Beispiel: Konfigurieren eines IPsec-VPN zwischen einer virtuellen vSRX-Firewall und einem virtuellen Netzwerkgateway in Microsoft Azure
In diesem Beispiel wird gezeigt, wie ein IPsec-VPN zwischen einer virtuellen vSRX-Firewallinstanz und einem Gateway für virtuelle Netzwerke in Microsoft Azure konfiguriert wird.
Vorbereitungen
Stellen Sie sicher, dass Sie eine vSRX Virtual Firewall-Instanz im virtuellen Microsoft Azure-Netzwerk installiert und gestartet haben.
Weitere Informationen finden Sie unter SRX Site-to-Site VPN Configuration Generator und Fehlerbehebung bei einem VPN-Tunnel, der ausgefallen oder nicht aktiv ist .
Übersicht
Sie können ein IPsec-VPN verwenden, um den Datenverkehr zwischen zwei VNETs in Microsoft Azure zu sichern, wobei eine virtuelle vSRX-Firewall ein VNet und das Azure Virtual Network Gateway das andere VNet schützt.
IPsec-VPN-Konfiguration der virtuellen vSRX-Firewall
Verfahren
Schritt-für-Schritt-Anleitung
So konfigurieren Sie IPsec-VPN auf der virtuellen vSRX-Firewall:
Melden Sie sich im Konfigurationsbearbeitungsmodus bei der virtuellen vSRX-Firewall an (siehe Konfigurieren von vSRX mithilfe der CLI).
Legen Sie die IP-Adressen für Schnittstellen der virtuellen vSRX-Firewall fest.
set interfaces ge-0/0/0 unit 0 family inet address 10.0.0.10/24 set interfaces ge-0/0/1 unit 0 family inet address 10.10.10.10/24 set interfaces st0 unit 1 family inet address 10.0.250.10/24
Richten Sie die nicht vertrauenswürdige Sicherheitszone ein.
set security zones security-zone untrust screen untrust-screen set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone untrust interfaces ge-0/0/0.0 set security zones security-zone untrust interfaces st0.1
Richten Sie die Sicherheitszone für die Vertrauensstellung ein.
set security zone trust host-inbound-traffic system-services https set security zone trust host-inbound-traffic system-services ssh set security zone trust host-inbound-traffic system-services ping set security security-zone trust interfaces ge-0/0/1.0
Konfigurieren Sie IKE.
set security ike proposal ike-phase1-proposalA authentication-method pre-shared-keys set security ike proposal ike-phase1-proposalA dh-group group2 set security ike proposal ike-phase1-proposalA authentication-algorithm sha-256 set security ike proposal ike-phase1-proposalA encryption-algorithm aes-256-cbc set security ike policy ike-phase1-policyA mode main set security ike policy ike-phase1-policyA proposals ike-phase1-proposalA set security ike policy ike-phase1-policyA pre-shared-key ascii-text <preshared-key> set security ike gateway gw-siteB ike-policy ike-phase1-policyA set security ike gateway gw-siteB address 52.175.210.65 set security ike gateway gw-siteB version v2-only set security ike gateway gw-siteB external-interface ge-0/0/0.0
Hinweis:Stellen Sie sicher, dass Sie in diesem Beispiel durch die richtige öffentliche IP-Adresse ersetzen
52.175.210.65.Konfigurieren Sie IPsec.
Das folgende Beispiel veranschaulicht eine IPsec-Konfiguration der virtuellen vSRX-Firewall mit dem CBC-Verschlüsselungsalgorithmus:
set security ipsec proposal ipsec-proposalA protocol esp set security ipsec proposal ipsec-proposalA authentication-algorithm hmac-sha1-96 set security ipsec proposal ipsec-proposalA encryption-algorithm aes-256-cbc set security ipsec proposal ipsec-proposalA lifetime-seconds 7200 set security ipsec proposal ipsec-proposalA lifetime-kilobytes 102400000 set security ipsec policy ike-phase1-policyA proposals ipsec-proposalA set security ipsec vpn ike-vpn-siteB bind-interface st0.1 set security ipsec vpn ike-vpn-siteB ike gateway gw-siteB set security ipsec vpn ike-vpn-siteB ike ipsec-policy ike-phase1-policyA set security ipsec vpn ike-vpn-siteB establish-tunnels immediately
Bei Bedarf können Sie AES-GCM anstelle von CBC als Verschlüsselungsalgorithmus in der vSRX Virtual Firewall IPsec-Konfiguration verwenden:
set security ipsec proposal ipsec-proposalA protocol esp set security ipsec proposal ipsec-proposalA encryption-algorithm aes-256-gcm set security ipsec proposal ipsec-proposalA lifetime-seconds 7200 set security ipsec proposal ipsec-proposalA lifetime-kilobytes 102400000 set security ipsec policy ike-phase1-policyA proposals ipsec-proposalA set security ipsec vpn ike-vpn-siteB bind-interface st0.1 set security ipsec vpn ike-vpn-siteB ike gateway gw-siteB set security ipsec vpn ike-vpn-siteB ike ipsec-policy ike-phase1-policyA set security ipsec vpn ike-vpn-siteB establish-tunnels immediately
Konfigurieren Sie das Routing.
set routing-instances siteA-vr1 instance-type virtual-router set routing-instances siteA-vr1 interface ge-0/0/0.0 set routing-instances siteA-vr1 interface ge-0/0/1.0 set routing-instances siteA-vr1 interface st0.1 set routing-instances siteA-vr1 routing-options static route 0.0.0.0/0 next-hop 10.0.0.1 set routing-instances siteA-vr1 routing-options static route 10.20.20.0/24 next-hop st0.1 commit
Microsoft Azure Virtual Network Gateway-Konfiguration
Verfahren
Schritt-für-Schritt-Anleitung
Informationen zum Konfigurieren des Microsoft Azure-Gateways für virtuelle Netzwerke finden Sie im folgenden Microsoft Azure-Verfahren:
Konfigurieren der IPsec/IKE-Richtlinie für S2S-VPN- oder VNet-zu-VNet-Verbindungen
Stellen Sie sicher, dass die IPSec-IKE-Parameter im Microsoft Azure-Gateway für virtuelle Netzwerke mit den IPSec-IKE-Parametern der virtuellen vSRX-Firewall übereinstimmen, wenn die Site-to-Site-VPN-Verbindung hergestellt wird.
Überprüfen Sie die aktiven VPN-Tunnel.
Stellen Sie sicher, dass der Tunnel zwischen der virtuellen vSRX-Firewallinstanz und dem Azure Virtual Network Gateway besteht.
root@> show security ike security-associations
Index State Initiator cookie Responder cookie Mode Remote Address 8290401 UP b1adf15fc3dfe0b0 89cc2a12cb7e3cd7 IKEv2 52.175.210.65
root@> show security ipsec security-associations
Total active tunnels: 1 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <131073 ESP:aes-gcm-256/None c0e154e2 5567/ 102399997 - root 4500 52.175.210.65 >131073 ESP:aes-gcm-256/None 383bd606 5567/ 102399997 - root 4500 52.175.210.65