FortiGate NVA kullanarak Azure Stack Hub için VPN ağ geçidini ayarlama

  • Makale

Bu makalede Azure Stack Hub'ınıza vpn bağlantısı oluşturma adımları anlatılmaktadır. VPN ağ geçidi, Azure Stack Hub'daki sanal ağınız ile uzak VPN ağ geçidi arasında şifrelenmiş trafik gönderen bir sanal ağ geçidi türüdür. Aşağıdaki yordam, bir kaynak grubu içinde bir ağ sanal gereci olan FortiGate NVA ile bir sanal ağ dağıtır. Ayrıca FortiGate NVA'da BIR IPSec VPN'i ayarlama adımları da sağlar.

Önkoşullar

  • Bu çözüm için gereken işlem, ağ ve kaynak gereksinimlerini dağıtmak için kullanılabilir kapasiteye sahip Azure Stack Hub tümleşik sistemlerine erişim.

    Not

    Bu yönergeler, ASDK'deki ağ sınırlamaları nedeniyle azure stack geliştirme seti (ASDK) ile çalışmaz. Daha fazla bilgi için bkz. ASDK gereksinimleri ve dikkat edilmesi gerekenler.

  • Azure Stack Hub tümleşik sistemini barındıran şirket içi ağdaki bir VPN cihazına erişim. Cihazın , Dağıtım parametrelerinde açıklanan parametreleri karşılayan bir IPSec tüneli oluşturması gerekir.

  • Azure Stack Hub Market'inizde kullanılabilen bir ağ sanal gereci (NVA) çözümü. NVA, bir çevre ağından diğer ağlara veya alt ağlara giden ağ trafiğinin akışını denetler. Bu yordamda Fortinet FortiGate Yeni Nesil Güvenlik Duvarı Tek VM Çözümü kullanılır.

    Not

    Azure Stack Hub Marketinizde Fortinet FortiGate-VM For Azure BYOL ve FortiGate NGFW - Tek VM Dağıtımı (KLG) yoksa bulut operatörünüze başvurun.

  • FortiGate NVA'yı etkinleştirmek için en az bir kullanılabilir FortiGate lisans dosyası gerekir. Bu lisansları alma hakkında bilgi için Fortinet Belge Kitaplığı makalesine bakın Lisansınızı kaydetme ve indirme.

    Bu yordam, Tek FortiGate-VM dağıtımını kullanır. FortiGate NVA'yı şirket içi ağınızdaki Azure Stack Hub sanal ağına bağlama adımlarını bulabilirsiniz.

    FortiGate çözümünü active-passive (HA) kurulumunda dağıtma hakkında daha fazla bilgi için , Azure'da FortiGate-VM için Fortinet Belge Kitaplığı makalesindeki ayrıntılara bakın.

Dağıtım parametreleri

Aşağıdaki tabloda, başvuru için bu dağıtımlarda kullanılan parametreler özetlenmiştir.

Parametre Değer
FortiGate Örnek Adı forti1
KLG Lisansı/Sürümü 6.0.3
FortiGate yönetim kullanıcı adı fortiadmin
Kaynak Grubu adı forti1-rg1
Sanal ağın adı forti1vnet1
Sanal Ağ Adres Alanı 172.16.0.0/16*
Genel sanal ağ alt ağı adı forti1-PublicFacingSubnet
Genel sanal ağ adresi ön eki 172.16.0.0/24*
VNET alt ağı adı içinde forti1-InsideSubnet
VNET alt ağı ön eki içinde 172.16.1.0/24*
FortiGate NVA'nın VM Boyutu Standart F2s_v2
Genel IP adresi adı forti1-publicip1
Genel IP adresi türü Statik

Not

* Şirket içi ağ veya Azure Stack Hub VIP havuzuyla çakışıyorsa 172.16.0.0/16 farklı bir adres alanı ve alt ağ ön ekleri seçin.

FortiGate NGFW Market öğelerini dağıtma

  1. Azure Stack Hub kullanıcı portalını açın.

  2. Kaynak oluştur'u seçin ve araması yapınFortiGate.

    Arama sonuçları listesinde FortiGate NGFW - Tek VM Dağıtımı gösterilir.

  3. FortiGate NGFW'yi ve ardından Oluştur'u seçin.

  4. Dağıtım parametreleri tablosundaki parametreleri kullanarak TemelBilgileri tamamlayın.

    Temel bilgiler ekranında, liste ve metin kutularına girilen dağıtım parametreleri tablosundan değerler bulunur.

  5. Tamam’ı seçin.

  6. Dağıtım parametreleri tablosunu kullanarak Sanal ağ, Alt Ağlar ve VM Boyutu ayrıntılarını sağlayın.

    Uyarı

    Şirket içi ağ IP aralığıyla 172.16.0.0/16çakışıyorsa, farklı bir ağ aralığı ve alt ağları seçmeniz ve ayarlamanız gerekir. Dağıtım parametreleri tablosundakilerden farklı adlar ve aralıklar kullanmak istiyorsanız, şirket içi ağ ile çakışmayacak parametreleri kullanın. VNET IP aralığını ve sanal ağ içindeki alt ağ aralıklarını ayarlarken dikkatli olun. Aralığın şirket içi ağınızda bulunan IP aralıklarıyla çakışmasını istemezsiniz.

  7. Tamam’ı seçin.

  8. FortiGate NVA için Genel IP'yi yapılandırın:

    IP Ataması iletişim kutusunda

  9. Tamam’ı seçin. Sonrasında Tamam’ı seçin.

  10. Oluştur’u seçin.

    Dağıtım yaklaşık 10 dakika sürer.

Sanal ağ için yolları (UDR) yapılandırma

  1. Azure Stack Hub kullanıcı portalını açın.

  2. Kaynak grupları’nı seçin. Filtreyi yazın forti1-rg1 ve forti1-rg1 kaynak grubuna çift tıklayın.

    forti1-rg1 kaynak grubu için on kaynak listelenir.

  3. 'forti1-forti1-InsideSubnet-routes-xxxx' kaynağını seçin.

  4. Ayarlar'ın altında Yollar'ı seçin.

    Ayarlar iletişim kutusunda Yollar düğmesi seçilidir.

  5. İnternet Yolu'nı silin.

    İnternet Yolu listelenen tek yoldur ve seçilidir. Sil düğmesi vardır.

  6. Evet’i seçin.

  7. Yeni yol eklemek için Ekle'yi seçin.

  8. Yolu to-onpremolarak adlandırın.

  9. VPN'nin bağlanacağı şirket içi ağın ağ aralığını tanımlayan IP ağ aralığını girin.

  10. Sonraki atlama türü ve 172.16.1.4için Sanal gereç'i seçin. Farklı bir IP aralığı kullanıyorsanız IP aralığınızı kullanın.

    Yol ekle iletişim kutusu, metin kutularına girilen dört değeri gösterir.

  11. Kaydet’i seçin.

FortiGate NVA'sını etkinleştirme

FortiGate NVA'yı etkinleştirin ve her NVA'da bir IPSec VPN bağlantısı ayarlayın.

Her FortiGate NVA'nın etkinleştirilmesi için Fortinet'ten geçerli bir lisans dosyası gerekir. NVA'lar siz her NVA'yi etkinleştirene kadar çalışmaz. Lisans dosyasını alma ve NVA'yı etkinleştirme adımları hakkında daha fazla bilgi için, Fortinet Belge Kitaplığı'nın Lisansınızı kaydetme ve indirme makalesine bakın.

NVA'ları etkinleştirdikten sonra NVA üzerinde bir IPSec VPN tüneli oluşturun.

  1. Azure Stack Hub kullanıcı portalını açın.

  2. Kaynak grupları’nı seçin. Filtreye girin forti1 ve forti1 kaynak grubuna çift tıklayın.

  3. Kaynak grubu dikey penceresindeki kaynak türleri listesinde forti1 sanal makinesine çift tıklayın.

    Forti1 sanal makinesine Genel Bakış sayfasında forti1 için

  4. Atanan IP adresini kopyalayın, bir tarayıcı açın ve IP adresini adres çubuğuna yapıştırın. Site, güvenlik sertifikasına güvenilmediğine dair bir uyarı tetikleyebilir. Yine de devam edin.

  5. Dağıtım sırasında sağladığınız FortiGate yönetici kullanıcı adını ve parolasını girin.

    Oturum açma iletişim kutusunda kullanıcı ve parola metin kutuları ve Oturum Aç düğmesi bulunur.

  6. SistemÜretici Yazılımı'ı> seçin.

  7. En son üretici yazılımını gösteren kutuyu seçin, örneğin, FortiOS v6.2.0 build0866.

    Üretici Yazılımı iletişim kutusunda üretici yazılımı tanımlayıcısı

  8. Yedekleme yapılandırması ve yükseltme>Devam'ı seçin.

  9. NVA, üretici yazılımını en son derlemeye güncelleştirir ve yeniden başlatır. İşlem yaklaşık beş dakika sürer. FortiGate web konsolunda yeniden oturum açın.

  10. VPN>IPSec Sihirbazı'nı tıklatın.

  11. ÖRNEĞIN conn1 , VPN Oluşturma Sihirbazı'na VPN için bir ad girin.

  12. Bu site NAT'nin arkasında'ı seçin.

    VPN Oluşturma Sihirbazı'nın ekran görüntüsü, ilk adım olan VPN Kurulumu'nda olduğunu gösterir. Aşağıdaki değerler seçilidir: Şablon Türü için

  13. İleri’yi seçin.

  14. Bağlanacağınız şirket içi VPN cihazının uzak IP adresini girin.

  15. Giden Arabirimi olarak bağlantı noktası1'i seçin.

  16. Önceden Paylaşılan Anahtar'ı seçin ve önceden paylaşılan bir anahtar girin (ve kaydedin).

    Not

    Şirket içi VPN cihazında bağlantıyı ayarlamak için bu anahtara ihtiyacınız olacaktır, yani tam olarak eşleşmeleri gerekir.

    VPN Oluşturma Sihirbazı'nın ekran görüntüsü, kimlik doğrulamasının ikinci adımında olduğunu gösterir ve seçili değerler vurgulanır.

  17. İleri’yi seçin.

  18. Yerel Arabirim için bağlantı noktası2'yi seçin.

  19. Yerel alt ağ aralığını girin:

    • forti1: 172.16.0.0/16
    • forti2: 172.17.0.0/16

    Farklı bir IP aralığı kullanıyorsanız IP aralığınızı kullanın.

  20. Şirket içi VPN cihazı aracılığıyla bağlanacağınız şirket içi ağı temsil eden uygun Uzak Alt Ağları girin.

    VPN Oluşturma Sihirbazı'nın ekran görüntüsü, üçüncü adım olan İlke & Yönlendirme'de olduğunu gösterir. Seçili ve girilen değerleri gösterir.

  21. Oluştur’u seçin

  22. >Arabirimleri'ni seçin.

    Arabirim listesi iki arabirim gösterir: yapılandırılmış olan bağlantı noktası1 ve yapılandırılmamış olan bağlantı noktası2. Arabirim oluşturma, düzenleme ve silme düğmeleri vardır.

  23. Bağlantı noktası2'ye çift tıklayın.

  24. Rol listesinde LAN'ı ve Adresleme modu için DHCP'yi seçin.

  25. Tamam’ı seçin.

Şirket içi VPN'yi yapılandırma

Şirket içi VPN cihazı, IPSec VPN tüneli oluşturacak şekilde yapılandırılmalıdır. Aşağıdaki tabloda, şirket içi VPN cihazını ayarlamak için ihtiyacınız olacak parametreler sağlanır. Şirket içi VPN cihazını yapılandırma hakkında bilgi için cihazınızın belgelerine bakın.

Parametre Değer
Uzak Ağ Geçidi IP'si forti1'e atanan genel IP adresi - bkz. FortiGate NVA'sını etkinleştirme.
Uzak IP Ağı 172.16.0.0/16 (sanal ağ için bu yönergelerdeki IP aralığını kullanıyorsanız).
Kimlik Doğrulaması. Yöntem = Önceden paylaşılan anahtar (PSK) Adım 16'dan.
IKE Sürümü 1
IKE Modu Ana (Kimlik koruması)
1. Aşama Teklif Algoritmaları AES128-SHA256, AES256-SHA256, AES128-SHA1, AES256-SHA1
Diffie-Hellman Grupları 14, 5

VPN tüneli oluşturma

Şirket içi VPN cihazı uygun şekilde yapılandırıldıktan sonra VPN tüneli oluşturulabilir.

FortiGate NVA'dan:

  1. forti1 FortiGate web konsolundaIPsec İzleyicisiniİzle'ye> gidin.

    VPN bağlantısı conn1 izleyicisi listelenir. İlgili 2. Aşama Seçicisi gibi kapalı olarak gösterilir.

  2. Conn1'i vurgulayın veTüm Aşama 2 SeçicileriniGetir'i> seçin.

    Monitör ve 2. Aşama Seçicisi yukarı olarak gösterilir.

Bağlantıyı test etme ve doğrulama

Sanal ağ ile şirket içi ağ arasında şirket içi VPN cihazı aracılığıyla yönlendirme yapabilirsiniz.

Bağlantıyı doğrulamak için:

  1. Azure Stack Hub sanal ağlarında bir VM ve şirket içi ağda bir sistem oluşturun. Hızlı Başlangıç: Azure Stack Hub portalıyla Windows server VM oluşturma başlığı altında VM oluşturma yönergelerini izleyebilirsiniz.

  2. Azure Stack Hub VM'sini oluştururken ve şirket içi sistemi hazırlarken şunları denetleyin:

  • Azure Stack Hub SANAL MAKINESI, sanal ağın InsideSubnet'ine yerleştirilir.

  • Şirket içi sistem, IPSec yapılandırmasında tanımlandığı gibi tanımlı IP aralığındaki şirket içi ağa yerleştirilir. Ayrıca, şirket içi VPN cihazının yerel arabirim IP adresinin şirket içi sisteme Azure Stack Hub VNET ağına ulaşabilecek bir yol olarak sağlandığından emin olun. Örneğin, 172.16.0.0/16.

  • Oluşturma işleminde Azure Stack Hub VM'sine hiçbir NSG uygulamayın. VM'yi portaldan oluşturuyorsanız varsayılan olarak eklenen NSG'yi kaldırmanız gerekebilir.

  • Şirket içi sistem işletim sisteminde ve Azure Stack Hub VM işletim sisteminde bağlantıyı test etmek için kullanacağınız iletişimi yasaklayacak işletim sistemi güvenlik duvarı kurallarının olmadığından emin olun. Test amacıyla, güvenlik duvarının her iki sistemin işletim sistemi içinde tamamen devre dışı bırakılması önerilir.

Sonraki adımlar

Azure Stack Hub ağıyla ilgili farklılıklar ve dikkat edilmesi gerekenler
Fortinet FortiGate ile Azure Stack Hub'da ağ çözümü sunma