VNet-naar-VNet-connectiviteit met Fortigate

  • Artikel
  • 6 minuten om te lezen

In dit artikel wordt beschreven hoe u een verbinding maakt tussen twee virtuele netwerken in dezelfde omgeving. Wanneer u de verbindingen instelt, leert u hoe VPN-gateways in Azure Stack Hub werken. Verbinding maken twee VNET's binnen dezelfde Azure Stack Hub-omgeving met behulp van Fortinet FortiGate. Met deze procedure worden twee VNET's geïmplementeerd met een FortiGate NVA, een virtueel netwerkapparaat, in elk VNET dat zich binnen een afzonderlijke resourcegroep bevindt. Ook worden de wijzigingen die nodig zijn voor het instellen van een IPSec VPN tussen de twee VNET's, in detail weergegeven. Herhaal de stappen in dit artikel voor elke VNET-implementatie.

Vereisten

  • Toegang tot een systeem met beschikbare capaciteit voor het implementeren van de vereiste reken-, netwerk- en resourcevereisten die nodig zijn voor deze oplossing.

  • Een NVA-oplossing (virtueel netwerkapparaat) is gedownload en gepubliceerd naar de Azure Stack Hub Marketplace. Een NVA bepaalt de stroom van netwerkverkeer van een perimeternetwerk naar andere netwerken of subnetten. Deze procedure maakt gebruik van de Fortinet FortiGate Next-Generation Firewall Single VM Solution.

  • Ten minste twee beschikbare FortiGate-licentiebestanden om de FortiGate NVA te activeren. Zie het artikel Fortinet-documentbibliotheek registreren en downloaden van uw licentie voor informatie over het verkrijgen van deze licenties.

    Deze procedure maakt gebruik van de implementatie van single FortiGate-VM. U vindt stappen voor het verbinden van de FortiGate NVA met het Azure Stack Hub VNET in uw on-premises netwerk.

    Zie de details in het artikel Fortinet Document Library voor FortiGate-VM in Azure voor meer informatie over het implementeren van de FortiGate-oplossing in een actief-passief (HA).

Implementatieparameters

De volgende tabel bevat een overzicht van de parameters die in deze implementaties worden gebruikt voor referentie:

Implementatie één: Forti1

Naam van fortiGate-exemplaar Forti1
BYOL-licentie/-versie 6.0.3
FortiGate-beheerdersnaam fortiadmin
Naam resourcegroep forti1-rg1
Naam van virtueel netwerk forti1vnet1
VNET-adresruimte 172.16.0.0/16*
Naam van openbaar VNET-subnet forti1-PublicFacingSubnet
Voorvoegsel van openbaar VNET-adres 172.16.0.0/24*
Naam van VNET-subnet forti1-InsideSubnet
Binnen het VNET-subnetvoorvoegsel 172.16.1.0/24*
VM-grootte van FortiGate NVA Standard-F2s_v2
Naam openbaar IP-adres forti1-publicip1
Type openbaar IP-adres Statisch

Implementatie twee: Forti2

Naam van fortiGate-exemplaar Forti2
BYOL-licentie/-versie 6.0.3
FortiGate-beheerdersnaam fortiadmin
Naam resourcegroep forti2-rg1
Naam van virtueel netwerk forti2vnet1
VNET-adresruimte 172.17.0.0/16*
Naam van openbaar VNET-subnet forti2-PublicFacingSubnet
Voorvoegsel van openbaar VNET-adres 172.17.0.0/24*
Naam van VNET-subnet Forti2-InsideSubnet
Binnen het VNET-subnetvoorvoegsel 172.17.1.0/24*
VM-grootte van FortiGate NVA Standard-F2s_v2
Naam openbaar IP-adres Forti2-publicip1
Type openbaar IP-adres Statisch

Notitie

* Kies een andere set adresruimten en subnetvoorvoegsels als het bovenstaande op een willekeurige manier overlapt met de on-premises netwerkomgeving, inclusief de VIP-pool van een van beide Azure Stack Hub. Zorg er ook voor dat de adresbereiken elkaar niet overlappen.

De FortiGate NGFW implementeren

  1. Open de Azure Stack Hub-gebruikersportal.

  2. Selecteer Een resource maken en zoek naar FortiGate.

    The search results list shows FortiGate NGFW - Single VM Deployment.

  3. Selecteer de FortiGate NGFW en selecteer Maken.

  4. Voltooi de basisbeginselen met behulp van de parameters uit de tabel Implementatieparameters .

    The Basics screen has values from the deployment parameters selected and entered in list and text boxes.

  5. Selecteer OK.

  6. Geef de details van het virtuele netwerk, subnetten en VM-grootte op met behulp van de tabel Implementatieparameters .

    Waarschuwing

    Als het on-premises netwerk overlapt met het IP-bereik 172.16.0.0/16, moet u een ander netwerkbereik en subnetten selecteren en instellen. Als u verschillende namen en bereiken wilt gebruiken dan de namen en bereiken in de tabel Implementatieparameters , gebruikt u parameters die niet conflicteert met het on-premises netwerk. Let op bij het instellen van het VNET-IP-bereik en subnetbereiken binnen het VNET. U wilt niet dat het bereik overlapt met de IP-bereiken die aanwezig zijn in uw on-premises netwerk.

  7. Selecteer OK.

  8. Configureer het openbare IP-adres voor de Fortigate NVA:

    The IP Assignment dialog box shows the value forti1-publicip1 for

  9. Selecteer OK. En selecteer vervolgens OK.

  10. Selecteer Maken.

De implementatie duurt ongeveer 10 minuten.

Routes (UDR's) configureren voor elk VNET

Voer deze stappen uit voor beide implementaties, forti1-rg1 en forti2-rg1.

  1. Open de Azure Stack Hub-gebruikersportal.

  2. Selecteer Resourcegroepen. Typ forti1-rg1 het filter en dubbelklik op de forti1-rg1-resourcegroep.

    Ten resources are listed for the forti1-rg1 resource group.

  3. Selecteer de resource forti1-forti1-InsideSubnet-routes-xxxx .

  4. Selecteer Routes onder Instellingen.

    The Routes button is selected in the Settings dialog box.

  5. Verwijder de route naar internet .

    The to-Internet Route is the only route listed, and it is selected. There is a delete button.

  6. Selecteer Ja.

  7. Selecteer Toevoegen om een nieuwe route toe te voegen.

  8. Geef de route to-onpremeen naam.

  9. Voer het IP-netwerkbereik in waarmee het netwerkbereik van het on-premises netwerk wordt gedefinieerd waarmee de VPN verbinding maakt.

  10. Selecteer virtueel apparaat voor het type Volgende hop en 172.16.1.4. Gebruik uw IP-bereik als u een ander IP-bereik gebruikt.

    The Add route dialog box shows the four values that have been selected and entered in the text boxes.

  11. Selecteer Opslaan.

U hebt een geldig licentiebestand van Fortinet nodig om elke FortiGate NVA te activeren. De NVA's werken pas als u elke NVA hebt geactiveerd. Zie het artikel Over het registreren en downloaden van uw licentie voor meer informatie over het verkrijgen van een licentiebestand en stappen voor het activeren van de NVA.

Er moeten twee licentiebestanden worden aangeschaft: één voor elke NVA.

Een IPSec-VPN tussen de twee NVA's maken

Zodra de NVA's zijn geactiveerd, volgt u deze stappen om een IPSec-VPN tussen de twee NVA's te maken.

Volg de onderstaande stappen voor zowel de forti1 NVA als forti2 NVA:

  1. Haal het toegewezen openbare IP-adres op door naar de overzichtspagina van de fortiX-VM te gaan:

    The forti1 virtual machine Overview page show values for forti1, such as the

  2. Kopieer het toegewezen IP-adres, open een browser en plak het adres in de adresbalk. Uw browser waarschuwt u mogelijk dat het beveiligingscertificaat niet wordt vertrouwd. Ga toch door.

  3. Voer de gebruikersnaam en het wachtwoord van de FortiGate-beheerder in die u hebt opgegeven tijdens de implementatie.

    The login dialog box has user and password text boxes, and a Login button.

  4. Selecteer SystemFirmware>.

  5. Selecteer het vak met de meest recente firmware, FortiOS v6.2.0 build0866bijvoorbeeld.

    The Firmware dialog box has the firmware identifier

  6. Selecteer Back-upconfiguratie enupgradeContinue>.

  7. De NVA werkt de firmware bij naar de nieuwste build en wordt opnieuw opgestart. Het proces duurt ongeveer vijf minuten. Meld u weer aan bij de FortiGate-webconsole.

  8. Klik op de wizard VPNIPSec>.

  9. Voer een naam in voor het VPN, bijvoorbeeld conn1 in de wizard VPN maken.

  10. Selecteer Deze site bevindt zich achter NAT.

    The screenshot of the VPN Creation Wizard shows it to be on the first step, VPN Setup. The following values are selected:

  11. Selecteer Next.

  12. Voer het externe IP-adres in van het on-premises VPN-apparaat waarmee u verbinding gaat maken.

  13. Selecteer poort1 als de uitgaande interface.

  14. Selecteer Vooraf gedeelde sleutel en voer een vooraf gedeelde sleutel in (en record).

    Notitie

    U hebt deze sleutel nodig om de verbinding in te stellen op het on-premises VPN-apparaat, dat wil gezegd, ze moeten exact overeenkomen.

    The screenshot of the VPN Creation Wizard shows it to be on the second step, Authentication, and the selected values are highlighted.

  15. Selecteer Next.

  16. Selecteer poort2 voor de lokale interface.

  17. Voer het lokale subnetbereik in:

    • forti1: 172.16.0.0/16
    • forti2: 172.17.0.0/16

    Gebruik uw IP-bereik als u een ander IP-bereik gebruikt.

  18. Voer de juiste externe subnetten in die het on-premises netwerk vertegenwoordigen, waarmee u verbinding maakt via het on-premises VPN-apparaat.

    • forti1: 172.16.0.0/16
    • forti2: 172.17.0.0/16

    Gebruik uw IP-bereik als u een ander IP-bereik gebruikt.

    The screenshot of the VPN Creation Wizard shows it to be on the third step, Policy & Routing. It shows the selected and entered values.

  19. Selecteer Maken

  20. Selecteer NetworkInterfaces>.

    The interface list shows two interfaces: port1, which has been configured, and port2, which hasn't. There are buttons to create, edit, and delete interfaces.

  21. Dubbelklik op poort2.

  22. Kies LAN in de lijst met rollen en DHCP voor de adresseringsmodus.

  23. Selecteer OK.

Herhaal de stappen voor de andere NVA.

Alle fase 2-selectors weergeven

Zodra het bovenstaande is voltooid voor beide NVA's:

  1. Selecteer in de forti2 FortiGate-webconsole de optie MonitorIPsec> Monitor.

    The monitor for VPN connection conn1 is listed. It is shown as being down, as is the corresponding Phase 2 Selector.

  2. Markeer conn1 en selecteer de Bring UpAll>Phase 2 Selectors.

    The monitor and Phase 2 Selector are both shown as up.

Connectiviteit testen en valideren

U moet nu tussen elk VNET kunnen routeren via de FortiGate NVA's. Als u de verbinding wilt valideren, maakt u een Azure Stack Hub-VM in elk VNET InsideSubnet. U kunt een Azure Stack Hub-VM maken via de portal, Azure CLI of PowerShell. Bij het maken van de VM's:

  • De Azure Stack Hub-VM's worden in het InsideSubnet van elk VNET geplaatst.

  • U past geen NSG's toe op de VIRTUELE machine bij het maken (Verwijder de NSG die standaard wordt toegevoegd als u de VIRTUELE machine vanuit de portal maakt.

  • Zorg ervoor dat de FIREWALLregels van VMS de communicatie toestaan die u gaat gebruiken om de connectiviteit te testen. Voor testdoeleinden wordt aanbevolen om de firewall volledig binnen het besturingssysteem uit te schakelen, indien mogelijk.

Volgende stappen

Verschillen en overwegingen voor Azure Stack Hub-netwerken
Een netwerkoplossing aanbieden in Azure Stack Hub met Fortinet FortiGate