Einführung

Zusammen mit der Einführung von Windows Azure Infrastructure as a Service (IaaS) in diesem Sommer, Microsoft führte auch eine Möglichkeit für Kunden, ihre Vor-Ort-Netzwerken mit Windows Azure mit Site-to-Site-VPN zu verbinden.

Der Service responsibel für diese Funktion ist Windows Azure-Gateway genannt. Es verwendet IPSec eine Site-to-Site-VPN-Tunnel zwischen Ihrem Netzwerk und Ihre Netzwerke in Windows Azure zu etablieren. Effektiv das Hinzufügen eines zweiten Standort zu Ihrem Netzwerk. Zur Zeit werden nur Cisco und Juniper-Geräte werden als lokale Teil des Tunnels offiziell unterstützt. Da aber Windows Azure-Gateway wird mit Standard-IPSec-Site-to-Site-Tunneling Sie könnte theoretisch jedes Gerät die Anforderungen unterstützen verwenden. Ein solches Szenario mit dem Windows Server 2008 R2 als unsere Vor-Ort-Router ist der Zweck dieses Ports. (Wenn Sie sich fragen, warum ich nicht auf Windows Server 2012 verwenden, ist die Antwort einfach, dass es den Anforderungen nicht mehr unterstützen. Insbesondere Windows Server 2012 nicht tun NAT-T wie Windows Server 2008 R2 funktioniert.)

Bedarf

Die Windows Azure-Gateway-Dokumentation listet die folgenden Anforderungen für die Vor-Ort-VPN-Gerät:

• VPN-Gerät muss über eine öffentlich zugängliche IPv4-Adresse
• VPN-Gerät unterstützen muss IKEv1
• Richten Sie IPsec-Sicherheitszuordnungen im Tunnelmodus
• VPN-Gerät unterstützen muss NAT-T
• VPN-Gerät unterstützen muss AES 128-Bit-Verschlüsselungsfunktion, SHA-1 Hash-Funktion und Diffie-Hellman Perfect Forward Secrecy in "Gruppe 2" -Modus
• VPN-Gerät müssen Pakete fragmentieren, bevor sie mit den VPN-Header einkapseln

Zum Glück für uns Windows Server 2008 R2 unterstützt alle diese! Also lassen Sie uns es einrichten.

Bevor Sie Ihr lokales Gerät konfigurieren können Sie diese Schritte in der Windows Azure Management Portal ausführen müssen:

• Erstellen Sie eine oder mehrere virtuelle Netzwerke (WAVN) in Windows Azure Diese werden Host Sie Windows Azure-VMs und Ihre LANs in Windows Azure.
• Definieren einer lokalen netwok in Windows Azure Konfigurieren dieses Netzwerk mit allen Subnetzen, die Sie in Ihren lokalen Netzwerk ausgeführt werden, sowie die öffentliche IP-Adresse Sie VPN-Gerät.
• Fügen Sie mindestens einen DNS-Server auf Windows Azure Diese jeder DNS-Server sein kann; on-premise, in Windows Azure und öffentlichen DNS. Alle Server, die Sie hinzufügen, werden mit Windows Azure DHCP zu Ihrer VMs zugewiesen werden.
• Nehmen Sie sich ein Subnetz innerhalb der Netzwerke, die Sie in Windows Azure erstellt, um die Link-Netzwerk Dieses Netzwerk die Verbindung zwischen Ihnen und Windows Azure darstellt. Es müssen Sie in Windows Azure im vorherigen Schritt erstellt innerhalb der Grenzen der Netze sein.
• Geben Sie die öffentliche IP-Adresse Ihres VPN-Gerät die VPN-Gerät nicht hinter einem NAT sein kann, nicht einmal ein 1: 1 NAT mit öffentlichen IP-Adressen.
• Starten Sie den Windows Azure-Gateway

Es handelt sich um High-Level-Stufen. Die Windows Azure-Dokumentation geht sehr ins Detail, wie Sie Ihre Cloud-Netzwerke zu konfigurieren usw. Dieser Beitrag konzentriert sich auf die Verwendung von Windows Server, wie Sie lokale VPN-Gerät so dass ich nicht die einzelnen Schritte hier wiederholen. Stattdessen verweise ich Sie auf die Dokumentation:

• Stellen Sie eine Site-to-Site-VPN-Verbindung
• Erstellen Sie ein virtuelles Netzwerk für standortübergreifende Konnektivität

Nachdem das Setup in Windows Azure abgeschlossen sind Sie bereit, Ihr lokales Gerät zu konfigurieren.

Der Windows Server 2008 R2 Maschine, die Sie als Ihre VPN-Gerät verwenden müssen Hotfix 2523881 installiert. Dieser Patch ermöglicht es dem alten Windows Server 2003-Modus von NAT-Traversal (NAT-T), die von Windows Azure-Gateway erforderlich ist. Wenn Sie diesen Hotfix nicht installiert haben, werden Sie den Verkehr in Ihrem Netzwerk empfangen, aber das Rück Verkehr wird nicht funktionieren. Hier ist der Link zu den Hotfix:

• Sie können nicht einen IPsec-Tunnel zu einem Computer herstellen, auf dem Windows 7 oder Windows Server 2008 R2 über ein NAT-Gerät ausgeführt wird

Das lokale Netzwerk

Dies ist die lokale Netzwerktopologie in meiner Testumgebung:

Unsere Aufgabe hier ist unser Vor-Ort-Netzwerk mit unseren Windows Azure Netzwerken zu verbinden und dann einen Server in Windows Azure zu einem Domänencontroller für unsere Active Directory-Domäne zu fördern.

Routing

Ihre lokalen VPN-Server muss nicht das Standard-Gateway für das lokale Netzwerk zu sein, aber wenn es ist, wird es Ihre Einrichtung zu erleichtern. Es genügt zu sagen, dass Sie die Routing-Anforderungen in Ihrer Umgebung zu erarbeiten müssen. In diesem Beispiel gehe ich davon aus, dass der VPN-Server ist auch Ihre lokale Standard-Gateway. Ihr VPN-Server sollte nicht ein Standard-Gateway IP gesetzt haben auf dem NIC verbunden mit dem lokalen Netzwerk (LAN). Wenn Sie benutzerdefinierte Routing Verwendung RRAS erforderlich ist, um die Route-Befehl oder NETSH richten Sie Ihre Routen.

Der VPN-Server

Ihre lokalen Windows-Server-Maschine muss mindestens zwei NICs, eine Verbindung mit Ihrem lokalen Netzwerk und ein auf das öffentliche Internet. Der Server muss nicht auf Ihre Domain verbunden werden. Ich recomment Sie in hohem Grade die Windows-Firewall halten auf dem VPN-Server aktiviert. direkt auf einen Server mit dem Internet verbunden, ohne eine Firewall zu haben, ist keine gute Idee.

Hohe Setup-Schritte

• Dokumentieren Sie die öffentliche IP-Adresse des VPN-Servers und die öffentliche IP-Adresse Ihres Windows Azure-Gateway-Endpunkt, sowie Ihre Windows Azure-Netzwerke und lokale Netzwerke. Sie werden diese während der Installation benötigen.
• Finden Sie IPSec-Verschlüsselungsschlüssel aus der Windows Azure-Portal.
• Aktivieren Routing
• Configue IPSec-Tunnel
• Überprüfen Sie die Konnektivität
• In VM in Windows Azure und Domänencontroller zu fördern.

Retreive die IPSec-Verschlüsselungsschlüssel

Melden Sie sich auf der Windows Azure-Portal und wählen Networks. Klicken Sie auf das Netzwerk Ihr sind Ihre Die Anschluss Vor-Ort-Netzwerk und wählen Sie Ansicht Key (Sie werden diese am unteren Rand des Bildschirms finden):

Kopieren Sie die angezeigte Taste:

Aktivieren Routing

Installieren Sie das Routing und RAS (RRAS) Rollendienst-, die Teil der Network Policy Server und Access Services-Rolle ist. Sie müssen sowohl Remote Access Service und Routing zu wählen, kann man nicht ohne den anderen installiert werden. Sie können dies entweder durch den Server-Manager oder Powershell.

Die Powershell-Befehl lautet:

Add-Windowsfeature NPAS-RRAS-Dienstleistungen -IncludeAllSubFeature

Aktivieren und Konfigurieren von Routing und RAS für LAN-Routing nur. Rechtsklicken Sie auf Routing und RAS und wählen Sie konfigurieren und aktivieren Routing und RAS:

Wählen Sie Benutzerdefinierte Konfiguration und die Auswahl LAN-Routing:

Was dieser Schritt tut, ist aktivieren Sie die Windows in eine IPv4 / IPv6-Router. Es sagt einfach Weiterleitung IP-Datagramme zu starten. Sofern Sie spezielle Routing-Anforderungen in Ihrer Umgebung haben, werden Sie mit der Konfiguration von RRAS beendet.

Konfigurieren Sie den IPSec-Tunnel

In Windows 2008 Server und neuere IPSec-Einstellungen in der Windows-Firewall wurden verschmolzen.

1. Öffnen Sie die Windows-Firewall mit erweiterter Sicherheit, und wählen Sie Verbindungssicherheitsregeln:

2. Mit der rechten Maustaste und wählen Sie Neue Regel. Auf der Seite Regeltyp auswählen Tunnel:

3. Auf dem Tunnel Type Bildschirm, lassen Sie die Standard Benutzerdefinierte Konfiguration und keine für IPSec Ausnahmen ausgewählt und klicken Sie auf Weiter:

4. Geben Sie auf dem Anforderungs Bildschirm die Vorgabe: Authentifizierung erforderlich für eingehende und Outbound-Verbindungen ausgewählt und klicken Sie auf Weiter:

5. Als nächstes wird auf der Tunnelendpunkte Bildschirm, konfigurieren Sie die Tunnel-Endpunkte und Netzwerke. (Sie müssen nach unten scrollen, um die Netzwerke für Endpoint 2 konfigurieren):

HINWEIS: Es ist extrem wichtig, dass die Netzwerke, die Sie hier definieren, entsprechen Ihrem lokalen Netzwerk-Konfiguration in Windows Azure oder Ihren Traffic wird nicht weitergeleitet werden.

6. Auf dem Bildschirm Authentifizierungsmethoden wählen Sie Erweitert und dann auf die Schaltfläche Anpassen drücken:

7. Im Anpassen Erweiterte Authentifizierung Dialog fügen Sie ein Pre-shared Key-Authentifizierung für die ersten Authentifizierungsmethoden:

8. Auf dem Bildschirm Profil wählen Sie die Firewall Profile, für die diese Regel gelten soll. Normalerweise wird es alle drei sein:

9. Am Bildschirm Name, geben der Regel einen entsprechenden Namen und Beschreibung:

10. Windows Azure-Gateway erfordert, dass Sie das TCP Maximum Segment Size (MSS) Fragmentierung aviod ändern. Sie tun dies mit NETSH auf Ihrer externen (Internet Verblendung) Schnittstelle. Erste Liste Ihrer Schnittstellen:

netsh interface ipv4 zeigen Subinterfaces

In der Spalte Interface sollten Sie Ihre Interface-Namen zu erkennen. Sie nun den TCP MSS-Wert zu ändern:

netsh interface ipv4 set Subinterface "<Name der Schnittstelle>" mtu = 1350 store = persistent

Führen Sie den ersten Befehl netsh erneut, um die Änderung zu überprüfen.

11. Konfigurieren der IPSec-Schnellmodus-Taste Lebensdauer. Windows Azure-Gateway verwendet einen Quick-Modus (Phase 2) Taste Lebensdauer von 1 Stunde (3600 Sekunden) oder 100 GB Traffic, je nachdem, was zuerst eintritt. Die Phase-1-Taste Lebensdauer beträgt 8 Stunden, die Standardeinstellung in Windows Server 2008 R2 ist, so gibt es keine Notwendigkeit, das zu ändern ist.

Rechtsklick auf die Windows-Firewall mit erweiterter Sicherheit Knoten an der Spitze der Windows-Firewall-Konsole, und wählen Sie Eigenschaften. Wählen Sie dann die Registerkarte IPSec, und drücken Sie die Schaltfläche Einstellungen:

Als nächstes wählen Sie die erweiterte Optionsfeld unter Datenschutz (Quick Mode) und die Schaltfläche Einstellungen drücken. Unter Datenintegrität und Verschlüsselung wählen Sie den Eintrag ESP genannt / SHA1 / AES-CBC-128 usw. und die Edit-Taste drücken:

Unter Key der Timeout-Wert in Minuten Lebzeiten bereits richtig bis 60 Minuten (3600 Sekunden) eingestellt ist, so brauchen wir nur die KB-Timeout zu konfigurieren. Stellen Sie ihn auf 102 400 000 KB (100 GB).

Beenden Sie alle Felder mit OK.

Hinweis: Dies sind globale Einstellungen, die alle Verbindungssicherheitsregeln auf dem Server auswirken. Wenn Sie diese Einstellungen nur auf die Verbindungssicherheitsregel angeben möchten, die Windows Azure betrifft, verwenden Sie NETSH. Leider können Sie nicht Verbindungssicherheitsregeln bestimmten Hauptmodus oder Schnellmodus-Einstellungen in der GUI KONFIGUR. Sie können auch nicht NETSH verwenden, um globale Schnellmodus-Einstellungen, nur Hauptmodus-Einstellungen konfigurieren. Die Logik dahinter entgeht mir .... Wenn Sie sich entscheiden Regel bestimmte Schnellmoduseinstellungen mit NETSH zu konfigurieren, wird die GUI informieren Sie, dass die Regel "... enthält Eigenschaften, die nicht über diese Schnittstelle unterstützt werden". Das sagte, ich würde wirklich empfehlen Regel spezifische Schnellmodus-Einstellungen zu verwenden, da auf diese Weise werden Sie nicht die Computer-Standardeinstellungen ändern müssen, die möglicherweise Probleme für andere Regeln führen könnten. Obwohl nicht von Windows Azure-Gateway benötigt, da die Standardeinstellungen, um die erforderlichen Einstellungen übereinstimmen, können Sie auch spezifische Hauptmodusregeln konfigurieren, die zum Beispiel entsprechenEndpunkte mit NETSH. Mehr zu den diffrences zwischen der erweiterten Firewall-GUI und NETSH. Haben Sie auch einen Blick auf die Skripte Abschnitt am Ende des Beitrags.

12. Stellen Sie sicher, dass der IPSec-Tunnel erstellt wurde den Knoten Überwachung der Windows-Firewall mit erweiterter Sicherheit-Konsole. Unter Security Associations sollten Sie eine Vereinigung haben beide den Hauptmodus und Schnellmodus-Knoten:

Wenn Sie keine Sicherheitszuordnungen zu sehen, die versuchen, eine Adresse in einem Ihrer Windows Azure Netzwerke zu pingen. Dies sollte den Tunnel aufzubauen.

13. Überprüfen Sie die Konnektivität in der Windows Azure-Portal:

In Windows Azure Virtual Machines

Jetzt können Sie Windows Azure-VMs auf Ihrem Windows-Azure-Netzwerke hinzufügen. Diese Maschinen werden IP-Adressen aus dem Windows Azure DHCP-Dienst erhalten. Die Adressen für deren Lebensdauer an die Maschine geleast werden, damit es das gleiche wie mit einer statischen IP sein wird. Windows Azure DHCP werden auch die Server mit den DNS-Server so konfigurieren Sie in Windows Azure definiert haben. Diese können sowohl auf Prämisse und in der Cloud sein. Die Standard-Gateways für die Maschinen wird auf die erste Adresse auf dem subet eingestellt werden, dass die Maschine angeschlossen ist.

Überprüfen Sie die Konnektivität

Nach dem ersten Windows Azure VM ist online (und seine Firewall geöffnet) sollten Sie in der Lage sein, den Verkehr über die VPN zu senden. In meinem Fall kann ich jetzt ping zwischen meinem Windows Azure VM und Vor-Ort-Maschinen:

Jetzt kann ich das machen das Windows Azure VM einen Domänencontroller hinzu:

Scripts

Da Netzwerk-Geräte wie Router und Switches in der Regel von Skripten konfiguriert verwenden, sind hier die netsh-Befehle Windows Server als VPN-Gerät von der CLI zu konfigurieren:

Aktivieren Sie IPv4-Routing: Sie nicht wirklich brauchen RRAS installiert Windows Server Route IPv4-Datenverkehr zu machen. Sie können die gleiche Funktionalität direkt mit NETSH konfigurieren. Dies beseitigt das Erfordernis für RRAS installiert werden. finden entweder die Schnittstellennamen oder Indizes Ihrer Netzwerk-Schnittstellen zunächst zu konfigurieren Routing Sie müssen. In diesem Fall meine sind 12 und 14. 12 ist die externe Schnittstelle mit dem Internet verbunden und 14 ist die interne Schnittstelle mit dem LAN verbunden. Routing, oder IP-Datagramm Weiterleitung muss auf beide konfiguriert werden. Verwenden Sie NETSH netsh interface ipv4 set interface "12" Forwarding = aktivieren netsh interface ipv4 set interface "14" Forwarding enable = Verbindungssicherheitsregel mit Regel spezifischen Schnellmodus-Einstellungen erstellen: netsh advfirewall consec add rule name = "Windows Azure" endpoint1 = " 192.168.0.0/16 "endpoint2 =" 10.1.0.0/16 "action =" requireinrequireout "description =" Site-to-Site-VPN für Windows Azure "mode =" Tunnel "profile =" any "type =" statisch "localtunnelendpoint = "80.212.96.194"remotetunnelendpoint = "168.63.16.208" protocol = "any" auth1 = "computerpsk" auth1psk = "wL8fC ..." qmsecmethods = "ESP: SHA1-AES128 60min 102400000kb" Regel erstellen Hauptmodus, der Verkehr zwischen dem lokalen Netzwerk und Windows Azure Spiele . Diese wird dann durch die Verbindungssicherheitsregel verwendet werden. Dies ist eine redundante Schritt, da die Standardeinstellungen von Windows Server 2008 R2 Spiel die Anforderungen von Windows Azure. Dies ist nur zu zeigen, wie es gemacht wird ... netsh advfirewall mainmode hinzufügen Regel name = "Windows Azure IPSec-Hauptmodus-Einstellungen" mmsecmethods = "dhgroup2: aes128-SHA1" mmkeylifetime = "480min, 0sess" description = "Hauptmoduseinstellungen kompatibel mit Windows Azure Gateway "endpoint1 =" 192.168.0.0/16 "endpoint2 =" 10.1.0.0/16 "Konfigurieren Sie die TCPMSS Größe: netsh interface ipv4 set Subinterface" <Name der Schnittstelle> "mtu = 1350 store = persistent

Also, wenn Sie alle Befehle in einem netten cmd kombinieren Datei, die Sie so etwas wie einen Router-Konfigurationsskript haben.

Weitere Informationen über NETSH Syntax finden Sie hier:

Notizen

• IPv6 wird derzeit von Windows Azure unterstützt, so dass Sie keine IPv6-nativen Konnektivität haben. Vielleicht können Sie einen Teil der Übergangstechnologien Arbeit zu machen. Ich habe das nicht getestet.
• Der VPN-Server selbst wird nicht mit virtuellen Maschinen in Windows Azure zu kommunizieren. Nur Computer hinter dem VPN-Server Kommunikation.
• Ich konnte eine Übertragungsgeschwindigkeit von etwa 9 Mbps zwischen meinem lokalen Netzwerk und eine kleine Instanz VM läuft in Windows Azure zu messen. Früher habe ich zu testen.
• Ich habe einige Instabilität mit diesen Lösungen erfahren, aber ich bin nicht sicher, ob dies mit Windows Server oder Windows Azure zu tun hat. Hinterlassen Sie einen Kommentar mit Ihren Erfahrungen.
• Die Windows-Firewall schützt Ihren VPN-Server im Internet. stellen Sie sicher, dass es richtig konfiguriert ist. Darf ich vorschlagen, um auch alle unnötigen Bindungen auf dem Internet zu entfernen NIC gegenüber. Denken Sie auch daran, dass die VPN-Datenverkehr nicht von der Firewall kontrolliert wird, da es im Inneren des Tunnels ist.
• Die Konfigurationsskripts verfügbar für unterstützte Gateway-Geräte, die derzeit von Cisco und Juniper, sind sehr nützlich, um die Einstellungen zu verstehen, benötigt, um Ihre VPN-Server zu konfigurieren. Diese stehen zum Download über das Windows Azure Managmenet Portal unter Networks.
• Windows Azure Powershell kann auch zu verwalten und richten Sie Ihre Netzwerke und Gateways verwendet werden.