Partilhar via

Conectividade VNet para VNet com Fortigate

  • Artigo

Este artigo descreve como criar uma conexão entre duas redes virtuais no mesmo ambiente. Ao configurar as conexões, você aprenderá como funcionam os gateways de VPN no Azure Stack Hub. Conecte duas VNETs dentro do mesmo ambiente do Azure Stack Hub usando o Fortinet FortiGate. Este procedimento implanta duas VNETs com um FortiGate NVA, um dispositivo virtual de rede, em cada VNET dentro de um grupo de recursos separado. Ele também detalha as alterações necessárias para configurar uma VPN IPSec entre as duas VNETs. Repita as etapas neste artigo para cada implantação de VNET.

Pré-requisitos

  • Acesso a um sistema com capacidade disponível para implantar os requisitos de computação, rede e recursos necessários para esta solução.

  • Uma solução de dispositivo virtual de rede (NVA) baixada e publicada no Azure Stack Hub Marketplace. Um NVA controla o fluxo de tráfego de rede de uma rede de perímetro para outras redes ou sub-redes. Este procedimento usa a Fortinet FortiGate Next-Generation Firewall Single VM Solution.

  • Pelo menos dois arquivos de licença FortiGate disponíveis para ativar o FortiGate NVA. Informações sobre como obter essas licenças, consulte o artigo da Biblioteca de Documentos Fortinet Registrando e baixando sua licença.

    Este procedimento usa a implantação Single FortiGate-VM. Você pode encontrar etapas sobre como conectar o FortiGate NVA à VNET do Azure Stack Hub em sua rede local.

    Para obter mais informações sobre como implantar a solução FortiGate em uma configuração ativa-passiva (HA), consulte os detalhes no artigo da Biblioteca de Documentos Fortinet HA para FortiGate-VM no Azure.

Parâmetros de implantação

A tabela a seguir resume os parâmetros usados nessas implantações para referência:

Implantação um: Forti1

Nome da instância FortiGate Forti1
Licença/Versão BYOL 6.0.3
Nome de usuário administrativo do FortiGate fortiadmin
Nome do Grupo de recursos Forti1-RG1
Nome da rede virtual forti1vnet1
Espaço de endereçamento VNET 172.16.0.0/16*
Nome da sub-rede VNET pública forti1-PublicFacingSubnet
Prefixo de endereço VNET público 172.16.0.0/24*
Dentro do nome da sub-rede VNET forti1-InsideSubnet
Dentro do prefixo da sub-rede VNET 172.16.1.0/24*
Tamanho da VM do FortiGate NVA F2s_v2 padrão
Nome do endereço IP público Forti1-PublicIP1
Tipo de endereço IP público Estático

Implantação dois: Forti2

Nome da instância FortiGate Forti2
Licença/Versão BYOL 6.0.3
Nome de usuário administrativo do FortiGate fortiadmin
Nome do Grupo de recursos Forti2-RG1
Nome da rede virtual forti2vnet1
Espaço de endereçamento VNET 172.17.0.0/16*
Nome da sub-rede VNET pública forti2-PublicFacingSubnet
Prefixo de endereço VNET público 172.17.0.0/24*
Dentro do nome da sub-rede VNET Forti2-InsideSubnet
Dentro do prefixo da sub-rede VNET 172.17.1.0/24*
Tamanho da VM do FortiGate NVA F2s_v2 padrão
Nome do endereço IP público Forti2-publicip1
Tipo de endereço IP público Estático

Nota

* Escolha um conjunto diferente de espaços de endereço e prefixos de sub-rede se os itens acima se sobreporem de alguma forma ao ambiente de rede local, incluindo o Pool VIP de qualquer um dos Hub de Stack do Azure. Certifique-se também de que os intervalos de endereços não se sobreponham uns aos outros.

Implantar o FortiGate NGFW

  1. Abra o portal do usuário do Azure Stack Hub.

  2. Selecione Criar um recurso e procure FortiGate.

    A lista de resultados da pesquisa mostra FortiGate NGFW - Single VM Deployment.

  3. Selecione o FortiGate NGFW e selecione Criar.

  4. Conclua as Noções básicas usando os parâmetros da tabela Parâmetros de implantação.

    A tela Noções básicas tem valores dos parâmetros de implantação selecionados e inseridos em caixas de lista e texto.

  5. Selecione OK.

  6. Forneça os detalhes da rede virtual, sub-redes e tamanho da VM usando a tabela de parâmetros de implantação.

    Aviso

    Se a rede local se sobrepuser ao intervalo IP 172.16.0.0/16, você deverá selecionar e configurar um intervalo de rede e sub-redes diferentes. Se desejar usar nomes e intervalos diferentes dos da tabela Parâmetros de implantação, use parâmetros que não entrem em conflito com a rede local. Tenha cuidado ao definir o intervalo de IP da VNET e os intervalos de sub-rede dentro da VNET. Você não deseja que o intervalo se sobreponha aos intervalos de IP existentes em sua rede local.

  7. Selecione OK.

  8. Configure o IP público para o Fortigate NVA:

    A caixa de diálogo Atribuição de IP mostra o valor forti1-publicip1 para

  9. Selecione OK. Por fim, selecione OK.

  10. Selecione Criar.

A implantação levará cerca de 10 minutos.

Configurar rotas (UDRs) para cada VNET

Execute estas etapas para ambas as implantações, forti1-rg1 e forti2-rg1.

  1. Abra o portal do usuário do Azure Stack Hub.

  2. Selecione Grupos de recursos. Digite forti1-rg1 o filtro e clique duas vezes no grupo de recursos forti1-rg1.

    Dez recursos são listados para o grupo de recursos forti1-rg1.

  3. Selecione o recurso forti1-forti1-InsideSubnet-routes-xxxx .

  4. Selecione Rotas em Configurações.

    O botão Rotas é selecionado na caixa de diálogo Configurações.

  5. Exclua a rota para a Internet .

    A Rota para Internet é a única rota listada e está selecionada. Há um botão de exclusão.

  6. Selecione Yes (Sim).

  7. Selecione Adicionar para adicionar uma nova rota.

  8. Nomeie a rota to-onprem.

  9. Insira o intervalo de rede IP que define o intervalo de rede da rede local à qual a VPN se conectará.

  10. Selecione Dispositivo virtual para Tipo de salto seguinte e 172.16.1.4. Use seu intervalo de IP se estiver usando um intervalo de IP diferente.

    A caixa de diálogo Adicionar rota mostra os quatro valores que foram selecionados e inseridos nas caixas de texto.

  11. Selecione Guardar.

Você precisará de um arquivo de licença válido da Fortinet para ativar cada FortiGate NVA. Os NVAs não funcionarão até que você tenha ativado cada NVA. Para obter mais informações sobre como obter um arquivo de licença e etapas para ativar o NVA, consulte o artigo da Biblioteca de Documentos Fortinet Registrando e baixando sua licença.

Dois arquivos de licença precisarão ser adquiridos - um para cada NVA.

Criar uma VPN IPSec entre os dois NVAs

Depois que os NVAs tiverem sido ativados, siga estas etapas para criar uma VPN IPSec entre os dois NVAs.

Seguindo as etapas abaixo para o NVA forti1 e o NVA forti2:

  1. Obtenha o endereço IP público atribuído navegando até a página de visão geral da VM fortiX:

    A página Visão geral da máquina virtual forti1 mostra valores para forti1, como

  2. Copie o endereço IP atribuído, abra um navegador e cole o endereço na barra de endereços. Seu navegador pode avisá-lo que o certificado de segurança não é confiável. Continue de qualquer maneira.

  3. Insira o nome de usuário administrativo e a senha do FortiGate que você forneceu durante a implantação.

    A caixa de diálogo de login tem caixas de texto de usuário e senha e um botão de login.

  4. Selecione Firmware do sistema>.

  5. Selecione a caixa que mostra o firmware mais recente, por exemplo, FortiOS v6.2.0 build0866.

    A caixa de diálogo Firmware tem o identificador de firmware

  6. Selecione Configuração de backup e atualização>Continuar.

  7. O NVA atualiza seu firmware para a versão mais recente e reinicializa. O processo leva cerca de cinco minutos. Faça login novamente no console da Web FortiGate.

  8. Clique em Assistente de VPN>IPSec.

  9. Insira um nome para a VPN, por exemplo, conn1 no Assistente de Criação de VPN.

  10. Selecione Este site está atrás de NAT.

    A captura de tela do Assistente de Criação de VPN mostra que ele está na primeira etapa, Configuração de VPN. Os seguintes valores são selecionados:

  11. Selecione Seguinte.

  12. Insira o endereço IP remoto do dispositivo VPN local ao qual você vai se conectar.

  13. Selecione port1 como a interface de saída.

  14. Selecione Chave pré-compartilhada e insira (e registre) uma chave pré-compartilhada.

    Nota

    Você precisará dessa chave para configurar a conexão no dispositivo VPN local, ou seja, eles devem corresponder exatamente.

    A captura de tela do Assistente de Criação de VPN mostra que ele está na segunda etapa, Autenticação, e os valores selecionados são realçados.

  15. Selecione Seguinte.

  16. Selecione a porta2 para a Interface Local.

  17. Insira o intervalo de sub-rede local:

    • Forti1: 172.16.0.0/16
    • Forti2: 172.17.0.0/16

    Use seu intervalo de IP se estiver usando um intervalo de IP diferente.

  18. Insira a(s) sub-rede(s) remota(s) apropriada(s) que representa(m) a rede local, à qual você se conectará por meio do dispositivo VPN local.

    • Forti1: 172.16.0.0/16
    • Forti2: 172.17.0.0/16

    Use seu intervalo de IP se estiver usando um intervalo de IP diferente.

    A captura de tela do Assistente de Criação de VPN mostra que ele está na terceira etapa, Política e Roteamento. Ele mostra os valores selecionados e inseridos.

  19. Selecione Criar

  20. Selecione Interfaces de Rede>.

    A lista de interfaces mostra duas interfaces: port1, que foi configurada, e port2, que não foi. Existem botões para criar, editar e excluir interfaces.

  21. Clique duas vezes em porta2.

  22. Escolha LAN na lista Função e DHCP para o modo de endereçamento.

  23. Selecione OK.

Repita os passos para o outro NVA.

Abrir todos os seletores de fase 2

Uma vez que o acima tenha sido concluído para ambos os NVAs:

  1. No console da Web forti2 FortiGate, selecione Monitor>IPsec.

    O monitor para conexão VPN conn1 está listado. Ele é mostrado como estando inativo, assim como o Seletor de Fase 2 correspondente.

  2. Realce conn1 e selecione Abrir>todos os seletores de fase 2.

    O monitor e o Seletor de Fase 2 são mostrados como up.

Testar e validar a conectividade

Agora você deve ser capaz de rotear entre cada VNET através dos NVAs FortiGate. Para validar a conexão, crie uma VM do Azure Stack Hub na InsideSubnet de cada VNET. A criação de uma VM do Azure Stack Hub pode ser feita por meio do portal, da CLI do Azure ou do PowerShell. Ao criar as VMs:

  • As VMs do Hub de Pilha do Azure são colocadas na Sub-rede Interna de cada VNET.

  • Você não aplica nenhum NSG à VM após a criação (ou seja, remova o NSG que é adicionado por padrão se você criar a VM a partir do portal.

  • Certifique-se de que as regras de firewall do VMS permitem a comunicação que você vai usar para testar a conectividade. Para fins de teste, recomenda-se desativar completamente o firewall dentro do sistema operacional, se possível.

Próximos passos

Diferenças e considerações para a rede do Azure Stack Hub
Ofereça uma solução de rede no Azure Stack Hub com Fortinet FortiGate