Obrázek 1 – Struktura Azure VPN
Služba Azure Virtual Network (VPN) nabízí jednoduchou možnost, jak propojit svět lokálního IT prostředí s cloudem tam v oblacích nad Irskem podobně, jako byste tak činili s firemní pobočkou o Prahu či Brno vedle za lesy. A protože firemní prostředí nebývají čistě černobílá a společnost Microsoft sítové prvky zatím nevyrábí, představíme si prakticky možnost, jak nakonfigurovat Azure VPN s Fortigate 60D.
V tomto článku si ukážeme konkrétní postup jak provést konfiguraci AZURE VPN služby v kombinaci s Fortigate 60D s FortiOS verze 5.2.
Představovat si samotný Microsoft Azure jistě není nutné, podívejme se blíže na Azure VPN. Tato služba, jak samotný název napovídá, slouží k spojení Azure prostředí s částí on-premise. Typickým scénářem může být například provozování doménového řadiče v Azure prostředí. Tak aby nemusel provoz procházet přes Internet, je možné velmi lehce vytvořit VPN, v tomto případě, Site-to-Site.
Tato VPN síť bude ustavena mezi externím firewall prvkem a Azure gateway. VPN spojení je vytvořeno pomocí standardního IPsec protokolu. Není tedy náročné tento návod použít i pro jiné výrobce firewall produktů.
Je nutné zmínit, že tato služba je placená dle platného ceníku. Aktuálně cena za 1 hodinu provozu VPN vychází na 0,04 €. Účtován je také datový přenos, který je pro region západní Evropy nyní zdarma pro příchozí provoz do Azure a odchozí provoz z Azure je zpoplatněn částkou 0,027 €.
Pro jednoduchost pochopení následujícího návodu jsem nakreslil Obrázek číslo 1 s interní adresací celého demo prostředí, kterou uvidíte i na screenshotech v tomto návodu.
Obrázek 1 – Struktura Azure VPN
Jak je ze schématu viditelné, nebudeme tvořit žádnou extra složitou síťovou konfiguraci. Pro názornost jsem ponechal příklad velmi jednoduchý.
Na úvod je dobré si sepsat do tabulky veškeré potřebné informace, které budete potřebovat. Následně je můžete uchovat jako dokumentaci stavu, v mém případě by vypadala následovně.
Veřejná adresa FW na straně vaší sítě | XXX.XXX.XXX.XXX |
IP subnet na vaší straně, který budeme spojovat | 10.10.10.0/24 |
IP subnet na straně Azure (nesmí být použitý ve vaší síti) | 10.10.99.0/24 |
IP GW Azure (bude vygenerována po zřízení služby | XXX.XXX.XXX.XXX |
IPsec Shared Secret | Bude generován po zřízení služby |
Parametry IPsec PH 1 | AES 256, SHA1, DH – 2, KeyLifeTime: 28800, IKE v2 |
Parametry IPsec PH 2 | AES 256, SHA1, Enable Replay Detection, KeyLifeTime: 3600, KB: 102400000 |
Nejdříve se tedy přihlásíme do Azure portálu https://manage.windowsazure.com a vybereme z menu v části Networks položku New.
Obrázek 2 – Menu Azure
Následně se nám otevře průvodce na vytvoření VPN. V něm síť pojmenujeme a vybereme lokaci nejblíže nám.
Obrázek 3 – Pojmenování VPN
Pokračujeme na další záložku. Zde už je nastavení poměrně zajímavé. Nejdříve máme možnost přiřadit DNS servery, které budou v této síti použity. Dále vybíráme druh VPN, pro náš scénář je vhodná varianta Site-to-Site (spojujeme jednu nebo více sítí). Poslední volbou je vytváření lokální sítě (myšleno lokální sítě v samotném Azure).
Obrázek 4 – Detaily konfigurace DNS pro Azure VPN
V dalším kroku průvodce definujeme adresní rozsahy ve vnitřní síti. Tato definice následně musí odpovídat IPsec definici. Síť můžeme pojmenovat a k této definici přiřazujeme veřejnou IP našeho FW (VPN Device IP Address). Proti tomuto koncovému bodu se bude navazovat IPsec.
Obrázek 5 – Výběr adresního prostoru pro Azure VPN
V poslední části průvodce zbývá provést definici interního Azure adresního rozsahu. Do tohoto rozsahu pak budeme směrovat náš provoz. V mém případě jsem přidal nekonfliktní rozsah 10.10.99.0/24 . Tento rozsah následně můžete rozdělit na menší subnety dle potřeby.
Obrázek 6 – Rozdělení adresního prostoru Azure VPN
Po ukončení průvodce je vytvořena nová definice VPN. Průběh a výsledek oznamuje notifikační lišta.
Obrázek 7 – Notifikační lišta Azure portálu
Tímto máme většinu konfigurace hotovou. Poslední co musíme na straně Azure vytvořit je GW. Toto provedeme na následující obrazovce pomocí tlačítka Create Gateway.
Obrázek 8 – Přehled právě konfigurované Azure VPN
Potvrzení volby se ukazuje vždy opět ve spodní části obrazovky.
Obrázek 9 – Výzva k potvrzení
Obrázek 10 – Azure vytváří VPN Gateway
Po potvrzení trvá vytvoření GW cca 10 až 15 minut. Úspěšné vytvoření je notifikováno pro nás již nepřekvapivě ve spodní části obrazovky. Následně je možné zobrazit IP adresu GW a opět ve spodní části obrazovky je tlačítko Manage Key. Pod touto volbou je schováno zobrazení Shared Secret pro IPsec.
Obrázek 11 – Získání Shared Secret k VPN
Nyní provedeme podobnou konfiguraci na straně Fortigate FW. Následující screenshoty jsou z nové verze firmware, ale velmi obdobné nastavení je ve všech předchozích verzích. Doporučuji přesto jeho případnou aktualizaci.
Přejdeme na záložku VPN na vašem FW. A vybereme možnost Custom VPN Tunnel.
Obrázek 12 – Volba typu VPN na straně Fortigate
V této části průvodce se konfiguruje fáze 1 IPsec tunelu. Volby vyplňte dle tabulky, kterou jste si připravili hned na počátku do příslušných polí. Jde především o nastavení IP adresy GW na straně Azure a konfiguraci zabezpečení.
Obrázek 13 – Detaily konfigurace VPN na straně Fortigate
Na další stránce nastavujeme fázi 2, tedy transportní. V této části jde především o konfiguraci Interního IP subnetu a subnetu na straně Azure. Přesně odpovídá 4. stránce při prvotní konfiguraci na straně Azure.
Obrázek 14 – Detaily konfigurace VPN na straně Fortigate
Z pohledu konfigurace IPsec je toto nastavení kompletní, ale nezapomínejte prosím na konfiguraci IP Routingu. Internímu routeru a FW musíme říci, kde se nachází IP síť Azure. V tomto případě na Fortigate prvku provedeme konfiguraci IP ROUTING. Položka Device je právě vytvořený IPsec tunel.
Obrázek 15 – Routing ve Fortigate
Poslední co zbývá je nastavení Firewall Policy. Je to standardní firewall pravidlo které povoluje komunikaci z a do sítě Azure. V jednoduchosti může vypadat jako na následujícím obrázku, ale předpokládám, že budete chtít použít striktnější, než je v mé definici.
Obrázek 16 – Firewall Policy
Pokud jste byli úspěšní, můžete vidět spojený IPsec tunel na straně Azure a stejně i na straně Fortigate.
Obrázek 17 – Aktivní VPN na straně Azure
Obrázek 18 – Aktivní VPN na straně Fortigate