Настройка надежной VPN связки MikroTik и Microsoft Azure

Настройка надежной VPN связки MikroTik и Microsoft Azure

В статье хочу рассказать вам о том, как расширить возможности вашей сети путем надежного шифрованного подключения к облаку Microsoft Azure. Пошагово опишу процесс создания шифрованного туннеля между офисным MikroTik и облачным виртуальным шлюзом Microsoft Azure. В последущих статьях расскажу как использовать облачные ресурсы оптимальным образом.

Вступление

Для подключения офисной сети с Микротиком в качестве VPN-шлюза к облачной инфраструктуре Microsoft Azure мы будем использовать VPN туннель IPSec/IKEv2. Необходимо сказать, что у Микротика на внешнем интерфейсе должен быть задан статический IPv4 адрес (в настройке я буду использовать четвертую версию протокола).

Настройка надежной VPN связки MikroTik и Microsoft Azure

В своей статье буду использовать следующие значения:

  • Имя виртуальной сети: VNet30
  • Адресное пространство: 10.30.0.0/16
  • Подписка: Ваша текущая подписка на сервис
  • Группа ресурсов: VPN-RG1
  • Расположение: Центральная Франция
  • Подсеть: Frontend
  • Диапазон адресов: 10.30.0.0/24
  • Защита от атак DDoS: Базовый
  • Конечные точки службы: Отключено
  • Имя шлюза подсети: GatewaySubnet (задается автоматически)
  • Адресное пространство подсети шлюза: 10.30.255.0/27
  • DNS Сервер: 192.168.1.5, 192.168.3.5 (необязательный параметр)
  • Имя виртуального шлюза: VNet30GW
  • Внешний IP: VNet30GWIP
  • Тип VPN: Route-based
  • Тип подключения: Site-to-site (IPsec)
  • Тип шлюза: VPN
  • Имя офисного шлюза: Офис 1
  • Имя подключения: From-Azure-to-Mikrotik
  • IPSec Shared key: August18

Шаг 1. Создадим виртуальную сеть

Чтобы создать виртуальную сеть с помощью портала Azure, выполним следующие действия. Для создания тестовой лаборатории Вы можете ориентироваться на значения, которые я привел выше, в противном случае не забудьте заменить значения собственными.

Чтобы эта виртуальная сеть Azure могла подключаться к офисной сети, необходимо координировать работу с локальным сетевым администратором, чтобы задействовать в настройке VPN-соединения корректный диапазон IP-адресов. Если на обеих сторонах VPN-подключения будет использоваться повторяющийся диапазон адресов, трафик не будет маршрутизироваться так, как вы этого ожидаете (в настройке мы будем использовать IKEv2). Кроме того, если вы хотите подключить эту виртуальную сеть к другой виртуальной сети, адресное пространство не должно пересекаться с другой виртуальной сетью. Заранее прошу составить или изменить существующую адресацию сети — это позволит избежать ошибок при работе шифрованного канала.

Порядок создания виртуальной сети

  • В браузере перейдите на портал Azure и войдите под своей учетной записью.
  • Щелкните Создать ресурс.Настройка надежной VPN связки MikroTik и Microsoft Azure В поле Поиск в Marketplace введите “Виртуальная сеть”. Щелчком мыши в появившемся списке выберите виртуальную сеть.Настройка надежной VPN связки MikroTik и Microsoft Azure
  • Перейдем на нижнюю часть страницы и в списке Выбор модели развертывания выберем Диспетчер ресурсов. Далее нажмем кнопку Создать; откроется страница “Создание виртуальной сети”.
  • На странице создания виртуальной сети необходимо заполнить поля в соответствии первоначального планаНастройка надежной VPN связки MikroTik и Microsoft Azure

Шаг 2. Укажем DNS-сервер

Для создания подключения между сайтами не требуется DNS (по-умолчанию выбраны серверы Azure). Однако если требуется разрешение имен для ресурсов, развертываемых в виртуальной сети, следует указать внутренний DNS-сервер (сервер на момент изменения настроек должен работать).

  1. На странице настроек виртуальной сети перейдите в раздел DNS-серверы.Настройка надежной VPN связки MikroTik и Microsoft Azure
  2. Укажите DNS-сервер
    • DNS-серверы: Выберите пункт “Настраиваемая”.
    • добавить DNS-сервер: введите IP-адрес DNS-сервера, который требуется использовать для разрешения имен.
  3. По завершении добавления DNS-серверов нажмите кнопку Сохранить в верхней части страницы. Если вы меняете текущие настройки для работающих виртуальных машин, необходимо их перезагрузить для вступления настроек в силу.

3. Создание подсети для VPN-шлюза

Шлюз виртуальной сети использует определенную подсеть, называемую подсетью шлюза. Подсеть шлюза является частью диапазона IP-адресов виртуальной сети, указанной при настройке виртуальной сети (в нашем случае 10.30.255.0/16). Он содержит IP-адреса, используемые ресурсами и службами шлюза виртуальной сети. Чтобы Azure мог развернуть ресурсы шлюза, подсеть должна называться “GatewaySubnet”. Нельзя указывать другую подсеть для развертывания ресурсов шлюза. Если у вас нет подсети с именем “GatewaySubnet”, то создание VPN-шлюза завершится с ошибкой.

Количество необходимых IP-адресов для создания подсети зависит от конфигурации VPN-шлюза, который требуется создать. Некоторые конфигурации требуют больше IP-адресов, чем другие. Рекомендуется создать подсеть шлюза, использующую маску /27 или /28.

Если отображается сообщение об ошибке, указывающее, что адресное пространство пересекается с другой подсетью или что подсеть не содержится в адресном пространстве виртуальной сети, проверьте диапазон используемых адресов. Возможно, в диапазоне адресов, созданном для виртуальной сети, недостаточно доступных IP-адресов. Например, если подсеть по умолчанию охватывает весь диапазон адресов, для создания дополнительных подсетей не осталось ни одного IP-адреса. Можно либо настроить подсети в пределах существующего адресного пространства, чтобы освободить IP-адреса, либо указать дополнительный диапазон адресов и создать подсеть шлюза.

Порядок настройки подсети шлюза

  1. В портале перейдите к виртуальной сети, для которой требуется создать шлюз виртуальной сети.
  2. В разделе Настройки на странице Виртуальная сеть, нажмите кнопку Подсети, чтобы развернуть страницу подсетей.Настройка надежной VPN связки MikroTik и Microsoft Azure
  3. На странице подсети щелкните + подсеть шлюза вверху, чтобы открыть страницу Добавление подсети.Настройка надежной VPN связки MikroTik и Microsoft Azure
  4. Имя вашей подсети автоматически заполняется значением “GatewaySubnet”. Значение GatewaySubnet требуется для того, чтобы Azure распознал подсеть как подсеть шлюза. Настройте Диапазон используемых адресов в соответствии с требованиями к конфигурации.
  5. Для создания подсети нажмите кнопку ОК в нижней части страницы.

Шаг 4. Создание VPN шлюза

  1. В левой части страницы портала нажмите кнопку + Создать ресурс и введите Virtual network gateway / Шлюз виртуальной сети в разделе Поиск.Настройка надежной VPN связки MikroTik и Microsoft Azure
  2. В нижней части страницы нажмите кнопку Создать. Откроется страница Создание Шлюза виртуальной сети.
  3. На странице Создание шлюза виртуальной сети заполните значения для шлюза в соответствии с ранее озвученными данными:Настройка надежной VPN связки MikroTik и Microsoft AzureНеобходимо отметить принципиальную разницу при выборе SKU шлюза (цены вариантов отличаются весьма существенно). Приведу выдержку из документации:Настройка надежной VPN связки MikroTik и Microsoft Azure
  4. После создания шлюза виртуальной сети можно увидеть статус, а также общедоступный IP-адрес, который будет использоваться в дальнейшем:Настройка надежной VPN связки MikroTik и Microsoft Azure

Шаг 5. Создание шлюза локальной сети

Шлюз локальной сети ссылается на расположение офисной сети. Вы даете сайту имя, по которому Azure может ссылаться на него, а затем укажите IP-адрес офисного VPN-устройства, к которому будет создано подключение. Необходимо указать IP-адресацию локальной сети, которые будут маршрутизироваться через VPN-шлюз на VPN-устройство. Префиксы адресов, которые вы укажете, являются префиксами, расположенными в локальной сети офиса. Если локальная сеть изменяется или необходимо изменить общедоступный IP-адрес для устройства VPN, обновить значения можно позже.

  1. На портале, нажмите кнопку + Создать ресурс.
  2. В поле поиска введите Local network gateway (Локальный сетевой шлюз), а затем нажмите клавишу ВВОД для поиска. Щелкните локальный сетевой шлюз, затем нажмите кнопку Создать, чтобы открыть страницу Создание шлюза локальной сети:Настройка надежной VPN связки MikroTik и Microsoft Azure

Шаг 6. Настройка Mikrotik IPSec (IKEv2) Site-to-Site VPN

На этом шаге мы настроим Mikrotik в качестве VPN-шлюза. При настройке VPN-устройства необходимо следующее:
• Общий ключ (Shared key). В примере я использовал простой ключ, вам рекомендую использовать более сложный.
• Публичный IP-адрес шлюза Azure (выше можно найти наш адрес 40.89.ХХ.ХХ).

MikroTik RouterOS имеет несколько моделей и есть очень доступные модели устройств, которые вы также можете использовать, чтобы научиться настраивать защищенный канал с облаком Azure.

Важный момент, протокол IKEv2 появился в релизе 6.38. Поэтому, чтобы продолжить настройку, убедитесь, что у вас установлена совместимая версия. Я использовал в качестве офисного шлюза RouterBoard 1100AHx2 с прошивкой RouterOS 6.42.5.

Настройку VPN шлюза Mikrotik буду выполнять с помощью штатной утилиты управления Winbox:

  1. Добавить политику IPSec, выбрав в меню IP и IPSec – на вкладке политики нажмите + (плюс) подписать, чтобы добавить новую политику. На вкладке Общие добавьте обе подсети (Источник: локальный и конечный: Azure), как показано ниже:Настройка надежной VPN связки MikroTik и Microsoft Azure
  2. Перейдем на вкладку Action, выбираем режим работы Туннель и указываем офисный IPv4-адрес и конечный шлюз Azure IP: Настройка надежной VPN связки MikroTik и Microsoft Azure
  3. На вкладке Peers – щелкните + (плюс) и добавьте новый узел IPsec. В терминологии IPsec мы работаем на IKE фаза 1 (основной режим) на этой вкладке конфигурации. Здесь нам небходимо задать публичный IP-адрес шлюза Azure, укажем ключ “August18” согласно нашим первичным данным. Для рабочей сети рекомендую использовать генераторы паролей, например, https://strongpasswordgenerator.comПримечание: если ваш MikroTik не показывает IKE2 убедитесь, что версия RouterOS не ниже релиза: 6.38. До этого релиза доступна только опция IKEv1.Настройка надежной VPN связки MikroTik и Microsoft Azure
  4. В том же окне, перейдите на вкладку Advanced и измените поле Lifetime (Время жизни) на  08:00:00 = 28 800 секунд на основе официальной документации Azure IPSec/IKE:Настройка надежной VPN связки MikroTik и Microsoft AzureНастройка надежной VPN связки MikroTik и Microsoft Azure
  5. На вкладке Шифрование можно использовать параметры по умолчанию, поддерживаемые Azure, или сделать настройку более сильного хэша и шифрования. Для статьи были выбраны следующие настройки:Настройка надежной VPN связки MikroTik и Microsoft Azure
  6. Теперь давайте перейдем к фазе 2 IKE (быстрый режим), который представлен в MikroTik на вкладке Proposals. Для этого вы можете либо создать новый (+ знак) или изменить существующие по-умолчанию настройки. В случае, если вы создаете новый, не забудьте изменить шаг 2 IPSec политики (нижняя часть формы) и выберите новую политику IPSec. В этой статье мы изменим настройки IPSec по-умолчанию:Настройка надежной VPN связки MikroTik и Microsoft Azure
  7. Последний шаг настройки со стороны MikroTik заключается в настройке правила NAT. Чтобы была корректная маршрутизация между офисом и Azure. Перейдем по пути IP -> Firewall -> NAT. Добавим цепочку srcnat и подсети источника трафика (офис) и назначения (подсеть Azure):Настройка надежной VPN связки MikroTik и Microsoft AzureНастройка надежной VPN связки MikroTik и Microsoft Azure Поместим правило на верхнюю строку списка.

Шаг 8. Создадим VPN-подключение со стороны Azure к офисной сети

  1. На портале перейдем в раздел “Все ресурсы”Настройка надежной VPN связки MikroTik и Microsoft Azure
  2. Выбираем Шлюз локальной сети и создаем новое подключениеНастройка надежной VPN связки MikroTik и Microsoft Azure
  3. Добавляем подключение к офисной сетиНастройка надежной VPN связки MikroTik и Microsoft Azure
  4. Проверяем статус подключенияНастройка надежной VPN связки MikroTik и Microsoft Azure

В нашем случае все завершилось успешно.

Далее вы можете подключать ресурсы облака Microsoft Azure к корпоративной сети.

Читать далее

Оставьте комментарий

Adblock detector