ExpressRoute-versleuteling: IPsec via ExpressRoute voor Virtual WAN

  • Artikel
  • 9 minuten om te lezen

In dit artikel wordt beschreven hoe u Azure Virtual WAN gebruikt om een IPsec-/IKE VPN-verbinding van uw on-premises netwerk naar Azure tot stand te brengen via privé-peering van een Azure ExpressRoute-circuit. Deze techniek kan een versleutelde doorvoer tussen de on-premises netwerken en virtuele Azure-netwerken bieden via ExpressRoute, zonder gebruik te maken van het openbare internet of openbare IP-adressen.

Topologie en routering

In het volgende diagram ziet u een voorbeeld van VPN-connectiviteit via persoonlijke ExpressRoute-peering:

VPN via ExpressRoute

In het diagram ziet u een netwerk binnen het on-premises netwerk dat is verbonden met de VPN-gateway van de Azure Hub via persoonlijke ExpressRoute-peering. De verbindingsinstelling is eenvoudig:

  1. ExpressRoute-connectiviteit tot stand met een ExpressRoute-circuit en privé-peering.
  2. Stel de VPN-verbinding tot stand zoals beschreven in dit artikel.

Een belangrijk aspect van deze configuratie is routering tussen de on-premises netwerken en Azure via zowel de ExpressRoute- als de VPN-paden.

Verkeer van on-premises netwerken naar Azure

Voor verkeer van on-premises netwerken naar Azure worden de Azure-voorvoegsels (inclusief de virtuele hub en alle virtuele spoke-netwerken die zijn verbonden met de hub) geadverteerd via zowel de BGP van de expressRoute-privé-peering als de VPN BGP. Dit resulteert in twee netwerkroutes (paden) naar Azure vanaf de on-premises netwerken:

  • Eén via het met IPsec beveiligde pad
  • Rechtstreeks via ExpressRoute zonder IPsec-beveiliging

Als u versleuteling wilt toepassen op de communicatie, moet u ervoor zorgen dat voor het met VPN verbonden netwerk in het diagram de Azure-routes via een on-premises VPN-gateway de voorkeur hebben boven het directe ExpressRoute-pad.

Verkeer van Azure naar on-premises netwerken

Dezelfde vereiste geldt voor het verkeer van Azure naar on-premises netwerken. Om ervoor te zorgen dat het IPsec-pad de voorkeur heeft boven het directe ExpressRoute-pad (zonder IPsec), hebt u twee opties:

  • Meer specifieke voorvoegsels adverteren in de VPN BGP-sessie voor het met VPN verbonden netwerk. U kunt een groter bereik adverteren dat het met VPN verbonden netwerk omvat via persoonlijke ExpressRoute-peering en vervolgens specifiekere reeksen in de VPN BGP-sessie. U kunt bijvoorbeeld 10.0.0.0/16 adverteren via ExpressRoute en 10.0.1.0/24 via VPN.

  • Geadverteerde niet-aaneenvoegsels voor VPN en ExpressRoute. Als de met VPN verbonden netwerkbereiken niet zijn gekoppeld aan andere ExpressRoute-verbonden netwerken, kunt u de voorvoegsels in respectievelijk de VPN- en ExpressRoute BGP-sessies adverteren. Adverteren bijvoorbeeld 10.0.0.0/24 via ExpressRoute en 10.0.1.0/24 via VPN.

In beide voorbeelden verzendt Azure verkeer naar 10.0.1.0/24 via de VPN-verbinding in plaats van rechtstreeks via ExpressRoute zonder VPN-beveiliging.

Waarschuwing

Als u dezelfde voorvoegsels adverteert via zowel ExpressRoute- als VPN-verbindingen, gebruikt Azure het ExpressRoute-pad rechtstreeks zonder VPN-beveiliging.

Voordat u begint

Controleer voordat u met de configuratie begint of u aan de volgende criteria voldoet:

  • Als u al een virtueel netwerk hebt waarmee u verbinding wilt maken, controleert u of geen van de subnetten van uw on-premises netwerk het overlapt. Het virtuele netwerk heeft geen gateway-subnet nodig en kan geen virtuele netwerk gateways hebben. Als u geen virtueel netwerk hebt, kunt u er een maken met behulp van de stappen in dit artikel.
  • Zorg dat u een IP-adresbereik krijgt voor uw hubregio. De hub is een virtueel netwerk en het adres bereik dat u opgeeft voor de hub-regio, mag niet overlappen met een bestaand virtueel netwerk waarmee u verbinding maakt. Het kan ook niet overlappen met de adresbereiken die u met on-premises verbinding maakt. Als u niet bekend bent met de IP-adresbereiken die zich in uw on-premises netwerk configuratie bevinden, coördineert u met iemand die deze gegevens voor u kan opgeven.
  • Als u nog geen abonnement op Azure hebt, maak dan een gratis account aan voordat u begint.

1. Een virtueel WAN en een hub met gateways maken

De volgende Azure-resources en de bijbehorende on-premises configuraties moeten aanwezig zijn voordat u verdergaat:

Zie Create an ExpressRoute association using Azure Virtual WAN (Een ExpressRoute-associatie maken met behulp van Azure Virtual WAN) voor de stappen voor het maken van een virtuele Azure-WAN en een hub met een ExpressRoute-Azure Virtual WAN. Zie Een site-naar-site-verbindingmaken met behulp van Azure Virtual WAN voor de stappen voor het maken van een VPN-gateway in Azure Virtual WAN.

2. Een site voor het on-premises netwerk maken

De siteresource is hetzelfde als de niet-ExpressRoute VPN-sites voor een virtueel WAN. Het IP-adres van het on-premises VPN-apparaat kan nu een privé-IP-adres of een openbaar IP-adres in het on-premises netwerk zijn dat bereikbaar is via persoonlijke ExpressRoute-peering die in stap 1 is gemaakt.

Notitie

Het IP-adres voor het on-premises VPN-apparaat moet deel uitmaken van de adres voorvoegsels die via privé-peering aan de virtuele WAN-hub Azure ExpressRoute geadverteerd.

  1. Ga naar de Azure Portal in uw browser.

  2. Selecteer de hub die u hebt gemaakt. Selecteer op de pagina van de virtuele WAN-hub onder Connectiviteit de optie VPN-sites.

  3. Selecteer op de pagina VPN-sites de optie +Site maken.

  4. Vul de volgende velden in op de pagina Site maken:

    • Abonnement: controleer het abonnement.
    • Resourcegroep: selecteer of maak de resourcegroep die u wilt gebruiken.
    • Regio: voer de Azure-regio in voor de VPN-siteresource.
    • Naam: voer de naam in waarmee u naar uw on-premises site wilt verwijzen.
    • Apparaatleverancier: voer de leverancier van het on-premises VPN-apparaat in.
    • Border Gateway Protocol: selecteer Inschakelen als uw on-premises netwerk gebruikmaakt van BGP.
    • Privé-adresruimte: voer de IP-adresruimte in die zich op uw on-premises site bevindt. Verkeer dat is bestemd voor deze adresruimte wordt via de VPN-gateway gerouteerd naar het on-premises netwerk.
    • Hubs: selecteer een of meer hubs om deze VPN-site te verbinden. Voor de geselecteerde hubs moeten al VPN-gateways zijn gemaakt.

  5. Selecteer Volgende: Koppelingen > voor de VPN-koppelingsinstellingen:

    • Koppelingsnaam: de naam waarmee u naar deze verbinding wilt verwijzen.
    • Providernaam: de naam van de internetprovider voor deze site. Voor een on-premises ExpressRoute-netwerk is dit de naam van de ExpressRoute-serviceprovider.
    • Snelheid: de snelheid van de internetservicekoppeling of het ExpressRoute-circuit.
    • IP-adres: het openbare IP-adres van het VPN-apparaat dat zich op uw on-premises site bevindt. Of voor ExpressRoute on-premises is dit het privé-IP-adres van het VPN-apparaat via ExpressRoute.

    Als BGP is ingeschakeld, is dit van toepassing op alle verbindingen die voor deze site in Azure zijn gemaakt. Het configureren van BGP op een virtueel WAN is gelijk aan het configureren van BGP op een Azure VPN-gateway.

    Uw on-premises BGP-peeradres mag niet hetzelfde zijn als het IP-adres van uw VPN op het apparaat of de adresruimte van het virtuele netwerk van de VPN-site. Gebruik een ander IP-adres op het VPN-apparaat voor uw BGP-peer-IP. Het kan een adres zijn dat is toegewezen aan de loopback-interface op het apparaat. Het kan echter geen APIPA (169.254) zijn.x. x) adres. Geef dit adres op in de bijbehorende VPN-site die de locatie vertegenwoordigt. Zie Over BGP met Azure VPN-gateway voor BGP-vereisten.

  6. Selecteer Volgende: Controleren en maken > om de instellingswaarden te controleren en de VPN-site te maken. Als u Hubs hebt geselecteerd om verbinding te maken, wordt de verbinding tot stand gebracht tussen het on-premises netwerk en de HUB VPN-gateway.

3. De vpn-verbindingsinstelling bijwerken voor het gebruik van ExpressRoute

Nadat u de VPN-site hebt gemaakt en verbinding hebt gemaakt met de hub, gebruikt u de volgende stappen om de verbinding te configureren voor het gebruik van persoonlijke ExpressRoute-peering:

  1. Terug naar de pagina met virtuele WAN-resources en selecteer de hubresource. Of navigeer van de VPN-site naar de verbonden hub.

    Een hub selecteren

  2. Selecteer vpn (site-naar-site) onder Connectiviteit.

    SELECTEER VPN (site-naar-site)

  3. Selecteer het beletselteken (...) op de VPN-site via ExpressRoute en selecteer VPN-verbinding met deze hub bewerken.

    Menu Configuratie invoeren

  4. Selecteer Ja bij Privé-IP-adres van Azure gebruiken. Met de instelling wordt de VPN-gateway van de hub geconfigureerd voor het gebruik van privé-IP-adressen binnen het adresbereik van de hub op de gateway voor deze verbinding, in plaats van de openbare IP-adressen. Dit zorgt ervoor dat het verkeer van het on-premises netwerk de privé-peeringpaden van ExpressRoute passeert in plaats van het openbare internet te gebruiken voor deze VPN-verbinding. In de volgende schermopname ziet u de instelling:

    Instelling voor het gebruik van een privé-IP-adres voor de VPN-verbinding

  5. Selecteer Opslaan.

Nadat u de wijzigingen hebt opgeslagen, gebruikt de hub-VPN-gateway de privé-IP-adressen op de VPN-gateway om de IPsec-/IKE-verbindingen met het on-premises VPN-apparaat via ExpressRoute tot stand te brengen.

4. De privé-IP-adressen voor de hub-VPN-gateway op te halen

Download de configuratie van het VPN-apparaat om de privé-IP-adressen van de hub-VPN-gateway op te halen. U hebt deze adressen nodig om het on-premises VPN-apparaat te configureren.

  1. Selecteer op de pagina voor uw hub VPN (site-naar-site) onder Connectiviteit.

  2. Selecteer bovenaan de pagina Overzicht de optie VPN-configuratie downloaden.

    Azure maakt een opslagaccount in de resourcegroep microsoft-network-[location], waarbij locatie de locatie van het WAN is. Nadat u de configuratie op uw VPN-apparaten hebt toegepast, kunt u dit opslagaccount verwijderen.

  3. Nadat het bestand is gemaakt, selecteert u de koppeling om het te downloaden.

  4. Pas de configuratie toe op uw VPN-apparaat.

Configuratiebestand voor VPN-apparaat

Het apparaatconfiguratiebestand bevat de instellingen die moeten worden gebruikt bij het configureren van uw on-premises VPN-apparaat. Wanneer u dit bestand bekijkt, ziet u de volgende informatie:

  • vpnSiteConfiguration: deze sectie geeft de apparaatdetails aan die zijn ingesteld als een site die verbinding maakt met het virtuele WAN. Het bevat de naam en het openbare IP-adres van het vertakkingsapparaat.

  • vpnSiteConnections: deze sectie bevat informatie over de volgende instellingen:

    • Adresruimte van het virtuele netwerk van de virtuele hub.
      Voorbeeld: "AddressSpace":"10.51.230.0/24"
    • Adresruimte van de virtuele netwerken die zijn verbonden met de hub.
      Voorbeeld: "ConnectedSubnets":["10.51.231.0/24"]
    • IP-adressen van de VPN-gateway van de virtuele hub. Omdat elke verbinding van de VPN-gateway bestaat uit twee tunnels in de configuratie actief-actief, ziet u beide IP-adressen in dit bestand. In dit voorbeeld ziet u en voor elke site. Dit zijn Instance0 Instance1 privé-IP-adressen in plaats van openbare IP-adressen.
      Voorbeeld: "Instance0":"10.51.230.4" "Instance1":"10.51.230.5"
    • Configuratiegegevens voor de VPN-gatewayverbinding, zoals BGP en vooraf gedeelde sleutel. De vooraf gedeelde sleutel wordt automatisch voor u gegenereerd. U kunt de verbinding altijd bewerken op de pagina Overzicht voor een aangepaste vooraf gedeelde sleutel.

Voorbeeld van een apparaatconfiguratiebestand

[{
      "configurationVersion":{
        "LastUpdatedTime":"2019-10-11T05:57:35.1803187Z",
        "Version":"5b096293-edc3-42f1-8f73-68c14a7c4db3"
      },
      "vpnSiteConfiguration":{
        "Name":"VPN-over-ER-site",
        "IPAddress":"172.24.127.211",
        "LinkName":"VPN-over-ER"
      },
      "vpnSiteConnections":[{
        "hubConfiguration":{
          "AddressSpace":"10.51.230.0/24",
          "Region":"West US 2",
          "ConnectedSubnets":["10.51.231.0/24"]
        },
        "gatewayConfiguration":{
          "IpAddresses":{
            "Instance0":"10.51.230.4",
            "Instance1":"10.51.230.5"
          }
        },
        "connectionConfiguration":{
          "IsBgpEnabled":false,
          "PSK":"abc123",
          "IPsecParameters":{"SADataSizeInKilobytes":102400000,"SALifeTimeInSeconds":3600}
        }
      }]
    },
    {
      "configurationVersion":{
        "LastUpdatedTime":"2019-10-11T05:57:35.1803187Z",
        "Version":"fbdb34ea-45f8-425b-9bc2-4751c2c4fee0"
      },
      "vpnSiteConfiguration":{
        "Name":"VPN-over-INet-site",
        "IPAddress":"13.75.195.234",
        "LinkName":"VPN-over-INet"
      },
      "vpnSiteConnections":[{
        "hubConfiguration":{
          "AddressSpace":"10.51.230.0/24",
          "Region":"West US 2",
          "ConnectedSubnets":["10.51.231.0/24"]
        },
        "gatewayConfiguration":{
          "IpAddresses":{
            "Instance0":"51.143.63.104",
            "Instance1":"52.137.90.89"
          }
        },
        "connectionConfiguration":{
          "IsBgpEnabled":false,
          "PSK":"abc123",
          "IPsecParameters":{"SADataSizeInKilobytes":102400000,"SALifeTimeInSeconds":3600}
        }
      }]
}]

Uw VPN-apparaat configureren

Als u instructies nodig hebt voor het configureren van uw apparaat, kunt u de instructies op de pagina met configuratiescripts voor VPN-apparaten gebruiken. Houd in dat geval wel rekening met de volgende dingen:

  • De instructies op de pagina VPN-apparaat zijn niet geschreven voor een virtueel WAN. U kunt echter de virtuele WAN-waarden uit het configuratiebestand gebruiken om uw VPN-apparaat handmatig te configureren.
  • De downloadbare apparaatconfiguratiescripts voor de VPN-gateway werken niet voor het virtuele WAN, omdat de configuratie anders is.
  • Een nieuwe virtuele WAN kan zowel IKEv1 als IKEv2 ondersteunen.
  • Een virtuele WAN kan alleen op route gebaseerde VPN-apparaten en apparaatinstructies gebruiken.

5. Uw virtuele WAN weergeven

  1. Ga naar het virtuele WAN.
  2. Op de pagina Overzicht vertegenwoordigt elk punt op de kaart een hub.
  3. In de sectie Hubs en verbindingen kunt u de status van de hub, site, regio en VPN-verbinding bekijken. U kunt ook bytes in en uit bekijken.

6. Een verbinding bewaken

Maak een verbinding voor het bewaken van de communicatie tussen een virtuele Azure-machine (VM) en een externe site. Zie voor meer informatie over het instellen van een verbindingscontrole de pagina Netwerkcommunicatie bewaken. Het bronveld is het IP-adres van de VM in Azure en het doel-IP-adres is het IP-adres van de site.

7. Resources ops schonen

Wanneer u deze resources niet meer nodig hebt, kunt u Remove-AzResourceGroup gebruiken om de resourcegroep en alle resources die deze bevat te verwijderen. Voer de volgende PowerShell-opdracht uit en vervang myResourceGroup door de naam van uw resourcegroep:

Remove-AzResourceGroup -Name myResourceGroup -Force

Volgende stappen

Dit artikel helpt u bij het maken van een VPN-verbinding via persoonlijke ExpressRoute-peering met behulp van Virtual WAN. Zie het overzicht Virtual WAN meer Virtual WAN informatie over Virtual WAN en gerelateerde functies.