Sdílet prostřednictvím

Nastavení brány VPN pro službu Azure Stack Hub s využitím síťového virtuálního zařízení FortiGate

  • Článek

Tento článek popisuje, jak vytvořit připojení VPN ke službě Azure Stack Hub. Brána VPN je typ brány virtuální sítě, která odesílá šifrovaný provoz mezi vaší virtuální sítí ve službě Azure Stack Hub a vzdálenou bránou VPN. Následující postup nasadí jednu virtuální síť se síťovým virtuálním zařízením FortiGate v rámci skupiny prostředků. Poskytuje také postup nastavení sítě VPN PROTOKOLU IPSec na síťovém virtuálním zařízení FortiGate.

Požadavky

  • Přístup k integrovaným systémům Azure Stack Hub s dostupnou kapacitou pro nasazení požadovaných výpočetních prostředků, sítě a prostředků potřebných pro toto řešení

    Poznámka:

    Tyto pokyny nebudou fungovat se sadou Azure Stack Development Kit (ASDK) kvůli omezením sítě v ASDK. Další informace najdete v tématu Požadavky a aspekty sady ASDK.

  • Přístup k zařízení VPN v místní síti, která je hostitelem integrovaného systému Azure Stack Hub. Zařízení musí vytvořit tunel IPSec, který splňuje parametry popsané v parametrech nasazení.

  • Řešení síťového virtuálního zařízení (NVA) dostupné na marketplace služby Azure Stack Hub Síťové virtuální zařízení řídí tok síťového provozu z hraniční sítě do jiných sítí nebo podsítí. Tento postup používá řešení brány firewall fortinet FortiGate další generace s jedním virtuálním počítačem.

    Poznámka:

    Pokud nemáte k dispozici fortinet FortiGate-VM pro Azure BYOL a FortiGate NGFW – nasazení jednoho virtuálního počítače (BYOL) na webu Azure Stack Hub Marketplace, obraťte se na svého operátora cloudu.

  • K aktivaci síťového virtuálního zařízení FortiGate budete potřebovat alespoň jeden dostupný licenční soubor FortiGate. Informace o tom, jak tyto licence získat, najdete v článku Fortinet Document Library Registrace a stažení licence.

    Tento postup používá nasazení jednoho virtuálního počítače FortiGate-VM. Postup připojení síťového virtuálního zařízení FortiGate k virtuální síti služby Azure Stack Hub ve vaší místní síti najdete v postupu.

    Další informace o nasazení řešení FortiGate v nastavení aktivní-pasivní (HA) najdete v podrobnostech v článku Knihovna dokumentů Fortinet ha for fortiGate-VM v Azure.

Parametry nasazení

Následující tabulka shrnuje parametry, které se v těchto nasazeních používají pro referenci.

Parametr Hodnota
Název instance FortiGate forti1
Licence nebo verze BYOL 6.0.3
Uživatelské jméno správce FortiGate fortiadmin
Název skupiny prostředků forti1-rg1
Název virtuální sítě forti1vnet1
Adresní prostor virtuální sítě 172.16.0.0/16*
Název veřejné podsítě virtuální sítě forti1-PublicFacingSubnet
Předpona veřejné adresy virtuální sítě 172.16.0.0/24*
Název podsítě virtuální sítě forti1-InsideSubnet
Předpona podsítě virtuální sítě 172.16.1.0/24*
Velikost virtuálního počítače pro síťové virtuální zařízení FortiGate Standardní F2s_v2
Název veřejné IP adresy forti1-publicip1
Typ veřejné IP adresy staticky.

Poznámka:

* Zvolte jiný adresní prostor a předpony podsítě, pokud 172.16.0.0/16 se překrývají s místní sítí nebo fondem virtuálních IP adres služby Azure Stack Hub.

Nasazení položek Marketplace FortiGate NGFW

  1. Otevřete uživatelský portál služby Azure Stack Hub.

  2. Vyberte Vytvořit prostředek a vyhledejte FortiGate.

    Seznam výsledků hledání zobrazuje FortiGate NGFW – Nasazení jednoho virtuálního počítače.

  3. Vyberte fortiGate NGFW a vyberte Vytvořit.

  4. Dokončete základy pomocí parametrů z tabulky Parametrů nasazení.

    Na obrazovce Základy jsou hodnoty z tabulky parametrů nasazení zadané v seznamu a textových polích.

  5. Vyberte OK.

  6. Zadejte podrobnosti o velikosti virtuální sítě, podsítí a velikosti virtuálního počítače pomocí tabulky Parametrů nasazení.

    Upozorňující

    Pokud se místní síť překrývají s rozsahem 172.16.0.0/16IP adres, musíte vybrat a nastavit jiný rozsah sítě a podsítě. Pokud chcete použít jiné názvy a rozsahy než ty v tabulce parametrů nasazení, použijte parametry, které nebudou v konfliktu s místní sítí. Při nastavování rozsahu IP adres virtuální sítě a rozsahů podsítí v rámci virtuální sítě buďte obezřetní. Nechcete, aby se rozsah překrýval s rozsahy IP adres, které existují ve vaší místní síti.

  7. Vyberte OK.

  8. Nakonfigurujte veřejnou IP adresu pro síťové virtuální zařízení FortiGate:

    V dialogovém okně Přiřazení IP se zobrazí hodnota forti1-publicip1 pro

  9. Vyberte OK. A pak vyberte OK.

  10. Vyberte Vytvořit.

    Nasazení bude trvat přibližně 10 minut.

Konfigurace tras (UDR) pro virtuální síť

  1. Otevřete uživatelský portál služby Azure Stack Hub.

  2. Vyberte Skupiny prostředků. Zadejte forti1-rg1 filtr a poklikejte na skupinu prostředků forti1-rg1.

    Pro skupinu prostředků forti1-rg1 jsou uvedené deset prostředků.

  3. Vyberte prostředek forti1-forti1-InsideSubnet-routes-xxxx.

  4. V části Nastavení vyberte Trasy.

    Tlačítko Trasy je vybráno v dialogovém okně Nastavení.

  5. Odstraňte trasu k internetu .

    Trasa k internetu je jediná uvedená trasa a je vybraná. Tlačítko pro odstranění je k dispozici.

  6. Vyberte Ano.

  7. Pokud chcete přidat novou trasu, vyberte Přidat .

  8. Pojmenujte trasu to-onprem.

  9. Zadejte rozsah sítě IP, který definuje rozsah sítě místní sítě, ke které se vpn připojí.

  10. Vyberte Virtuální zařízení pro typ dalšího segmentu směrování a 172.16.1.4. Rozsah IP adres použijte, pokud používáte jiný rozsah IP adres.

    Dialogové okno Přidat trasu zobrazuje čtyři hodnoty zadané do textových polí.

  11. Zvolte Uložit.

Aktivace síťového virtuálního zařízení FortiGate

Aktivujte síťové virtuální zařízení FortiGate a nastavte připojení VPN PROTOKOLU IPSec na každém síťovém virtuálním zařízení.

K aktivaci každého síťového virtuálního zařízení FortiGate bude vyžadovat platný licenční soubor z fortinetu. Síťová virtuální zařízení nebudou fungovat, dokud neaktivujete každé síťové virtuální zařízení. Další informace o tom, jak získat licenční soubor a postup aktivace síťového virtuálního zařízení, najdete v článku Knihovna dokumentů Fortinet Registrace a stažení licence.

Po aktivaci síťových virtuálních zařízení vytvořte tunel VPN IPSec na síťovém virtuálním zařízení.

  1. Otevřete uživatelský portál služby Azure Stack Hub.

  2. Vyberte Skupiny prostředků. Zadejte forti1 do filtru a poklikejte na skupinu prostředků forti1.

  3. Poklikejte na virtuální počítač forti1 v seznamu typů prostředků v okně skupiny prostředků.

    Na stránce Přehled virtuálního počítače forti1 se zobrazují hodnoty forti1, například Skupina prostředků a Stav.

  4. Zkopírujte přiřazenou IP adresu, otevřete prohlížeč a vložte IP adresu do adresního řádku. Web může aktivovat upozornění, že certifikát zabezpečení není důvěryhodný. Přesto pokračujte.

  5. Zadejte uživatelské jméno a heslo správce FortiGate, které jste zadali během nasazení.

    Dialogové okno pro přihlášení obsahuje textová pole pro uživatele a heslo a tlačítko Pro přihlášení.

  6. Vyberte Systémový>firmware.

  7. Zaškrtněte políčko s nejnovějším firmwarem, FortiOS v6.2.0 build0866například .

    Dialogové okno Firmware má identifikátor firmwaru FortiOS v6.2.0 build0866. Existuje odkaz na poznámky k verzi a dvě tlačítka: Konfigurace zálohování a upgrade a Upgrade.

  8. Vyberte Konfiguraci zálohování a pokračujte upgradem>.

  9. Síťové virtuální zařízení aktualizuje svůj firmware na nejnovější build a restartuje. Proces trvá asi pět minut. Přihlaste se zpět do webové konzoly FortiGate.

  10. Klikněte na Průvodce protokolem VPN>IPSec.

  11. Zadejte název sítě VPN, například conn1 v Průvodci vytvořením sítě VPN.

  12. Vyberte Tento web je za překladem adres (NAT).

    Snímek obrazovky Průvodce vytvořením sítě VPN ukazuje, že je v prvním kroku nastavení sítě VPN. Jsou vybrány následující hodnoty:

  13. Vyberte Další.

  14. Zadejte vzdálenou IP adresu místního zařízení VPN, ke kterému se budete připojovat.

  15. Jako odchozí rozhraní vyberte port1.

  16. Vyberte Předsdílený klíč a zadejte (a zaznamenejte) předsdílený klíč.

    Poznámka:

    Tento klíč budete potřebovat k nastavení připojení na místním zařízení VPN, to znamená, že musí přesně odpovídat.

    Snímek obrazovky Průvodce vytvořením sítě VPN ukazuje, že je ve druhém kroku, ověřování a vybraných hodnotách.

  17. Vyberte Další.

  18. Vyberte port 2 pro místní rozhraní.

  19. Zadejte rozsah místní podsítě:

    • forti1: 172.16.0.0/16
    • forti2: 172.17.0.0/16

    Rozsah IP adres použijte, pokud používáte jiný rozsah IP adres.

  20. Zadejte příslušné vzdálené podsítě, které představují místní síť, ke které se připojíte přes místní zařízení VPN.

    Snímek obrazovky Průvodce vytvořením sítě VPN ukazuje, že je ve třetím kroku zásady a směrování. Zobrazuje vybrané a zadané hodnoty.

  21. Vyberte příkaz Vytvořit.

  22. Vyberte síťová>rozhraní.

    V seznamu rozhraní jsou dvě rozhraní: port1, který je nakonfigurovaný, a port2, který nemá. Rozhraní můžete vytvářet, upravovat a odstraňovat pomocí tlačítek.

  23. Poklikejte na port2.

  24. V seznamu rolí zvolte síť LAN a protokol DHCP pro režim adresování.

  25. Vyberte OK.

Konfigurace místní sítě VPN

Místní zařízení VPN musí být nakonfigurované pro vytvoření tunelu VPN PROTOKOLU IPSec. Následující tabulka obsahuje parametry, které budete potřebovat k nastavení místního zařízení VPN. Informace o tom, jak nakonfigurovat místní zařízení VPN, najdete v dokumentaci k vašemu zařízení tp.

Parametr Hodnota
IP adresa vzdálené brány Veřejná IP adresa přiřazená forti1 – viz Aktivace síťového virtuálního zařízení FortiGate.
Vzdálená IP síť 172.16.0.0/16 (pokud používáte rozsah IP adres v těchto pokynech pro virtuální síť).
Ověřování. Metoda = Předsdílený klíč (PSK) Od kroku 16.
Verze IKE 0
Režim IKE Main (ochrana ID)
Algoritmy návrhu fáze 1 AES128-SHA256, AES256-SHA256, AES128-SHA1, AES256-SHA1
Skupiny Diffie-Hellman 14, 5

Vytvoření tunelu VPN

Jakmile je místní zařízení VPN správně nakonfigurované, je teď možné vytvořit tunel VPN.

Z síťového virtuálního zařízení FortiGate:

  1. Ve webové konzole forti1 FortiGate přejděte na Monitorování>IPsec Monitoru.

    Zobrazí se monitorování připojení VPN conn1. Zobrazuje se jako down, stejně jako odpovídající selektor fáze 2.

  2. Zvýrazněte conn1 a vyberte selektory Vyvolat>všechny fáze 2.

    Výběr monitoru i fáze 2 se zobrazí jako nahoře.

Testování a ověření připojení

Mezi sítí virtuální sítě a místní sítí můžete směrovat přes místní zařízení VPN.

Ověření připojení:

  1. Vytvořte virtuální počítač ve virtuálních sítích služby Azure Stack Hub a systému v místní síti. Při vytváření virtuálního počítače můžete postupovat podle pokynů v rychlém startu: Vytvoření virtuálního počítače s Windows Serverem pomocí portálu Azure Stack Hub.

  2. Při vytváření virtuálního počítače služby Azure Stack Hub a přípravě místního systému zkontrolujte následující:

  • Virtuální počítač služby Azure Stack Hub se umístí do virtuální sítě InsideSubnet .

  • Místní systém se umístí do místní sítě v rámci definovaného rozsahu IP adres, jak je definováno v konfiguraci PROTOKOLU IPSec. Také se ujistěte, že je IP adresa místního zařízení VPN poskytována místnímu systému jako trasa, která se může dostat do sítě virtuální sítě služby Azure Stack Hub, 172.16.0.0/16například .

  • Na virtuální počítač azure Stack Hub při vytváření nepoužívejte žádné skupiny zabezpečení sítě. Při vytváření virtuálního počítače z portálu možná budete muset odebrat skupinu zabezpečení sítě, která se ve výchozím nastavení přidá.

  • Ujistěte se, že místní operační systém operačního systému a operační systém virtuálního počítače služby Azure Stack Hub nemají pravidla brány firewall operačního systému, která by zakázala komunikaci, kterou použijete k otestování připojení. Pro účely testování se doporučuje bránu firewall úplně zakázat v operačním systému obou systémů.

Další kroky

Rozdíly a důležité informace o sítích služby Azure Stack Hub
Nabídka síťového řešení ve službě Azure Stack Hub pomocí Fortinet FortiGate