Compartilhar via

Conectividade VNet para VNet com Fortigate

  • Artigo

Este artigo descreve como criar uma conexão entre duas redes virtuais no mesmo ambiente. Ao configurar as conexões, você aprenderá como funcionam os gateways de VPN no Azure Stack Hub. Conecte duas VNETs no mesmo ambiente do Azure Stack Hub usando o Fortinet FortiGate. Este procedimento implanta duas VNETs com uma NVA FortiGate, uma solução de virtualização de rede, em cada VNET, cada uma dentro de um grupo de recursos separado. Ele também detalha as alterações necessárias para configurar uma VPN IPSec entre as duas VNETs. Repita as etapas neste artigo para cada implantação de VNET.

Pré-requisitos

  • Acesso a um sistema com capacidade disponível para implantar os requisitos necessários de computação, rede e recursos necessários para esta solução.

  • Uma solução de NVA (solução de virtualização de rede) baixada e publicada no Azure Stack Hub Marketplace. Uma NVA controla o fluxo de tráfego de rede de uma rede de perímetro para outras redes ou sub-redes. Este procedimento usa a solução de VM única de firewall de próxima geração Fortinet FortiGate.

  • Pelo menos dois arquivos de licença FortiGate disponíveis para ativar a NVA FortiGate. Informações sobre como obter essas licenças, consulte o artigo da Biblioteca de Documentos da Fortinet Registrando e baixando sua licença.

    Este procedimento usa a implantação de VM única do FortiGate. Você pode encontrar etapas sobre como conectar a NVA do FortiGate à VNET do Azure Stack Hub em sua rede local.

    Para obter mais informações sobre como implantar a solução FortiGate em uma configuração ativa-passiva (HA), consulte os detalhes no artigo da Biblioteca de Documentos Fortinet HA para FortiGate-VM no Azure.

Parâmetros de implantação

A tabela a seguir resume os parâmetros usados nessas implantações para referência:

Implantação um: Forti1

Nome da instância do FortiGate Forti1
Licença/versão BYOL 6.0.3
Nome de usuário administrativo do FortiGate Fortiadmin
Nome do Grupo de Recursos Forti1-RG1
Nome da rede virtual forti1vnet1
Espaço de endereço VNET 172.16.0.0/16*
Nome da sub-rede VNET pública forti1-PublicFacingSubnet
Prefixo de endereço VNET público 172.16.0.0/24*
Dentro do nome da sub-rede VNET forti1-InsideSubnet
Dentro do prefixo de sub-rede VNET 172.16.1.0/24*
Tamanho da VM do FortiGate NVA F2s_v2 padrão
Nome do endereço IP público forti1-publicip1
Tipo de endereço IP público Estático

Implantação dois: Forti2

Nome da instância do FortiGate Forti2
Licença/versão BYOL 6.0.3
Nome de usuário administrativo do FortiGate Fortiadmin
Nome do Grupo de Recursos Forti2-RG1
Nome da rede virtual forti2vnet1
Espaço de endereço VNET 172.17.0.0/16*
Nome da sub-rede VNET pública forti2-PublicFacingSubnet
Prefixo de endereço VNET público 172.17.0.0/24*
Dentro do nome da sub-rede VNET Forti2-InsideSubnet
Dentro do prefixo de sub-rede VNET 172.17.1.0/24*
Tamanho da VM do FortiGate NVA F2s_v2 padrão
Nome do endereço IP público Forti2-publicip1
Tipo de endereço IP público Estático

Observação

* Escolha um conjunto diferente de espaços de endereço e prefixos de sub-rede se os itens acima se sobrepuserem de alguma forma ao ambiente de rede local, incluindo o pool VIP do Azure Stack Hub. Certifique-se também de que os intervalos de endereços não se sobreponham uns aos outros.

Implante o FortiGate NGFW

  1. Abra o portal do usuário do Azure Stack Hub.

  2. Selecione Criar um recurso e pesquise FortiGate.

    A lista de resultados da pesquisa mostra FortiGate NGFW - Implantação de VM única.

  3. Selecione o FortiGate NGFW e selecione Criar.

  4. Conclua as Noções básicas usando os parâmetros da tabela Parâmetros de implantação.

    A tela Básico tem valores dos parâmetros de implantação selecionados e inseridos em caixas de lista e texto.

  5. Selecione OK.

  6. Forneça os detalhes da rede virtual, sub-redes e tamanho da VM usando a tabela Parâmetros de implantação.

    Aviso

    Se a rede local se sobrepuser ao intervalo 172.16.0.0/16de IP, você deverá selecionar e configurar um intervalo de rede e sub-redes diferentes. Se você quiser usar nomes e intervalos diferentes dos da tabela Parâmetros de implantação, use parâmetros que não entrem em conflito com a rede local. Tome cuidado ao definir o intervalo de IP da VNET e os intervalos de sub-rede dentro da VNET. Você não deseja que o intervalo se sobreponha aos intervalos de IP existentes em sua rede local.

  7. Selecione OK.

  8. Configure o IP público para a NVA do Fortigate:

    A caixa de diálogo Atribuição de IP mostra o valor forti1-publicip1 para

  9. Selecione OK. E, em seguida, selecione OK.

  10. Selecione Criar.

A implantação levará cerca de 10 minutos.

Configurar rotas (UDRs) para cada VNET

Execute estas etapas para ambas as implantações, forti1-rg1 e forti2-rg1.

  1. Abra o portal do usuário do Azure Stack Hub.

  2. Selecione Grupos de recursos. Digite forti1-rg1 o filtro e clique duas vezes no grupo de recursos forti1-rg1.

    Dez recursos são listados para o grupo de recursos forti1-rg1.

  3. Selecione o recurso forti1-forti1-InsideSubnet-routes-xxxx .

  4. Selecione Rotas, em Configurações.

    O botão Rotas é selecionado na caixa de diálogo Configurações.

  5. Exclua a rota para a Internet .

    A rota para a Internet é a única rota listada e está selecionada. Há um botão excluir.

  6. Selecione Sim.

  7. Selecione Adicionar para adicionar uma nova rota.

  8. Nomeie a rota to-onprem.

  9. Insira o intervalo de rede IP que define o intervalo de rede da rede local à qual a VPN se conectará.

  10. Selecione Solução de virtualização para Tipo de próximo salto e 172.16.1.4. Use seu intervalo de IP se estiver usando um intervalo de IP diferente.

    A caixa de diálogo Adicionar rota mostra os quatro valores que foram selecionados e inseridos nas caixas de texto.

  11. Selecione Salvar.

Você precisará de um arquivo de licença válido da Fortinet para ativar cada NVA do FortiGate. As NVAs não funcionarão até que você tenha ativado cada NVA. Para obter mais informações sobre como obter um arquivo de licença e as etapas para ativar a NVA, consulte o artigo da Biblioteca de Documentos da Fortinet Registrando e baixando sua licença.

Dois arquivos de licença precisarão ser adquiridos - um para cada NVA.

Criar uma VPN IPSec entre as duas NVAs

Depois que as NVAs forem ativadas, siga estas etapas para criar uma VPN IPSec entre as duas NVAs.

Seguindo as etapas abaixo para a NVA forti1 e a NVA forti2:

  1. Obtenha o endereço IP público atribuído navegando até a página de visão geral da VM do fortiX:

    A página Visão geral da máquina virtual forti1 mostra valores para forti1, como

  2. Copie o endereço IP atribuído, abra um navegador e cole o endereço na barra de endereços. Seu navegador pode avisá-lo de que o certificado de segurança não é confiável. Continue de qualquer maneira.

  3. Insira o nome de usuário administrativo e a senha do FortiGate que você forneceu durante a implantação.

    A caixa de diálogo de login tem caixas de texto de usuário e senha e um botão Login.

  4. Selecione Firmware do sistema>.

  5. Selecione a caixa que mostra o firmware mais recente, por exemplo, FortiOS v6.2.0 build0866.

    A caixa de diálogo Firmware tem o identificador de firmware

  6. Selecione Configuração de backup e atualize>Continuar.

  7. A NVA atualiza seu firmware para o build mais recente e reinicializa. O processo leva cerca de cinco minutos. Faça login novamente no console da web do FortiGate.

  8. Clique em Assistente de IPSec de VPN>.

  9. Insira um nome para a VPN, por exemplo, conn1 no Assistente de criação de VPN.

  10. Selecione Este site está atrás do NAT.

    A captura de tela do Assistente de criação de VPN mostra que ele está na primeira etapa, Configuração da VPN. Os seguintes valores são selecionados:

  11. Selecione Avançar.

  12. Insira o endereço IP remoto do dispositivo VPN local ao qual você se conectará.

  13. Selecione port1 como a interface de saída.

  14. Selecione Chave pré-compartilhada e insira (e grave) uma chave pré-compartilhada.

    Observação

    Você precisará dessa chave para configurar a conexão no dispositivo VPN local, ou seja, elas devem corresponder exatamente.

    A captura de tela do Assistente de criação de VPN mostra que ele está na segunda etapa, Autenticação, e os valores selecionados são destacados.

  15. Selecione Avançar.

  16. Selecione a porta2 para a interface local.

  17. Insira o intervalo de sub-rede local:

    • forti1: 172.16.0.0/16
    • forti2: 172.17.0.0/16

    Use seu intervalo de IP se estiver usando um intervalo de IP diferente.

  18. Insira as Sub-redes Remotas apropriadas que representam a rede local, à qual você se conectará por meio do dispositivo VPN local.

    • forti1: 172.16.0.0/16
    • forti2: 172.17.0.0/16

    Use seu intervalo de IP se estiver usando um intervalo de IP diferente.

    A captura de tela do Assistente de criação de VPN mostra que ele está na terceira etapa, Política e roteamento. Ele mostra os valores selecionados e inseridos.

  19. Escolha Criar

  20. Selecione Interfaces de rede>.

    A lista de interfaces mostra duas interfaces: port1, que foi configurada, e port2, que não foi. Existem botões para criar, editar e excluir interfaces.

  21. Clique duas vezes na porta2.

  22. Escolha LAN na lista Função e DHCP para o modo de endereçamento.

  23. Selecione OK.

Repita as etapas para a outra NVA.

Ativar todos os seletores da Fase 2

Depois que o acima for concluído para ambas as NVAs:

  1. No console web forti2 FortiGate, selecione Monitorar >Monitor IPsec.

    O monitor para conexão VPN conn1 está listado. Ele é mostrado como inativo, assim como o Seletor de Fase 2 correspondente.

  2. Realce conn1 e selecione os seletores Bring Up>All Phase 2.

    O monitor e o Seletor de Fase 2 são mostrados como para cima.

Testar e validar a conectividade

Agora você deve ser capaz de rotear entre cada VNET por meio das NVAs do FortiGate. Para validar a conexão, crie uma VM do Azure Stack Hub no InsideSubnet de cada VNET. A criação de uma VM do Azure Stack Hub pode ser feita por meio do portal, da CLI do Azure ou do PowerShell. Ao criar as VMs:

  • As VMs do Azure Stack Hub são colocadas no InsideSubnet de cada VNET.

  • Você não aplica nenhum NSG à VM após a criação (ou seja, remova o NSG que é adicionado por padrão se você criar a VM do portal.

  • Certifique-se de que as regras de firewall do VMS permitam a comunicação que você usará para testar a conectividade. Para fins de teste, é recomendável desabilitar o firewall completamente no sistema operacional, se possível.

Próximas etapas

Diferenças e considerações para a rede do Azure Stack Hub
Oferecer uma solução de rede no Azure Stack Hub com o Fortinet FortiGate