AZURE VIRTUAL WAN P2S CONFIGURATION

Sadık ŞAHİN 07 Kasım 2019 0
AZURE VIRTUAL WAN P2S CONFIGURATION
  • Sumo

Merhaba, bu yazımızda Azure Virtual Wan yapısından bahsedeceğiz. Microsoft Azure Virtual WAN birçok şube VPN bağlantısını tek bir noktada toplar ve birbirleri arasında iletişimi sağlar. Tüm Azure VPN bağlantılarını Virtual WAN üzerinde kullanabilirsiniz. Örneğin; Bir merkeze bağlı 3 şube düşünün ayrıca Microsoft Azure üzerinde de sanal makinelerimiz ve bunlara bağlı bir sanal ağımız olsun. Tüm network ve VPN networklerini Virtual WAN üzerinde bulunan Hub a bağlıyoruz ve birbirleri arasında haberleşmesini sağlıyoruz.

Yazımızda anlatacağımız bu senaryoda bir Virtual WAN oluşturup içerisine HUB ekleyeceğiz ve ardından Point to Site yapılandırma sağlayıp hub ile bağlantısını sağlayacağız.

Öncelikle Azure Marketplace den Virtual WAN özelliğini search kısmından ya da network başlığı altından bulup kurulumunu yapıyoruz.

Bu yapı için bir resource grup seçip oluşturacağımız WAN için bir isim belirliyoruz. Burada dikkat edilmesi gereken nokta şu; Eğer Basic yapılandırmayı seçerseniz sadece site to site vpn yapısı kurabilirsiniz. Standard yapılandırmayı seçerseniz Point to site ve Express Route özelliklerini kullanabilirsiniz.

Resource Group içinde bir Virtual WAN servisi oluştu fakat Merkez ve şubeleri tek bir noktada toplayabilmemiz için HUB ihtiyacımız olacak. Bunun için yeni bir virtual hub oluşturuyoruz. Burada site to site, express route ve point to site başlıkları görebilirsiniz. Bu ayarları hub oluştururkende yapabilirsiniz. Ben anlaşılması açısından ayrı yapılandıracağım. Hub ismini ve bölgesini ve Hub için ip adresini yazıp “Create Hub” butonuna basarak oluşturuyoruz.

Resimdede görüldüğü gibi TestHUB isminde bir hub oluştu. Üstündeki haritada hubların hangi bölgede yapılandırıldığını görebilirsiniz. Birden çok Hub tanımlayabilirsiniz ve harita üzerindeki bölgelerde hangi hub aktif veya pasif görebilirsiniz.

Microsoft Virtual WAN User VPN configuration

Hub oluştuktan sonra P2S bağlantısı için konfigurasyon oluşturmamız gerekiyor fakat P2S konfigurasyonuna girdiğinizde bu özelliğin register olmadığını görebilirsiniz. Bu durumda konfigurasyon yapılamaz. Bunu düzeltmek için Azure powershell e bağlanıp bu servisi register etmemiz gerekiyor.

Azure aboneliğinize bağlanmak için Add-AzAccount komutunu çalıştırın. Açılan login ekranına Azure aboneliğinizin bulunduğu hesab ile giriş yapın.

Azure aboneliğinize bağlantı sağlandığında aşağıdaki resimde olduğu gibi hangi abonelik için işlem yapacağınızı göreceksiniz. Eğer Virtual WAN bu abonelikte başlatıldıysa işlemlere devam edebilirsiniz.

Eğer birden fazla aboneliğiniz varsa ve Virtual WAN farklı bir abonelikte oluşturulduysa, virtual WAN servisinin bulunduğu aboneliğe geçmemiz gerekiyor. Bunun için aşağıdaki komutu yazarak aboneliklerimizi listeliyoruz.

Ardından Set-AzContext -subscriptionId xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx komutunu girip Virtual WAN servisinin bulunduğu aboneliğe geçiyoruz.

İşlemin doğruluğunu kontrol için Get-AzContext komutunu çalıştırmanız yeterli olacaktır.

Seçmiş olduğum abonelik üzerinden işlemlerime devam ediyorum. P2S Configurasyonunu yapabilmem için Aşağıdaki iki komutu çalıştırıyorum. Ardından 5 Dk kadar bekleyip Konfig oluşturmak üzere Azure Portala tekrar bağlanıyorum.

Portal üzerinde Virtual WAN servisine giriş yaptığımızda Point To Site Konfigurasyonu yapacağız. Ve VPN bağlantımızı Open VPN olarak yapılandıracağız fakat aşağıdaki resimde görüldüğü gibi bizden sertifika datası isteniyor.

Bir adet root ve bir adet Client sertifikası oluşturacağız bunun için aşağıdaki adımları sırayla yapıyoruz.

Öncelikle Root sertifikası oluşturacağız bunun için aşağıdaki komutu çalıştıracağız. CN kısmını P2SRootCert yazdım siz dilediğiniz ismi verebiliriniz.

$cert = New-SelfSignedCertificate -Type Custom -KeySpec Signature `

-Subject “CN=P2SRootCert” -KeyExportPolicy Exportable `

-HashAlgorithm sha256 -KeyLength 2048 `

-CertStoreLocation “Cert:\CurrentUser\My” -KeyUsageProperty Sign -KeyUsage CertSign

Daha Sonra Client bağlantılar için bir sertifika oluşturuyoruz. Bunun içi aşağıdaki powershell komutunu kullanabilirsiniz;

New-SelfSignedCertificate -Type Custom -DnsName P2SChildCert -KeySpec Signature `

-Subject “CN=P2SChildCert” -KeyExportPolicy Exportable `

-HashAlgorithm sha256 -KeyLength 2048 `

-CertStoreLocation “Cert:\CurrentUser\My” `

-Signer $cert -TextExtension @(“2.5.29.37={text}1.3.6.1.5.5.7.3.2”)

Oluşturduğumuz sertifikaları görüntülemek için MMC konsolundan Add-Remove Snap-in açıp Certificates ekliyoruz.

Personel klasörüne girdiğimizde oluşturulan sertifikaları görebiliyoruz.

Oluşturulan Root sertifikasına alt sertifika olarak Client Sertifikasını ekleyip ilişkilendirmemiz gerek. Bunun için öncelikle sertifikaları listeleyip ardından Thumbprint ID sinden eklememiz gerekiyor.

Get-ChildItem -Path “Cert:\CurrentUser\My”

$cert = Get-ChildItem -Path “Cert:\CurrentUser\My\THUMBPRINT”

Sertifikalarımızı oluşturduktan sonra Root sertifikasını export edeceğiz ardından içindeki dataları Notepad yardımı ile açıp, üst ve alt başlıkları seçmeden kopyalıyoruz.

Kopyaladığımız sertifika datasının Root adını yazıp dataları Public sertifika kısmına yapıştırıyoruz. Ardından Create ederek VPN konfiğimizi oluşturuyoruz.

Aşağıdaki resimde de görüldüğü üzere VPN Configurasyonumuz hazır fakat P2S bağlantı için henüz Gateway oluşturmadık.

Bunun için oluşturduğumuz hub içerisine girip User (VPN Point to Site) Create likini açıp ayarlarımızı yapıyoruz. VPN Gateway ayar kısmına ayarlamış olduğumuz Point To Site Vpn konfigurasyonunu seçiyoruz, bağlanacak clientler için adres aralığı ve gateway bant genişliğini ayarlıyoruz.

Ayarları kaydettikten sonra yaklaşık 30 dakika sonra VPN gateway ayarlanmış ve aktif çalışıyor olacaktır.

User VPN konfigurasyonununa girip ayarlamış olduğumuz VPN konfigurasyonunu bilgisayarımıza indiriyoruz.

Open Vpn progragramını https://openvpn.net/community-downloads/ adresinden indirip kurulumunu yapıyoruz. Şimdi indirdiğimiz vpn konfigurasyon dosyasının içinde OpenVPN klasörünü açıp içindeki konfig dosyasını düzenlememiz gerekiyor. Aşağıdaki resimdede görüldüğü üzere daha önceden oluşturduğumuz client sertifikasını export edip, Open VPN konfigurasyonuna “$CLIENTCERTIFICATE” ve “PRIVATEKEY” eklememiz gerekiyor.

Öncelikle ChildCert dosyasını resimdeki export ediyorum. Burada dikkat edilmesi gereken PRIVATEKEY export kısmını “YES, Export the private key” olarak seçilmesidir. Çünkü OPEN VPN konfig dosyasında bu PrivateKey I girmemiz gerekiyor.

Client Sertifikasını “testClient.pfx” ismi ile dışarı çıkardım. Şimdi bu sertifika içindeki private ve Client Certifika datasını .txt olarak dışarı çıkaracağız ve ardından konfig dosyasına yazacağız. Bunun için OpenSSL programından faydalanabilirsiniz. Bu program bilgisayarınıza indirip kurun ve kurulu oluğu dizini açın. Open SSL.exe uygulamısını yönetici olarak çalıştırın.

Pfx uzantılı sertifikanızı bin klasörüne kopyalayın ve alltaki komutu çalıştırın.

openssl pkcs12 -in “testclient.pfx” -nodes -out “profileinfo.txt”

Bin klasörünün içinde oluşturduğunuz txt dosyasını göreceksiniz.

Şimdi sıra geldi konfig dosyasını hazırlamaya;

Öncelikle notepad veya notepad ++ yardımıyla vpnconfig.ovpn açın aynı zamanda BIN klasöründe oluşturduğumuz txt dosyasınıda açın. Private Key I kopyalayın.

Ardından kopyaladığınız private keyi resimde de görmüş olduğunuz $PRIVATEKEY kısmına ($PRIVATEKEY yazısını silin.) yapıştırın

Daha sonra yine bin içinde oluşturduğumuz txt dosyasındaki BEGIN CERTIFICATE datasını kopyalıyoruz.

Kopyaladığımız bu datayıda $CLIENTCERTIFICATE yerine yapıştırıyoruz. Sonrasında geriye kalan hiç bir datayı değiştirmeden konfig dosyasını kaydediyoruz.

Hazırlanan konfig dosyasını OpenVPN\Config dizinine yapıştırın veya program aracılığıyla import edin.

C:\Users\burası kendi profil isminiz\OpenVPN\config

Open VPN Connect butonuna tıklatığımızda bağlantı sağlanacaktır.

Bağlantı testi için ayarladığım HUB a ping atıyorum çalışıp çalışmadığını kontrol ediyorum.

Oluşturulan sanal HUB lar 1000 adet bağlantıyı destekleyebilir. HUBlar arasında bağlantı yapılabilir ve her bağlantı aktif aktif çalışır. Aynı noktadan site üzerindeki hub lara birden fazla bağlantı yapılabilir.

Başka bir yazıda görüşmek üzere. Umarım faydalı olmuştur.

Yorum Bırak »

*