close
Kaspersky Endpoint Security

Welcome to

Kaspersky Endpoint Security


By Kaspersky Endpoint Security


Windows Azure VPN Lösungsweg



Ein aktuelles Projekt hat uns einige der neuen testen. Ein wichtiger Konfigurationsschritt ist immer die Windows Azure-Umgebung verbunden zu unserem Vor-Ort-Netzwerk. Dazu erstellen wir ein Standort zu Standort VPN-Tunnel zwischen einem Azure virtuellen Netzwerk und Ihre bestehende On-Premise-Unternehmensumgebung. Typischerweise wird dies unter Verwendung von VPN-Hardware durchgeführt (wie Cisco, Fortinet, oder Juniper), sondern auch Windows Server verwenden getan werden kann. Microsoft hat ein anständiges Tutorial auf, aber es fehlt einige Informationen über die Konfiguration des Remote-Ende.

Lassen Sie uns zunächst ein virtuelles Netzwerk in Azure erstellt bekommen.

1. Melden Sie sich das.

2. In der linken Spalte, wählen Sie Netzwerke aus, und dann auf der unteren Banner erstellen klicken.

3. Dies wird einen Assistenten zum Erstellen eines virtuellen Netzwerks bringen. Geben Sie dem Netzwerk einen Namen und wählen Sie entweder eine bestehende Affinitätsgruppe, wenn Sie eine haben, oder eine neue erstellen. Virtuelle Netze müssen auf eine Affinitätsgruppe gehören und kann nur mit VM in der gleichen Affinitätsgruppe verwendet werden. Klicken Sie auf Weiter

4. Der nächste Bildschirm fragt Sie Adressraum und logische Subnetze zu definieren. Sie können hier super-Netting verwenden, um eine große Adressraum zu definieren (z. B. 10.1.0.0/16) und dann logische Subnetze Gruppenserver erstellen (z. B. 10.1.1.0/24) für bestimmte Server Zwecke. Definieren Sie den Adressraum und mindestens 1 Subnetz. Klicken Sie auf Weiter.

5. Geben Sie auf den DNS-Servern und lokalen Netzwerk-Bildschirm, werden Sie einen DNS-Server für dieses virtuelle Netzwerk konfigurieren möchten. Für DNS, dies wird der DNS-Server Ihrer VM in diesem virtuellen Netzwerk Nutzen sein. Die lokalen Netzwerkeinstellungen erfordern sowohl eine Gateway-Subnetz und einem lokalen Netzwerk. Die Gateway-Netzwerk sollte ein logisches Subnetz des Adressraums, die Sie vorher definiert (dh. 10.1.0.0/24) und wird nur für die notwendige Gateway-Dienste auszuführen. Das lokale Netzwerk sollten Netzwerke in Ihrer On-Premise-Umgebung konfiguriert sein. Wählen Sie New Local Network erstellen und klicken Sie auf Weiter.

6. Auf dem Erstellen eines neuen lokalen Bildschirm Netzwerk Sie einen Namen für das lokale Netzwerk zuweisen müssen, die VPN-Endpunkt in der Vor-Ort-Umgebung und ein oder mehrere Subnetze in den Adressraum definieren (z. B. 10.4.0.0/16) entsprechend lokaler in Ihrem vor-Ort-Umgebung konfiguriert Netzwerke. Klicken Sie auf das Häkchen, um die virtuellen Netzwerk zu erstellen.

Nun, da ein virtuelles Netzwerk erstellt wurde, brauchen wir ein VPN-Gateway für das Netzwerk zu erstellen.

Networks 1. Wählen Sie im Azure-Portal auswählen und dann auf den Namen des virtuellen Netzwerks, das Sie gerade erstellt haben.

2. Sie sollten eine Anzeige sehen, dass ein Gateway wurde noch nicht erstellt worden. Klicken Sie auf das Gateway-Symbol in der unteren Banner erstellen. Klicken Sie auf die Ja Häkchen, die in der unteren Banner erscheint startet das Gateway Job erstellen.

3. Es kann bis zu 15 Minuten dauern, für das Gateway erstellt werden. Es sollte eine Meldung erscheinen, dass das Gateway Schöpfung begonnen hat.

4. Nach der Fertigstellung wird eine Gateway-IP-Adresse zusammen mit eingehenden und ausgehenden Datenmetriken angezeigt werden. Sie werden die Pre-Shared Key Informationen benötigen Sie den Tunnel auf Ihrer Seite zu konfigurieren. Klicken Sie auf die Ansicht-Key-Schaltfläche in der unteren Banner.

Schließlich müssen Sie den Standort zu Standort VPN-Tunnel auf dem VPN-Hardware-Gerät auf Ihrem Geräten vor Ort zu konfigurieren. Im Folgenden ist ein Beispiel für die notwendigen Informationen:

Phase 1 (IKE) Remote-Endpunkt / Peer-IP: Virtual Network Gateway-Adresse (dies ist die Gateway-IP-Adresse für das virtuelle Netzwerk im Azure-Portal aufgeführt) Authentifizierungsmethode: Pre-Shared-Key-Pre-Shared Key: <Wert von Ansicht Taste in Azure-Portal> Phase-1-Vorschlag: Verschlüsselung AES-128 (oder AES-128-CBC), Authentifizierung SHA1 Phase 1 Keylife: 28800s Phase 1 DH Gruppe: 2

Phase 2 (IPsec) ** Lokales Netzwerk: Lokale Unternehmensnetz (das ist das lokale Netzwerk konfiguriert Sie, wenn Sie die Azure virtuellen Netzwerk einrichten) Remote Network: Azure Virtuelles Netzwerk (dies ist der Adressraum Sie konfiguriert, wenn das virtuelle Netzwerk Azure Einrichten ) Phase-2-Vorschlag: Verschlüsselung AES-128 (oder AES-128-CBC), Authentifizierung SHA1 (oder SHA1-HMAC-96) Phase 2 Keylife: 3600s uND 102.400.000 KBytes Phase 2 DH-Gruppe (PFS): Deaktiviert

** Hinweis: In der Regel die definierten Subnetze in der Phase, Sie 2. Allerdings verwenden, ich habe in der Praxis gezeigt, dass die Azure-Gateway 0.0.0.0/0 für Phase2 verwendet:

2013.05.01 11.33.21 ike 1: OW-Azure: 13537: 6.612.914: Peer: type = 7/7, local = 0: 0.0.0.0-255.255.255.255: 0, remote = 0: 0.0.0.0 -255.255.255.255: 0 2013.05.01 11.33.21 ike 1: OW-Azure: 13537: 6.612.914: mine: type = 7/7, local = 0: 10.4.0.0-10.4.255.255: 0, Fern = 0: 10.1.0.0-10.1.255.255: 0 2013.05.01 11.33.21 ike 1: OW-Azure: 13537: 6.612.914: keine passende phase2 gefunden 2013.05.01 11.33.21 ike 1: OW-Azure: 13537 :: 6.612.914: failed Responder Vorschlag zu bekommen 2013.05.01 11.33.21 ike 1: OW-Azure: 13537: failed Kind SA 2013.05.01 11.33.21 ike 1 zu schaffen, : OW-Azure: 13537: Senden Fehlerreaktion

Wenn die Subnetze an beiden Enden nicht übereinstimmen, wird der Tunnel nicht schaffen, so dass Sie 0.0.0.0/0 für Ihre Phase-2-Subnetze in der VPN-Konfiguration verwenden möchten.

Sie können eine Beispielkonfigurationsskript für Cisco ASA, ASR herunterladen und ISR oder Juniper SRX, J, ISG oder SSG-Systeme aus dem Azure-Portal durch den Download-Link in der unteren Banner klicken (neben der View Taste drücken). Sie müssen das Skript mit den richtigen Netzwerken und Schlüssel zu ändern. Davon abgesehen, die Skripte einige Dinge über Ihre Konfiguration übernehmen, so ist es am besten zu Ihrem Ende des VPN-Tunnels manuell zu konfigurieren. Zum Beispiel kann versuchen, das Skript zu können versuchen, die maximale Segmentgröße bis 1350 auf dem VPN-Gerät externe Schnittstelle einzustellen, die Ihre anderen konfigurierten Tunnel auswirken könnte. Es ist auch wichtig, dass die Firewall und NAT-Regeln zu beachten sind in der Regel auf den meisten VPN-Hardware-Geräte erforderlich.

Um zu testen, Konnektivität, initiieren einfach Verkehr von beiden Seiten des Tunnels (dh. Ping 10.1.1.10 von 10.4.1.10). Es hilft, Nachrichten Debug-Trace aktiviert auf Ihrer VPN-Hardware-Gerät bei Fragen zu haben. Glückliche Tunnel!


ESET Endpoint-Security-32-Bit     Endpoint-Security-10 mcafee

Categories and tags