Dela via

Konfigurera VPN-gateway för Azure Stack Hub med Hjälp av FortiGate NVA

  • Artikel

Den här artikeln beskriver hur du skapar en VPN-anslutning till din Azure Stack Hub. En VPN-gateway är en typ av virtuell nätverksgateway som skickar krypterad trafik mellan ditt virtuella nätverk i Azure Stack Hub och en fjärr-VPN-gateway. Proceduren nedan distribuerar ett virtuellt nätverk med en FortiGate NVA, en virtuell nätverksinstallation, i en resursgrupp. Den innehåller också steg för att konfigurera en IPSec VPN på FortiGate NVA.

Förutsättningar

  • Åtkomst till ett Azure Stack Hub-integrerat system med tillgänglig kapacitet för att distribuera nödvändiga beräknings-, nätverks- och resurskrav som behövs för den här lösningen.

    Kommentar

    De här instruktionerna fungerar inte med ett Azure Stack Development Kit (ASDK) på grund av nätverksbegränsningarna i ASDK. Mer information finns i KRAV och överväganden för ASDK.

  • Åtkomst till en VPN-enhet i det lokala nätverket som är värd för det integrerade Azure Stack Hub-systemet. Enheten måste skapa en IPSec-tunnel som uppfyller parametrarna som beskrivs i distributionsparametrarna.

  • En virtuell nätverksinstallationslösning (NVA) som är tillgänglig på Azure Stack Hub Marketplace. En NVA styr flödet av nätverkstrafik från ett perimeternätverk till andra nätverk eller undernät. Den här proceduren använder lösningen Fortinet FortiGate Next-Generation Firewall Single VM.

    Kommentar

    Om du inte har fortinet FortiGate-VM för Azure BYOL och FortiGate NGFW – enskild vm-distribution (BYOL) tillgänglig på Azure Stack Hub Marketplace kontaktar du molnoperatören.

  • För att aktivera FortiGate NVA behöver du minst en tillgänglig FortiGate-licensfil. Information om hur du skaffar dessa licenser finns i artikeln Fortinet Document Library ( Registrera och ladda ned din licens).

    Den här proceduren använder distributionen single FortiGate-VM. Du hittar steg för hur du ansluter FortiGate NVA till det virtuella Azure Stack Hub-nätverket i ditt lokala nätverk.

    Mer information om hur du distribuerar FortiGate-lösningen i en aktiv-passiv (HA)-konfiguration finns i informationen i artikeln Fortinet Document Library HA for FortiGate-VM på Azure.

Distributionsparametrar

I följande tabell sammanfattas de parametrar som används i dessa distributioner som referens.

Parameter Värde
FortiGate-instansnamn forti1
BYOL-licens/version 6.0.3
Administrativt användarnamn för FortiGate fortiadmin
Namnet på resursgruppen forti1-rg1
Virtuellt nätverksnamn forti1vnet1
VNET-adressutrymme 172.16.0.0/16*
Namn på offentligt VNET-undernät forti1-PublicFacingSubnet
Prefix för offentliga VNET-adresser 172.16.0.0/24*
Inuti VNET-undernätets namn forti1-InsideSubnet
Inuti VNET-undernätsprefixet 172.16.1.0/24*
VM-storlek för FortiGate NVA Standard F2s_v2
Namn på offentlig IP-adress forti1-publicip1
Offentlig IP-adresstyp Statisk

Kommentar

* Välj ett annat adressutrymme och undernätsprefix om 172.16.0.0/16 det överlappar det lokala nätverket eller AZURE Stack Hub VIP-poolen.

Distribuera FortiGate NGFW Marketplace-objekt

  1. Öppna Azure Stack Hub-användarportalen.

  2. Välj Skapa en resurs och sök FortiGateefter .

    I sökresultatlistan visas FortiGate NGFW – Distribution av enskild virtuell dator.

  3. Välj FortiGate NGFW och välj Skapa.

  4. Slutför grunderna med hjälp av parametrarna från tabellen Distributionsparametrar .

    Skärmen Grundläggande innehåller värden från tabellen med distributionsparametrar som anges i list- och textrutor.

  5. Välj OK.

  6. Ange information om virtuellt nätverk, undernät och VM-storlek med hjälp av tabellen Distributionsparametrar .

    Varning

    Om det lokala nätverket överlappar IP-intervallet 172.16.0.0/16måste du välja och konfigurera ett annat nätverksintervall och undernät. Om du vill använda andra namn och intervall än de i tabellen Distributionsparametrar använder du parametrar som inte kommer i konflikt med det lokala nätverket. Var försiktig när du ställer in VNET IP-intervallet och undernätsintervallen i det virtuella nätverket. Du vill inte att intervallet ska överlappa de IP-intervall som finns i ditt lokala nätverk.

  7. Välj OK.

  8. Konfigurera den offentliga IP-adressen för FortiGate NVA:

    Dialogrutan IP-tilldelning visar värdet forti1-publicip1 för

  9. Välj OK. Och välj sedan OK.

  10. Välj Skapa.

    Distributionen tar cirka 10 minuter.

Konfigurera vägar (UDR) för det virtuella nätverket

  1. Öppna Azure Stack Hub-användarportalen.

  2. Välj Resursgrupper. Skriv forti1-rg1 in filtret och dubbelklicka på resursgruppen forti1-rg1.

    Tio resurser visas för resursgruppen forti1-rg1.

  3. Välj resursen "forti1-forti1-InsideSubnet-routes-xxxx".

  4. Välj Vägar under Inställningar.

    Knappen Vägar är markerad i dialogrutan Inställningar.

  5. Ta bort vägen till Internet .

    Vägen till Internet är den enda vägen som anges och den är markerad. Det finns en borttagningsknapp.

  6. Välj Ja.

  7. Välj Lägg till för att lägga till en ny väg.

  8. Ge vägen namnet to-onprem.

  9. Ange DET IP-nätverksintervall som definierar nätverksintervallet för det lokala nätverk som VPN ska ansluta till.

  10. Välj Virtuell installation för Nästa hopptyp och 172.16.1.4. Använd ditt IP-intervall om du använder ett annat IP-intervall.

    Dialogrutan Lägg till väg visar de fyra värden som har angetts i textrutorna.

  11. Välj Spara.

Aktivera FortiGate NVA

Aktivera FortiGate NVA och konfigurera en IPSec VPN-anslutning på varje NVA.

För att aktivera varje FortiGate NVA krävs en giltig licensfil från Fortinet. NVA:erna fungerar inte förrän du har aktiverat varje NVA. Mer information om hur du hämtar en licensfil och steg för att aktivera NVA finns i artikeln Fortinet Document Library ( Fortinet-dokumentbibliotek) om att registrera och ladda ned din licens.

När du har aktiverat NVA:erna skapar du en IPSec VPN-tunnel på NVA.

  1. Öppna Azure Stack Hub-användarportalen.

  2. Välj Resursgrupper. Ange forti1 i filtret och dubbelklicka på resursgruppen forti1.

  3. Dubbelklicka på den virtuella forti1-datorn i listan över resurstyper på resursgruppsbladet.

    Sidan Översikt för den virtuella datorn forti1 visar värden för forti1, till exempel

  4. Kopiera den tilldelade IP-adressen, öppna en webbläsare och klistra in IP-adressen i adressfältet. Webbplatsen kan utlösa en varning om att säkerhetscertifikatet inte är betrott. Fortsätt ändå.

  5. Ange det administrativa användarnamnet och lösenordet för FortiGate som du angav under distributionen.

    Dialogrutan inloggning innehåller textrutor för användare och lösenord och en inloggningsknapp.

  6. Välj System>Inbyggd programvara.

  7. Välj rutan som visar den senaste inbyggda programvaran, FortiOS v6.2.0 build0866till exempel .

    Dialogrutan Inbyggd programvara innehåller identifieraren

  8. Välj Säkerhetskopieringskonfiguration och uppgradera>Fortsätt.

  9. NVA uppdaterar sin inbyggda programvara till den senaste versionen och omstarter. Processen tar ungefär fem minuter. Logga tillbaka till FortiGate-webbkonsolen.

  10. Klicka på GUIDEN VPN>IPSec.

  11. Ange ett namn för VPN, till exempel conn1 i guiden Skapa VPN.

  12. Välj Den här webbplatsen ligger bakom NAT.

    Skärmbilden av guiden för att skapa VPN visar att den är i det första steget, VPN-installationsprogrammet. Följande värden har valts:

  13. Välj Nästa.

  14. Ange fjärr-IP-adressen för den lokala VPN-enhet som du ska ansluta till.

  15. Välj port1 som utgående gränssnitt.

  16. Välj I förväg delad nyckel och ange (och registrera) en i förväg delad nyckel.

    Kommentar

    Du behöver den här nyckeln för att konfigurera anslutningen på den lokala VPN-enheten, dvs. de måste matcha exakt.

    Skärmbilden av guiden för att skapa VPN visar att den är i det andra steget, Autentisering och de valda värdena är markerade.

  17. Välj Nästa.

  18. Välj port2 för det lokala gränssnittet.

  19. Ange det lokala undernätsintervallet:

    • forti1: 172.16.0.0/16
    • forti2: 172.17.0.0/16

    Använd ditt IP-intervall om du använder ett annat IP-intervall.

  20. Ange lämpliga fjärrundernät som representerar det lokala nätverket, som du ansluter till via den lokala VPN-enheten.

    Skärmbilden av guiden för att skapa VPN visar att den finns i det tredje steget, Princip och routning. Den visar de markerade och angivna värdena.

  21. Välj Skapa

  22. Välj Nätverksgränssnitt>.

    Gränssnittslistan visar två gränssnitt: port1, som har konfigurerats, och port2, vilket inte har gjort det. Det finns knappar för att skapa, redigera och ta bort gränssnitt.

  23. Dubbelklicka på port2.

  24. Välj LAN i rolllistan och DHCP för adresseringsläget.

  25. Välj OK.

Konfigurera det lokala VPN-nätverket

Den lokala VPN-enheten måste konfigureras för att skapa IPSec VPN-tunneln. Följande tabell innehåller de parametrar som du behöver för att konfigurera den lokala VPN-enheten. Information om hur du konfigurerar den lokala VPN-enheten finns i dokumentationen för din enhet.

Parameter Värde
Ip-adress för fjärrgateway Offentlig IP-adress tilldelad till forti1 – se Aktivera FortiGate NVA.
Fjärr-IP-nätverk 172.16.0.0/16 (om du använder IP-intervallet i dessa instruktioner för det virtuella nätverket).
Autentisering. Metod = I förväg delad nyckel (PSK) Från steg 16.
IKE-version 1
IKE-läge Main (ID-skydd)
Förslagsalgoritmer för fas 1 AES128-SHA256, AES256-SHA256, AES128-SHA1, AES256-SHA1
Diffie-Hellman-grupper 14, 5

Skapa VPN-tunneln

När den lokala VPN-enheten är korrekt konfigurerad kan VPN-tunneln nu upprättas.

Från FortiGate NVA:

  1. På forti1 FortiGate-webbkonsolen går du till Övervaka>IPsec Monitor.

    Övervakaren för VPN-anslutningskoppling1 visas. Den visas som ned, liksom motsvarande fas 2-väljare.

  2. Markera conn1 och välj select the Bring Up All Phase 2 Selectors (Ta upp>alla fas 2-väljare).

    Både övervakaren och fas 2-väljaren visas som upp.

Testa och verifiera anslutningen

Du kan dirigera mellan det virtuella nätverket och det lokala nätverket via den lokala VPN-enheten.

Så här verifierar du anslutningen:

  1. Skapa en virtuell dator i virtuella Azure Stack Hub-nätverk och ett system i det lokala nätverket. Du kan följa anvisningarna för att skapa en virtuell dator i Snabbstart: Skapa en virtuell Windows-serverdator med Azure Stack Hub-portalen.

  2. När du skapar den virtuella Azure Stack Hub-datorn och förbereder det lokala systemet kontrollerar du följande:

  • Den virtuella Azure Stack Hub-datorn placeras i det virtuella nätverkets InsideSubnet .

  • Det lokala systemet placeras i det lokala nätverket inom det definierade IP-intervallet enligt definitionen i IPSec-konfigurationen. Se också till att den lokala VPN-enhetens lokala IP-adress för gränssnittet tillhandahålls till det lokala systemet som en väg som kan nå det virtuella Azure Stack Hub-nätverket, 172.16.0.0/16till exempel .

  • Tillämpa inga NSG:er på den virtuella Azure Stack Hub-datorn när du skapar den. Du kan behöva ta bort den NSG som läggs till som standard om du skapar den virtuella datorn från portalen.

  • Se till att det lokala systemoperativsystemet och det virtuella Azure Stack Hub VM-operativsystemet inte har brandväggsregler för operativsystem som förbjuder kommunikation som du ska använda för att testa anslutningen. I testsyfte rekommenderar vi att du inaktiverar brandväggen helt i båda systemens operativsystem.

Nästa steg

Skillnader och överväganden för Azure Stack Hub-nätverk
Erbjuda en nätverkslösning i Azure Stack Hub med Fortinet FortiGate