AZURE VIRTUAL WAN S2S VPN – FORTINET BAĞLANTISI

Sadık ŞAHİN 09 Kasım 2019 0
AZURE VIRTUAL WAN S2S VPN – FORTINET BAĞLANTISI
  • Sumo

Merhaba bir önceki makalemizde Azure Virtual WAN ve Virtual WAN üzerinden Point to Site VPN konfigurasyonu nasıl yapılır bahsetmiştik. Virtual WAN servisinin içinde barındırdığı virtual HUB sayesinde bu hub üzerine bağlı tüm vpn bağlantılarını birbirleri ile haberleştirir. Daha önce P2S bağlantımızı önce HUB Gateway ile sonrasında Azure Virtual Network ile haberleştirmiştik.

Bugünkü senaryomuzda yapımıza vendor olarak FORTINET firewall dahil edip, Azure Virtual WAN hub ile site to site VPN senaryosu gerçekleştireceğiz. Ardından Route yol haritası belirleyip Azure Virtual Network ile haberleştireceğiz. Amacımız Main Office ve Branch Office mantığında tüm site leri birbiri ile haberleştirmek.

Tabi ben demo yapıyı sıfırdan kuracağım için en baştan aşama aşama anlatacağım. Sizlerin mevcutta bir virtual WAN yapısı varsa Routing ve Fortinet üzerinden konuya dahil olup ilerleyebilirsiniz. Öncelikle Marketplace içinden Virtual WAN servisini bulup kurulumu başlatıyorum.

Daha sonra aboneliğimi seçiyorum. Eğer bir Resource Group varsa onun üzerinden devam edebilirsiniz yoksa yeni bir Resource Group oluşturabilirsiniz. Ben LABs isminde bir Resource Group oluşturuyorum. Bölge olarak bana en yakın olan West Europe seçiyorum. Ardından Virtual WAN için bir isim belirleyip, Type= Standard seçiyorum. Standard seçmemdeki amaç tüm VPN bağlantılarını (Site to Site – Express Route- Point to Site) kullanabilmek. Basic seçerseniz sadece Site to Site kullanabilirsiniz. Son olarak HUB için bir ip belirleyip servisi kuruyorum.

Bir sonraki aşamada HUBS bölümünden yeni bir HUB oluşturuyorum. Yeni bir HUB oluştururken karşınıza ayarlamak istediğiniz VPN modellerinide getirecek. İsterseniz hemen ayarlayabilir istersenizde HUB oluşturduktan sonra ayarlayabilirsiniz. Ben sadece HUB oluşturup devam ediyorum.

Hub oluştuktan sonra overview sekmesine giriş yapıyorum ve Oluşturduğum HUB ismini, ip adresini ve hangi bölgede olduğunu görüntülüyorum.

Senenaryomuzda Site to Site VPN ekleyeceğimiz için öncelikle bir Gateway oluşturmamız gerekiyor. Bunun için oluşturduğumuz HUB ‘a girip Site to Site VPN için Gateway oluşturuyorum. Ortalama 30-45 dk sonra Gateway aşağıdaki resimde görüldüğü gibi aktif olacaktır.

Daha sonra HUB a bağlamak üzere bir Site profili oluşturacağız. Ofislerimizden birinin profilini oluşturuyorum. Bunun için VPN Sites bölümüne girip Create Site sekmesini açıyorum. Bağlamak istediğim ofisimin ismini, ofisimde kullandığım firewall vendör ünü, Ofisimde kullandığım ip bloğunu ve hangi HUB a bağlamak istediğimi belirtiyorum.

Border Gateway Protocol isteğe bağlı bir özelliktir. Eğer şirket içi cihazınız BGP yi destekliyorsa bu özelliği kullanabilirsiniz. BGP nedir neden kullanılmalıdır. İlgili dökümanı inceleyebilirsiniz aşağıdaki linkten inceleyebilirsiniz.

https://docs.microsoft.com/tr-tr/azure/vpn-gateway/vpn-gateway-bgp-overview

Tüm bu ayarlardan sonra ofis içindeki firewall bilgilerini yazıyorum. Hattımın Hızı, ISP ve Public Ip Adresimi yazıp HUB ile ilişkilendiriyorum.

Son haliyle aşağıdaki resimde olduğu gibi oluşturduğum Site isminin HUB ile bağlantı kurduğunu görebiliyorum.

Bir sonraki aşamada HUB-001 ismi ile oluşturduğum Hub içerisine giriyorum ardından VPN (Site to Site ) bölümüne giriyorum. Burada Şirket içi VPN bağlantısı için ayarlamalar yapacağız. Ben bu ayarlamaları FORTINET e göre yapacağım. Sizde kendi vendörünüze göre ayar yapabilirsiniz.

Öncelikle Mainoffice yazan site ismine gelip edit butonundan ayar girmek üzere değişiklik yapıyorum.

Aşağıdaki ayarları Fortigate firewall a göre yapılandırdım. Eğer fortigate kullanıyorsanız sizde bu ayarları yaptıktan sonra kaydedin ve Office içindeki VPN konfigurasyonunu yapın.

Azure VPN Site Konfigurasyonu

Bu konfigurasyonu yaptıktan sonra vpn konfigurasyonunu download edin ve notepad yardımıyla açın. Bu konfiguraysonun içinde Azure VPN Gateway bilgilerini göreceksiniz. Fortigate (Şirket içi) tarafını ayarlarken bu bilgiler lazım olacak.

Fortigate (v6.2.0 build0866) VPN Konfigurasyonu

VPN – IpSecTunnels- Custom Konfigurasyon kısmından ayarları yapılandırın. Azure VPN konfigurasyonun içinden çıkan Gateway IP sini ip address kısmına yazın.

Azure VPN tarafını yapılandırırken PSK yazmıştım bunu Fortigate tarafınada yazıyorum ve IKE versionunu 2 seçiyorum.

Ardından Phase 1 Proposal yapılandırıyorum. Azure VPN konfig tarafında ne ayar yapıldıysa aynısını Fortinet üzerinde de yapıyorum.

Phase 2 Selectors kısmınıda Azure VPN konfigurasyonuna göre aynı şekilde yapılandırıyorum.

Ardından IPv4 Policy bölümüne girerek kurallarımı yazıyorum. Ardından Static Route oluşturup kaydediyorum.

Azure VPN tarafına baktığımızda bağlantım sağlanmış görünüyor. Ofisimizi VPN ile HUB a bağladık. Diğer şubeleride bu şekilde hub a bağlayabilirsiniz. Ben azure sanal network bağlantısınıda göstermek adına Şube yerine Azure Virtual Network bağlayacağım. Bunun için virtual wan ekranına tekrar dönüyorum ve menülerden virtual network connections a giriş yapıyorum.

Add Connection Sekmesinden bağlantı kurmak istediğinim Azure virtual network seçip kaydediyorum. Hepsi bukadar. Artık Azure sanal ağımda bu hub üzerinde bağlı.

Şimdi geldik işin en önemli kısmına. Son haliyle yapımızda hem Merkez ofis tarafı hemde Azure tarafı HUB ile haberleşebiliyor. Fakat HUB üzerinde bir route yazmadığımız için Merkez office ile Azure Virtual Network iletişim sağlayamıyor.

Merkez ofis tarafından HUB ip adresine ping;

C:\WINDOWS\system32\cmd.exe

HUB üzerinde bağlı olan Azure Network ve Şirket içi networkleri haberleştirmek için Powershell üzerinden aşağıdaki komutları kullanabilirsiniz.

Bunun için öncelikle Azure Powershell modülüne login olmanız ve Virtual WAN servisinin bulunduğu aboneliğe geçmeniz gerekmektedir.

Ardından azure aboneliğinize bağlanmak için Add-AzAccount komutunu çalıştırın. Açılan login ekranına Azure aboneliğinizin bulunduğu hesab ile giriş yapın.

Azure aboneliğinize bağlantı sağlandığında aşağıdaki resimde olduğu gibi hangi abonelik için işlem yapacağınızı göreceksiniz. Eğer Virtual WAN bu abonelikte başlatıldıysa işlemlere devam edebilirsiniz.

Eğer birden fazla aboneliğiniz varsa ve Virtual WAN farklı bir abonelikte oluşturulduysa, virtual WAN servisinin bulunduğu aboneliğe geçmemiz gerekiyor. Bunun için aşağıdaki komutu yazarak aboneliklerimizi listeliyoruz.

Ardından Set-AzContext -subscriptionId xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx komutunu girip Virtual WAN servisinin bulunduğu aboneliğe geçiyoruz.

Ardından sanal HUB yolu oluşturmamız gerekiyor bunun için aşağıdaki komutu girmeniz gerekmektedir. Kendi yapınıza göre düzenleyebilirsiniz.

Azure Virtual Net IP aralığı 10.0.0.0/24

Hub İle Şirket içi bağlantı özel ip adresi 10.24.0.13 dir. Bu adresleri HUB içerisindeki Routing menüsünden bulabilirsiniz.

$route1 = New-AzVirtualHubRoute -AddressPrefix @(“10.0.0.0/24”) -NextHopIpAddress “10.24.0.13”

Bu komutun ardından hub yol tablosunu olşuşturuyouz. Bunun için aşağıdaki powershell komutunu çalıştırın.

$routeTable = New-AzVirtualHubRouteTable -Route @($route1)

Tüm değişikliklerin aktif olabilmesi için aşağıdaki komutu çalıştrmanız gerekmektedir. Bunuda kendi yapınıza göre düzenleyebilirsiniz.

Update-AzVirtualHub -VirtualWanId $virtualWan.Id -ResourceGroupName “testRG” -Name “westushub” -RouteTable $routeTable

Bütün yapılandırma tamamlandıktan sonra Merkez Ofisteki 10.10.0.0/16 ip bloğundan Azure Virtual Network 10.0.0.0/24 ip bloğuna ve tam tersi yönünde ping atabiliyoruz.

Merkez Ofis tarafından Azure VNET ip adresine ping;

C:\WINDOWS\system32\cmd.exe

Tüm yapımız birbirleri ile iletişime geçmeye başladı. Site to Site VPN hazır. Bir sonraki makalede görüşmek üzere…

Yorum Bırak »

*