Conectividad de VNet a VNet con Fortigate
En este artículo se describe cómo crear una conexión entre dos redes virtuales en el mismo entorno. Al configurar las conexiones, obtendrá información sobre cómo funcionan las puertas de enlace de VPN en Azure Stack Hub. Conecte dos redes virtuales en el mismo entorno de Azure Stack Hub con FortiGate de Fortinet. Este procedimiento implementa dos redes virtuales con una NVA FortiGate, una aplicación virtual de red, en cada red virtual, cada una dentro de un grupo de recursos independiente. También se detallan los cambios necesarios para configurar una VPN IPSec entre las dos redes virtuales. Repita los pasos de este artículo para cada implementación de red virtual.
Requisitos previos
Acceso a un sistema integrado de Azure Stack Hub con capacidad disponible para implementar los requisitos de proceso, red y recursos necesarios para esta solución.
Una solución de aplicación virtual de red (NVA) descargada y publicada en Marketplace de Azure Stack Hub. Una NVA controla el flujo del tráfico de red desde una red perimetral a otras redes o subredes. En este procedimiento se usa la Solución de máquina virtual única del firewall de próxima generación FortiGate de Fortinet.
Al menos dos archivos de licencia de FortiGate disponibles para activar la aplicación virtual de red FortiGate. Para obtener información sobre cómo obtener estas licencias, consulte el artículo de la biblioteca de documentos de Fortinet Registro y descarga de la licencia.
En este procedimiento se usa la implementación de máquina virtual única de FortiGate. Puede encontrar pasos sobre cómo conectar la aplicación virtual de red FortiGate de la red virtual de Azure Stack Hub a la red local.
Para más información sobre cómo implementar la solución FortiGate en una configuración activo-pasivo (alta disponibilidad), consulte los detalles en el artículo de la biblioteca de documentos de Fortinet Alta disponibilidad para máquina virtual de FortiGate en Azure.
Parámetros de implementación
En la tabla siguiente se resumen los parámetros que se usan en estas implementaciones como referencia:
Implementación uno: Forti1
Nombre de la instancia de FortiGate | Forti1 |
---|---|
Licencia/versión de BYOL | 6.0.3 |
Nombre de usuario administrativo de FortiGate | fortiadmin |
Nombre del grupo de recursos | forti1-rg1 |
Nombre de la red virtual | forti1vnet1 |
Espacio de direcciones de la red virtual | 172.16.0.0/16* |
Nombre de subred de la red virtual pública | forti1-PublicFacingSubnet |
Prefijo de dirección de la red virtual pública | 172.16.0.0/24* |
Nombre de subred en la red virtual | forti1-InsideSubnet |
Prefijo de subred en la red virtual | 172.16.1.0/24* |
Tamaño de máquina virtual de la aplicación virtual de red FortiGate | F2s_v2 estándar |
Nombre de la dirección IP pública | forti1-publicip1 |
Tipo de dirección IP pública | estática |
Implementación dos: Forti2
Nombre de la instancia de FortiGate | Forti2 |
---|---|
Licencia/versión de BYOL | 6.0.3 |
Nombre de usuario administrativo de FortiGate | fortiadmin |
Nombre del grupo de recursos | forti2-rg1 |
Nombre de la red virtual | forti2vnet1 |
Espacio de direcciones de la red virtual | 172.17.0.0/16* |
Nombre de subred de la red virtual pública | forti2-PublicFacingSubnet |
Prefijo de dirección de la red virtual pública | 172.17.0.0/24* |
Nombre de subred en la red virtual | Forti2-InsideSubnet |
Prefijo de subred en la red virtual | 172.17.1.0/24* |
Tamaño de máquina virtual de la aplicación virtual de red FortiGate | F2s_v2 estándar |
Nombre de la dirección IP pública | Forti2-publicip1 |
Tipo de dirección IP pública | estática |
Nota:
* Elija otro conjunto de espacios de direcciones y prefijos de subred si el anterior se superpone de cualquier manera con el entorno de la red local, incluido el grupo de VIP de cualquiera de los entornos de Azure Stack Hub. Asegúrese también de que los intervalos de direcciones no se superponen entre sí.
Implementación de FortiGate NGFW
Abra el portal de usuarios de Azure Stack Hub.
Seleccione Crear un recurso y busque
FortiGate
.Seleccione FortiGate NGFW y seleccione Crear.
Complete la sección Básico con los parámetros de la tabla Parámetros de implementación.
Seleccione Aceptar.
Proporcione la red virtual, las subredes y los detalles del tamaño de máquina virtual según la tabla de Parámetros de implementación.
Advertencia
Si la red local se superpone con el intervalo IP
172.16.0.0/16
, debe seleccionar y configurar un intervalo de red y subredes diferentes. Si desea usar distintos nombres e intervalos que los de la tabla de Parámetros de implementación, use parámetros que no entren en conflicto con la red local. Tenga cuidado al establecer el intervalo de direcciones IP de la red virtual y los intervalos de subred dentro de la red virtual. No querrá que el intervalo se superponga con los intervalos IP que existen en la red local.Seleccione Aceptar.
Configure la dirección IP pública para la aplicación virtual de red FortiGate:
Seleccione Aceptar. Y, a continuación, seleccione Aceptar.
Seleccione Crear.
La implementación tardará unos 10 minutos.
Configuración de rutas (UDR) para cada red virtual
Realice estos pasos para ambas implementaciones, forti1-rg1 y forti2-rg1.
Abra el portal de usuarios de Azure Stack Hub.
Seleccione Grupos de recursos. Escriba
forti1-rg1
en el filtro y haga doble clic en el grupo de recursos forti1-rg1.Seleccione el recurso forti1-forti1-InsideSubnet-routes-xxxx.
Seleccione Routes (Rutas) en Settings (Configuración).
Elimine la ruta to-Internet.
Seleccione Sí.
Seleccione Add (Agregar) para agregar una nueva ruta.
Asigne a la ruta el nombre
to-onprem
.Escriba el intervalo de red IP que define el intervalo de red de la red local a la que se conectará la VPN.
Seleccione Virtual appliance (Aplicación virtual) para Next hop type (Tipo del próximo salto) y
172.16.1.4
. Utilice su intervalo de direcciones IP si usa un intervalo IP diferente.Seleccione Guardar.
Necesitará un archivo de licencia válido de Fortinet para activar cada NVA FortiGate. Las NVA no funcionarán hasta que haya activado cada NVA. Para más información sobre cómo obtener un archivo de licencia y los pasos para activar la NVA, consulte el artículo de la biblioteca de documentos de Fortinet Registro y descarga de la licencia.
Tendrá que adquirir dos archivos de licencia: uno para cada NVA.
Creación de una VPN IPSec entre las dos NVA
Una vez que se han activado las NVA, siga estos pasos para crear una VPN IPSec entre las dos NVA.
Siga los pasos que se indican a continuación para la NVA forti1 y la NVA forti2:
Para obtener la dirección IP pública asignada, vaya a la página de información general de la máquina virtual fortiX:
Copie la dirección IP asignada, abra un explorador y pegue la dirección en la barra de direcciones. El explorador puede avisarle de que el certificado de seguridad no es de confianza. Continúe de todos modos.
Escriba el nombre de usuario administrativo y la contraseña de FortiGate que proporcionó durante la implementación.
Seleccione System>Firmware (Sistema > Firmware).
Seleccione la casilla que muestra el firmware más reciente; por ejemplo,
FortiOS v6.2.0 build0866
.Seleccione Backup config and upgrade>Continue (Realizar copia de seguridad de la configuración y actualizar > Continuar).
La NVA actualiza su firmware a la compilación más reciente y se reinicia. El proceso tarda unos cinco minutos. Vuelva a iniciar sesión en la consola web de FortiGate.
Haga clic en VPN>IPSec Wizard (VPN > Asistente de IPSec).
Escriba un nombre para la VPN, por ejemplo,
conn1
, en VPN Creation Wizard (Asistente para la creación de VPN).Seleccione This site is behind NAT (Este sitio está detrás de un sistema NAT).
Seleccione Siguiente.
Escriba la dirección IP remota del dispositivo VPN local al que se va a conectar.
Seleccione port1 en Outgoing Interface (Interfaz de salida).
Seleccione Pre-shared Key (Clave compartida previamente) y escriba (y anote) una clave compartida previamente.
Nota:
Necesitará esta clave para configurar la conexión en el dispositivo VPN local, es decir, deben coincidir exactamente.
Seleccione Siguiente.
Seleccione port2 en Local Interface (Interfaz local).
Escriba el intervalo de la subred local:
- forti1: 172.16.0.0/16
- forti2: 172.17.0.0/16
Utilice su intervalo de direcciones IP si usa un intervalo IP diferente.
Escriba las subredes remotas adecuadas que representan la red local a la que se conectará a través del dispositivo VPN local.
- forti1: 172.16.0.0/16
- forti2: 172.17.0.0/16
Utilice su intervalo de direcciones IP si usa un intervalo IP diferente.
Seleccione Crear
Seleccione Network>Interfaces (Red > Interfaces).
Haga doble clic en port2.
Elija LAN en la lista Role (Rol) y DHCP para el modo de direccionamiento.
Seleccione Aceptar.
Repita los pasos para la otra NVA.
Visualización de todos los selectores de la fase 2
Una vez que se haya completado lo anterior para ambas NVA:
En la consola web de FortiGate para forti2, seleccione Monitor>IPsec Monitor (Monitor > Monitor IPsec).
Resalte
conn1
y seleccione Bring Up>All Phase 2 Selectors (Mostrar > Todos los selectores de la fase 2).
Prueba y validación de la conectividad
Ahora debería poder enrutar la comunicación entre cada red virtual a través de las NVA FortiGate. Para validar la conexión, cree una máquina virtual de Azure Stack Hub en la subred InsideSubnet de cada red virtual. La creación de una máquina virtual de Azure Stack Hub se puede realizar mediante el portal, la CLI de Azure o PowerShell. Al crear las máquinas virtuales:
Las máquinas virtuales de Azure Stack Hub se colocan en la subred InsideSubnet de cada red virtual.
No aplique ningún NSG a la máquina virtual en el momento de la creación (es decir, elimine el NSG que se agrega de forma predeterminada si se crea la máquina virtual desde el portal).
Asegúrese de que las reglas de firewall de las máquinas virtuales permiten la comunicación que va a usar para probar la conectividad. Con fines de prueba, se recomienda deshabilitar el firewall completamente dentro del sistema operativo, si es posible.
Pasos siguientes
Diferencias y consideraciones para las redes de Azure Stack Hub
Oferta de una solución de red en Azure Stack Hub con FortiGate de Fortinet