Egyszer réges régen még az Azure IaaS Preview időszakból tettem egy felelőtlen ígéretet, melyet most bepótolok.
Ez idő alatt sokat változott a Windows Azure, az IaaS szolgáltatások kiléptek a preview fázisból és természetesen jelentek meg új funkciók is. Ettől függetlenül, még könnyen előfordulhat, hogy Windows Server 2008 –al szeretnénk megoldani a VPN kapcsolatot a felhő iránybába.
Leírom röviden hogy mire kell figyelni!
Amire szükséged lesz:
- egy darab “vas” vagy VM 2db hálózati kártyával
- egy darab publikus IP a felhő irányába
- Windows Server 2008R2, telepített RRAS role –al
- egy darab hotfix: KB2523881
Működési sajátosságok:
- Közvetlen kapcsolat nem él a GW (RRAS szerver) és az Azure VM-ek között. (PING, TELNET és társai nem működnek), a GW mögötti eszközökről már igen!
- IP sec tunel rule-ok nem NAT kompatibilisek a publikus interfészen!
Az elképzelt (és megvalósított) hálózat rajza:
Helyi hálózat: 10.0.0.1/24
Felhőben lévő hálózat: 172.16.0.1/24
RAS szerver: 10.0.0.50 és 82.141.143.148 –as IP címekkel rendelkezik, nincs tartományban (bár akár lehetne is)
1. VPN előkészületek az Azure Portálon:
Bejelentkezés után, NEW –> Networks –> Virtual Network –> Custom Create:
A következő képernyőn megadod a DNS szerver(ek) IPcímét, ezek lehetnek a felhőben és a földön is! (a földi domain controller IP címét adtam meg).
Illetve be kell jelölni a VPN típusát is:
Majd meg kell adnod a RRAS géped külső kártyájának IP címét, adsz egy logikai nevet a földi IP hálózatodnak (Nálam ez most KingSolLocalLan) és meghatározod, hogy a földön milyen IP címtartományt használsz. (én a 10.0.0.1/24 –es tartományt adtam most meg)
Utolsó lépésként az Azure beállít részedre egy a felhőben használatos IP cím tartományt, természetesen ettől eltérhetsz, a lényeg, hogy nem használhatsz azonos tartományokat a földön és az Azureban (vagyis ebben az estben a felhőben semmiképp sem használhatod a földön már megadott 10.0.0.1/24 –et) ezért választottam a 172.16.0.0/24-es hatókört.
Szükséged lesz legalább egy subnet-re és az Azure által használt Gateway subnetre is (ez egy technikai subnet a későbbiekben nem fogod használni). Ez utóbbit elkészíti a varázsló, ha megnyomod az ‘add gateway subnet’ gombot:
Amikor elkészültek a hálózati objektumok, kattints a hálózat nevére és a Dashboard felületen az alsó menüben válaszd ki a Create Gateway – Static Routing menüpontot!
Ha elkészült a GW, akkor megkapod a csatlakozáshoz szükséges IP-t és a megosztott kulcsot!
2. RRAS telepítése és konfigurálása:
Konfiguráld be a hálózati kártyákat!
A külső interface megkapja a publikus IP-t, míg a belső interfészen beállítottam a 10.0.0.50 -t
Jöhet a RRAS telepítése és konfigurálása
3. IPsec konfigurálása
Indítsd el a Windows Firewall With Advanced Security MMC konzolt!
Készíts egy új Connection Security Rule-t:
Meg kell adnod a RRAS külső lábát (A földi belső hálózatodat is) és az Azure Portálon szereplő Publikus IP-t is:
Hitelesítésénél válaszd az advanced módot:
Az Azure portálról másold ki a kulcsot:
Nevezd el a tunnelt:
Hiányzik a konfigurációból az Azure private IPcím tartomány, ezt megadhatod az alábbiak szerint:
Tunnel neve –>joob klikk –>Properties—>Computers
Az endpoint-2 alatt vedd fel az azure által használt 172.16.0.1/24-et:
Végezetül a külső kártya MTU értékét vegyük le 1350 –es értékre!
start—>cmd:
netsh interface ipv4 show subinterfaces: (a WAN kártyán módosítottam, a LAN az alapértéket használja)
MTU módosítás:
netsh interface ipv4 set subinterface “WAN” mtu=1350 store=persistent
3. VPN Ellenőrzése:
Azure portálon:
4. VM hozzáadása a VPN-hez:
Azure portálon:
NEW—>Compute—>Virtual Machine—>From Gallery:
Gép hozzárendelése a hálózathoz:
Végül de nem utolsó sorban:
Módosítani kell a routing táblát azokon a gépeken melyek kommunikálnak majd a felhőben lévő VM-ekkel:
Start—>CMD
route add 172.16.0.0 mask 255.255.255.0 10.0.0.50 –p
Innentől kezdődően a gépek tudni fogják, hogy ha a 172.16.0.1 –es hálózati kommunikációnál a 10.0.0.50-es gép lesz az átjáró, a –p a persistens kapcsoló, hogy restart után is működjön minden!
Ezek után az Azure VM természetesen felvehető a földi domain-ba is, teljes értékű tagja lesz a hálózatunknak!
Király István
