Partilhar via

Configurar o gateway VPN para o Azure Stack Hub usando FortiGate NVA

  • Artigo

Este artigo descreve como criar uma conexão VPN para seu Azure Stack Hub. Um gateway VPN é um tipo de gateway de rede virtual que envia tráfego criptografado entre sua rede virtual no Azure Stack Hub e um gateway VPN remoto. O procedimento abaixo implanta uma VNET com um FortiGate NVA, um dispositivo virtual de rede, dentro de um grupo de recursos. Ele também fornece etapas para configurar uma VPN IPSec no FortiGate NVA.

Pré-requisitos

  • Acesso a sistemas integrados do Azure Stack Hub com capacidade disponível para implantar os requisitos de computação, rede e recursos necessários para esta solução.

    Nota

    Estas instruções não funcionarão com um Azure Stack Development Kit (ASDK) devido às limitações de rede no ASDK. Para obter mais informações, consulte Requisitos e considerações ASDK.

  • Acesso a um dispositivo VPN na rede local que hospeda o sistema integrado do Azure Stack Hub. O dispositivo precisa criar um túnel IPSec, que atenda aos parâmetros descritos nos parâmetros de implantação.

  • Uma solução de dispositivo virtual de rede (NVA) disponível no seu Azure Stack Hub Marketplace. Um NVA controla o fluxo de tráfego de rede de uma rede de perímetro para outras redes ou sub-redes. Este procedimento usa a Fortinet FortiGate Next-Generation Firewall Single VM Solution.

    Nota

    Se você não tiver o Fortinet FortiGate-VM para Azure BYOL e FortiGate NGFW - Single VM Deployment (BYOL) disponível em seu Azure Stack Hub Marketplace, entre em contato com seu operador de nuvem.

  • Para ativar o FortiGate NVA, você precisará de pelo menos um arquivo de licença FortiGate disponível. Informações sobre como adquirir essas licenças, consulte o artigo da Fortinet Document Library Registrando e baixando sua licença.

    Este procedimento usa a implantação Single FortiGate-VM. Você pode encontrar etapas sobre como conectar o FortiGate NVA à VNET do Azure Stack Hub em sua rede local.

    Para obter mais informações sobre como implantar a solução FortiGate em uma configuração ativa-passiva (HA), consulte os detalhes no artigo da Biblioteca de Documentos Fortinet HA para FortiGate-VM no Azure.

Parâmetros de implantação

A tabela a seguir resume os parâmetros usados nessas implantações para referência.

Parâmetro Value
Nome da instância FortiGate Forti1
Licença/Versão BYOL 6.0.3
Nome de usuário administrativo do FortiGate fortiadmin
Nome do Grupo de recursos Forti1-RG1
Nome da rede virtual forti1vnet1
Espaço de endereçamento VNET 172.16.0.0/16*
Nome da sub-rede VNET pública forti1-PublicFacingSubnet
Prefixo de endereço VNET público 172.16.0.0/24*
Dentro do nome da sub-rede VNET forti1-InsideSubnet
Dentro do prefixo da sub-rede VNET 172.16.1.0/24*
Tamanho da VM do FortiGate NVA F2s_v2 padrão
Nome do endereço IP público Forti1-PublicIP1
Tipo de endereço IP público Estático

Nota

* Escolha um espaço de endereço e prefixos de sub-rede diferentes se 172.16.0.0/16 sobrepor à rede local ou ao pool VIP do Azure Stack Hub.

Implantar os itens do FortiGate NGFW Marketplace

  1. Abra o portal do usuário do Azure Stack Hub.

  2. Selecione Criar um recurso e procure FortiGate.

    A lista de resultados da pesquisa mostra FortiGate NGFW - Single VM Deployment.

  3. Selecione o FortiGate NGFW e selecione Criar.

  4. Noções básicas completas usando os parâmetros da tabela de parâmetros de implantação.

    A tela Noções básicas tem valores da tabela de parâmetros de implantação inseridos nas caixas de lista e texto.

  5. Selecione OK.

  6. Forneça os detalhes da rede virtual, sub-redes e tamanho da VM usando a tabela de parâmetros de implantação.

    Aviso

    Se a rede local se sobrepuser ao intervalo IP 172.16.0.0/16, você deverá selecionar e configurar um intervalo de rede e sub-redes diferentes. Se desejar usar nomes e intervalos diferentes dos da tabela Parâmetros de implantação, use parâmetros que não entrem em conflito com a rede local. Tenha cuidado ao definir o intervalo de IP da VNET e os intervalos de sub-rede dentro da VNET. Você não deseja que o intervalo se sobreponha aos intervalos de IP existentes em sua rede local.

  7. Selecione OK.

  8. Configure o IP público para o FortiGate NVA:

    A caixa de diálogo Atribuição de IP mostra o valor forti1-publicip1 para

  9. Selecione OK. Por fim, selecione OK.

  10. Selecione Criar.

    A implantação levará cerca de 10 minutos.

Configurar rotas (UDR) para a VNET

  1. Abra o portal do usuário do Azure Stack Hub.

  2. Selecione Grupos de recursos. Digite forti1-rg1 o filtro e clique duas vezes no grupo de recursos forti1-rg1.

    Dez recursos são listados para o grupo de recursos forti1-rg1.

  3. Selecione o recurso 'forti1-forti1-InsideSubnet-routes-xxxx'.

  4. Selecione Rotas em Configurações.

    O botão Rotas é selecionado na caixa de diálogo Configurações.

  5. Exclua a rota para a Internet .

    A Rota para Internet é a única rota listada e está selecionada. Há um botão de exclusão.

  6. Selecione Yes (Sim).

  7. Selecione Adicionar para adicionar uma nova rota.

  8. Nomeie a rota to-onprem.

  9. Insira o intervalo de rede IP que define o intervalo de rede da rede local à qual a VPN se conectará.

  10. Selecione Dispositivo virtual para Tipo de salto seguinte e 172.16.1.4. Use seu intervalo de IP se estiver usando um intervalo de IP diferente.

    A caixa de diálogo Adicionar rota mostra os quatro valores que foram inseridos nas caixas de texto.

  11. Selecione Guardar.

Ativar o FortiGate NVA

Ative o FortiGate NVA e configure uma conexão VPN IPSec em cada NVA.

Para ativar cada FortiGate NVA será necessário um arquivo de licença válido da Fortinet. Os NVAs não funcionarão até que você tenha ativado cada NVA. Para obter mais informações sobre como obter um arquivo de licença e etapas para ativar o NVA, consulte o artigo da Biblioteca de Documentos Fortinet Registrando e baixando sua licença.

Depois de ativar os NVAs, crie um túnel VPN IPSec no NVA.

  1. Abra o portal do usuário do Azure Stack Hub.

  2. Selecione Grupos de recursos. Entre forti1 no filtro e clique duas vezes no grupo de recursos forti1.

  3. Clique duas vezes na máquina virtual forti1 na lista de tipos de recursos na folha do grupo de recursos.

    A página Visão geral da máquina virtual forti1 mostra valores para forti1, como

  4. Copie o endereço IP atribuído, abra um navegador e cole o endereço IP na barra de endereços. O site pode disparar um aviso de que o certificado de segurança não é confiável. Continue de qualquer maneira.

  5. Insira o nome de usuário administrativo e a senha do FortiGate que você forneceu durante a implantação.

    A caixa de diálogo de login tem caixas de texto de usuário e senha e um botão de login.

  6. Selecione Firmware do sistema>.

  7. Selecione a caixa que mostra o firmware mais recente, por exemplo, FortiOS v6.2.0 build0866.

    A caixa de diálogo Firmware tem o identificador de firmware

  8. Selecione Configuração de backup e atualização>Continuar.

  9. O NVA atualiza seu firmware para a versão mais recente e reinicializa. O processo leva cerca de cinco minutos. Faça login novamente no console da Web FortiGate.

  10. Clique em Assistente de VPN>IPSec.

  11. Insira um nome para a VPN, por exemplo, conn1 no Assistente de Criação de VPN.

  12. Selecione Este site está atrás de NAT.

    A captura de tela do Assistente de Criação de VPN mostra que ele está na primeira etapa, Configuração de VPN. Os seguintes valores são selecionados:

  13. Selecione Seguinte.

  14. Insira o endereço IP remoto do dispositivo VPN local ao qual você vai se conectar.

  15. Selecione port1 como a interface de saída.

  16. Selecione Chave pré-compartilhada e insira (e registre) uma chave pré-compartilhada.

    Nota

    Você precisará dessa chave para configurar a conexão no dispositivo VPN local, ou seja, eles devem corresponder exatamente.

    A captura de tela do Assistente de Criação de VPN mostra que ele está na segunda etapa, Autenticação, e os valores selecionados são realçados.

  17. Selecione Seguinte.

  18. Selecione a porta2 para a Interface Local.

  19. Insira o intervalo de sub-rede local:

    • Forti1: 172.16.0.0/16
    • Forti2: 172.17.0.0/16

    Use seu intervalo de IP se estiver usando um intervalo de IP diferente.

  20. Insira a(s) sub-rede(s) remota(s) apropriada(s) que representa(m) a rede local, à qual você se conectará por meio do dispositivo VPN local.

    A captura de tela do Assistente de Criação de VPN mostra que ele está na terceira etapa, Política e Roteamento. Ele mostra os valores selecionados e inseridos.

  21. Selecione Criar

  22. Selecione Interfaces de Rede>.

    A lista de interfaces mostra duas interfaces: port1, que foi configurada, e port2, que não foi. Existem botões para criar, editar e excluir interfaces.

  23. Clique duas vezes em porta2.

  24. Escolha LAN na lista Função e DHCP para o modo de endereçamento.

  25. Selecione OK.

Configurar a VPN local

O dispositivo VPN local deve ser configurado para criar o túnel VPN IPSec. A tabela a seguir fornece os parâmetros necessários para configurar o dispositivo VPN local. Para obter informações sobre como configurar o dispositivo VPN local, consulte a documentação do seu dispositivo.

Parâmetro Value
IP do gateway remoto Endereço IP público atribuído a forti1 - consulte Ativar o FortiGate NVA.
Rede IP remota 172.16.0.0/16 (se estiver usando o intervalo de IP nestas instruções para a VNET).
Método de autenticação = Chave pré-compartilhada (PSK) A partir do Passo 16.
Versão do IKE 1
Modo IKE Principal (proteção de identificação)
Algoritmos de Proposta da Fase 1 AES128-SHA256, AES256-SHA256, AES128-SHA1, AES256-SHA1
Grupos Diffie-Hellman 14, 5

Criar o túnel VPN

Depois que o dispositivo VPN local estiver configurado adequadamente, o túnel VPN poderá ser estabelecido.

Do FortiGate NVA:

  1. No console da Web forti1 FortiGate, vá para Monitor>IPsec Monitor.

    O monitor para conexão VPN conn1 está listado. Ele é mostrado como estando inativo, assim como o Seletor de Fase 2 correspondente.

  2. Realce conn1 e selecione Bring Up>All Phase 2 Selectors.

    O monitor e o Seletor de Fase 2 são mostrados como up.

Testar e validar a conectividade

Você pode rotear entre a rede VNET e a rede local por meio do dispositivo VPN local.

Para validar a conexão:

  1. Crie uma VM nas VNETs do Azure Stack Hub e um sistema na rede local. Você pode seguir as instruções para criar uma VM em Guia de início rápido: Criar uma VM do servidor Windows com o portal do Azure Stack Hub.

  2. Ao criar a VM do Azure Stack Hub e preparar o sistema local, verifique:

  • A VM do Azure Stack Hub é colocada na InsideSubnet da VNET.

  • O sistema local é colocado na rede local dentro do intervalo de IP definido, conforme definido na configuração IPSec. Verifique também se o endereço IP da interface local do dispositivo VPN local é fornecido ao sistema local como uma rota que pode alcançar a rede VNET do Azure Stack Hub, por exemplo, 172.16.0.0/16.

  • Não aplique nenhum NSG à VM do Azure Stack Hub na criação. Talvez seja necessário remover o NSG que é adicionado por padrão se estiver criando a VM a partir do portal.

  • Certifique-se de que o sistema operacional local e o sistema operacional VM do Azure Stack Hub não tenham regras de firewall do sistema operacional que proíbam a comunicação que você usará para testar a conectividade. Para fins de teste, recomenda-se desativar completamente o firewall dentro do sistema operacional de ambos os sistemas.

Próximos passos

Diferenças e considerações para a rede do Azure Stack Hub
Ofereça uma solução de rede no Azure Stack Hub com Fortinet FortiGate