Conectividade da VNet à VNet com o Fortigate

  • Artigo

Este artigo descreve como criar uma ligação entre duas redes virtuais no mesmo ambiente. Ao configurar as ligações, irá aprender como funcionam os gateways de VPN no Azure Stack Hub. Ligue duas VNETs no mesmo ambiente do Azure Stack Hub com Fortinet FortiGate. Este procedimento implementa duas VNETs com uma NVA FortiGate, uma aplicação virtual de rede, em cada VNET cada uma num grupo de recursos separado. Também detalha as alterações necessárias para configurar uma VPN IPSec entre as duas VNETs. Repita os passos neste artigo para cada implementação de VNET.

Pré-requisitos

  • Acesso a um sistema com capacidade disponível para implementar os requisitos de computação, rede e recursos necessários para esta solução.

  • Uma solução de aplicação virtual de rede (NVA) transferida e publicada no Marketplace do Azure Stack Hub. Uma NVA controla o fluxo de tráfego de rede de uma rede de perímetro para outras redes ou sub-redes. Este procedimento utiliza a Solução de VM Única de Firewall de Próxima Geração fortinet FortiGate.

  • Pelo menos dois ficheiros de licença FortiGate disponíveis para ativar a NVA FortiGate. Informações sobre como obter estas licenças, consulte o artigo Biblioteca de Documentos da Fortinet Registar e transferir a sua licença.

    Este procedimento utiliza a implementação FortiGate-VM Única. Pode encontrar passos sobre como ligar a NVA FortiGate à VNET do Azure Stack Hub na sua rede no local.

    Para obter mais informações sobre como implementar a solução FortiGate numa configuração ativa-passiva (HA), veja os detalhes no artigo DA Biblioteca de Documentos da Fortinet para FortiGate-VM no Azure.

Parâmetros de implementação

A tabela seguinte resume os parâmetros que são utilizados nestas implementações para referência:

Implementação um: Forti1

Nome da Instância FortiGate Forti1
Licença/Versão BYOL 6.0.3
Nome de utilizador administrativo FortiGate fortiadmin
Nome do Grupo de recursos forti1-rg1
Nome da rede virtual forti1vnet1
Espaço de Endereços da VNET 172.16.0.0/16*
Nome da sub-rede da VNET Pública forti1-PublicFacingSubnet
Prefixo de endereço VNET público 172.16.0.0/24*
Nome da sub-rede da VNET interna forti1-InsideSubnet
Prefixo de sub-rede da VNET interior 172.16.1.0/24*
Tamanho da VM da NVA FortiGate F2s_v2 Padrão
Nome do endereço IP público forti1-publicip1
Tipo de endereço IP público Estático

Implementação dois: Forti2

Nome da Instância FortiGate Forti2
Licença/Versão BYOL 6.0.3
Nome de utilizador administrativo FortiGate fortiadmin
Nome do Grupo de recursos forti2-rg1
Nome da rede virtual forti2vnet1
Espaço de Endereços da VNET 172.17.0.0/16*
Nome da sub-rede da VNET Pública forti2-PublicFacingSubnet
Prefixo de endereço VNET público 172.17.0.0/24*
Nome da sub-rede da VNET interna Forti2-InsideSubnet
Prefixo de sub-rede da VNET interior 172.17.1.0/24*
Tamanho da VM da NVA FortiGate F2s_v2 Padrão
Nome do endereço IP público Forti2-publicip1
Tipo de endereço IP público Estático

Nota

* Escolha um conjunto diferente de espaços de endereços e prefixos de sub-rede se o acima se sobrepor de alguma forma ao ambiente de rede no local, incluindo o Conjunto VIP de qualquer um dos Azure Stack Hub. Certifique-se também de que os intervalos de endereços não se sobrepõem entre si.

Implementar o NGFW FortiGate

  1. Abra o portal de utilizadores do Azure Stack Hub.

  2. Selecione Criar um recurso e procure FortiGate.

    A lista de resultados da pesquisa mostra FortiGate NGFW – Implementação de VM Única.

  3. Selecione o NGFW FortiGate e selecione Criar.

  4. Conclua as Noções Básicas com os parâmetros da tabela Parâmetros de implementação .

    O ecrã Noções Básicas tem valores dos parâmetros de implementação selecionados e introduzidos em caixas de texto e lista.

  5. Selecione OK.

  6. Forneça os detalhes de Rede virtual, Sub-redes e Tamanho da VM com a tabela Parâmetros de implementação .

    Aviso

    Se a rede no local se sobrepor ao intervalo 172.16.0.0/16de IP, tem de selecionar e configurar um intervalo de rede e sub-redes diferentes. Se quiser utilizar diferentes nomes e intervalos do que os da tabela Parâmetros de implementação , utilize parâmetros que não entrarão em conflito com a rede no local. Tenha cuidado ao definir o intervalo de IP da VNET e os intervalos de sub-rede na VNET. Não quer que o intervalo se sobreponha aos intervalos de IP existentes na sua rede no local.

  7. Selecione OK.

  8. Configure o IP Público para a NVA fortigate:

    A caixa de diálogo Atribuição de IP mostra o valor forti1-publicip1 para

  9. Selecione OK. Por fim, selecione OK.

  10. Selecione Criar.

A implementação demorará cerca de 10 minutos.

Configurar rotas (UDRs) para cada VNET

Execute estes passos para ambas as implementações, forti1-rg1 e forti2-rg1.

  1. Abra o portal de utilizador do Azure Stack Hub.

  2. Selecione Grupos de recursos. Escreva forti1-rg1 o filtro e faça duplo clique no grupo de recursos forti1-rg1.

    Estão listados dez recursos para o grupo de recursos forti1-rg1.

  3. Selecione o recurso forti1-forti1-InsideSubnet-routes-xxxx .

  4. Selecione Rotas em Definições.

    O botão Rotas está selecionado na caixa de diálogo Definições.

  5. Elimine a Rota para a Internet .

    A Rota para a Internet é a única rota listada e está selecionada. Existe um botão eliminar.

  6. Selecione Yes (Sim).

  7. Selecione Adicionar para adicionar uma nova rota.

  8. Atribua um nome à rota to-onprem.

  9. Introduza o intervalo de rede IP que define o intervalo de rede da rede no local ao qual a VPN se irá ligar.

  10. Selecione Aplicação virtual para Tipo de salto seguinte e 172.16.1.4. Utilize o intervalo de IP se estiver a utilizar um intervalo de IP diferente.

    A caixa de diálogo Adicionar rota mostra os quatro valores que foram selecionados e introduzidos nas caixas de texto.

  11. Selecione Guardar.

Precisará de um ficheiro de licença válido da Fortinet para ativar cada NVA fortiGate. As NVAs não funcionarão até que tenha ativado cada NVA. Para obter mais informações sobre como obter um ficheiro de licença e os passos para ativar a NVA, consulte o artigo Biblioteca de Documentos da Fortinet Registar e transferir a sua licença.

Dois ficheiros de licença terão de ser adquiridos: um para cada NVA.

Criar uma VPN IPSec entre as duas NVAs

Depois de ativar as NVAs, siga estes passos para criar uma VPN IPSec entre as duas NVAs.

Siga os passos abaixo para a NVA forti1 e forti2:

  1. Obtenha o endereço IP Público atribuído ao navegar para a página de descrição geral da VM fortiX:

    A página Descrição Geral da máquina virtual forti1 mostra valores para forti1, como

  2. Copie o endereço IP atribuído, abra um browser e cole o endereço na barra de endereço. O browser pode avisá-lo de que o certificado de segurança não é fidedigno. Continue mesmo assim.

  3. Introduza o nome de utilizador administrativo e a palavra-passe administrativos do FortiGate que indicou durante a implementação.

    A caixa de diálogo de início de sessão tem caixas de texto de utilizador e palavra-passe e um botão Iniciar sessão.

  4. SelecioneFirmware do Sistema>.

  5. Selecione a caixa que mostra o firmware mais recente, por exemplo, FortiOS v6.2.0 build0866.

    A caixa de diálogo Firmware tem o identificador de firmware

  6. Selecione Configuração da cópia de segurança e atualizar>Continuar.

  7. A NVA atualiza o firmware para a compilação e reinícios mais recentes. O processo demora cerca de cinco minutos. Volte a iniciar sessão na consola Web FortiGate.

  8. Clique emAssistente de IPSecde VPN>.

  9. Introduza um nome para a VPN, por exemplo, conn1 no Assistente de Criação de VPN.

  10. Selecione Este site está protegido por NAT.

    A captura de ecrã do Assistente de Criação de VPN mostra que está no primeiro passo, Configuração da VPN. Os seguintes valores estão selecionados:

  11. Selecione Seguinte.

  12. Introduza o endereço IP remoto do dispositivo VPN no local ao qual se vai ligar.

  13. Selecione port1 como Interface de Envio.

  14. Selecione Chave Pré-partilhada e introduza (e grave) uma chave pré-partilhada.

    Nota

    Precisará desta chave para configurar a ligação no dispositivo VPN no local, ou seja, tem de corresponder exatamente.

    A captura de ecrã do Assistente de Criação de VPN mostra que está no segundo passo, a Autenticação e os valores selecionados estão realçados.

  15. Selecione Seguinte.

  16. Selecione a porta2 para a Interface Local.

  17. Introduza o intervalo de sub-rede local:

    • forti1: 172.16.0.0/16
    • forti2: 172.17.0.0/16

    Utilize o intervalo de IP se estiver a utilizar um intervalo de IP diferente.

  18. Introduza as Sub-redes Remotas adequadas que representam a rede no local, à qual se ligará através do dispositivo VPN no local.

    • forti1: 172.16.0.0/16
    • forti2: 172.17.0.0/16

    Utilize o intervalo de IP se estiver a utilizar um intervalo de IP diferente.

    A captura de ecrã do Assistente de Criação de VPN mostra que está no terceiro passo, Encaminhamento do & de Políticas. Mostra os valores selecionados e introduzidos.

  19. Selecione Criar

  20. SelecioneInterfacesde Rede>.

    A lista de interfaces mostra duas interfaces: a porta1, que foi configurada, e a porta2, que não o fez. Existem botões para criar, editar e eliminar interfaces.

  21. Faça duplo clique em porta2.

  22. Selecione LAN na Lista de funções e DHCP para o modo de Endereçamento.

  23. Selecione OK.

Repita os passos para a outra NVA.

Apresentar Todos os Seletores da Fase 2

Uma vez concluído o acima para ambas as NVAs:

  1. Na consola Web forti2 FortiGate, selecione Monitorizar>Monitor IPsec.

    O monitor da ligação VPN conn1 está listado. É mostrado como estando inativo, assim como o Seletor de Fase 2 correspondente.

  2. Realce conn1 e selecione Os Seletores de Todas>as Fases 2.

    O monitor e o Seletor de Fase 2 são apresentados como up.

Testar e validar a conectividade

Agora, deverá conseguir encaminhar entre cada VNET através das NVAs fortiGate. Para validar a ligação, crie uma VM do Azure Stack Hub na InsideSubnet de cada VNET. A criação de uma VM do Azure Stack Hub pode ser feita através do portal, da CLI do Azure ou do PowerShell. Ao criar as VMs:

  • As VMs do Azure Stack Hub são colocadas na InsideSubnet de cada VNET.

  • Não aplica NSGs à VM após a criação (ou seja, remova o NSG que é adicionado por predefinição se criar a VM a partir do portal.

  • Certifique-se de que as regras de firewall do VMS permitem a comunicação que vai utilizar para testar a conectividade. Para fins de teste, recomenda-se desativar completamente a firewall no SO, se possível.

Passos seguintes

Diferenças e considerações sobre a rede do Azure Stack Hub
Oferecer uma solução de rede no Azure Stack Hub com Fortinet FortiGate