IKEv2 VPN между Microsoft Azure и DrayTek Vigor Router
ООО «Цифровой Ангел»
В этой статье рассказывается, как настроить туннель IPsec между Microsoft Azure Server и Vigor Router в режиме динамической маршрутизации. Топология сети проиллюстрирована ниже.
Установка сервера Microsoft Azure
1. Создайте виртуальные сети, щелкнув « Virtual Networks» в разделе « All services >> NETWORKING» , или выполните поиск в виртуальных сетях.
2. Нажмите « Add », чтобы создать виртуальные сети, затем введите необходимые настройки:
- Введите Name
- Введите Address Space , например 10.0.0.0/16
- Выберите «Создать» для Source Group
- Выберите Location рядом с вашим роутером
- Оставьте настройки Subnet по умолчанию (тогда Azure создаст подсеть автоматически)
- Нажмите " Create".
3. Создайте шлюзы виртуальной сети, щелкнув Шлюзы Virtual network gateways в разделе All services >> NETWORKING . На этом этапе Azure выделит общедоступный IP-адрес для службы VPN.
4. Нажмите « Add», чтобы создать шлюз виртуальной сети, затем введите необходимые настройки:
- Введите Name
- Выберите "VPN" в качестве Gateway type
- Выберите "На основе маршрута" для VPN type.
- Выберите "VpnGw1" для SKU.
- Выберите VNet1 для Virtual Network (VNet1 - это виртуальная сеть, которую мы создали на шаге 1)
- Выберите «Создать новый» для Public IP и введите любой IP-адрес. (Не уверен, почему Azure запрашивает ввод IP-адреса)
- Нажмите " Create".
5. Azure может занять некоторое время, чтобы настроить общедоступный IP-адрес для сетевого шлюза VPN. После его завершения мы увидим публичный IP-адрес на той же странице.
6. Создайте Local Network Gateway в Azure. На этом этапе нам нужно ввести IP-адрес Vigor Router в Интернете и его локальную сеть, и Vigor Router должен подключаться к Интернету напрямую, а не за устройством NAT. Нажмите Add , чтобы создать шлюз локальной сети, затем введите необходимые настройки:
- Введите Name
- Введите IP-адрес WAN маршрутизатора Vigor в IP Address
- Введите сеть LAN Vigor Router в Address space , в этом примере это 192.168.8.0/24.
- Нажмите «Использовать существующую» для Resource group и выберите «Виртуальная сеть».
- Нажмите " Create".
7. Подождите несколько минут, и мы увидим профиль шлюза локальной сети, созданный на той же странице. Щелкните Connections , чтобы настроить VPN-подключение между Azure и Vigor Router.
8. Создайте VPN-соединение в Azure и введите необходимые настройки:
- Введите Name
- Тип подключения фиксируется на Site-to-Site (IPsec).
- Выберите Virtual Gateway в качестве общедоступного IP-адреса Azure VPN, созданного на шаге 3.
- Выберите Local Network Gateway, который является общедоступным IP-адресом удаленного VPN-маршрутизатора и сетью, которую мы создали на шаге 5.
- Введите Shared Key (PSK)
- Выберите виртуальную сеть для Resource Group
- Нажмите ОК.
Мы закончили настройку VPN в Azure. Далее мы настроим профиль VPN на Vigor Router.
1. Перейдите в раздел VPN и Remote Access >> LAN to LAN , щелкните индекс, чтобы изменить профиль следующим образом:
- Установите флажок Enable this VPN profile
- Выберите глобальную сеть, IP-адрес которой настроен на шлюзе локальной сети Azure для Dial-Out Through
- Выберите «Dial-Out» для Call Direction
- Отметьте Always On
- В поле настройки Dial-Out выберите IPsec Tunnel и выберите IKEv2.
- Введите общедоступный IP-адрес шлюза виртуальной сети Azure в поле IP-адрес Server IP/Host Name
- Введите IKE Pre-Shared Key в соответствии с настройками в Azure Connections.
- Выберите «AES с аутентификацией» для IPsec Security Method.
- Нажмите кнопку « Advanced » , чтобы настроить параметры предложения и срока службы ключа.
2. В дополнительных настройках IKE,
- Выберите «AES 256_SHA1_G2» для IKE phase1 proposal (VPN-сервер Azure поддерживает только группу Diffie-Hellman G2)
- Измените IKE phase2 key lifetime на «27000 секунд» (сервер Azure VPN поддерживает P27000 секунд только для времени жизни ключа фазы 2)
- Нажмите ОК.
3. В поле TCP/IP Network Setting ,
- Введите виртуальную сеть Azure «10.0.0.0» и «255.255.0.0/16» для Remote Network и Mask.
- Введите «192.168.8.0» и 255.255.255.0/24 для Local Network и Mask.
- Нажмите ОК, чтобы сохранить настройки.
После этого VPN-соединение от Vigor Router до Azure будет установлено. Мы можем проверить статус подключения VPN через VPN and Remote Access >> Connection Management. . Мы можем попытаться проверить связь с виртуальной машиной в виртуальной сети Azure, чтобы проверить подключение к VPN.
На ваш e-mail было отправлено письмо с регистрационной информацией.
Пожалуйста, дождитесь письма, так как контрольная строка изменяется при каждом запросе.