Всем доброго дня.
В этой статье я расскажу как можно настроить VPN между локальной сетью и сетью Microsoft Azure. Статей про это написано не мало, но надеюсь эта все же будет кому-нибудь полезна.
Итак общая схема решения, исходные данные:
- Внутренняя корпоративная сеть 192.168.39.0/24
- Сеть DMZ 172.17.1.0/24
- Сервер, на который будет установлен RRAS (Routing and Remote Access Service) и настроен VPN
- Межсетевой экран PFSense
Итак с чего начать настройку VPN соединения между Azure и локальной сетью.
Настройка VPN в Azure.
Перейти на портал Windows Azure https://manage.windowsazure.com
Далее нажать на кнопку Создать в левом нижнем углу экрана
Выбрать Сетевые службы — Виртуальная сеть — Настраиваемое создание
Затем нужно задать название виртуальной сети в Azure, тут я не оригинальничал и назвал просто Azure. Так же нужно выбрать расположение, в моем случае я выбрал Восток США, это значение по умолчанию, но в России рекомендуется использовать расположение Северная Европа.
Далее нужно указать контроллеры домена в локальной сети и выбрать тип соединения сеть-сеть
Далее дать название для локальной сети и указать внешний общедоступный адрес 77.x.x.x. Указать адресное пространство локальной сети.
Затем указать адресное пространство сети Azure и подсеть шлюза.
Далее запустится процесс создания сети.
займет это 3-5 минут
Теперь сеть создана, нужно перейти в её свойства и создать шлюз с динамической маршрутизацией.
Подтвердить создание шлюза
Убедиться, что шлюз начал создаваться
Теперь можно попить чай, потому что создание шлюза может занять 20-30 минут…
После чаепития шлюз будет создан ☻
Теперь нужно настроить VPN на нашем локальном сервере. В Azure это сделать очень удобно, нужно загрузить скрипт по которому произойдет настройка.
Можно выбрать скрипт для нескольких платформ, но в моем случае в роли VPN сервера будет выступать Windows Server 2012 R2
Скачать скрипт и сохранить его на будущем VPN сервере.
Настройка VPN сервера.
- Сервер в рабочей группе Workgroup.
- На сервере 2 сетевых интерфейса внутренний и DMZ.
- LAN — адрес в сети 192.168.39.0 /24
- DMZ — адрес в DMZ 172.17.1.0 /24
К нему вернемся позже.
Настройка проброса портов.
Нужно сделать проброс портов с внешнего файервола на наш VPN сервер. Поскольку Azure VPN использует протокол IPSec нужно сделать проброс следующих портов и протоколов:
- IP Protocol Type=UDP, UDP Port Number=500 <- Used by IKEv2 (IPSec control path)
- IP Protocol Type=UDP, UDP Port Number=4500 <- Used by IKEv2 (IPSec control path)
- IP Protocol Type=ESP (value 50) <- Used by IPSec data path
на PFSense эти правила выглядят следующим образом
, где
- Azure VPN 01 EXT — внешний IP адрес 77.x.x.x
- Azure VPN DMZ — IP адрес VPN сервера в DMZ 172.17.1.246
Итак, после проброса портов можно вернуться на VPN сервер и продолжить настройку. Скачанный ранее скрипт VpnDeviceScript.cfg нужно переименовать на VpnDeviceScript.ps1 сделав из него скрипт PowerShell. Запустить его нужно от имени администратора.
В ходе выполнения будут установлены роли и компоненый RRAS и автоматически настроен VPN с настроенными в облаке параметрами.
Теперь нужно вернуться обратно на портал Azure и выполнить соединение
После чего соединение должно быть установлено
на стороне VPN сервера можно так же увидеть успешное подключение
В общем то все! VPN Соединение готово.
Статьи: