В этой статье рассказывается, как настроить туннель IPsec между Microsoft Azure Server и Vigor Router в режиме динамической маршрутизации. Топология сети проиллюстрирована ниже.
Установка сервера Microsoft Azure
1. Создайте виртуальные сети, щелкнув Virtual Networks в разделе All services >> NETWORKING, или выполните поиск в виртуальных сетях.
2. Нажмите Add, чтобы создать виртуальные сети, затем введите необходимые настройки:
Введите Name
Введите Address Space, например 10.0.0.0/16
Выберите «Создать» для Source Group
Выберите Location рядом с вашим роутером
Оставьте настройки Subnet по умолчанию (тогда Azure создаст подсеть автоматически)
Нажмите Create
3. Создайте шлюзы виртуальной сети, щелкнув Шлюзы Virtual network gateways в разделе All services >> NETWORKING . На этом этапе Azure выделит общедоступный IP-адрес для службы VPN.
4. Нажмите Add, чтобы создать шлюз виртуальной сети, затем введите необходимые настройки:
Введите Name
Выберите "VPN" в качестве Gateway type
Выберите "На основе маршрута" для VPN type.
Выберите "VpnGw1" для SKU.
Выберите VNet1 для Virtual Network (VNet1 - это виртуальная сеть, которую мы создали на шаге 1)
Выберите «Создать новый» для Public IP и введите любой IP-адрес. (Не уверен, почему Azure запрашивает ввод IP-адреса)
Нажмите " Create"
5. Azure может занять некоторое время, чтобы настроить общедоступный IP-адрес для сетевого шлюза VPN. После его завершения мы увидим публичный IP-адрес на той же странице.
6. Создайте Local Network Gateway в Azure. На этом этапе нам нужно ввести IP-адрес Vigor Router в Интернете и его локальную сеть, и Vigor Router должен подключаться к Интернету напрямую, а не за устройством NAT. Нажмите Add, чтобы создать шлюз локальной сети, затем введите необходимые настройки:
Введите Name
Введите IP-адрес WAN маршрутизатора Vigor в IP Address
Введите сеть LAN Vigor Router в Address space , в этом примере это 192.168.8.0/24.
Нажмите «Использовать существующую» для Resource group и выберите «Виртуальная сеть».
Нажмите Create
7. Подождите несколько минут, и мы увидим профиль шлюза локальной сети, созданный на той же странице. Щелкните Connections, чтобы настроить VPN-подключение между Azure и Vigor Router.
8. Создайте VPN-соединение в Azure и введите необходимые настройки:
Введите Name
Тип подключения фиксируется на Site-to-Site (IPsec).
Выберите Virtual Gateway в качестве общедоступного IP-адреса Azure VPN, созданного на шаге 3.
Выберите Local Network Gateway, который является общедоступным IP-адресом удаленного VPN-маршрутизатора и сетью, которую мы создали на шаге 5.
Введите Shared Key (PSK)
Выберите виртуальную сеть для Resource Group
Нажмите ОК
Мы закончили настройку VPN в Azure. Далее мы настроим профиль VPN на Vigor Router.
1. Перейдите в раздел VPN и Remote Access >> LAN to LAN , щелкните индекс, чтобы изменить профиль следующим образом:
Установите флажок Enable this VPN profile
Выберите глобальную сеть, IP-адрес которой настроен на шлюзе локальной сети Azure для Dial-Out Through
Выберите «Dial-Out» для Call Direction
Отметьте Always On
В поле настройки Dial-Out выберите IPsec Tunnel и выберите IKEv2.
Введите общедоступный IP-адрес шлюза виртуальной сети Azure в поле IP-адрес Server IP/Host Name
Введите IKE Pre-Shared Key в соответствии с настройками в Azure Connections.
Выберите «AES с аутентификацией» для IPsec Security Method.
Нажмите кнопку « Advanced» , чтобы настроить параметры предложения и срока службы ключа.
2. В дополнительных настройках IKE,
Выберите «AES 256_SHA1_G2» для IKE phase1 proposal (VPN-сервер Azure поддерживает только группу Diffie-Hellman G2)
Измените IKE phase2 key lifetime на «27000 секунд» (сервер Azure VPN поддерживает P27000 секунд только для времени жизни ключа фазы 2)
Нажмите ОК.
3. В поле TCP/IP Network Setting ,
Введите виртуальную сеть Azure «10.0.0.0» и «255.255.0.0/16» для Remote Network и Mask.
Введите «192.168.8.0» и 255.255.255.0/24 для Local Network и Mask.
Нажмите ОК, чтобы сохранить настройки.
После этого VPN-соединение от Vigor Router до Azure будет установлено. Мы можем проверить статус подключения VPN через VPN and Remote Access >> Connection Management. . Мы можем попытаться проверить связь с виртуальной машиной в виртуальной сети Azure, чтобы проверить подключение к VPN.