Merhaba,
Bu yazım da Microsoft Azure Site to Site VPN Kurulumunu anlatacağım. Azure üzerinde bulunan Network ağımız ile Local Network (On-Prem) network ağımızı Site to Site VPN ile birbirlerine bağlayacağız.Site to Site VPN sayesinde Local Network’ümüz üzerinde bulunan veya Azure üzerinde bulunan Vnet’lerimiz arasında gerekli haberleşmeyi sağlayarak ister Azure üzerindeki VM’lerimizi ister On-Prem makinelerimizin yönetimini, kullanımını ihtiyacımıza yönelik senaryolar çerçevesinde yapılandırabiliriz.
Site to Site VPN kurulumunu yapabilmemiz için aşağıdaki birkaç objeye ihtiyacımız bulunuyor.
Bunlar;
-
Statik IP adresi
-
Azure üzerinde bir adet Vnet (Eğer Vnet’iniz varsa onu kullanabilir veya farklı bir Vnet oluşturarak kullanabilirsiniz.)
-
Firewall (Software veya Hardware) IPSec ikeV2 VPN özelliğinin olması.
-
Router veya Firewall üzerinde gerekli olan yönlendirmelerin (Route işlemleri LAN ve WAN bacakları için) yapılması.
-
Firewall üzerinde WAN to LAN ve LAN to WAN erişiminin sağlanması ve bu erişimler için gerekli olan protokol ve servislere izin verilmesi(https,rdp,icmp vb)
Yukarıda belirttiğim kurallar sağlıklı bir haberleşme yapılması için gereklidir.Ben test senaryosu olduğu için kurallar ve protokoller de “any” seçimi ile devam ettim.Canlı ortamlar da burada kullanılacak protokol ve servis izinlerinin doğru ve güvenli şekilde verilmesi gereklidir.
Kurulum senaryosuna istinaden Firewall olarak Sophos XG Firewall kullandım.Burada anlatılan ve yapılan her türlü yapılandırma ayarı genel olarak Tüm Firewall cihazları içinde geçerlidir.FW modelinize ve FW OS’ ne göre isim veya kural değişiklikleri olabilir.
NOT: Azure tarafında yapılan ayarlar Firewall bağımsız ayarlardır.
Kuruluma başlayabiliriz,
VPN bağlantı diagramı aşağıdaki şekilde olduğu gibidir. Resim de gösterilen iki ayrı network arasında Site to Site VPN işlemimizi yapacağız.
1.Azure Portal ekranına giriş yaptıktan sonra Marketplace kısmına girerek devam ediyoruz.
2. Arama çubuğuna “Local network gateway” diyerek aratıyoruz ve çıkan objeye tıklıyoruz.
3.”Local network gateway” Azure üzerindeki Vnet’imiz ile hangi Local Network’ümüz arasında bağlantı yapacağımızı belirlememizi sağlıyor.
Create diyerek “Local network gateway” kurulumunu başlatıyoruz.
4.
Oluşturduğumuz Local network gateway’e bir isim veriyoruz.
IP adresi kısmına Public IP adresimizi giriyoruz.
Address space kısmına VPN yapacağımız Local Network’ümüzü yazıyoruz.
Abonelik türümüzü seçiyoruz.
Kaynak grubumuzu seçiyoruz veya yeniden oluşturabilirsiniz.
Lokasyonumuzu belirleyerek devam ediyoruz.
5. Local network gateway oluşturma işlemimiz başladı.
6.Oluşturma işlemimiz bitti.
7.VPN bağlantısı yapacağımız Azure Vnet’in içine giriyoruz.Burada bir adet Gateway Subnet oluşturacağız.Bu Gateway Subnet, Azure üzerindeki Vnet ile Local Network haberleşirken bu subnet’i kullanacaklar.
8.Subnets kısmına giriyoruz sonrasın da Gateway subnet ekleyerek devam ediyoruz.
9.Gateway Subnet için bir aralık belirlememiz gerekiyor.Bu aralık mevcut 172.16.16.0/24 network’ünün içinde olmalıdır.Ben 172.16.0.0/24 olarak belirledim.Bu aralığı fazla veya az bırakmak elinizde birden fazla bağlantılar için farklı bir prefix belirleyebilirsiniz.Ör, /27 /28 vb.
10.Oluşturduğumuz Gateway Subnet gözüküyor.
11.Tekrar Portal Ekranına dönüp Marketplace’e giriş yapıyoruz.
12.Şimdi de iki lokasyon arasındaki bağlantıyı sağlayabilmemiz için Virtual network gateway oluşturuyoruz. Virtual network gateway’e tıklayarak kurulum işlemine başlıyoruz.
13.
Not: Oluşturma işlemi 15Dk sürmektedir.
14.Oluşturduğumuz Virtual network gateway’in içine girerek connection oluşturuyoruz.Bu connection VPN bağlantısı için gerekli olan network’leri belirlememizi ve Site to Site VPN için gerekli olan Pre-Shared Key’i belirlememizi sağlıyor.
15. Connection tabına geliyoruz ardından “Add” diyerek bağlantımızı oluşturmaya başlıyoruz.
16.
Önceden oluşturduğumuz LocalNetworkGateway’i seçiyoruz.
17.Oluşturduğumuz Connection görünüyor.Şuan bir bağlantı olmadığı için durum olarak bilinmiyor olarak duruyor.Local tarafta yapacağımız ayarların ardından Connected olarak bağlantı sağlamış olacağız.
18.Sophos Firewall’un arayüzüne giriyoruz ve System menüsü altından Host and Services kısmına giriyoruz.Buraya hem Azure Vnet hem de Local Network üzerindeki IP Bloğumuzu gireceğiz.
19. IP Host kısmına geliyor ve Add ile devam ediyoruz.
20.Resimde görülen şekli ile LAN network’ü için bir adet oluşturuyoruz.
21. Resimde görülen şekli ile AzureVnet network’ü için bir adet oluşturuyoruz.
22.Eklemiş olduğumuz bilgileri aşağıdaki gibi görmeliyiz.
23.Sophos Ana ekranına gelerek Configure tabı altından VPN kısmına giriyoruz.Daha sonra Ipsec Connections seçeneğine gelerek Ipsec VPN ekliyoruz.
24.Karşımıza çıkan ekrana aşağıda gördüğümüz şekilde ayarlarımızı yapıyoruz.Test senaryosu olduğu için Advanced kısmında bir ayarlama yapmadım.Siz yapınıza göre gerekli olan güvenlik ayarlamalarını yapabilirsiniz.
25.
Local Gateway
Listening Interface olarak Firewall’ın WAN bacağını seçiyoruz.
Local ID Type ise IP Address olarak seçiyoruz.
VPN yapacağımız Local Network’ümüzü giriyoruz.
Local Subnet olarak ise daha önce oluşturduğumuz Subneti seçiyoruz.
Remote Gateway
Gateway address olarak Azure Tarafındaki DIŞ IP adresimizi (Public IP adresimizi) giriyoruz.
Remote ID Type olarak IP Address seçiyoruz.
Remote ID olarak yine Azure Tarafındaki DIŞ IP adresimizi (Public IP adresimizi) giriyoruz.
Remote Subnet olarak ise daha önce oluşturduğumuz Subneti seçiyoruz.
Public IP adresimizi Resource’ların altında görebiliriz.
26.Bağlantımızı ekledik ve çalışır duruma geldi.Eğer bağlantılar UP durumda değil ise yeşil ışık yanan yer kırmızı konumda olacaktır.Kırmızı ışıklara tıklayarak bağlantıları aktif edebilirsiniz.Eğer hala kırmızı ise ayarları kontrol ediniz.
27.Bu işlemlerin ardından Protect-Firewall kısmına gelerek VPN Bağlantımız için gerekli olan Firewall Kurallarını oluşturuyoruz.Kuralları In ve Out olarak iki adet oluşturacağız.
28.Kuralı aşağıdaki resime göre yapabilirsiniz.Makalenin başında söylediğim gibi ben test ortamı olduğu için “ANY” access veriyorum.Siz yapınıza göre düzenleme yapabilirsiniz.
Not: Azure tarafında bulunan ResourceGroup için de NSG’niz üzerinde gerekli olan kuralları tanımlamanız gerekebilir.Bağlantıyı test etmek için Azure tarafındaki Vnet’iniz için “Any Allow Access” şeklinde In ve Out olarak tanımlama yapabilirsiniz.
29.Oluşturmuş olduğumuz kuralları görebiliriz.
30.Şimdi Site to Site VPN bağlantımızı kontrol edelim.Bağlantımızın durumu Connected olarak güncellenmiş.Site to Site VPN bağlantımız gerçekleşmiş oldu bir de bu bağlantıyı test edelim.
31.Azure Vnet’i üzerindeki VM’e Ping atmayı deneyeceğiz.
32.İç network’ümde bulunan test VM’ine Azure üzerinde bulunan VM üzerinden Ping atabiliyorum.
33.Local Netwok’üm de bulunan VM’den Azure üzerindeki VM’e Ping atabiliyorum.
Kurulum işlemimiz bitmiştir.Bir sonraki yazım da görüşmek üzere..