein, und doppelklicken Sie auf die Ressourcengruppe „forti1-rg1“.

    Ten resources are listed for the forti1-rg1 resource group.

  3. Wählen Sie die Ressource forti1-forti1-InsideSubnet-routes-xxxx aus.

  4. Wählen Sie unter Einstellungen die Option Routen aus.

    The Routes button is selected in the Settings dialog box.

  5. Löschen Sie die Route to-Internet.

    The to-Internet Route is the only route listed, and it is selected. There is a delete button.

  6. Wählen Sie Ja.

  7. Wählen Sie Hinzufügen aus, um eine neue Route hinzuzufügen.

  8. Geben Sie der Route den Namen to-onprem.

  9. Geben Sie den IP-Adressbereich für das Netzwerk ein, mit dem der Netzwerkbereich des lokalen Netzwerks definiert wird, mit dem per VPN eine Verbindung hergestellt wird.

  10. Wählen Sie unter Typ des nächsten Hops die Option Virtuelles Gerät und dann 172.16.1.4 aus. Verwenden Sie Ihren IP-Adressbereich, falls er sich von diesem IP-Adressbereich unterscheidet.

    The Add route dialog box shows the four values that have been selected and entered in the text boxes.

  11. Wählen Sie Speichern aus.

Sie benötigen jeweils eine gültige Lizenzdatei von Fortinet, um eine FortiGate NVA zu aktivieren. Die NVAs funktionieren erst, nachdem Sie sie aktiviert haben. Weitere Informationen zum Beschaffen einer Lizenzdatei und die Schritte zum Aktivieren der NVA finden Sie in der Fortinet-Dokumentbibliothek im Artikel zum Registrieren und Herunterladen Ihrer Lizenz.

Sie müssen zwei Lizenzdateien beschaffen: eine für jede NVA.

Erstellen eines IPSec-VPN zwischen den beiden NVAs

Führen Sie nach dem Aktivieren der NVAs diese Schritte aus, um ein IPSec-VPN zwischen den beiden NVAs zu erstellen.

Führen Sie die unten angegebenen Schritte jeweils für die forti1-NVA und die forti2-NVA aus:

  1. Navigieren Sie zur Seite mit der Übersicht für die fortiX-VM, um die zugewiesene öffentliche IP-Adresse abzurufen:

    The forti1 virtual machine Overview page show values for forti1, such as the

  2. Kopieren Sie die zugewiesene IP-Adresse, öffnen Sie einen Browser, und fügen Sie die Adresse in die Adressleiste ein. In Ihrem Browser wird ggf. eine Warnung mit dem Hinweis angezeigt, dass das Sicherheitszertifikat nicht vertrauenswürdig ist. Setzen Sie den Vorgang trotzdem fort.

  3. Geben Sie den Benutzernamen für den FortiGate-Administrator, den Sie bei der Bereitstellung angegeben haben, und das zugehörige Kennwort ein.

    The login dialog box has user and password text boxes, and a Login button.

  4. Wählen Sie System>Firmware aus.

  5. Wählen Sie das Feld aus, in dem die aktuelle Firmware angezeigt wird, z. B. FortiOS v6.2.0 build0866.

    The Firmware dialog box has the firmware identifier

  6. Wählen Sie Backup config and upgrade>Continue (Konfiguration sichern und aktualisieren > Weiter) aus.

  7. Für die NVA wird die Firmware auf den neuesten Build aktualisiert und ein Neustart durchgeführt. Der Vorgang dauert ungefähr fünf Minuten. Melden Sie sich wieder an der FortiGate-Webkonsole an.

  8. Klicken Sie auf VPN>IPSec Wizard (VPN > IPSec-Assistent).

  9. Geben Sie im VPN Creation Wizard (Assistent für die VPN-Erstellung) einen Namen für das VPN ein, z. B. conn1.

  10. Wählen Sie die Option This site is behind NAT (Website befindet sich hinter NAT) aus.

    The screenshot of the VPN Creation Wizard shows it to be on the first step, VPN Setup. The following values are selected:

  11. Wählen Sie Weiter aus.

  12. Geben Sie die Remote-IP-Adresse des lokalen VPN-Geräts ein, mit dem Sie eine Verbindung herstellen möchten.

  13. Wählen Sie unter Outgoing Interface (Ausgangsschnittstelle) die Option port1 aus.

  14. Wählen Sie Vorinstallierter Schlüssel aus, und geben Sie einen vorinstallierten Schlüssel ein (und notieren Sie ihn).

    Hinweis

    Sie benötigen diesen Schlüssel zum Einrichten der Verbindung mit dem lokalen VPN-Gerät. Es muss eine genaue Übereinstimmung sein.

    The screenshot of the VPN Creation Wizard shows it to be on the second step, Authentication, and the selected values are highlighted.

  15. Wählen Sie Weiter aus.

  16. Wählen Sie unter Lokale Schnittstelle die Option port2 aus.

  17. Geben Sie den Bereich des lokalen Subnetzes ein:

    • forti1: 172.16.0.0/16
    • forti2: 172.17.0.0/16

    Verwenden Sie Ihren IP-Adressbereich, falls er sich von diesem IP-Adressbereich unterscheidet.

  18. Geben Sie die entsprechenden Remotesubnetze ein, die das lokale Netzwerk darstellen, mit dem Sie über das lokale VPN-Gerät eine Verbindung herstellen.

    • forti1: 172.16.0.0/16
    • forti2: 172.17.0.0/16

    Verwenden Sie Ihren IP-Adressbereich, falls er sich von diesem IP-Adressbereich unterscheidet.

    The screenshot of the VPN Creation Wizard shows it to be on the third step, Policy & Routing. It shows the selected and entered values.

  19. Klicken Sie auf Erstellen

  20. Wählen Sie Netzwerk>Schnittstellen aus.

    The interface list shows two interfaces: port1, which has been configured, and port2, which hasn't. There are buttons to create, edit, and delete interfaces.

  21. Doppelklicken Sie auf port2.

  22. Wählen Sie in der Liste Rolle die Option LAN und als Adressierungsmodus dann DHCP aus.

  23. Klicken Sie auf OK.

Wiederholen Sie die Schritte für die andere NVA.

Aufrufen aller Phase 2-Selektoren

Gehen Sie wie folgt vor, nachdem die obigen Vorgänge für beide NVAs abgeschlossen wurden:

  1. Wählen Sie auf der FortiGate-Webkonsole „forti2“ Monitor>IPsec Monitor (Monitor > IPsec-Monitor) aus.

    The monitor for VPN connection conn1 is listed. It is shown as being down, as is the corresponding Phase 2 Selector.

  2. Markieren Sie conn1, und wählen Sie Bring Up>All Phase 2 Selectors (Aufrufen > Alle Phase 2-Selektoren) aus.

    The monitor and Phase 2 Selector are both shown as up.

Testen und Überprüfen der Konnektivität

Sie sollten jetzt in der Lage sein, zwischen den VNETs über die FortiGate NVAs eine Weiterleitung durchzuführen. Erstellen Sie zum Überprüfen der Verbindung im InsideSubnet jedes VNET eine Azure Stack Hub-VM. Das Erstellen einer Azure Stack Hub-VM kann via Portal, Azure CLI oder PowerShell erfolgen. Für die VM-Erstellung gilt Folgendes:

  • Die Azure Stack Hub-VMs sind jeweils im InsideSubnet eines VNET angeordnet.

  • Sie wenden während der Erstellung keine NSGs auf die VM an. (Entfernen Sie also die NSG, die standardmäßig hinzugefügt wird, falls Sie die VM über das Portal erstellen.)

  • Stellen Sie sicher, dass die VM-Firewallregeln die Kommunikation zulassen, die Sie zum Testen der Konnektivität benötigen. Wir empfehlen Ihnen, zu Testzwecken die Firewall im Betriebssystem vollständig zu deaktivieren, falls dies möglich ist.

Nächste Schritte

Azure Stack Hub-Netzwerke: Unterschiede und Überlegungen
Anbieten einer Netzwerklösung in Azure Stack Hub mit Fortinet FortiGate