Поделиться через

Подключение VNet к VNet с использованием Fortigate

  • Статья

В этой статье описывается, как создать подключение между двумя виртуальными сетями в одной среде. Во время настройки подключений вы узнаете, как работают VPN-шлюзы в Azure Stack Hub. Подключите две виртуальные сети в одной среде Azure Stack Hub с помощью Fortinet FortiGate. Эта процедура развертывает две виртуальные сети с виртуальным сетевым модулем (NVA) FortiGate в каждой виртуальной сети в отдельной группе ресурсов. В ней также подробно описаны изменения, необходимые для настройки VPN-подключения IPSec между двумя виртуальными сетями. Повторите действия, описанные в этой статье, для каждого развертывания виртуальной сети.

Предварительные требования

  • Доступ к системе с доступной емкостью для развертывания обязательных ресурсов вычисления, сети и других ресурсов, необходимых для этого решения.

  • Решение виртуального сетевого модуля (NVA), которое скачано и опубликовано в Azure Stack Hub Marketplace. Виртуальный сетевой узел (NVA) контролирует поток сетевого трафика из периметральной сети к другим сетям или подсетям. В этой процедуре используется одно-ВМ решение брандмауэра следующего поколения Fortinet FortiGate.

  • Чтобы активировать FortiGate NVA, потребуется по крайней мере два доступных файла лицензии FortiGate. Сведения о том, как получить эти лицензии, см. в статье "Регистрация и загрузка вашей лицензии" в библиотеке документации Fortinet.

    В этой процедуре используется развертывание одной виртуальной машины FortiGate-VM. Вы узнаете, как подключить NVA FortiGate к виртуальной сети Azure Stack Hub в вашей локальной сети.

    Дополнительные сведения о развертывании решения FortiGate в режиме "активный — пассивный" (HA) см. в статье из библиотеки документов Fortinet HA для FortiGate-VM в Azure.

Параметры развертывания

В следующей таблице для справки перечислены параметры, которые используются в этих развертываниях.

Развертывание первое: Forti1

Имя экземпляра FortiGate Forti1
Лицензия BYOL, версия 6.0.3
Имя пользователя с правами администратора FortiGate fortiadmin
Имя группы ресурсов forti1-rg1
имя виртуальной сети; forti1vnet1
Адресное пространство виртуальной сети 172.16.0.0/16*
Имя подсети общедоступной виртуальной сети forti1-PublicFacingSubnet
Префикс адреса общедоступной виртуальной сети 172.16.0.0/24*
Имя подсети VNET виртуальной сети forti1-InsideSubnet
Префикс подсети внутри виртуальной сети (VNET) 172.16.1.0/24*
Размер виртуальной машины FortiGate NVA Standard F2s_v2
Имя общедоступного IP-адреса forti1-publicip1
Тип общедоступного IP-адреса Статические

Второе развертывание: Forti2

Имя экземпляра FortiGate Forti2
Лицензия BYOL, версия 6.0.3
Имя пользователя с правами администратора FortiGate fortiadmin
Имя группы ресурсов forti2-rg1
имя виртуальной сети; forti2vnet1
Адресное пространство виртуальной сети 172.17.0.0/16*
Имя подсети общедоступной виртуальной сети forti2-PublicFacingSubnet
Префикс адреса общедоступной виртуальной сети 172.17.0.0/24*
Имя подсети VNET (виртуальной сети) Forti2-InsideSubnet
Префикс подсети внутри виртуальной сети 172.17.1.0/24*
Размер виртуальной машины модели FortiGate NVA Standard F2s_v2
Имя общедоступного IP-адреса Forti2-publicip1
Тип общедоступного IP-адреса Статические

Примечание.

* Выберите другой набор адресных пространств и префиксов подсети, если указанные выше префиксы каким-либо образом перекрываются с внутренней сетью, включая пул VIP-адресов любого из Azure Stack Hub. Убедитесь также, что диапазоны адресов не перекрывают друг друга.

Разверните FortiGate NGFW

  1. Откройте портал пользователя Azure Stack Hub.

  2. Щелкните Создать ресурс и выполните поиск по запросу FortiGate.

    В списке результатов поиска отображается развертывание одной виртуальной машины FortiGate NGFW.

  3. Щелкните FortiGate NGFW и нажмите кнопку Создать.

  4. Заполните поля на вкладке Основные сведения, используя параметры из таблицы Параметры развертывания.

    Экран

  5. Нажмите ОК.

  6. Укажите виртуальную сеть, подсети и сведения о размере виртуальной машины, используя таблицу Параметры развертывания.

    Предупреждение

    Если локальная сеть перекрывается диапазоном IP-адресов 172.16.0.0/16, необходимо выбрать и настроить другой диапазон сети и подсети. Если вы хотите использовать имена и диапазоны, отличные от имен, указанных в таблице Параметры развертывания, используйте параметры, которые не конфликтуют с локальной сетью. Будьте внимательны при настройке диапазона IP-адресов виртуальной сети и диапазонов подсетей в виртуальной сети. Диапазон не должен перекрываться диапазонами IP-адресов, которые существуют в локальной сети.

  7. Нажмите ОК.

  8. Настройте общедоступный IP-адрес для NVA FortiGate:

    В диалоговом окне

  9. Нажмите ОК. Затем нажмите кнопку ОК.

  10. Нажмите кнопку создания.

Развертывание займет около 10 минут.

Настройка маршрутов (UDR) для каждой виртуальной сети

Выполните следующие действия для обоих развертываний: forti1-rg1 и forti2-rg1.

  1. Откройте портал пользователя Azure Stack Hub.

  2. Выберите Группы ресурсов. Введите forti1-rg1 в фильтре и дважды щелкните группу ресурсов forti1-rg1.

    Десять ресурсов перечислены для группы ресурсов forti1-rg1.

  3. Выберите ресурс forti1-forti1-InsideSubnet-routes-xxxx.

  4. В разделе Параметры выберите Маршруты.

    Кнопка

  5. Удалите маршрут to-Internet.

    Маршрут к Интернету — это единственный указанный маршрут, и он выбран. Есть кнопка удаления.

  6. Выберите Да.

  7. Нажмите кнопку Добавить, чтобы добавить новый маршрут.

  8. Присвойте маршруту имя to-onprem.

  9. Введите диапазон IP-адресов, определяющий диапазон локальной сети, к которой будет подключаться VPN.

  10. Выберите Виртуальный модуль в поле Тип следующего прыжка и укажите 172.16.1.4. Укажите собственный диапазон IP-адресов, если вы используете другой диапазон.

    В диалоговом окне

  11. Выберите Сохранить.

Чтобы активировать каждый NVA FortiGate, потребуется действительный файл лицензии из Fortinet. Модули NVA не будут работать до тех пор, пока вы не активируете каждый из них. Дополнительные сведения о том, как получить файл лицензии и шаги по активации NVA, см. в статье библиотеки документации Fortinet «Регистрация и загрузка вашей лицензии».

Необходимо получить два файла лицензии — по одному для каждого NVA.

Создание VPN-подключения IPSec между двумя NVA

После активации NVA выполните следующие действия, чтобы создать VPN-подключение IPSec между двумя NVA.

Выполните следующие действия для виртуальных сетевых модулей forti1 NVA и forti2:

  1. Получите назначенный общедоступный IP-адрес, перейдя на страницу обзора виртуальной машины fortiX:

    На странице обзора виртуальной машины forti1 отображаются значения forti1, например

  2. Скопируйте назначенный IP-адрес, откройте браузер и вставьте адрес в адресную строку. В браузере может появиться предупреждение о том, что сертификат безопасности не является доверенным. Продолжить в любом случае.

  3. Введите имя пользователя с правами администратора и пароль FortiGate, указанные во время развертывания.

    Диалоговое окно входа содержит текстовые поля пользователя и пароля, а также кнопку входа.

  4. Выберите System (Система)>Firmware (Встроенное ПО).

  5. Установите флажок напротив последней версии встроенного ПО, например FortiOS v6.2.0 build0866.

    В диалоговом окне встроенного ПО есть идентификатор встроенного ПО

  6. Нажмите кнопку Backup config and upgrade (Резервное копирование и обновление)>Continue (Продолжить).

  7. NVA обновляет своё встроенное ПО до последней сборки и перезагружается. Процесс займет около пяти минут. Снова войдите в веб-консоль FortiGate.

  8. Щелкните VPN>IPSec Wizard.

  9. Введите имя VPN, например conn1, в мастере создания VPN.

  10. Выберите Этот сайт скрыт за NAT.

    Снимок экрана мастера настройки VPN показывает первый шаг, Настройка VPN. Выбраны следующие параметры конфигурации VPN: тип шаблона —

  11. Выберите Далее.

  12. Введите удаленный IP-адрес локального VPN-устройства, к которому будет выполнено подключение.

  13. Выберите port1 в качестве исходящего интерфейса.

  14. Выберите Pre-shared Key (Общий ключ) и введите (и сохраните) общий ключ.

    Примечание.

    Этот ключ потребуется для настройки подключения на локальном VPN-устройстве, то есть ключи должны полностью совпадать.

    Снимок экрана мастера создания VPN показывает, что он находится на втором шаге — аутентификации, и выбранные значения выделены.

  15. Выберите Далее.

  16. Выберите port2 в качестве локального интерфейса

  17. Введите диапазон локальной подсети:

    • forti1: 172.16.0.0/16
    • forti2: 172.17.0.0/16

    Укажите собственный диапазон IP-адресов, если вы используете другой диапазон.

  18. Введите соответствующие удаленные подсети, представляющие локальную сеть, к которой вы будете подключаться через локальное VPN-устройство.

    • forti1: 172.16.0.0/16
    • forti2: 172.17.0.0/16

    Укажите собственный диапазон IP-адресов, если вы используете другой диапазон.

    Снимок экрана мастера создания VPN отображается на третьем шаге политики и маршрутизации. В нем отображаются выбранные и введенные значения.

  19. Нажмите кнопку Создать

  20. Выберите Network (Сеть)>Interfaces (Интерфейсы).

    В списке интерфейсов показаны два интерфейса: порт1, настроенный и порт2, который не имеет. Существуют кнопки для создания, редактирования и удаления интерфейсов.

  21. Дважды щелкните port2.

  22. Выберите LAN в списке Role (Роль) и DHCP в качестве режима адресации.

  23. Нажмите ОК.

Повторите эти действия на другом NVA.

Активировать все селекторы фазы 2

После завершения приведенной выше процедуры для обоих NVA:

  1. В веб-консоли forti2 FortiGate выберите Monitor>IPsec Monitor.

    Монитор для VPN-подключения conn1 отображается. Он показан как отключённый, как и соответствующий селектор Фазы 2.

  2. Выделите conn1 и выберите Активировать>Все селекторы этапа 2.

    Монитор и селектор фазы 2 показаны как работающие.

Проверка подключения

Теперь можно выполнять маршрутизацию между виртуальными сетями через NVA FortiGate. Чтобы проверить подключение, создайте виртуальную машину Azure Stack Hub в InsideSubnet каждой виртуальной сети (VNET). Создание виртуальной машины Azure Stack Hub можно сделать с помощью портала, Azure CLI или PowerShell. При создании виртуальных машин:

  • Виртуальная машина Azure Stack Hub размещается во внутренней подсети каждой виртуальной сети.

  • Не применяйте никакие группы безопасности сети (NSG) к виртуальной машине при создании (удалите NSG, добавляющуюся по умолчанию при создании виртуальной машины на портале).

  • Убедитесь, что правила брандмауэра виртуальной машины разрешают взаимодействие, которое будет использоваться для проверки подключения. В целях тестирования рекомендуется полностью отключить брандмауэр в операционной системе, если это возможно.

Следующие шаги

Сети Azure Stack Hub: различия и рекомендации
Предложение сетевого решения для Azure Stack Hub с помощью Fortinet FortiGate