Microsoft Azure. Настройка VPN.

Всем доброго дня.

В этой статье я расскажу как можно настроить VPN между локальной сетью и сетью Microsoft Azure. Статей про это написано не мало, но надеюсь эта все же будет кому-нибудь полезна.

Итак общая схема решения, исходные данные:

  • Внутренняя корпоративная сеть 192.168.39.0/24
  • Сеть DMZ 172.17.1.0/24
  • Сервер, на который будет установлен RRAS (Routing and Remote Access Service) и настроен VPN
  • Межсетевой экран PFSense

AzureVPN

Итак с чего начать настройку VPN соединения между Azure и локальной сетью.

Настройка VPN в Azure.

Перейти на портал Windows Azure https://manage.windowsazure.com

Далее нажать на кнопку Создать в левом нижнем углу экрана

Azure-VPN-2016-06-10 13_23_57-

Выбрать Сетевые службы — Виртуальная сеть — Настраиваемое создание

Azure-VPN-2016-06-10 10_42_04-Новое уведомление

Затем нужно задать название виртуальной сети в Azure, тут я не оригинальничал и назвал просто Azure. Так же нужно выбрать расположение, в моем случае я выбрал Восток США, это значение по умолчанию, но в России рекомендуется использовать расположение Северная Европа.

Azure-VPN-2016-06-10 10_42_34-Сети - Microsoft Azure

Далее нужно указать контроллеры домена в локальной сети и выбрать тип соединения сеть-сеть

Azure-VPN-2016-06-10 10_43_32-Сети - Microsoft Azure

Далее дать название для локальной сети и указать внешний общедоступный адрес 77.x.x.x. Указать адресное пространство локальной сети.

Azure-VPN-2016-06-10 10_52_45-Сети - Microsoft Azure

Затем указать адресное пространство сети Azure и подсеть шлюза.

Azure-VPN-2016-06-10 10_54_24-Сети - Microsoft Azure

Далее запустится процесс создания сети.

Azure-VPN-2016-06-10 10_54_42-Сети - Microsoft Azure

займет это 3-5 минут

Azure-VPN-2016-06-10 10_56_04-Сети - Microsoft Azure

Теперь сеть создана, нужно перейти в её свойства и создать шлюз с динамической маршрутизацией.

Azure-VPN-2016-06-10 10_56_19-

Подтвердить создание шлюза

Azure-VPN-2016-06-10 10_56_55-Сети - Microsoft Azure

Убедиться, что шлюз начал создаваться

Azure-VPN-2016-06-10 10_57_32-Сети - Microsoft Azure

Теперь можно попить чай, потому что создание шлюза может занять 20-30 минут…

teabreak

После чаепития шлюз будет создан ☻

Azure-VPN-2016-06-10 11_28_58-Сети - Microsoft Azure

Теперь нужно настроить VPN на нашем локальном сервере. В Azure это сделать очень удобно, нужно загрузить скрипт по которому произойдет настройка.

Azure-VPN-2016-06-10 11_29_17-Сети - Microsoft Azure

Можно выбрать скрипт для нескольких платформ, но в моем случае в роли VPN сервера будет выступать Windows Server 2012 R2

Azure-VPN-2016-06-10 11_29_35-Сети - Microsoft Azure

Скачать скрипт и сохранить его на будущем VPN сервере.


Настройка VPN сервера.

  • Сервер в рабочей группе Workgroup.
  • На сервере 2 сетевых интерфейса внутренний и DMZ.

VPN-RRAS-2016-06-10 11_33_03-Network Connections

  • LAN — адрес в сети 192.168.39.0 /24
  • DMZ — адрес в DMZ 172.17.1.0 /24

К нему вернемся позже.


Настройка проброса портов.

Нужно сделать проброс портов с внешнего файервола на наш VPN сервер. Поскольку Azure VPN использует протокол IPSec нужно сделать проброс следующих портов и протоколов:

  • IP Protocol Type=UDP, UDP Port Number=500    <- Used by IKEv2 (IPSec control path)
  • IP Protocol Type=UDP, UDP Port Number=4500   <- Used by IKEv2 (IPSec control path)
  • IP Protocol Type=ESP (value 50)   <- Used by IPSec data path

на PFSense эти правила выглядят следующим образом

Azure-VPN-2016-06-10 12_33_26-Параметры

, где

  • Azure VPN 01 EXT — внешний IP адрес 77.x.x.x
  • Azure VPN DMZ — IP адрес VPN сервера в DMZ 172.17.1.246

Итак, после проброса портов можно вернуться на VPN сервер и  продолжить настройку. Скачанный ранее скрипт VpnDeviceScript.cfg нужно переименовать на VpnDeviceScript.ps1 сделав из него скрипт PowerShell. Запустить его нужно от имени администратора.

VPN-RRAS-2016-06-10 11_38_00-Administrator_ Windows PowerShell

В ходе выполнения будут установлены роли и компоненый RRAS и автоматически настроен VPN с настроенными в облаке параметрами.

Теперь нужно вернуться обратно на портал Azure и выполнить соединение

Azure-VPN-2016-06-10 14_38_42-Параметры

После чего соединение должно быть установлено

Azure-VPN-2016-06-10 13_04_29-Параметры

на стороне VPN сервера можно так же увидеть успешное подключение

VPN-RRAS-2016-06-10 14_35_21-Routing and Remote Access

В общем то все! VPN Соединение готово.


Статьи:

https://blogs.technet.microsoft.com/rrasblog/2006/06/14/which-ports-to-unblock-for-vpn-traffic-to-pass-through/


ms_azure1

Реклама

Об авторе Alexander Shestakov

MCITP, MCSE. Компания "Динамика"
Запись опубликована в рубрике Azure с метками , , , , . Добавьте в закладки постоянную ссылку.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход /  Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход /  Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход /  Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход /  Изменить )

w

Connecting to %s