VPN-gateway instellen voor Azure Stack Hub met behulp van FortiGate NVA

  • Artikel

In dit artikel wordt beschreven hoe u een VPN-verbinding maakt met uw Azure Stack Hub. Een VPN-gateway is een type gateway van een virtueel netwerk dat versleuteld verkeer verzendt tussen uw virtuele netwerk in Azure Stack Hub en een externe VPN-gateway. Met de onderstaande procedure wordt één VNET geïmplementeerd met een FortiGate NVA, een virtueel netwerkapparaat, binnen een resourcegroep. Het bevat ook stappen voor het instellen van een IPSec-VPN op de FortiGate NVA.

Vereisten

  • Toegang tot geïntegreerde Azure Stack Hub-systemen met beschikbare capaciteit voor het implementeren van de vereiste reken-, netwerk- en resourcevereisten die nodig zijn voor deze oplossing.

    Notitie

    Deze instructies werken niet met een Azure Stack Development Kit (ASDK) vanwege de netwerklimieten in de ASDK. Zie ASDK-vereisten en -overwegingen voor meer informatie.

  • Toegang tot een VPN-apparaat in het on-premises netwerk dat als host fungeert voor het geïntegreerde Azure Stack Hub-systeem. Het apparaat moet een IPSec-tunnel maken die voldoet aan de parameters die worden beschreven in implementatieparameters.

  • Een NVA-oplossing (virtueel netwerkapparaat) die beschikbaar is in uw Azure Stack Hub Marketplace. Een NVA bepaalt de stroom van netwerkverkeer van een perimeternetwerk naar andere netwerken of subnetten. In deze procedure wordt de Fortinet FortiGate Next-Generation Firewall Single VM Solution gebruikt.

    Notitie

    Als u de Fortinet FortiGate-VM for Azure BYOL en FortiGate NGFW - Single VM Deployment (BYOL) niet beschikbaar hebt in uw Azure Stack Hub Marketplace, neemt u contact op met uw cloudoperator.

  • Als u de FortiGate NVA wilt activeren, hebt u ten minste één beschikbaar FortiGate-licentiebestand nodig. Zie het artikel Uw licentie registreren en downloaden in de Fortinet-documentbibliotheek voor informatie over het verkrijgen van deze licenties.

    In deze procedure wordt de implementatie Single FortiGate-VM gebruikt. U vindt stappen voor het verbinden van de FortiGate NVA met het Azure Stack Hub VNET in uw on-premises netwerk.

    Voor meer informatie over het implementeren van de FortiGate-oplossing in een instelling voor actief-passief (HA) raadpleegt u de details in het artikel Ha voor FortiGate-VM in Azure in de Fortinet-documentbibliotheek.

Implementatieparameters

De volgende tabel bevat een overzicht van de parameters die worden gebruikt in deze implementaties ter referentie.

Parameter Waarde
Naam van FortiGate-exemplaar forti1
BYOL-licentie/-versie 6.0.3
FortiGate-beheerdersnaam fortiadmin
Naam resourcegroep forti1-rg1
Naam van virtueel netwerk forti1vnet1
VNET-adresruimte 172.16.0.0/16*
Naam van openbaar VNET-subnet forti1-PublicFacingSubnet
Openbaar VNET-adresvoorvoegsel 172.16.0.0/24*
Naam van VNET-subnet forti1-InsideSubnet
Binnen VNET-subnetvoorvoegsel 172.16.1.0/24*
VM-grootte van FortiGate NVA Standaard F2s_v2
Naam openbaar IP-adres forti1-publicip1
Type openbaar IP-adres Statisch

Notitie

* Kies een andere adresruimte en subnetvoorvoegsels als 172.16.0.0/16 deze overlappen met het on-premises netwerk of de VIP-groep van Azure Stack Hub.

De FortiGate NGFW Marketplace-items implementeren

  1. Open de Azure Stack Hub-gebruikersportal.

  2. Selecteer Een resource maken en zoek FortiGatenaar .

    In de lijst met zoekresultaten wordt FortiGate NGFW - Implementatie van één VM weergegeven.

  3. Selecteer fortiGate NGFW en selecteer Maken.

  4. Voltooi Basisbeginselen met behulp van de parameters uit de tabel Implementatieparameters .

    Het scherm Basisinformatie bevat waarden uit de tabel met implementatieparameters die zijn ingevoerd in de lijst en tekstvakken.

  5. Selecteer OK.

  6. Geef de details van het virtuele netwerk, de subnetten en de VM-grootte op met behulp van de tabel Implementatieparameters .

    Waarschuwing

    Als het on-premises netwerk overlapt met het IP-bereik 172.16.0.0/16, moet u een ander netwerkbereik en andere subnetten selecteren en instellen. Als u andere namen en bereiken wilt gebruiken dan die in de tabel Implementatieparameters , gebruikt u parameters die geen conflict veroorzaken met het on-premises netwerk. Pas op bij het instellen van het IP-bereik en subnetbereiken van het VNET. U wilt niet dat het bereik overlapt met de IP-bereiken die aanwezig zijn in uw on-premises netwerk.

  7. Selecteer OK.

  8. Configureer het openbare IP-adres voor de FortiGate NVA:

    In het dialoogvenster IP-toewijzing wordt de waarde forti1-publicip1 weergegeven voor 'Naam van openbaar IP-adres' en statisch voor 'Openbaar IP-adrestype'.

  9. Selecteer OK. En selecteer vervolgens OK.

  10. Selecteer Maken.

    De implementatie duurt ongeveer 10 minuten.

Routes (UDR) configureren voor het VNET

  1. Open de Azure Stack Hub-gebruikersportal.

  2. Selecteer Resourcegroepen. Typ forti1-rg1 het filter en dubbelklik op de resourcegroep forti1-rg1.

    Er worden tien resources vermeld voor de resourcegroep forti1-rg1.

  3. Selecteer de resource forti1-forti1-InsideSubnet-routes-xxxx.

  4. Selecteer Routes onder Instellingen.

    De knop Routes is geselecteerd in het dialoogvenster Instellingen.

  5. Verwijder de route naar internet .

    De route naar internet is de enige route die wordt vermeld en deze is geselecteerd. Er is een knop Verwijderen.

  6. Selecteer Ja.

  7. Selecteer Toevoegen om een nieuwe route toe te voegen.

  8. Geef de route to-onpremde naam .

  9. Voer het IP-netwerkbereik in dat het netwerkbereik definieert van het on-premises netwerk waarmee het VPN verbinding maakt.

  10. Selecteer Virtueel apparaat bij Volgend hoptype en 172.16.1.4. Gebruik uw IP-bereik als u een ander IP-bereik gebruikt.

    In het dialoogvenster Route toevoegen ziet u de vier waarden die in de tekstvakken zijn ingevoerd.

  11. Selecteer Opslaan.

De FortiGate NVA activeren

Activeer de FortiGate NVA en stel een IPSec VPN-verbinding in op elke NVA.

Voor het activeren van elke FortiGate NVA is een geldig licentiebestand van Fortinet vereist. De NVA's werken pas als u elke NVA hebt geactiveerd. Zie het artikel Uw licentie registreren en downloaden in de Fortinet-documentbibliotheek voor meer informatie over het verkrijgen van een licentiebestand en de stappen om de NVA te activeren.

Zodra u de NVA's hebt geactiveerd, maakt u een IPSec VPN-tunnel op de NVA.

  1. Open de Azure Stack Hub-gebruikersportal.

  2. Selecteer Resourcegroepen. Voer forti1 in het filter in en dubbelklik op de resourcegroep forti1.

  3. Dubbelklik op de virtuele machine forti1 in de lijst met resourcetypen op de blade van de resourcegroep.

    Op de overzichtspagina van de virtuele forti1-machine worden waarden voor forti1 weergegeven, zoals de resourcegroep en status.

  4. Kopieer het toegewezen IP-adres, open een browser en plak het IP-adres in de adresbalk. De site kan een waarschuwing activeren dat het beveiligingscertificaat niet wordt vertrouwd. Toch doorgaan.

  5. Voer de FortiGate-gebruikersnaam en het wachtwoord voor beheerdersrechten in die u tijdens de implementatie hebt opgegeven.

    Het aanmeldingsdialoogvenster bevat tekstvakken voor gebruiker en wachtwoord en een knop Aanmelden.

  6. Selecteer Systeemfirmware>.

  7. Schakel het selectievakje in met de meest recente firmware, FortiOS v6.2.0 build0866bijvoorbeeld .

    Het dialoogvenster Firmware bevat de firmware-id 'FortiOS v6.2.0 build0866'. Er is een koppeling naar releaseopmerkingen en twee knoppen: Back-upconfiguratie en upgrade en Upgrade.

  8. Selecteer Back-upconfiguratie en upgrade>Doorgaan.

  9. De NVA werkt de firmware bij naar de nieuwste build en start opnieuw op. Het proces duurt ongeveer vijf minuten. Meld u opnieuw aan bij de FortiGate-webconsole.

  10. Klik op WIZARD VPN>IPSec.

  11. Voer een naam in voor het VPN, bijvoorbeeld conn1 in de wizard VPN maken.

  12. Selecteer Deze site bevindt zich achter NAT.

    In de schermopname van de wizard VPN maken ziet u dat deze bezig is met de eerste stap, VPN instellen. De volgende waarden zijn geselecteerd: 'Site-naar-site' voor sjabloontype, 'FortiGate' voor extern apparaattype en 'Deze site bevindt zich achter NAT' voor NAT-configuratie.

  13. Selecteer Next.

  14. Voer het externe IP-adres in van het on-premises VPN-apparaat waarmee u verbinding wilt maken.

  15. Selecteer poort1 als de uitgaande interface.

  16. Selecteer Vooraf gedeelde sleutel en voer een vooraf gedeelde sleutel in (en noteer) .

    Notitie

    U hebt deze sleutel nodig om de verbinding op het on-premises VPN-apparaat in te stellen, dat wil gezegd dat ze precies overeenkomen.

    In de schermopname van de wizard VPN maken ziet u dat deze zich in de tweede stap, Verificatie, bevindt en dat de geselecteerde waarden zijn gemarkeerd.

  17. Selecteer Next.

  18. Selecteer poort2 voor de lokale interface.

  19. Voer het lokale subnetbereik in:

    • forti1: 172.16.0.0/16
    • forti2: 172.17.0.0/16

    Gebruik uw IP-bereik als u een ander IP-bereik gebruikt.

  20. Voer de juiste externe subnetten in die het on-premises netwerk vertegenwoordigen, waarmee u verbinding maakt via het on-premises VPN-apparaat.

    In de schermopname van de wizard VPN maken ziet u dat deze zich in de derde stap, Beleid & Routering. De geselecteerde en ingevoerde waarden worden weergegeven.

  21. Selecteer Maken

  22. SelecteerNetwerkinterfaces>.

    De interfacelijst bevat twee interfaces: poort1, die is geconfigureerd, en poort2, die niet is geconfigureerd. Er zijn knoppen voor het maken, bewerken en verwijderen van interfaces.

  23. Dubbelklik op poort2.

  24. Kies LANin de rollenlijst en DHCP voor de adresseringsmodus.

  25. Selecteer OK.

De on-premises VPN configureren

Het on-premises VPN-apparaat moet worden geconfigureerd om de IPSec VPN-tunnel te maken. De volgende tabel bevat de parameters die u nodig hebt om het on-premises VPN-apparaat in te stellen. Raadpleeg de documentatie voor uw apparaat voor informatie over het configureren van het on-premises VPN-apparaat.

Parameter Waarde
IP-adres van externe gateway Openbaar IP-adres dat is toegewezen aan forti1: zie De FortiGate NVA activeren.
Extern IP-netwerk 172.16.0.0/16 (als u het IP-bereik in deze instructies voor het VNET gebruikt).
Auth. Methode = Vooraf gedeelde sleutel (PSK) Uit stap 16.
IKE-versie 1
IKE-modus Hoofd (id-beveiliging)
Voorstelalgoritmen fase 1 AES128-SHA256, AES256-SHA256, AES128-SHA1, AES256-SHA1
Diffie-Hellman groepen 14, 5

De VPN-tunnel maken

Zodra het on-premises VPN-apparaat op de juiste wijze is geconfigureerd, kan de VPN-tunnel nu tot stand worden gebracht.

Vanuit de FortiGate NVA:

  1. Ga in de forti1 FortiGate-webconsole naar>IPsec-monitor bewaken.

    De monitor voor VPN-verbinding conn1 wordt vermeld. Het wordt weergegeven als down, net als de bijbehorende fase 2-selector.

  2. Markeer conn1 en selecteer alle>fase 2-selectors weergeven.

    De monitor en fase 2-selector worden beide weergegeven als up.

Connectiviteit testen en valideren

U kunt routeren tussen het VNET-netwerk en het on-premises netwerk via het on-premises VPN-apparaat.

De verbinding valideren:

  1. Maak een VM in de VNET's van Azure Stack Hub en een systeem in het on-premises netwerk. U kunt de instructies voor het maken van een virtuele machine volgen in Quickstart: Een Windows-server-VM maken met de Azure Stack Hub-portal.

  2. Bij het maken van de Azure Stack Hub-VM en het voorbereiden van het on-premises systeem, controleert u het volgende:

  • De Azure Stack Hub-VM wordt in het InsideSubnet van het VNET geplaatst.

  • Het on-premises systeem wordt in het on-premises netwerk geplaatst binnen het gedefinieerde IP-bereik zoals gedefinieerd in de IPSec-configuratie. Zorg er ook voor dat het IP-adres van de lokale interface van het on-premises VPN-apparaat wordt opgegeven aan het on-premises systeem als een route die het VNET-netwerk van Azure Stack Hub kan bereiken, bijvoorbeeld 172.16.0.0/16.

  • Pas geen NSG's toe op de Azure Stack Hub-VM bij het maken. Mogelijk moet u de NSG verwijderen die standaard wordt toegevoegd als u de VM vanuit de portal maakt.

  • Zorg ervoor dat het on-premises systeembesturingssysteem en het VM-besturingssysteem van Azure Stack Hub geen firewallregels voor het besturingssysteem hebben die communicatie verbieden die u gaat gebruiken om de connectiviteit te testen. Voor testdoeleinden wordt aanbevolen om de firewall volledig uit te schakelen binnen het besturingssysteem van beide systemen.

Volgende stappen

Verschillen en overwegingen voor Azure Stack Hub-netwerken
Een netwerkoplossing aanbieden in Azure Stack Hub met Fortinet FortiGate