Windows Azure VPN konfigurálása Windows Server 2008R2 RRAS használatával

Egyszer réges régen még az Azure IaaS Preview időszakból tettem egy felelőtlen ígéretet, melyet most bepótolok.

Ez idő alatt sokat változott a Windows Azure, az IaaS szolgáltatások kiléptek a preview fázisból és természetesen jelentek meg új funkciók is. Ettől függetlenül, még könnyen előfordulhat, hogy Windows Server 2008 –al szeretnénk megoldani a VPN kapcsolatot a felhő iránybába.

Leírom röviden hogy mire kell figyelni!

Amire szükséged lesz:

  • egy darab “vas” vagy VM 2db hálózati kártyával
  • egy darab publikus IP a felhő irányába
  • Windows Server 2008R2, telepített RRAS role –al
  • egy darab hotfix: KB2523881

Működési sajátosságok:

  • Közvetlen kapcsolat nem él a GW (RRAS szerver) és az Azure VM-ek között. (PING, TELNET és társai nem működnek), a GW mögötti eszközökről már igen!
  • IP sec tunel rule-ok  nem NAT kompatibilisek a publikus interfészen!

Az elképzelt (és megvalósított) hálózat rajza:

Helyi hálózat: 10.0.0.1/24

Felhőben lévő hálózat: 172.16.0.1/24

RAS szerver: 10.0.0.50 és 82.141.143.148 –as IP címekkel rendelkezik, nincs tartományban (bár akár lehetne is)

Drawing1

1. VPN előkészületek az Azure Portálon:

Bejelentkezés után, NEW –> Networks –> Virtual Network –> Custom Create:

image

A következő képernyőn megadod a DNS szerver(ek) IPcímét, ezek lehetnek a felhőben és a földön is! (a földi domain controller IP címét adtam meg).

Illetve be kell jelölni a VPN típusát is:

image

Majd meg kell adnod a RRAS géped külső kártyájának IP címét, adsz egy logikai nevet a földi IP hálózatodnak (Nálam ez most KingSolLocalLan) és meghatározod, hogy a földön milyen IP címtartományt használsz. (én a 10.0.0.1/24 –es tartományt adtam most meg)

image

Utolsó lépésként az Azure beállít részedre egy a felhőben használatos IP cím tartományt, természetesen ettől eltérhetsz, a lényeg, hogy nem használhatsz azonos tartományokat a földön  és az Azureban (vagyis ebben az estben a felhőben semmiképp sem  használhatod a földön már megadott 10.0.0.1/24 –et) ezért választottam a 172.16.0.0/24-es hatókört.

Szükséged lesz legalább egy  subnet-re és az Azure által használt Gateway subnetre is (ez egy technikai subnet a későbbiekben nem fogod használni). Ez utóbbit elkészíti a varázsló, ha megnyomod az ‘add gateway subnet’ gombot:

image

Amikor elkészültek a hálózati objektumok, kattints a hálózat nevére és a Dashboard felületen az alsó menüben válaszd ki a Create Gateway – Static Routing  menüpontot!

image

Ha elkészült a GW, akkor megkapod a csatlakozáshoz szükséges IP-t és a megosztott kulcsot!

2. RRAS telepítése és konfigurálása:

Konfiguráld be a hálózati kártyákat!

A külső interface megkapja a publikus IP-t, míg a belső interfészen beállítottam a 10.0.0.50 -t

Jöhet a RRAS telepítése és konfigurálása

image

image

image

image

3. IPsec konfigurálása

Indítsd el a Windows Firewall With Advanced Security MMC konzolt!

Készíts egy új Connection Security Rule-t:

image

image

image

Meg kell adnod a RRAS külső lábát (A földi belső hálózatodat is) és az Azure Portálon szereplő Publikus IP-t is:

image

Hitelesítésénél válaszd az advanced módot:

image

Az Azure portálról másold ki a kulcsot:

image

image

Nevezd el a tunnelt:

image

Hiányzik a konfigurációból az Azure private IPcím tartomány, ezt megadhatod az alábbiak szerint:

Tunnel neve –>joob klikk –>Properties—>Computers

Az endpoint-2 alatt vedd fel az azure által használt 172.16.0.1/24-et:

image

Végezetül a külső kártya MTU értékét vegyük le 1350 –es értékre!

start—>cmd:

netsh interface ipv4 show subinterfaces: (a WAN kártyán módosítottam, a LAN az alapértéket használja)

image

MTU módosítás:

netsh interface ipv4 set subinterface “WAN” mtu=1350 store=persistent

3. VPN Ellenőrzése:

 

image

image

Azure portálon:

image

4. VM hozzáadása a VPN-hez:

Azure portálon:

NEW—>Compute—>Virtual Machine—>From Gallery:

image

Gép hozzárendelése a hálózathoz:

image

Végül de nem utolsó sorban:

Módosítani kell a routing táblát azokon a gépeken melyek kommunikálnak majd a felhőben lévő VM-ekkel:

Start—>CMD

route add 172.16.0.0 mask 255.255.255.0 10.0.0.50 –p

Innentől kezdődően a gépek tudni fogják, hogy ha a 172.16.0.1 –es hálózati kommunikációnál a 10.0.0.50-es gép lesz az átjáró, a –p a persistens kapcsoló, hogy restart után is működjön minden!

Ezek után az Azure VM természetesen felvehető a földi domain-ba is, teljes értékű tagja lesz a hálózatunknak!

Király István

About Király István

Microsoft Azure MVP, Microsoft Certified Trainer Rendszergazda, előadó és a KingSol Kft. ügyvezető tulajdonosa.

Vélemény, hozzászólás?

Adatok megadása vagy bejelentkezés valamelyik ikonnal:

WordPress.com Logo

Hozzászólhat a WordPress.com felhasználói fiók használatával. Kilépés / Módosítás )

Twitter kép

Hozzászólhat a Twitter felhasználói fiók használatával. Kilépés / Módosítás )

Facebook kép

Hozzászólhat a Facebook felhasználói fiók használatával. Kilépés / Módosítás )

Google+ kép

Hozzászólhat a Google+ felhasználói fiók használatával. Kilépés / Módosítás )

Kapcsolódás: %s