Configurar o gateway de VPN para o Azure Stack Hub com a NVA FortiGate

  • Artigo

Este artigo descreve como criar uma ligação VPN ao Azure Stack Hub. Um gateway de VPN é um tipo de gateway de rede virtual que envia tráfego encriptado entre a rede virtual no Azure Stack Hub e um gateway de VPN remoto. O procedimento abaixo implementa uma VNET com uma NVA FortiGate, uma aplicação virtual de rede, num grupo de recursos. Também fornece passos para configurar uma VPN IPSec na NVA FortiGate.

Pré-requisitos

  • Acesso a sistemas integrados do Azure Stack Hub com capacidade disponível para implementar os requisitos de computação, rede e recursos necessários para esta solução.

    Nota

    Estas instruções não funcionarão com um Azure Stack Development Kit (ASDK) devido às limitações de rede no ASDK. Para obter mais informações, veja Requisitos e considerações do ASDK.

  • Acesso a um dispositivo VPN na rede no local que aloja o sistema integrado do Azure Stack Hub. O dispositivo tem de criar um túnel IPSec, que cumpre os parâmetros descritos nos parâmetros implementação.

  • Uma solução de aplicação virtual de rede (NVA) disponível no Marketplace do Azure Stack Hub. Uma NVA controla o fluxo de tráfego de rede de uma rede de perímetro para outras redes ou sub-redes. Este procedimento utiliza a Solução de VM Única de Firewall de Próxima Geração fortinet FortiGate.

    Nota

    Se não tiver a Fortinet FortiGate-VM for Azure BYOL e FortiGate NGFW – Implementação de VM Única (BYOL) disponível no Marketplace do Azure Stack Hub, contacte o operador da cloud.

  • Para ativar a NVA FortiGate, precisará de, pelo menos, um ficheiro de licença FortiGate disponível. Informações sobre como adquirir estas licenças, consulte o artigo Biblioteca de Documentos da Fortinet Registar e transferir a sua licença.

    Este procedimento utiliza a implementação FortiGate-VM Única. Pode encontrar passos sobre como ligar a NVA FortiGate à VNET do Azure Stack Hub na sua rede no local.

    Para obter mais informações sobre como implementar a solução FortiGate numa configuração ativa-passiva (HA), veja os detalhes no artigo DA Biblioteca de Documentos da Fortinet para FortiGate-VM no Azure.

Parâmetros de implementação

A tabela seguinte resume os parâmetros que são utilizados nestas implementações para referência.

Parâmetro Valor
Nome da Instância FortiGate forti1
Licença/Versão BYOL 6.0.3
Nome de utilizador administrativo FortiGate fortiadmin
Nome do Grupo de recursos forti1-rg1
Nome da rede virtual forti1vnet1
Espaço de Endereços da VNET 172.16.0.0/16*
Nome da sub-rede da VNET Pública forti1-PublicFacingSubnet
Prefixo de endereço VNET público 172.16.0.0/24*
Nome da sub-rede da VNET interna forti1-InsideSubnet
Prefixo de sub-rede da VNET interior 172.16.1.0/24*
Tamanho da VM da NVA FortiGate F2s_v2 Padrão
Nome do endereço IP público forti1-publicip1
Tipo de endereço IP público Estático

Nota

* Escolha um espaço de endereços e prefixos de sub-rede diferentes se se 172.16.0.0/16 sobrepor à rede no local ou ao conjunto VIP do Azure Stack Hub.

Implementar os itens do Marketplace do NGFW fortiGate

  1. Abra o portal de utilizadores do Azure Stack Hub.

  2. Selecione Criar um recurso e procure FortiGate.

    A lista de resultados da pesquisa mostra FortiGate NGFW – Implementação de VM Única.

  3. Selecione o NGFW FortiGate e selecione Criar.

  4. Conclua As Noções Básicas com os parâmetros da tabela Parâmetros de implementação .

    O ecrã Noções Básicas tem valores da tabela de parâmetros de implementação introduzida nas caixas de texto e lista.

  5. Selecione OK.

  6. Forneça os detalhes de Rede virtual, Sub-redes e Tamanho da VM com a tabela Parâmetros de implementação .

    Aviso

    Se a rede no local se sobrepor ao intervalo 172.16.0.0/16de IP, tem de selecionar e configurar um intervalo de rede e sub-redes diferentes. Se quiser utilizar diferentes nomes e intervalos do que os da tabela Parâmetros de implementação , utilize parâmetros que não entrarão em conflito com a rede no local. Tenha cuidado ao definir o intervalo de IP da VNET e os intervalos de sub-rede na VNET. Não quer que o intervalo se sobreponha aos intervalos de IP existentes na sua rede no local.

  7. Selecione OK.

  8. Configure o IP Público para a NVA FortiGate:

    A caixa de diálogo Atribuição de IP mostra o valor forti1-publicip1 para

  9. Selecione OK. Por fim, selecione OK.

  10. Selecione Criar.

    A implementação demorará cerca de 10 minutos.

Configurar rotas (UDR) para a VNET

  1. Abra o portal de utilizadores do Azure Stack Hub.

  2. Selecione Grupos de recursos. Escreva forti1-rg1 o filtro e faça duplo clique no grupo de recursos forti1-rg1.

    Estão listados dez recursos para o grupo de recursos forti1-rg1.

  3. Selecione o recurso "forti1-forti1-InsideSubnet-routes-xxxx".

  4. Selecione Rotas em Definições.

    O botão Rotas está selecionado na caixa de diálogo Definições.

  5. Elimine a Rota para a Internet .

    A Rota para a Internet é a única rota listada e está selecionada. Existe um botão eliminar.

  6. Selecione Yes (Sim).

  7. Selecione Adicionar para adicionar uma nova rota.

  8. Atribua um nome à rota to-onprem.

  9. Introduza o intervalo de rede IP que define o intervalo de rede da rede no local ao qual a VPN se irá ligar.

  10. Selecione Aplicação virtual para Tipo de salto seguinte e 172.16.1.4. Utilize o intervalo de IP se estiver a utilizar um intervalo de IP diferente.

    A caixa de diálogo Adicionar rota mostra os quatro valores que foram introduzidos nas caixas de texto.

  11. Selecione Guardar.

Ativar a NVA FortiGate

Ative a NVA FortiGate e configure uma ligação VPN IPSec em cada NVA.

Para ativar cada NVA FortiGate, será necessário um ficheiro de licença válido da Fortinet. As NVAs funcionarão quando tiver ativado cada NVA. Para obter mais informações sobre como obter um ficheiro de licença e passos para ativar a NVA, consulte o artigo Biblioteca de Documentos da Fortinet Registar e transferir a sua licença.

Depois de ativar as NVAs, crie um túnel VPN IPSec na NVA.

  1. Abra o portal de utilizador do Azure Stack Hub.

  2. Selecione Grupos de recursos. Introduza forti1 no filtro e faça duplo clique no grupo de recursos forti1.

  3. Faça duplo clique na máquina virtual forti1 na lista de tipos de recursos no painel do grupo de recursos.

    A página Descrição Geral da máquina virtual forti1 mostra valores para forti1, como

  4. Copie o endereço IP atribuído, abra um browser e cole o endereço IP na barra de endereço. O site pode acionar um aviso de que o certificado de segurança não é fidedigno. Continue mesmo assim.

  5. Introduza o nome de utilizador administrativo e a palavra-passe administrativos do FortiGate que indicou durante a implementação.

    A caixa de diálogo de início de sessão tem caixas de texto de utilizador e palavra-passe e um botão Iniciar sessão.

  6. SelecioneFirmware do Sistema>.

  7. Selecione a caixa que mostra o firmware mais recente, por exemplo, FortiOS v6.2.0 build0866.

    A caixa de diálogo Firmware tem o identificador de firmware

  8. Selecione Configuração da cópia de segurança e atualizar>Continuar.

  9. A NVA atualiza o firmware para a compilação e reinícios mais recentes. O processo demora cerca de cinco minutos. Volte a iniciar sessão na consola Web FortiGate.

  10. Clique emAssistente de IPSecde VPN>.

  11. Introduza um nome para a VPN, por exemplo, conn1 no Assistente de Criação de VPN.

  12. Selecione Este site está protegido por NAT.

    A captura de ecrã do Assistente de Criação de VPN mostra que está no primeiro passo, Configuração da VPN. Os seguintes valores estão selecionados:

  13. Selecione Seguinte.

  14. Introduza o endereço IP remoto do dispositivo VPN no local ao qual se vai ligar.

  15. Selecione port1 como Interface de Envio.

  16. Selecione Chave Pré-partilhada e introduza (e grave) uma chave pré-partilhada.

    Nota

    Precisará desta chave para configurar a ligação no dispositivo VPN no local, ou seja, tem de corresponder exatamente.

    A captura de ecrã do Assistente de Criação de VPN mostra que está no segundo passo, a Autenticação e os valores selecionados estão realçados.

  17. Selecione Seguinte.

  18. Selecione a porta2 para a Interface Local.

  19. Introduza o intervalo de sub-rede local:

    • forti1: 172.16.0.0/16
    • forti2: 172.17.0.0/16

    Utilize o intervalo de IP se estiver a utilizar um intervalo de IP diferente.

  20. Introduza as Sub-redes Remotas adequadas que representam a rede no local, à qual se ligará através do dispositivo VPN no local.

    A captura de ecrã do Assistente de Criação de VPN mostra que está no terceiro passo, Encaminhamento do & de Políticas. Mostra os valores selecionados e introduzidos.

  21. Selecione Criar

  22. SelecioneInterfacesde Rede>.

    A lista de interfaces mostra duas interfaces: a porta1, que foi configurada, e a porta2, que não o fez. Existem botões para criar, editar e eliminar interfaces.

  23. Faça duplo clique em porta2.

  24. Selecione LAN na Lista de funções e DHCP para o modo de Endereçamento.

  25. Selecione OK.

Configurar a VPN no local

O dispositivo VPN no local tem de ser configurado para criar o túnel VPN IPSec. A tabela seguinte fornece os parâmetros necessários para configurar o dispositivo VPN no local. Para obter informações sobre como configurar o dispositivo VPN no local, veja a documentação do seu dispositivo.

Parâmetro Valor
IP do Gateway Remoto Endereço IP público atribuído a forti1 – veja Ativar a NVA fortiGate.
Rede IP Remota 172.16.0.0/16 (se utilizar o intervalo de IP nestas instruções para a VNET).
Auth. Method = Preshared key (PSK) No Passo 16.
Versão do IKE 1
Modo IKE Principal (proteção de ID)
Algoritmos de Proposta da Fase 1 AES128-SHA256, AES256-SHA256, AES128-SHA1, AES256-SHA1
Grupos de Diffie-Hellman 14, 5

Criar o túnel VPN

Assim que o dispositivo VPN no local estiver configurado corretamente, o túnel VPN pode agora ser estabelecido.

Na NVA FortiGate:

  1. Na consola Web forti1 FortiGate, aceda a Monitorizar> MonitorIPsec.

    O monitor da ligação VPN conn1 está listado. É mostrado como estando inativo, assim como o Seletor de Fase 2 correspondente.

  2. Realce a tecla conn1 e selecione Os Seletores de Trazer>Todas as Fases 2.

    O monitor e o Seletor de Fase 2 são apresentados como up.

Testar e validar a conectividade

Pode encaminhar entre a rede VNET e a rede no local através do dispositivo VPN no local.

Para validar a ligação:

  1. Crie uma VM nas VNETs do Azure Stack Hub e um sistema na rede no local. Pode seguir as instruções para criar uma VM em Início Rápido: Criar uma VM do Windows Server com o portal do Azure Stack Hub.

  2. Ao criar a VM do Azure Stack Hub e ao preparar o sistema no local, verifique:

  • A VM do Azure Stack Hub é colocada na InsideSubnet da VNET.

  • O sistema no local é colocado na rede no local dentro do intervalo de IP definido, conforme definido na configuração ipSec. Certifique-se também de que o endereço IP da interface local do dispositivo VPN no local é fornecido ao sistema no local como uma rota que pode aceder à rede VNET do Azure Stack Hub, por exemplo, 172.16.0.0/16.

  • Não aplique NSGs à VM do Azure Stack Hub durante a criação. Poderá ter de remover o NSG que é adicionado por predefinição se criar a VM a partir do portal.

  • Confirme que o SO do sistema no local e o SO da VM do Azure Stack Hub não têm regras de firewall do SO que proíbam a comunicação que vai utilizar para testar a conectividade. Para fins de teste, recomenda-se desativar completamente a firewall no sistema operativo de ambos os sistemas.

Passos seguintes

Diferenças e considerações sobre a rede do Azure Stack Hub
Oferecer uma solução de rede no Azure Stack Hub com Fortinet FortiGate