Konfigurace Azure VPN

Služba Azure Virtual Network (VPN) nabízí jednoduchou možnost, jak propojit svět lokálního IT prostředí s cloudem tam v oblacích nad Irskem podobně, jako byste tak činili s firemní pobočkou o Prahu či Brno vedle za lesy. A protože firemní prostředí nebývají čistě černobílá a společnost Microsoft sítové prvky zatím nevyrábí, představíme si prakticky možnost, jak nakonfigurovat Azure VPN s Fortigate 60D.

Konfigurace AZURE VPN

V tomto článku si ukážeme konkrétní postup jak provést konfiguraci AZURE VPN služby v kombinaci s Fortigate 60D s FortiOS verze 5.2.

Představovat si samotný Microsoft Azure jistě není nutné, podívejme se blíže na Azure VPN. Tato služba, jak samotný název napovídá, slouží k spojení Azure prostředí s částí on-premise. Typickým scénářem může být například provozování doménového řadiče v Azure prostředí. Tak aby nemusel provoz procházet přes Internet, je možné velmi lehce vytvořit VPN, v tomto případě, Site-to-Site.

Tato VPN síť bude ustavena mezi externím firewall prvkem a Azure gateway. VPN spojení je vytvořeno pomocí standardního IPsec protokolu. Není tedy náročné tento návod použít i pro jiné výrobce firewall produktů.

Je nutné zmínit, že tato služba je placená dle platného ceníku. Aktuálně cena za 1 hodinu provozu VPN vychází na 0,04 €. Účtován je také datový přenos, který je pro region západní Evropy nyní zdarma pro příchozí provoz do Azure a odchozí provoz z Azure je zpoplatněn částkou 0,027 €.

Pro jednoduchost pochopení následujícího návodu jsem nakreslil Obrázek číslo 1 s interní adresací celého demo prostředí, kterou uvidíte i na screenshotech v tomto návodu.

image
Obrázek 1 – Struktura Azure VPN

Jak je ze schématu viditelné, nebudeme tvořit žádnou extra složitou síťovou konfiguraci. Pro názornost jsem ponechal příklad velmi jednoduchý.

Na úvod je dobré si sepsat do tabulky veškeré potřebné informace, které budete potřebovat. Následně je můžete uchovat jako dokumentaci stavu, v mém případě by vypadala následovně.

Veřejná adresa FW na straně vaší sítě

XXX.XXX.XXX.XXX

IP subnet na vaší straně, který budeme spojovat

10.10.10.0/24

IP subnet na straně Azure (nesmí být použitý ve vaší síti)

10.10.99.0/24

IP GW Azure (bude vygenerována po zřízení služby

XXX.XXX.XXX.XXX

IPsec Shared Secret

Bude generován po zřízení služby

Parametry IPsec PH 1

AES 256, SHA1, DH – 2, KeyLifeTime: 28800, IKE v2

Parametry IPsec PH 2

AES 256, SHA1, Enable Replay Detection, KeyLifeTime: 3600, KB: 102400000

Nejdříve se tedy přihlásíme do Azure portálu https://manage.windowsazure.com a vybereme z menu v části Networks položku New.

image
Obrázek 2 – Menu Azure

Následně se nám otevře průvodce na vytvoření VPN. V něm síť pojmenujeme a vybereme lokaci nejblíže nám.

image
Obrázek 3 – Pojmenování VPN

Pokračujeme na další záložku. Zde už je nastavení poměrně zajímavé. Nejdříve máme možnost přiřadit DNS servery, které budou v této síti použity. Dále vybíráme druh VPN, pro náš scénář je vhodná varianta Site-to-Site (spojujeme jednu nebo více sítí). Poslední volbou je vytváření lokální sítě (myšleno lokální sítě v samotném Azure).

image
Obrázek 4 – Detaily konfigurace DNS pro Azure VPN

V dalším kroku průvodce definujeme adresní rozsahy ve vnitřní síti. Tato definice následně musí odpovídat IPsec definici. Síť můžeme pojmenovat a k této definici přiřazujeme veřejnou IP našeho FW (VPN Device IP Address). Proti tomuto koncovému bodu se bude navazovat IPsec.

image
Obrázek 5 – Výběr adresního prostoru pro Azure VPN

V poslední části průvodce zbývá provést definici interního Azure adresního rozsahu. Do tohoto rozsahu pak budeme směrovat náš provoz. V mém případě jsem přidal nekonfliktní rozsah 10.10.99.0/24 . Tento rozsah následně můžete rozdělit na menší subnety dle potřeby.

image
Obrázek 6 – Rozdělení adresního prostoru Azure VPN

Po ukončení průvodce je vytvořena nová definice VPN. Průběh a výsledek oznamuje notifikační lišta.

image
Obrázek 7 – Notifikační lišta Azure portálu

Tímto máme většinu konfigurace hotovou. Poslední co musíme na straně Azure vytvořit je GW. Toto provedeme na následující obrazovce pomocí tlačítka Create Gateway.

image
Obrázek 8 – Přehled právě konfigurované Azure VPN

Potvrzení volby se ukazuje vždy opět ve spodní části obrazovky.

image
Obrázek 9 – Výzva k potvrzení

image
Obrázek 10 – Azure vytváří VPN Gateway

Po potvrzení trvá vytvoření GW cca 10 až 15 minut. Úspěšné vytvoření je notifikováno pro nás již nepřekvapivě ve spodní části obrazovky. Následně je možné zobrazit IP adresu GW a opět ve spodní části obrazovky je tlačítko Manage Key. Pod touto volbou je schováno zobrazení Shared Secret pro IPsec.

image
Obrázek 11 – Získání Shared Secret k VPN

Nyní provedeme podobnou konfiguraci na straně Fortigate FW. Následující screenshoty jsou z nové verze firmware, ale velmi obdobné nastavení je ve všech předchozích verzích. Doporučuji přesto jeho případnou aktualizaci.

Přejdeme na záložku VPN na vašem FW. A vybereme možnost Custom VPN Tunnel.

image
Obrázek 12 – Volba typu VPN na straně Fortigate

V této části průvodce se konfiguruje fáze 1 IPsec tunelu. Volby vyplňte dle tabulky, kterou jste si připravili hned na počátku do příslušných polí. Jde především o nastavení IP adresy GW na straně Azure a konfiguraci zabezpečení.

image
Obrázek 13 – Detaily konfigurace VPN na straně Fortigate

Na další stránce nastavujeme fázi 2, tedy transportní. V této části jde především o konfiguraci Interního IP subnetu a subnetu na straně Azure. Přesně odpovídá 4. stránce při prvotní konfiguraci na straně Azure.

image
Obrázek 14 – Detaily konfigurace VPN na straně Fortigate

Z pohledu konfigurace IPsec je toto nastavení kompletní, ale nezapomínejte prosím na konfiguraci IP Routingu. Internímu routeru a FW musíme říci, kde se nachází IP síť Azure. V tomto případě na Fortigate prvku provedeme konfiguraci IP ROUTING. Položka Device je právě vytvořený IPsec tunel.

image
Obrázek 15 – Routing ve Fortigate

Poslední co zbývá je nastavení Firewall Policy. Je to standardní firewall pravidlo které povoluje komunikaci z a do sítě Azure. V jednoduchosti může vypadat jako na následujícím obrázku, ale předpokládám, že budete chtít použít striktnější, než je v mé definici.

image
Obrázek 16 – Firewall Policy

Pokud jste byli úspěšní, můžete vidět spojený IPsec tunel na straně Azure a stejně i na straně Fortigate.

image
Obrázek 17 – Aktivní VPN na straně Azure

image
Obrázek 18 – Aktivní VPN na straně Fortigate