Ich möchte mehrere virtuelle Azure-Netzwerke einrichten, sie miteinander verbinden und mehreren lokalen VPN-Routern die Verbindung mit diesen virtuellen Netzwerken ermöglichen können. Im Folgenden wird beschrieben, wie ich die Netzwerke einrichten möchte.
Virtuelles Rechenzentrumsnetzwerk: 172.16.250.0/24 Adressraum 172.16.250.0/25 Subnetz-1 172.16.250.128/29 Gateway -> Point-to-Site-Konnektivität: 10.0.253.0/24 -> Site-to-Site-Konnektivität: Lokales Rechenzentrumsnetzwerk: 10.0.250.0/24
Virtuelles Netzwerk der Zentrale: 172.16.0.0/24 Adressraum 172.16.0.0/25 Subnetz-1 172.16.0.128/29 Gateway -> Site-to-Site-Konnektivität: Lokales Netzwerk der Zentrale: 10.0.0.0/24
Virtuelles Netzwerk Region1: 172.16.1.0/24 Adressraum 172.16.1.0/25 Subnetz-1 172.16.1.128/29 Gateway -> Site-to-Site-Konnektivität: Region1 Lokales Netzwerk: 10.0.1.0/24
Damit möchte ich das Rechenzentrum, die Zentrale und die regionalen virtuellen Netzwerke verbinden. Dann brauche ich lokale VPN-Router, um eine Verbindung zur Zentrale und den regionalen virtuellen Netzwerken herzustellen. Wie kann ich 1) die VNs dazu bringen, miteinander zu kommunizieren? 2) Ich habe Cisco 881-Router und verwende die folgenden Konfigurationen von Azure.
! Microsoft Corporation
! Windows Azure Virtual Network
! This configuration template applies to Cisco ISR 2900 Series Integrated Services Routers running IOS 15.1.
! It configures an IPSec VPN tunnel connecting your on-premise VPN device with the Azure gateway.
! ---------------------------------------------------------------------------------------------------------------------
! ACL rules
!
! Proper ACL rules are needed for permitting cross-premise network traffic.
! You should also allow inbound UDP/ESP traffic for the interface which will be used for the IPSec tunnel.
access-list 101 permit ip 10.0.0.0 0.0.0.255 172.16.0.0 0.0.0.255
! ---------------------------------------------------------------------------------------------------------------------
! Internet Key Exchange (IKE) configuration
!
! This section specifies the authentication, encryption, hashing, and Diffie-Hellman group parameters for the Phase
! 1 negotiation and the main mode security association.
crypto ikev2 proposal azure-proposal
encryption aes-cbc-256 aes-cbc-128 3des
integrity sha1
group 2
exit
crypto ikev2 policy azure-policy
proposal azure-proposal
exit
crypto ikev2 keyring azure-keyring
peer 104.215.95.202
address 104.215.95.202
pre-shared-key
exit
exit
crypto ikev2 profile azure-profile
match address local interface
match identity remote address 104.215.95.202 255.255.255.255
authentication remote pre-share
authentication local pre-share
keyring azure-keyring
exit
! ---------------------------------------------------------------------------------------------------------------------
! IPSec configuration
!
! This section specifies encryption, authentication, tunnel mode properties for the Phase 2 negotiation
crypto ipsec transform-set azure-ipsec-proposal-set esp-aes 256 esp-sha-hmac
mode tunnel
exit
! ---------------------------------------------------------------------------------------------------------------------
! Crypto map configuration
!
! This section defines a crypto profile that binds the cross-premise network traffic to the IPSec transform
! set and remote peer. We also bind the IPSec policy to the virtual tunnel interface, through which
! cross-premise traffic will be transmitted. We have picked an arbitrary tunnel id "1" as an example. If
! that happens to conflict with an existing virtual tunnel interface, you may choose to use a different id.
crypto ipsec profile vti
set transform-set azure-ipsec-proposal-set
set ikev2-profile azure-profile
exit
int tunnel 1
ip address 169.254.0.1 255.255.255.0
ip tcp adjust-mss 1350
tunnel source
tunnel mode ipsec ipv4
tunnel destination 104.215.95.202
tunnel protection ipsec profile vti
exit
ip route 172.16.0.0 255.255.255.0 tunnel 1
Müssen dieser Vorlage Konfigurationen hinzugefügt oder daraus entfernt werden, damit das On-Premises-VPN funktioniert?
Vielen Dank für Ihre Hilfe!
Antwort1
Wie kann ich die VNs dazu bringen, miteinander zu kommunizieren?
Sie müssen VNet-zu-VNet-VPN-Tunnel erstellen. Gehen Sie hierzu wie folgt vor:
- Erstellen Sie im Azure-Portal alle gewünschten VNets, fügen Sie die Subnetze zu den VNets und die entsprechenden lokalen Netzwerke in Ihrem LAN hinzu.
- Erstellen Sie Gateways für die VNets mithilfe von dynamischem VPN-Routing. Statisches VPN-Routing funktioniert nicht.
- Verbinden Sie zunächst die VPN-Gateways miteinander und verbinden Sie dann Ihr LAN, um bei Bedarf die Fehlerbehebung zu vereinfachen.
Dies ist alles hier sehr gut dokumentiert: Konfigurieren einer VNet-zu-VNet-Verbindung im Azure-Portalund auch hier VNet-to-VNet: Virtuelle Netzwerke in Azure über verschiedene Regionen hinweg verbinden
Müssen dieser Vorlage Konfigurationen hinzugefügt oder daraus entfernt werden, damit das On-Premises-VPN funktioniert?
Sie haben Glück, Ihr Gerät wird mit dem Azure Site-to-Site-VPN mit dynamischem Routing unterstützt. Um sicherzustellen, dass Sie Ihr LAN erfolgreich mit Azure verbinden können, empfehle ich Ihnen, die Details auf dieser Seite durchzugehen:Informationen zu VPN-Geräten für virtuelle Site-to-Site-Netzwerkverbindungen
Leider bin ich kein Experte, wenn es um Cisco-Router geht. Ich kann die von Ihnen gepostete Konfiguration nicht überprüfen, aber ich kann Ihnen helfen, indem ich die allgemeinen Richtlinien für die Verbindung von Azure mit Ihrem VPN-Gerät bereitstelle:
- Sobald Sie die VNets mit den oben genannten Schritten eingerichtet haben, ist Azure intelligent genug, um ein Skript zu erstellen, das Sie herunterladen und zum Einrichten Ihres lokalen VPN-Geräts verwenden können.
- Lesen Sie die Handbücher zum Erstellen eines dynamischen VPN-Tunnels von Cisco:http://www.cisco.com/c/en/us/support/docs/security-vpn/ipsec-negotiation-ike-protocols/46242-lan-to-lan-vpn-client.html
- Schauen Sie sich die Azure VPN-Beispiele für Cisco an:https://msdn.microsoft.com/library/azure/dn133800.aspx?f=255&MSPPError=-2147217396#BKMK_ISRDynamic
Ich hoffe, dass diese Informationen ausreichen, um Ihnen weiterzuhelfen. Wenn nicht, bin ich sicher, dass Ihnen jemand mit mehr Cisco-Erfahrung dabei helfen kann, das Problem zu lösen.
Antwort2
Okay, ich habe also einige Fortschritte gemacht. Ich habe meine Geräte vor Ort mit Azure verbunden und meine virtuellen Netzwerke in Azure sind auch miteinander verbunden, aber wenn ich eine VM in ein VNet und eine andere in ein anderes VNet setze, kann ich nicht zwischen den VNets pingen. Außerdem kann ich vom Gerät vor Ort nichts in den Azure VNets pingen.
So ist alles derzeit eingerichtet.
Virtuelle Netzwerke
VNet-Rechenzentrum: 172.16.250.0/24
- Lokale Netzwerke: LNet zur Zentrale (10.0.0.0/24), LNet zur Region1 (10.0.1.0/24)
VNet-Zentrale: 172.16.0.0/24
- Lokale Netzwerke: LNet-Headquarters (10.0.0.0/24), LNet-int-Headquarters (10.0.250.0/24, 10.0.1.0/24)
VNet-Region1: 172.16.1.0/24
- Lokale Netzwerke: LNet-Region1 (10.0.1.0/24), LNet-int-Region1 (10.0.250.0/24, 10.0.0.0/24)
Ich habe eine VM im VNet-Headquarters und eine im VNet-DataCenter, aber ich kann keine der beiden Maschinen anpingen.
Als Referenz habe ich den folgenden Artikel verwendet. Wie konfiguriere ich das Routing zwischen virtuellen Azure-Netzwerken?
Jede Hilfe ist willkommen!
Antwort3
Okay, ich habe das gesamte Netzwerk neu aufgebaut und wieder zwei VMs in zwei der VNs platziert, aber sie können immer noch nichts anpingen, nicht einmal ihre lokalen Gateways. So sieht also das Setup aus.
Ich habe drei VNs erstellt:
- VNet 1 – 10.0.250.0/24
- VNet 2 – 10.0.0.0/24
- VNet 3 – 10.0.1.0/24
Ich habe vier LNs erstellt:
- LNet 1 - 10.0.0.0/24
- LNet 2 - 10.0.1.0/24
- LNet 3 – 10.0.250.0/24, 10.0.1.0/24
- LNet 4 – 10.0.250.0/24, 10.0.0.0/24
An VNet 1 sind zwei LNs angeschlossen, LNet 1 und LNet 2.
An VNet 2 ist ein LN angeschlossen, LNet 3.
An VNet 3 ist ein LN angeschlossen, LNet 4.
VNet 1 enthält eine VM mit der IP 10.0.250.4.
VNet 2 enthält eine VM mit der IP 10.0.0.4.
Ich kann keine der VMs von der anderen VM aus anpingen, daher kann 10.0.0.4 10.0.250.4 nicht anpingen und umgekehrt.
Danke!!
Antwort4
Das Pingen von VMs in Azure wird auf der Ebene der Windows-Firewall blockiert. Stellen Sie sicher, dass Sie während des Tests die Firewall auf jeder VM ausschalten. Sobald dies erfolgreich ist, können Sie sie so konfigurieren, dass ICMP zugelassen wird. Alternativ können Sie die Konnektivität auch mit RDP prüfen (vorausgesetzt, es ist aktiviert).