Configurare il gateway VPN per l'hub di Azure Stack usando FortiGate NVA

  • Articolo

Questo articolo descrive come creare una connessione VPN all'hub di Azure Stack. Un gateway VPN è un tipo di gateway di rete virtuale che invia il traffico crittografato tra la rete virtuale nell'hub di Azure Stack e un gateway VPN remoto. La procedura seguente distribuisce una rete virtuale con un'appliance virtuale di rete FortiGate, un'appliance virtuale di rete, all'interno di un gruppo di risorse. Fornisce anche i passaggi per configurare una VPN IPSec nell'appliance virtuale di rete FortiGate.

Prerequisiti

  • Accesso a sistemi integrati dell'hub di Azure Stack con capacità disponibile per distribuire i requisiti di calcolo, rete e risorse necessari per questa soluzione.

    Nota

    Queste istruzioni non funzioneranno con un Azure Stack Development Kit (ASDK) a causa dei limiti di rete in ASDK. Per altre informazioni, vedere Requisiti e considerazioni di ASDK.

  • Accesso a un dispositivo VPN nella rete locale che ospita il sistema integrato dell'hub di Azure Stack. Il dispositivo deve creare un tunnel IPSec che soddisfi i parametri descritti nei parametri deployment.

  • Una soluzione appliance virtuale di rete (NVA) disponibile nel Marketplace dell'hub di Azure Stack. Un'appliance virtuale di rete controlla il flusso del traffico di rete da una rete perimetrale ad altre reti o subnet. Questa procedura usa la soluzione Firewall di nuova generazione Fortinet FortiGate.

    Nota

    Se fortinet FortiGate-VM for Azure BYOL e FortiGate NGFW - Distribuzione di macchine virtuali singole (BYOL) non sono disponibili in Azure Stack Hub Marketplace, contattare l'operatore cloud.

  • Per attivare l'appliance virtuale di rete FortiGate, è necessario almeno un file di licenza FortiGate disponibile. Informazioni su come acquisire queste licenze, vedere l'articolo Raccolta documenti fortinet Registrazione e download della licenza.

    Questa procedura usa la distribuzione di Single FortiGate-VM. È possibile trovare i passaggi per connettere l'appliance virtuale di rete FortiGate alla rete virtuale dell'hub di Azure Stack a nella rete locale.

    Per altre informazioni su come distribuire la soluzione FortiGate in una configurazione attiva-passiva (HA), vedere i dettagli nell'articolo Della raccolta documenti Fortinet per FortiGate-VM in Azure.

Parametri di distribuzione

La tabella seguente riepiloga i parametri usati in queste distribuzioni per riferimento.

Parametro Valore
Nome istanza fortiGate forti1
Licenza BYOL/Versione 6.0.3
Nome utente amministrativo fortiGate fortiadmin
Nome del gruppo di risorse forti1-rg1
Nome della rete virtuale forti1vnet1
Spazio indirizzi della rete virtuale 172.16.0.0/16*
Nome della subnet della rete virtuale pubblica forti1-PublicFacingSubnet
Prefisso dell'indirizzo della rete virtuale pubblica 172.16.0.0/24*
All'interno del nome della subnet della rete virtuale forti1-InsideSubnet
Prefisso della subnet della rete virtuale 172.16.1.0/24*
Dimensioni macchina virtuale di FortiGate NVA Standard F2s_v2
Nome dell'indirizzo IP pubblico forti1-publicip1
Tipo di indirizzo IP pubblico Statica

Nota

* Scegliere uno spazio indirizzi e prefissi di subnet diversi se 172.16.0.0/16 si sovrappongono alla rete locale o al pool VIP dell'hub di Azure Stack.

Distribuire gli elementi di FortiGate NGFW Marketplace

  1. Aprire il portale utenti dell'hub di Azure Stack.

  2. Selezionare Crea una risorsa e cercare FortiGate.

    L'elenco dei risultati della ricerca mostra FortiGate NGFW - Distribuzione di macchine virtuali singole.

  3. Selezionare FortiGate NGFW e selezionare Crea.

  4. Completare le nozioni di base usando i parametri della tabella Parametri di distribuzione .

    Nella schermata Informazioni di base sono presenti valori della tabella dei parametri di distribuzione immessi nelle caselle di testo e elenco.

  5. Selezionare OK.

  6. Specificare i dettagli della rete virtuale, delle subnet e delle dimensioni della macchina virtuale usando la tabella Parametri di distribuzione .

    Avviso

    Se la rete locale si sovrappone all'intervallo 172.16.0.0/16IP , è necessario selezionare e configurare un intervallo di rete e subnet diversi. Se si desidera usare nomi e intervalli diversi da quelli nella tabella Parametri di distribuzione , usare i parametri che non saranno in conflitto con la rete locale. Prestare attenzione quando si impostano l'intervallo IP e gli intervalli di subnet della rete virtuale all'interno della rete virtuale. Non si vuole che l'intervallo si sovrapponga agli intervalli IP presenti nella rete locale.

  7. Selezionare OK.

  8. Configurare l'indirizzo IP pubblico per l'appliance virtuale di rete FortiGate:

    La finestra di dialogo Assegnazione IP mostra il valore forti1-publicip1 per

  9. Selezionare OK. Quindi selezionare OK.

  10. Selezionare Crea.

    La distribuzione richiederà circa 10 minuti.

Configurare le route (UDR) per la rete virtuale

  1. Aprire il portale utenti dell'hub di Azure Stack.

  2. Selezionare Gruppi di risorse. Digitare forti1-rg1 il filtro e fare doppio clic sul gruppo di risorse forti1-rg1.

    Dieci risorse sono elencate per il gruppo di risorse forti1-rg1.

  3. Selezionare la risorsa "forti1-forti1-InsideSubnet-routes-xxxx".

  4. Selezionare Route in Impostazioni.

    Il pulsante Route è selezionato nella finestra di dialogo Impostazioni.

  5. Eliminare la route a Internet .

    La route a Internet è l'unica route elencata ed è selezionata. È presente un pulsante di eliminazione.

  6. Selezionare .

  7. Selezionare Aggiungi per aggiungere una nuova route.

  8. Assegnare alla route to-onpremil nome .

  9. Immettere l'intervallo di rete IP che definisce l'intervallo di rete della rete locale a cui si connetterà la VPN.

  10. Selezionare Appliance virtuale per Tipo hop successivo e 172.16.1.4. Usare l'intervallo IP se si usa un intervallo IP diverso.

    Nella finestra di dialogo Aggiungi route vengono visualizzati i quattro valori immessi nelle caselle di testo.

  11. Selezionare Salva.

Attivare l'appliance virtuale di rete FortiGate

Attivare l'appliance virtuale di rete FortiGate e configurare una connessione VPN IPSec in ogni appliance virtuale di rete.

Per attivare ogni appliance virtuale di rete FortiGate, è necessario un file di licenza valido da Fortinet. Le appliance virtuali di rete funzioneranno solo dopo aver attivato ogni appliance virtuale di rete. Per altre informazioni su come ottenere un file di licenza e su come attivare l'appliance virtuale di rete, vedere l'articolo Raccolta documenti fortinet Registrazione e download della licenza.

Dopo aver attivato le appliance virtuali di rete, creare un tunnel VPN IPSec nell'appliance virtuale di rete.

  1. Aprire il portale utenti dell'hub di Azure Stack.

  2. Selezionare Gruppi di risorse. Immettere forti1 nel filtro e fare doppio clic sul gruppo di risorse forti1.

  3. Fare doppio clic sulla macchina virtuale forti1 nell'elenco dei tipi di risorse nel pannello del gruppo di risorse.

    La pagina Forti1 virtual machine Overview (Panoramica macchina virtuale forti1) mostra i valori per forti1, ad esempio

  4. Copiare l'indirizzo IP assegnato, aprire un browser e incollare l'indirizzo IP nella barra degli indirizzi. Il sito può generare un avviso che indica che il certificato di sicurezza non è attendibile. Continuare comunque.

  5. Immettere il nome utente e la password amministrativi di FortiGate specificati durante la distribuzione.

    Nella finestra di dialogo di accesso sono presenti caselle di testo utente e password e un pulsante Di accesso.

  6. SelezionareFirmware disistema>.

  7. Selezionare la casella che mostra il firmware più recente, ad esempio FortiOS v6.2.0 build0866.

    La finestra di dialogo Firmware contiene l'identificatore del firmware

  8. Selezionare Configurazione di backup e continuazione dell'aggiornamento>.

  9. L'appliance virtuale di rete aggiorna il firmware alla build e ai riavvii più recenti. Il processo richiede circa cinque minuti. Accedere di nuovo alla console Web FortiGate.

  10. Fare clic suCreazione guidata IPSecVPN>.

  11. Immettere un nome per la VPN, ad esempio, conn1 nella Creazione guidata VPN.

  12. Selezionare Questo sito è protetto da NAT.

    Lo screenshot della Creazione guidata VPN mostra che si tratta del primo passaggio, configurazione VPN. Sono selezionati i valori seguenti:

  13. Selezionare Avanti.

  14. Immettere l'indirizzo IP remoto del dispositivo VPN locale a cui ci si connette.

  15. Selezionare port1 come interfaccia in uscita.

  16. Selezionare Chiave precondi shared e immettere (e record) una chiave precondi shared.

    Nota

    Questa chiave sarà necessaria per configurare la connessione nel dispositivo VPN locale, ovvero deve corrispondere esattamente.

    Lo screenshot della Creazione guidata VPN mostra che deve essere nel secondo passaggio, Autenticazione e i valori selezionati sono evidenziati.

  17. Selezionare Avanti.

  18. Selezionare port2 per l'interfaccia locale.

  19. Immettere l'intervallo di subnet locale:

    • forti1: 172.16.0.0/16
    • forti2: 172.17.0.0/16

    Usare l'intervallo IP se si usa un intervallo IP diverso.

  20. Immettere le subnet remote appropriate che rappresentano la rete locale a cui ci si connetterà tramite il dispositivo VPN locale.

    Lo screenshot della Creazione guidata VPN mostra che si tratta del terzo passaggio, Policy & Routing. Mostra i valori selezionati e immessi.

  21. Selezionare Crea

  22. SelezionareInterfacce direte>.

    L'elenco di interfacce mostra due interfacce: port1, che è stata configurata e port2, che non lo ha fatto. Sono disponibili pulsanti per creare, modificare ed eliminare interfacce.

  23. Fare doppio clic su porta2.

  24. Scegliere LAN nell'elenco Ruolo e DHCP per la modalità di indirizzamento.

  25. Selezionare OK.

Configurare la VPN locale

Il dispositivo VPN locale deve essere configurato per creare il tunnel VPN IPSec. La tabella seguente fornisce i parametri necessari per configurare il dispositivo VPN locale. Per informazioni su come configurare il dispositivo VPN locale, fare riferimento alla documentazione relativa al dispositivo.

Parametro Valore
INDIRIZZO IP del gateway remoto Indirizzo IP pubblico assegnato a forti1: vedere Attivare l'appliance virtuale di rete FortiGate.
Rete IP remota 172.16.0.0/16 (se si usa l'intervallo IP in queste istruzioni per la rete virtuale).
Metodo Auth. = Chiave precondivisa (PSK) Dal passaggio 16.
Versione IKE 1
Modalità IKE Principale (protezione ID)
Algoritmi di proposta fase 1 AES128-SHA256, AES256-SHA256, AES128-SHA1, AES256-SHA1
gruppi di Diffie-Hellman 14, 5

Creare il tunnel VPN

Dopo aver configurato correttamente il dispositivo VPN locale, è ora possibile stabilire il tunnel VPN.

Dall'appliance virtuale di rete FortiGate:

  1. Nella console Web forti1 FortiGate passare a Monitoraggio>IPsec Monitor.

    Viene elencato il monitoraggio per la connessione VPN conn1. Viene visualizzato come inattivo, come è il selettore della fase 2 corrispondente.

  2. Evidenziare conn1 e selezionare i selettori Bring Up All Phase 2 .Highlight conn1 and select the Bring Up>All Phase 2 Selectors.

    Il selettore di monitoraggio e fase 2 vengono entrambi visualizzati come visualizzato.

Testare e convalidare la connettività

È possibile eseguire il routing tra la rete virtuale e la rete locale tramite il dispositivo VPN locale.

Per convalidare la connessione:

  1. Creare una macchina virtuale nelle reti virtuali dell'hub di Azure Stack e un sistema nella rete locale. È possibile seguire le istruzioni per la creazione di una macchina virtuale in Avvio rapido: Creare una macchina virtuale Windows Server con il portale dell'hub di Azure Stack.

  2. Quando si crea la macchina virtuale dell'hub di Azure Stack e si prepara il sistema locale, verificare:

  • La macchina virtuale dell'hub di Azure Stack viene posizionata nella rete virtuale InsideSubnet .

  • Il sistema locale viene inserito nella rete locale all'interno dell'intervallo IP definito, come definito nella configurazione IPSec. Assicurarsi anche che l'indirizzo IP dell'interfaccia locale del dispositivo VPN locale venga fornito al sistema locale come route in grado di raggiungere la rete di rete virtuale dell'hub di Azure Stack, 172.16.0.0/16ad esempio .

  • Non applicare gruppi di sicurezza di rete alla macchina virtuale dell'hub di Azure Stack durante la creazione. Potrebbe essere necessario rimuovere il gruppo di sicurezza di rete che viene aggiunto per impostazione predefinita se si crea la macchina virtuale dal portale.

  • Assicurarsi che il sistema operativo del sistema locale e il sistema operativo della macchina virtuale dell'hub di Azure Stack non dispongano di regole del firewall del sistema operativo che impediscono la comunicazione che si intende usare per testare la connettività. A scopo di test, è consigliabile disabilitare completamente il firewall all'interno del sistema operativo di entrambi i sistemi.

Passaggi successivi

Differenze e considerazioni per la rete dell'hub di Azure Stack
Offrire una soluzione di rete nell'hub di Azure Stack con Fortinet FortiGate