VNet-naar-VNet-connectiviteit tussen Azure Stack Hub-exemplaren met Fortinet FortiGate NVA

  • Artikel

In dit artikel verbindt u een VNET in een Azure Stack Hub met een VNET in een andere Azure Stack Hub met behulp van Fortinet FortiGate NVA, een virtueel netwerkapparaat.

In dit artikel wordt de huidige Azure Stack Hub-beperking behandeld, waardoor tenants slechts één VPN-verbinding in twee omgevingen kunnen instellen. Gebruikers leren hoe ze een aangepaste gateway kunnen instellen op een virtuele Linux-machine die meerdere VPN-verbindingen in verschillende Azure Stack Hub toestaat. Met de procedure in dit artikel worden twee VNET's met een FortiGate NVA geïmplementeerd in elk VNET: één implementatie per Azure Stack Hub-omgeving. Ook worden de wijzigingen beschreven die nodig zijn voor het instellen van een IPSec-VPN tussen de twee VNET's. De stappen in dit artikel moeten worden herhaald voor elk VNET in elke Azure Stack Hub.

Vereisten

  • Toegang tot geïntegreerde Azure Stack Hub-systemen met beschikbare capaciteit voor het implementeren van de vereiste reken-, netwerk- en resourcevereisten die nodig zijn voor deze oplossing.

    Notitie

    Deze instructies werken niet met een Azure Stack Development Kit (ASDK) vanwege de netwerkbeperkingen in de ASDK. Zie ASDK-vereisten en -overwegingen voor meer informatie.

  • Een NVA-oplossing (virtueel netwerkapparaat) die is gedownload en gepubliceerd naar de Azure Stack Hub Marketplace. Een NVA bepaalt de stroom van netwerkverkeer van een perimeternetwerk naar andere netwerken of subnetten. In deze procedure wordt de Fortinet FortiGate Next-Generation Firewall Single VM-oplossing gebruikt.

  • Ten minste twee beschikbare FortiGate-licentiebestanden om de FortiGate NVA te activeren. Zie het artikel Uw licentie registreren en downloaden in de Fortinet-documentbibliotheek voor informatie over het verkrijgen van deze licenties.

    Deze procedure maakt gebruik van de implementatie Single FortiGate-VM. U vindt stappen voor het verbinden van de FortiGate NVA met het Azure Stack Hub VNET in uw on-premises netwerk.

    Zie het artikel Ha voor FortiGate-VM in Azure in de Fortinet-documentbibliotheek voor meer informatie over het implementeren van de FortiGate-oplossing in een instelling voor actief-passief (HA).

Implementatieparameters

De volgende tabel bevat een overzicht van de parameters die worden gebruikt in deze implementaties ter referentie:

Implementatie één: Forti1

Naam fortiGate-exemplaar Forti1
BYOL-licentie/-versie 6.0.3
FortiGate-gebruikersnaam voor beheerdersrechten fortiadmin
Naam resourcegroep forti1-rg1
Naam van virtueel netwerk forti1vnet1
VNET-adresruimte 172.16.0.0/16*
Naam van openbaar VNET-subnet forti1-PublicFacingSubnet
Openbaar VNET-adresvoorvoegsel 172.16.0.0/24*
Naam van VNET-subnet forti1-InsideSubnet
Binnen VNET-subnetvoorvoegsel 172.16.1.0/24*
VM-grootte van FortiGate NVA Standard F2s_v2
Naam openbaar IP-adres forti1-publicip1
Type openbaar IP-adres Statisch

Implementatie twee: Forti2

Naam fortiGate-exemplaar Forti2
BYOL-licentie/-versie 6.0.3
FortiGate-gebruikersnaam voor beheerdersrechten fortiadmin
Naam resourcegroep forti2-rg1
Naam van virtueel netwerk forti2vnet1
VNET-adresruimte 172.17.0.0/16*
Naam van openbaar VNET-subnet forti2-PublicFacingSubnet
Openbaar VNET-adresvoorvoegsel 172.17.0.0/24*
Naam van VNET-subnet Forti2-InsideSubnet
Binnen VNET-subnetvoorvoegsel 172.17.1.0/24*
VM-grootte van FortiGate NVA Standard F2s_v2
Naam openbaar IP-adres Forti2-publicip1
Type openbaar IP-adres Statisch

Notitie

* Kies een andere set adresruimten en subnetvoorvoegsels als het bovenstaande op een of andere manier overlapt met de on-premises netwerkomgeving, inclusief de VIP-pool van een van beide Azure Stack Hubs. Zorg er ook voor dat de adresbereiken elkaar niet overlappen.**

De FortiGate NGFW Marketplace-items implementeren

Herhaal deze stappen voor beide Azure Stack Hub-omgevingen.

  1. Open de Azure Stack Hub-gebruikersportal. Zorg ervoor dat u referenties gebruikt met ten minste inzenderrechten voor een abonnement.

  2. Selecteer Een resource maken en zoek FortiGatenaar .

    In de schermopname ziet u één regel met resultaten van de zoekopdracht naar 'fortigate'. De naam van het gevonden item is 'FortiGate NGFW - Single VM Deployment (BYOL)'.

  3. Selecteer de FortiGate NGFW en selecteer maken.

  4. Voltooi Basisbeginselen met behulp van de parameters uit de tabel Implementatieparameters .

    Het formulier moet de volgende gegevens bevatten:

    De tekstvakken (zoals Exemplaarnaam en BYOL-licentie) van het dialoogvenster Basisbeginselen zijn ingevuld met waarden uit de implementatietabel.

  5. Selecteer OK.

  6. Geef de details van het virtuele netwerk, de subnetten en de VM-grootte op uit de implementatieparameters.

    Als u verschillende namen en bereiken wilt gebruiken, moet u ervoor zorgen dat u geen parameters gebruikt die conflicteren met de andere VNET- en FortiGate-resources in de andere Azure Stack Hub-omgeving. Dit geldt met name bij het instellen van het IP- en subnetbereik van het VNET binnen het VNET. Controleer of ze niet overlappen met de IP-bereiken voor het andere VNET dat u maakt.

  7. Selecteer OK.

  8. Configureer het openbare IP-adres dat wordt gebruikt voor de FortiGate NVA:

    In het tekstvak 'Naam van openbaar IP-adres' van het dialoogvenster IP-toewijzing wordt de waarde forti1-publicip1 weergegeven (uit de implementatietabel).

  9. Selecteer OK en selecteer vervolgens OK.

  10. Selecteer Maken.

De implementatie duurt ongeveer 10 minuten. U kunt nu de stappen herhalen om de andere FortiGate NVA- en VNET-implementatie te maken in de andere Azure Stack Hub-omgeving.

Routes (UDR's) configureren voor elk VNET

Voer deze stappen uit voor beide implementaties, forti1-rg1 en forti2-rg1.

  1. Navigeer naar de resourcegroep forti1-rg1 in de Azure Stack Hub-portal.

    Dit is een schermopname van de lijst met resources in de resourcegroep forti1-rg1.

  2. Selecteer de resource forti1-forti1-InsideSubnet-routes-xxxx.

  3. Selecteer Routes onder Instellingen.

    In de schermopname ziet u het gemarkeerde item Routes van Instellingen.

  4. Verwijder de route naar internet .

    In de schermopname ziet u de gemarkeerde route naar internet. Er is een knop Verwijderen.

  5. Selecteer Ja.

  6. Selecteer Toevoegen.

  7. Geef de routeto-forti1 of to-forti2de naam . Gebruik uw IP-bereik als u een ander IP-bereik gebruikt.

  8. Voer het volgende in:

    • forti1: 172.17.0.0/16
    • forti2: 172.16.0.0/16

    Gebruik uw IP-bereik als u een ander IP-bereik gebruikt.

  9. Selecteer Virtueel apparaat voor het type Volgende hop.

    • forti1: 172.16.1.4
    • forti2: 172.17.0.4

    Gebruik uw IP-bereik als u een ander IP-bereik gebruikt.

    Het dialoogvenster Route bewerken voor to-forti2 bevat tekstvakken met waarden. 'Adresvoorvoegsel' is 172.17.0.0/16, 'Volgend hoptype' is 'Virtueel apparaat' en 'Adres van volgende hop' is 172.16.1.4.

  10. Selecteer Opslaan.

Herhaal de stappen voor elke InsideSubnet-route voor elke resourcegroep.

De FortiGate-NVA's activeren en een IPSec VPN-verbinding configureren op elke NVA

U hebt een geldig licentiebestand van Fortinet nodig om elke FortiGate NVA te activeren. De NVA's werken pas als u elke NVA hebt geactiveerd. Zie het artikel Uw licentie registreren en downloaden in de Fortinet-documentbibliotheek voor meer informatie over het verkrijgen van een licentiebestand en de stappen om de NVA te activeren.

Er moeten twee licentiebestanden worden verkregen: één voor elke NVA.

Een IPSec-VPN maken tussen de twee NVA's

Zodra de NVA's zijn geactiveerd, volgt u deze stappen om een IPSec VPN tussen de twee NVA's te maken.

Volg de onderstaande stappen voor zowel de forti1 NVA als forti2 NVA:

  1. Haal het toegewezen openbare IP-adres op door te navigeren naar de overzichtspagina van fortiX VM:

    Op de overzichtspagina forti1 worden de resourcegroep, status, enzovoort weergegeven.

  2. Kopieer het toegewezen IP-adres, open een browser en plak het adres in de adresbalk. Uw browser kan u waarschuwen dat het beveiligingscertificaat niet wordt vertrouwd. Toch doorgaan.

  3. Voer de FortiGate-gebruikersnaam en het wachtwoord voor beheerdersrechten in die u tijdens de implementatie hebt opgegeven.

    De schermopname is van het aanmeldingsscherm met een knop Aanmelden en tekstvakken voor gebruikersnaam en wachtwoord.

  4. Selecteer Systeemfirmware>.

  5. Schakel het selectievakje in met de meest recente firmware, FortiOS v6.2.0 build0866bijvoorbeeld .

    De schermopname van de firmware FortiOS v6.2.0 build0866 bevat een koppeling naar releaseopmerkingen en twee knoppen: Back-upconfiguratie en upgrade en Upgrade.

  6. Selecteer Back-upconfiguratie en upgraden en Doorgaan wanneer hierom wordt gevraagd.

  7. De NVA werkt de firmware bij naar de nieuwste build en start opnieuw op. Het proces duurt ongeveer vijf minuten. Meld u opnieuw aan bij de FortiGate-webconsole.

  8. Klik op WIZARD VPN>IPSec.

  9. Voer een naam in voor het VPN, bijvoorbeeld conn1 in de wizard VPN maken.

  10. Selecteer Deze site bevindt zich achter NAT.

    In de schermopname van de wizard VPN maken ziet u dat deze bezig is met de eerste stap, VPN instellen. De volgende waarden zijn geselecteerd: 'Site-naar-site' voor sjabloontype, 'FortiGate' voor extern apparaattype en 'Deze site bevindt zich achter NAT' voor NAT-configuratie.

  11. Selecteer Next.

  12. Voer het externe IP-adres in van het on-premises VPN-apparaat waarmee u verbinding wilt maken.

  13. Selecteer poort1 als de uitgaande interface.

  14. Selecteer Vooraf gedeelde sleutel en voer een vooraf gedeelde sleutel in (en noteer) .

    Notitie

    U hebt deze sleutel nodig om de verbinding op het on-premises VPN-apparaat in te stellen, dat wil gezegd dat ze precies overeenkomen.

    In de schermopname van de wizard VPN maken ziet u dat deze zich in de tweede stap, Verificatie, bevindt en dat de geselecteerde waarden zijn gemarkeerd.

  15. Selecteer Next.

  16. Selecteer poort2 voor de lokale interface.

  17. Voer het lokale subnetbereik in:

    • forti1: 172.16.0.0/16
    • forti2: 172.17.0.0/16

    Gebruik uw IP-bereik als u een ander IP-bereik gebruikt.

  18. Voer de juiste externe subnetten in die het on-premises netwerk vertegenwoordigen, waarmee u verbinding maakt via het on-premises VPN-apparaat.

    • forti1: 172.16.0.0/16
    • forti2: 172.17.0.0/16

    Gebruik uw IP-bereik als u een ander IP-bereik gebruikt.

    In de schermopname van de wizard VPN maken ziet u dat deze zich in de derde stap, Policy & Routing, met de geselecteerde en ingevoerde waarden.

  19. Selecteer Maken

  20. SelecteerNetwerkinterfaces>.

    De interfacelijst bevat twee interfaces: poort1, die is geconfigureerd, en poort2, die niet is geconfigureerd. Er zijn knoppen voor het maken, bewerken en verwijderen van interfaces.

  21. Dubbelklik op poort2.

  22. Kies LANin de rollenlijst en DHCP voor de adresseringsmodus.

  23. Selecteer OK.

Herhaal de stappen voor de andere NVA.

Alle fase 2-selectors weergeven

Zodra het bovenstaande is voltooid voor beide NVA's:

  1. Selecteer in de forti2 FortiGate-webconsole deoptieIPsec Monitor bewaken>.

    De monitor voor VPN-verbinding conn1 wordt vermeld. Het wordt weergegeven als down, net als de bijbehorende fase 2-selector.

  2. Markeer conn1 en selecteer alle fase>2-selectors weergeven.

    De monitor en fase 2-selector worden beide weergegeven als up.

Connectiviteit testen en valideren

U moet nu tussen elk VNET kunnen routeren via de FortiGate-NVA's. Als u de verbinding wilt valideren, maakt u een Azure Stack Hub-VM in het InsideSubnet van elk VNET. U kunt een Azure Stack Hub-VM maken via de portal, Azure CLI of PowerShell. Bij het maken van de VM's:

  • De Azure Stack Hub-VM's worden in het InsideSubnet van elk VNET geplaatst.

  • U past geen NSG's toe op de virtuele machine bij het maken (dat wil gezegd, verwijder de NSG die standaard wordt toegevoegd als u de VM vanuit de portal maakt.

  • Zorg ervoor dat de firewallregels van de VM de communicatie toestaan die u gaat gebruiken om de connectiviteit te testen. Voor testdoeleinden wordt aanbevolen om de firewall volledig uit te schakelen binnen het besturingssysteem, indien mogelijk.

Volgende stappen

Verschillen en overwegingen voor Azure Stack Hub-netwerken
Een netwerkoplossing aanbieden in Azure Stack Hub met Fortinet FortiGate