Configuración de una puerta de enlace de VPN para Azure Stack Hub mediante la aplicación virtual de red FortiGate

  • Artículo

En este artículo se describe cómo crear una conexión VPN con su instancia de Azure Stack Hub. Una puerta de enlace de VPN es un tipo de puerta de enlace de red virtual que envía tráfico cifrado entre una red virtual de Azure Stack Hub y una puerta de enlace de VPN remota. El siguiente procedimiento implementa una red virtual con una NVA FortiGate, una aplicación virtual de red, dentro de un grupo de recursos. También se proporcionan los pasos para configurar una VPN IPSec en la NVA FortiGate.

Prerrequisitos

  • Acceso a un sistema integrado de Azure Stack Hub con capacidad disponible para implementar los requisitos de proceso, red y recursos necesarios para esta solución.

    Nota:

    Estas instrucciones no funcionan con un Kit de desarrollo de Azure Stack (ASDK) debido a las limitaciones de red en ASDK. Para más información, consulte Requisitos y consideraciones de ASDK.

  • Acceso a un dispositivo VPN en la red local que hospeda el sistema integrado de Azure Stack Hub. El dispositivo debe crear un túnel IPSec que cumpla los parámetros descritos en Parámetros de implementación.

  • Una solución de aplicación virtual de red (NVA) disponible en Marketplace de Azure Stack Hub. Una NVA controla el flujo del tráfico de red desde una red perimetral a otras redes o subredes. En este procedimiento se usa la Solución de máquina virtual única del firewall de próxima generación FortiGate de Fortinet.

    Nota:

    Si Fortinet FortiGate-VM For Azure BYOL y FortiGate NGFW - Single VM Deployment (BYOL) no están disponibles en Marketplace de Azure Stack Hub, póngase en contacto con su operador de la nube.

  • Necesitará al menos dos archivos de licencia de FortiGate disponibles para activar la aplicación virtual de red FortiGate. Para obtener información sobre cómo adquirir estas licencias, consulte el artículo de la biblioteca de documentos de Fortinet Registro y descarga de la licencia.

    En este procedimiento se usa la implementación de máquina virtual única de FortiGate. Puede encontrar pasos sobre cómo conectar la aplicación virtual de red FortiGate de la red virtual de Azure Stack Hub a la red local.

    Para más información sobre cómo implementar la solución FortiGate en una configuración activo-pasivo (alta disponibilidad), consulte los detalles en el artículo de la biblioteca de documentos de Fortinet Alta disponibilidad para máquina virtual de FortiGate en Azure.

Parámetros de implementación

En la tabla siguiente se resumen los parámetros que se usan en estas implementaciones como referencia.

Parámetro Value
Nombre de la instancia de FortiGate forti1
Licencia/versión de BYOL 6.0.3
Nombre de usuario administrativo de FortiGate fortiadmin
Nombre del grupo de recursos forti1-rg1
Nombre de la red virtual forti1vnet1
Espacio de direcciones de la red virtual 172.16.0.0/16*
Nombre de subred de la red virtual pública forti1-PublicFacingSubnet
Prefijo de dirección de la red virtual pública 172.16.0.0/24*
Nombre de subred en la red virtual forti1-InsideSubnet
Prefijo de subred en la red virtual 172.16.1.0/24*
Tamaño de máquina virtual de la aplicación virtual de red FortiGate F2s_v2 estándar
Nombre de la dirección IP pública forti1-publicip1
Tipo de dirección IP pública estática

Nota:

* Elija un espacio de direcciones y prefijos de subred diferentes si 172.16.0.0/16 se superpone con la red local o el grupo de VIP de Azure Stack Hub.

Implementación de los elementos de Marketplace de FortiGate NGFW

  1. Abra el portal de usuarios de Azure Stack Hub.

  2. Seleccione Crear un recurso y busque FortiGate.

    En la lista de resultados de la búsqueda se muestra FortiGate NGFW - Single VM Deployment (FortiGate NGFW: implementación de una sola máquina virtual).

  3. Seleccione FortiGate NGFW y seleccione Crear.

  4. Complete la sección Básico con los parámetros de la tabla Parámetros de implementación.

    La pantalla de datos básicos incluye los valores de la tabla de parámetros de implementación especificados en los cuadros de lista y texto.

  5. Seleccione Aceptar.

  6. Proporcione la red virtual, las subredes y los detalles del tamaño de máquina virtual según la tabla de Parámetros de implementación.

    Advertencia

    Si la red local se superpone con el intervalo IP 172.16.0.0/16, debe seleccionar y configurar un intervalo de red y subredes diferentes. Si desea usar distintos nombres e intervalos que los de la tabla de Parámetros de implementación, use parámetros que no entren en conflicto con la red local. Tenga cuidado al establecer el intervalo de direcciones IP de la red virtual y los intervalos de subred dentro de la red virtual. No querrá que el intervalo se superponga con los intervalos IP que existen en la red local.

  7. Seleccione Aceptar.

  8. Configure la dirección IP pública para la aplicación virtual de red FortiGate:

    En el cuadro de diálogo Asignación de IP se muestran los valores forti1-publicip1 para

  9. Seleccione Aceptar. Y, a continuación, seleccione Aceptar.

  10. Seleccione Crear.

    La implementación tardará unos 10 minutos.

Configuración de rutas (UDR) para la red virtual

  1. Abra el portal de usuarios de Azure Stack Hub.

  2. Seleccione Resource groups (Grupos de recursos). Escriba forti1-rg1 en el filtro y haga doble clic en el grupo de recursos forti1-rg1.

    Se muestran diez recursos para el grupo de recursos forti1-rg1.

  3. Seleccione el recurso "forti1-forti1-InsideSubnet-Routes-xxxx".

  4. Seleccione Routes (Rutas) en Settings (Configuración).

    El botón Rutas está seleccionado en el cuadro de diálogo Configuración.

  5. Elimine la ruta to-Internet.

    La ruta a Internet es la única ruta que aparece y está seleccionada. Hay un botón eliminar.

  6. Seleccione .

  7. Seleccione Add (Agregar) para agregar una nueva ruta.

  8. Asigne a la ruta el nombre to-onprem.

  9. Escriba el intervalo de red IP que define el intervalo de red de la red local a la que se conectará la VPN.

  10. Seleccione Virtual appliance (Aplicación virtual) para Next hop type (Tipo del próximo salto) y 172.16.1.4. Utilice su intervalo de direcciones IP si usa un intervalo IP diferente.

    En el cuadro de diálogo Agregar ruta se muestran los cuatro valores que se especificaron en los cuadros de texto.

  11. Seleccione Guardar.

Activación de la NVA FortiGate

Active la NVA FortiGate y configure una conexión VPN IPSec en cada NVA.

Necesitará un archivo de licencia válido de Fortinet para activar cada NVA FortiGate. Las NVA no funcionarán hasta que haya activado cada NVA. Para más información sobre cómo obtener un archivo de licencia y los pasos para activar la NVA, consulte el artículo de la biblioteca de documentos de Fortinet Registro y descarga de la licencia.

Una vez que haya activado las NVA, cree un túnel VPN IPSec en la NVA.

  1. Abra el portal de usuarios de Azure Stack Hub.

  2. Seleccione Resource groups (Grupos de recursos). Escriba forti1 en el filtro y haga doble clic en el grupo de recursos forti1.

  3. Haga doble clic en la máquina virtual forti1 en la lista de tipos de recursos de la hoja del grupo de recursos.

    En la página de información general de la máquina virtual forti1 se muestran los valores de forti1, como el grupo de recursos y el estado.

  4. Copie la dirección IP asignada, abra un explorador y pegue la dirección IP en la barra de direcciones. El sitio puede desencadenar una advertencia que indica que el certificado de seguridad no es de confianza. Continúe de todos modos.

  5. Escriba el nombre de usuario administrativo y la contraseña de FortiGate que proporcionó durante la implementación.

    El cuadro de diálogo de inicio de sesión tiene cuadros de texto para especificar el usuario y la contraseña, además de un botón de inicio de sesión.

  6. Seleccione System>Firmware (Sistema > Firmware).

  7. Seleccione la casilla que muestra el firmware más reciente; por ejemplo, FortiOS v6.2.0 build0866.

    El cuadro de diálogo Firmware tiene el identificador de firmware

  8. Seleccione Backup config and upgrade>Continue (Realizar copia de seguridad de la configuración y actualizar > Continuar).

  9. La NVA actualiza su firmware a la compilación más reciente y se reinicia. El proceso tarda unos cinco minutos. Vuelva a iniciar sesión en la consola web de FortiGate.

  10. Haga clic en VPN>IPSec Wizard (VPN > Asistente de IPSec).

  11. Escriba un nombre para la VPN, por ejemplo, conn1, en VPN Creation Wizard (Asistente para la creación de VPN).

  12. Seleccione This site is behind NAT (Este sitio está detrás de un sistema NAT).

    La captura de pantalla del Asistente para la creación de VPN muestra que está en el primer paso, configuración de VPN. Se seleccionan los siguientes valores:

  13. Seleccione Next (Siguiente).

  14. Escriba la dirección IP remota del dispositivo VPN local al que se va a conectar.

  15. Seleccione port1 en Outgoing Interface (Interfaz de salida).

  16. Seleccione Pre-shared Key (Clave compartida previamente) y escriba (y anote) una clave compartida previamente.

    Nota:

    Necesitará esta clave para configurar la conexión en el dispositivo VPN local, es decir, deben coincidir exactamente.

    En la captura de pantalla de VPN Creation Wizard (Asistente para creación de VPN), esto se muestra en el segundo paso, Autenticación, y los valores seleccionados aparecen resaltados.

  17. Seleccione Next (Siguiente).

  18. Seleccione port2 en Local Interface (Interfaz local).

  19. Escriba el intervalo de la subred local:

    • forti1: 172.16.0.0/16
    • forti2: 172.17.0.0/16

    Utilice su intervalo de direcciones IP si usa un intervalo IP diferente.

  20. Escriba las subredes remotas adecuadas que representan la red local a la que se conectará a través del dispositivo VPN local.

    La captura de pantalla del Asistente para la creación de VPN muestra que está en el tercer paso, Directiva & enrutamiento. Muestra los valores seleccionados y especificados.

  21. Seleccione Crear

  22. Seleccione Network>Interfaces (Red > Interfaces).

    La lista de interfaces muestra dos interfaces: port1, que se ha configurado y port2, que no lo ha sido. Hay botones para crear, editar y eliminar interfaces.

  23. Haga doble clic en port2.

  24. Elija LAN en la lista Role (Rol) y DHCP para el modo de direccionamiento.

  25. Seleccione Aceptar.

Configuración de la VPN local

El dispositivo VPN local se debe configurar para crear el túnel VPN IPSec. En la tabla siguiente se proporcionan los parámetros necesarios para configurar el dispositivo VPN local. Para obtener información sobre cómo configurar el dispositivo VPN local, consulte la documentación del dispositivo.

Parámetro Value
Dirección IP de la puerta de enlace remota Dirección IP pública asignada a forti1: consulte Activación de la NVA FortiGate.
Red IP remota 172.16.0.0/16 (si usa el intervalo de direcciones IP de estas instrucciones para la red virtual).
Método de autenticación = clave compartida previamente (PSK) Del paso 16.
Versión de IKE 1
Modo de IKE Principal (protección de identificador)
Algoritmos de propuesta de la fase 1 AES128-SHA256, AES256-SHA256, AES128-SHA1, AES256-SHA1
Grupos Diffie-Hellman 14, 5

Creación del túnel VPN

Una vez que el dispositivo VPN local está configurado correctamente, se puede establecer el túnel VPN.

En la NVA FortiGate:

  1. En la consola web de FortiGate para forti1, vaya a Monitor>IPsec Monitor (Monitor > Monitor IPsec).

    Aparece el monitor para la conexión VPN conn1. Se muestra como inactivo, como es el selector de fase 2 correspondiente.

  2. Resalte conn1 y seleccione Bring Up>All Phase 2 Selectors (Mostrar > Todos los selectores de la fase 2).

    El monitor y el selector de fase 2 aparecen como activos.

Prueba y validación de la conectividad

Puede enrutar entre la red de la red virtual y la red local mediante el dispositivo VPN local.

Para validar la conexión:

  1. Cree una máquina virtual en las redes virtuales de Azure Stack Hub y un sistema en la red local. Puede seguir las instrucciones para crear una máquina virtual en Guía de inicio rápido: Creación de una máquina virtual Windows Server con el portal de Azure Stack Hub.

  2. Al crear la máquina virtual de Azure Stack Hub y preparar el sistema local, compruebe lo siguiente:

  • La máquina virtual de Azure Stack Hub se coloca en la subred InsideSubnet de la red virtual.

  • El sistema local se coloca en la red local dentro del intervalo de direcciones IP definido, tal y como se define en la configuración de IPSec. Asegúrese también de que la dirección IP de la interfaz local del dispositivo VPN local se proporciona al sistema local como una ruta que puede acceder a la red de la red virtual de Azure Stack Hub, por ejemplo, 172.16.0.0/16.

  • No aplique ningún grupo de seguridad de red a la máquina virtual de Azure Stack Hub en el momento de la creación. Es posible que tenga que eliminar el NSG que se agrega de forma predeterminada si se crea la máquina virtual desde el portal.

  • Asegúrese de que el sistema operativo del sistema local y el sistema operativo de la máquina virtual de Azure Stack Hub no tienen reglas de firewall de sistema operativo que prohíban la comunicación que va a usar para probar la conectividad. Con fines de prueba, se recomienda deshabilitar el firewall completamente dentro del sistema operativo de ambos sistemas.

Pasos siguientes

Diferencias y consideraciones para las redes de Azure Stack Hub
Oferta de una solución de red en Azure Stack Hub con FortiGate de Fortinet