Microsoft Azure Route-basiertes VPN
Microsoft Azure bietet drei VPN-Typen an:
Policy-basiert (beschränkt auf eine einzelne S2S-Verbindung)
routenbasiert
routenbasiert mit BGP (nicht verfügbar im virtuellen Netzwerk-Gateway SKU „Basic“)
Diese Anleitung behandelt das Einrichten eines routenbasierten S2S-VPNs.
Bevor Sie beginnen
Bevor Sie mit der Konfiguration eines IPsec-Tunnels beginnen, benötigen Sie eine funktionierende Schulrouter Plus-Installation und ein virtuelles Azure-Netzwerk-Setup mit eindeutigen LAN-IP-Subnetzen für jede Seite Ihrer Verbindung (Ihre lokalen Netzwerke müssen sich von Ihren Remote-Netzwerken unterscheiden).
Informationen zum Einrichten eines virtuellen Microsoft Azure-Netzwerks und eines virtuellen Netzwerk-Gateways finden Sie in der Microsoft Azure-Dokumentation:
Beispiel-Setup
Diese Beispielkonfiguration verwendet eine Schulrouter Plus-Box und das grundlegende virtuelle Netzwerk-Gateway von Azure mit der folgenden Konfiguration:
Schulrouter Plus
Hostname | Schulrouter Plus |
WAN IP | 1.2.3.4 |
LAN-Netzwerk | 192.168.1.1/24 |
Azurblau
Hostname | Azurblau |
Virtuelles Netzwerk-Gateway Öffentliche IP | 4.3.2.1 |
Virtueller Netzwerk-Adressraum | 192.168.2.0/24 |
Firewall-Regeln Schulrouter Plus
Um IPsec-Tunnelverbindungen zuzulassen, sollte Folgendes im WAN für On-Sites erlaubt sein (unter Firewall ‣ Regeln ‣ WAN):
Protokoll ESP
UDP-Verkehr auf Port 500 (ISAKMP)
UDP-Verkehr auf Port 4500 (NAT-T)
Sie können den Datenverkehr weiter nach der Quell-IP des entfernten Hosts einschränken.
Schritt 1 - Phase 1 Schulrouter Plus
(Unter VPN ‣ IPsec ‣ Tunneleinstellungen drücken Sie +) Wir werden die folgenden Einstellungen verwenden:
Allgemeine Information
Verbindungsmethode | Nur antworten | |
Schlüsselaustauschversion | V2 | |
Internetprotokoll | IPv4 | |
Schnittstelle | WAN | Wählen Sie die Schnittstelle, die mit dem Internet verbunden ist. |
Remote-Gateway | 4.3.2.1 | Die öffentliche IP-Adresse Ihres virtuellen Azure-Netzwerks. |
Beschreibung | IPsec Azure | Frei gewählte Beschreibung |
Phase 1 Vorschlag (Authentifizierung)
Authentifizierungsverfahren | Gegenseitiges PSK | Verwendung eines Pre-shared Key |
Mein Bezeichner | Meine IP-Adresse | Einfache Identifikation für feste IP |
Peer-Identifikator | Peer IP-Adresse | Einfache Identifikation für feste IP |
Pre-Shared Key | At4aDMOAOub2NwT6gMHA | Zufallsschlüssel. ERSTELLEN SIE IHREN EIGENEN! |
Phase 1 Vorschlag (Algorithmen)
Verschlüsselungsalgorithmus | AES 256 | für Details siehe Azure-Dokumente |
Hash-Algoritmus | SHA256 | |
DH-Tastengruppe | 2 (1024 Bit) | |
Lebenslang | 28800 sec | Lebensdauer vor Neuverhandlung |
Mögliche Parameter sind hier aufgelistet: https://docs.microsoft.com/en-us/azure/vpn-gateway/vpn-gateway-about-vpn-devices
Erweiterte Optionen
Installationsrichtlinie | Nicht ausgewählt | Dies muss nicht angehakt sein, da wir ein einfaches Routing wollen. |
Rekey deaktivieren | Nicht ausgewählt | Neuverhandeln, wenn die Verbindung abläuft |
Reauth deaktivieren | Nicht ausgewählt | Nur bei IKEv2: Re-Authentifizierung der Gegenstelle bei Neuverschlüsselung |
NAT Traversal | Deaktivieren | Für IKEv2 ist NAT-Traversal immer aktiviert. |
Erkennung von toten Peers | Nicht ausgewählt |
Speichern Sie Ihre Einstellung, indem Sie drücken:
Schritt 2 - Phase 2 Schulrouter Plus
Drücken Sie die Taste mit der Aufschrift ‚+ Show 0 Phase-2 entries‘.
Sie sehen eine leere Liste:
Drücken Sie nun die + rechts neben dieser Liste, um einen Phase-2-Eintrag hinzuzufügen. Da wir kein lokales und entferntes Netzwerk definieren, verwenden wir einfach Tunneladressen, die Sie vielleicht schon von OpenVPN kennen. In diesem Beispiel verwenden wir 10.111.1.1 und 10.111.1.2. Dies werden die Gateway-Adressen sein, die für das Routing verwendet werden
Allgemeine Information
Modus | Routenbasiert | Routenbasierte Auswahl |
Beschreibung | Azure VNET | Frei gewählte Beschreibung |
Tunnel Netzwerk
Lokale Adresse | Lokale Tunnel-IP | Set IP 10.111.1.1 |
Entfernte Adresse | Entfernte Tunnel-IP | Set IP 10.111.1.2 |
Phase-2-Vorschlag (SA / Schlüsselaustausch)
Protokoll | ESP | Wählen Sie ESP für die Verschlüsselung |
Verschlüsselungsalgorithmen | AES / 256 | für Details siehe Azure-Dokumente |
Hash-Algorythmen | SHA256 | |
PFS Tastengruppe | aus | Nicht unterstützt |
Lebenslang | 27000 sec |
Speichern Sie Ihre Einstellungen, indem Sie drücken:
IPsec für Schulrouter Plus aktivieren, wählen Sie:
Speichern:
Und Änderungen übernehmen:
Schritt 3 - MSS-Klemmung einstellen
(Unter Schnittstellen ‣ IPsec Azure) Wir werden die folgenden Einstellungen verwenden:
Einrichtung
MSS | 1350 | Erforderlich |
Belassen Sie die anderen Einstellungen auf den Standardwerten.
Speichern:
Sie sind mit der Konfiguration des Schulrouter Plus fast fertig (es fehlen nur noch einige Firewall-Einstellungen, die später behandelt werden). Wir fahren nun mit der Einrichtung von Azure fort.
Schritt 4 - Azure: Lokales Netzwerk-Gateway einrichten
(Unter „Alle Ressourcen“ drücken Sie + Hinzufügen, dann suchen Sie und Erstellen „Lokales Netzwerk-Gateway“) Wir werden die folgenden Einstellungen verwenden:
Einrichtung
Name | lng.schule | Frei gewählter Name |
IP-Adresse | 1.2.3.4 | Die öffentliche IP-Adresse Ihres entfernten Schulrouters Plus. |
Adressraum | 192.168.1.0/24 | LAN-Netzwerk |
Adressraum | 10.111.1.1/32 | Lokale Tunnel-IP |
Drücken Sie die Taste mit der Aufschrift „Erstellen“:
Schritt 5 - Azure: VPN-Verbindung einrichten
(Unter Alle Ressourcen –> Virtuelles Netzwerk-Gateway –> Verbindungen drücken Sie + Hinzufügen) Wir werden die folgenden Einstellungen verwenden:
Allgemeine Einrichtung
Name | vpn.schule | Frei gewählter Name |
Verbindungstyp | Standort-zu-Standort (IPsec) | |
Virtuelles Netzwerk-Gateway | vpn.gw | Virtuelles Netzwerk-Gateway auswählen |
Lokales Netzwerk-Gateway | lng.schule | Lokales Netzwerk-Gateway auswählen |
Gemeinsamer Schlüssel (PSK) | At4aDMOAOub2NwT6gMHA | Zufallsschlüssel. ERSTELLEN SIE IHREN EIGENEN! |
Drücken Sie die Taste, auf der „OK“ steht:
Firewall-Regeln Schulrouter Plus
Um den Verkehr zu Ihrem LAN-Subnetz zuzulassen, müssen Sie eine Regel zur IPsec-Schnittstelle hinzufügen (unter Firewall ‣ Regeln ‣ IPsec).
IPsec-Tunnel bereit
Der Tunnel sollte jetzt eingerichtet sein und die beiden Netzwerke weiterleiten. Gehen Sie auf VPN ‣ IPsec ‣ Statusübersicht, um den aktuellen Status zu sehen.
Schritt 6 - Definieren von Gateways
Nachdem Sie nun das VPN eingerichtet haben, müssen Sie ein Gateway einrichten. Gehen Sie zu System ‣ Gateways ‣ Einzeln und fügen Sie ein neues Gateway hinzu.
Schulrouter Plus
Name | VPNGW | Setzen Sie einen Namen für Ihr Gateway. |
Schnittstelle | IPSEC1000 | Wählen Sie die IPsec-Schnittstelle. |
IP-Adresse | 10.111.1.2 | Einstellen der Peer-IP-Adresse |
Fernes Gateway | Ausgewählt | Dies muss geprüft werden, da es sich um eine Punkt-zu-Punkt-Verbindung handelt. |
Schritt 7 - Statische Routes hinzufügen
Wenn das Gateway eingerichtet ist, können Sie eine Route für das virtuelle Azure-Netzwerk hinzufügen, die auf das neue Gateway zeigt. Gehen Sie zu System ‣ Routen ‣ Konfiguration.
Route Schulrouter Plus
Netzwerkadresse | 192.168.2.0/24 | Azure virtuelles Netzwerk |
Gateway | VPNGW | Wählen Sie das VPN-Gateway. |
Jetzt sind Sie startklar!