В статье хочу рассказать вам о том, как расширить возможности вашей сети путем надежного шифрованного подключения к облаку Microsoft Azure. Пошагово опишу процесс создания шифрованного туннеля между офисным MikroTik и облачным виртуальным шлюзом Microsoft Azure. В последущих статьях расскажу как использовать облачные ресурсы оптимальным образом.

Вступление

Для подключения офисной сети с Микротиком в качестве VPN-шлюза к облачной инфраструктуре Microsoft Azure мы будем использовать VPN туннель IPSec/IKEv2. Необходимо сказать, что у Микротика на внешнем интерфейсе должен быть задан статический IPv4 адрес (в настройке я буду использовать четвертую версию протокола).

В своей статье буду использовать следующие значения:

  • Имя виртуальной сети: VNet30
  • Адресное пространство: 10.30.0.0/16
  • Подписка: Ваша текущая подписка на сервис
  • Группа ресурсов: VPN-RG1
  • Расположение: Центральная Франция
  • Подсеть: Frontend
  • Диапазон адресов: 10.30.0.0/24
  • Защита от атак DDoS: Базовый
  • Конечные точки службы: Отключено
  • Имя шлюза подсети: GatewaySubnet (задается автоматически)
  • Адресное пространство подсети шлюза: 10.30.255.0/27
  • DNS Сервер: 192.168.1.5, 192.168.3.5 (необязательный параметр)
  • Имя виртуального шлюза: VNet30GW
  • Внешний IP: VNet30GWIP
  • Тип VPN: Route-based
  • Тип подключения: Site-to-site (IPsec)
  • Тип шлюза: VPN
  • Имя офисного шлюза: Офис 1
  • Имя подключения: From-Azure-to-Mikrotik
  • IPSec Shared key: August18

Шаг 1. Создадим виртуальную сеть

Чтобы создать виртуальную сеть с помощью портала Azure, выполним следующие действия. Для создания тестовой лаборатории Вы можете ориентироваться на значения, которые я привел выше, в противном случае не забудьте заменить значения собственными.

Чтобы эта виртуальная сеть Azure могла подключаться к офисной сети, необходимо координировать работу с локальным сетевым администратором, чтобы задействовать в настройке VPN-соединения корректный диапазон IP-адресов. Если на обеих сторонах VPN-подключения будет использоваться повторяющийся диапазон адресов, трафик не будет маршрутизироваться так, как вы этого ожидаете (в настройке мы будем использовать IKEv2). Кроме того, если вы хотите подключить эту виртуальную сеть к другой виртуальной сети, адресное пространство не должно пересекаться с другой виртуальной сетью. Заранее прошу составить или изменить существующую адресацию сети — это позволит избежать ошибок при работе шифрованного канала.

Порядок создания виртуальной сети

  • В браузере перейдите на портал Azure и войдите под своей учетной записью.
  • Щелкните Создать ресурс. В поле Поиск в Marketplace введите “Виртуальная сеть”. Щелчком мыши в появившемся списке выберите виртуальную сеть.
  • Перейдем на нижнюю часть страницы и в списке Выбор модели развертывания выберем Диспетчер ресурсов. Далее нажмем кнопку Создать; откроется страница “Создание виртуальной сети”.
  • На странице создания виртуальной сети необходимо заполнить поля в соответствии первоначального плана

Шаг 2. Укажем DNS-сервер

Для создания подключения между сайтами не требуется DNS (по-умолчанию выбраны серверы Azure). Однако если требуется разрешение имен для ресурсов, развертываемых в виртуальной сети, следует указать внутренний DNS-сервер (сервер на момент изменения настроек должен работать).

  1. На странице настроек виртуальной сети перейдите в раздел DNS-серверы.
  2. Укажите DNS-сервер
    • DNS-серверы: Выберите пункт “Настраиваемая”.
    • добавить DNS-сервер: введите IP-адрес DNS-сервера, который требуется использовать для разрешения имен.
  3. По завершении добавления DNS-серверов нажмите кнопку Сохранить в верхней части страницы. Если вы меняете текущие настройки для работающих виртуальных машин, необходимо их перезагрузить для вступления настроек в силу.

3. Создание подсети для VPN-шлюза

Шлюз виртуальной сети использует определенную подсеть, называемую подсетью шлюза. Подсеть шлюза является частью диапазона IP-адресов виртуальной сети, указанной при настройке виртуальной сети (в нашем случае 10.30.255.0/16). Он содержит IP-адреса, используемые ресурсами и службами шлюза виртуальной сети. Чтобы Azure мог развернуть ресурсы шлюза, подсеть должна называться “GatewaySubnet”. Нельзя указывать другую подсеть для развертывания ресурсов шлюза. Если у вас нет подсети с именем “GatewaySubnet”, то создание VPN-шлюза завершится с ошибкой.

Количество необходимых IP-адресов для создания подсети зависит от конфигурации VPN-шлюза, который требуется создать. Некоторые конфигурации требуют больше IP-адресов, чем другие. Рекомендуется создать подсеть шлюза, использующую маску /27 или /28.

Если отображается сообщение об ошибке, указывающее, что адресное пространство пересекается с другой подсетью или что подсеть не содержится в адресном пространстве виртуальной сети, проверьте диапазон используемых адресов. Возможно, в диапазоне адресов, созданном для виртуальной сети, недостаточно доступных IP-адресов. Например, если подсеть по умолчанию охватывает весь диапазон адресов, для создания дополнительных подсетей не осталось ни одного IP-адреса. Можно либо настроить подсети в пределах существующего адресного пространства, чтобы освободить IP-адреса, либо указать дополнительный диапазон адресов и создать подсеть шлюза.

Порядок настройки подсети шлюза

  1. В портале перейдите к виртуальной сети, для которой требуется создать шлюз виртуальной сети.
  2. В разделе Настройки на странице Виртуальная сеть, нажмите кнопку Подсети, чтобы развернуть страницу подсетей.
  3. На странице подсети щелкните + подсеть шлюза вверху, чтобы открыть страницу Добавление подсети.
  4. Имя вашей подсети автоматически заполняется значением “GatewaySubnet”. Значение GatewaySubnet требуется для того, чтобы Azure распознал подсеть как подсеть шлюза. Настройте Диапазон используемых адресов в соответствии с требованиями к конфигурации.
  5. Для создания подсети нажмите кнопку ОК в нижней части страницы.

Шаг 4. Создание VPN шлюза

  1. В левой части страницы портала нажмите кнопку + Создать ресурс и введите Virtual network gateway / Шлюз виртуальной сети в разделе Поиск.
  2. В нижней части страницы нажмите кнопку Создать. Откроется страница Создание Шлюза виртуальной сети.
  3. На странице Создание шлюза виртуальной сети заполните значения для шлюза в соответствии с ранее озвученными данными:Необходимо отметить принципиальную разницу при выборе SKU шлюза (цены вариантов отличаются весьма существенно). Приведу выдержку из документации:
  4. После создания шлюза виртуальной сети можно увидеть статус, а также общедоступный IP-адрес, который будет использоваться в дальнейшем:

Шаг 5. Создание шлюза локальной сети

Шлюз локальной сети ссылается на расположение офисной сети. Вы даете сайту имя, по которому Azure может ссылаться на него, а затем укажите IP-адрес офисного VPN-устройства, к которому будет создано подключение. Необходимо указать IP-адресацию локальной сети, которые будут маршрутизироваться через VPN-шлюз на VPN-устройство. Префиксы адресов, которые вы укажете, являются префиксами, расположенными в локальной сети офиса. Если локальная сеть изменяется или необходимо изменить общедоступный IP-адрес для устройства VPN, обновить значения можно позже.

  1. На портале, нажмите кнопку + Создать ресурс.
  2. В поле поиска введите Local network gateway (Локальный сетевой шлюз), а затем нажмите клавишу ВВОД для поиска. Щелкните локальный сетевой шлюз, затем нажмите кнопку Создать, чтобы открыть страницу Создание шлюза локальной сети:

Шаг 6. Настройка Mikrotik IPSec (IKEv2) Site-to-Site VPN

На этом шаге мы настроим Mikrotik в качестве VPN-шлюза. При настройке VPN-устройства необходимо следующее:
• Общий ключ (Shared key). В примере я использовал простой ключ, вам рекомендую использовать более сложный.
• Публичный IP-адрес шлюза Azure (выше можно найти наш адрес 40.89.ХХ.ХХ).

MikroTik RouterOS имеет несколько моделей и есть очень доступные модели устройств, которые вы также можете использовать, чтобы научиться настраивать защищенный канал с облаком Azure.

Важный момент, протокол IKEv2 появился в релизе 6.38. Поэтому, чтобы продолжить настройку, убедитесь, что у вас установлена совместимая версия. Я использовал в качестве офисного шлюза RouterBoard 1100AHx2 с прошивкой RouterOS 6.42.5.

Настройку VPN шлюза Mikrotik буду выполнять с помощью штатной утилиты управления Winbox:

  1. Добавить политику IPSec, выбрав в меню IP и IPSec – на вкладке политики нажмите + (плюс) подписать, чтобы добавить новую политику. На вкладке Общие добавьте обе подсети (Источник: локальный и конечный: Azure), как показано ниже:
  2. Перейдем на вкладку Action, выбираем режим работы Туннель и указываем офисный IPv4-адрес и конечный шлюз Azure IP:
  3. На вкладке Peers – щелкните + (плюс) и добавьте новый узел IPsec. В терминологии IPsec мы работаем на IKE фаза 1 (основной режим) на этой вкладке конфигурации. Здесь нам небходимо задать публичный IP-адрес шлюза Azure, укажем ключ “August18” согласно нашим первичным данным. Для рабочей сети рекомендую использовать генераторы паролей, например, https://strongpasswordgenerator.comПримечание: если ваш MikroTik не показывает IKE2 убедитесь, что версия RouterOS не ниже релиза: 6.38. До этого релиза доступна только опция IKEv1.
  4. В том же окне, перейдите на вкладку Advanced и измените поле Lifetime (Время жизни) на  08:00:00 = 28 800 секунд на основе официальной документации Azure IPSec/IKE:
  5. На вкладке Шифрование можно использовать параметры по умолчанию, поддерживаемые Azure, или сделать настройку более сильного хэша и шифрования. Для статьи были выбраны следующие настройки:
  6. Теперь давайте перейдем к фазе 2 IKE (быстрый режим), который представлен в MikroTik на вкладке Proposals. Для этого вы можете либо создать новый (+ знак) или изменить существующие по-умолчанию настройки. В случае, если вы создаете новый, не забудьте изменить шаг 2 IPSec политики (нижняя часть формы) и выберите новую политику IPSec. В этой статье мы изменим настройки IPSec по-умолчанию:
  7. Последний шаг настройки со стороны MikroTik заключается в настройке правила NAT. Чтобы была корректная маршрутизация между офисом и Azure. Перейдем по пути IP -> Firewall -> NAT. Добавим цепочку srcnat и подсети источника трафика (офис) и назначения (подсеть Azure): Поместим правило на верхнюю строку списка.

Шаг 8. Создадим VPN-подключение со стороны Azure к офисной сети

  1. На портале перейдем в раздел “Все ресурсы”
  2. Выбираем Шлюз локальной сети и создаем новое подключение
  3. Добавляем подключение к офисной сети
  4. Проверяем статус подключения

В нашем случае все завершилось успешно.

Далее вы можете подключать ресурсы облака Microsoft Azure к корпоративной сети.

Читать далее

Настройка надежной VPN связки MikroTik и Microsoft Azure
Метки:                
Adblock detector