在探索Azure虛擬WAN的過程中,我決定撰寫簡短的指南,介紹如何將非託管CPE合作夥伴的站點到站點VPN設備連接到虛擬WAN。在與Andy Syrewicze的討論後,我們決定使用Ubiquiti Dream Machine Pro進行設定示範。本指南同樣適用於以下Ubiquiti產品,並為其他供應商(如Sophos或LanCom)提供了一個適用的架構:
- Ubiquiti Dream Machine
- Ubiquiti Security Gateway 3P
- Ubiquiti Security Gateway 4P Pro
為Azure虛擬WAN做準備
首先,我們需要準備虛擬WAN,使其能夠作為VPN端點。為此,您需要在其中部署一個帶有VPN網關的虛擬WAN Hub。
教學課程:使用Azure虛擬WAN建立網站到站點連線| Microsoft Docs
在我配置Hub後,我開始為我的位置設定VPN網站。在我的情況下,我停用了BGP,因為UDN Pro不支援邊界網關協定。如果您使用的是支援BGP的Ubiquiti Edge設備,或者可以使用Ubiquiti Security Gateway CLI配置,則可以啟用BGP。
EdgeRouter – 邊界閘道協定(BGP) – Ubiquiti支援中心
我將“連接到Hub”選項留空,因為它將使用預設的VPN配置。在我們的案例中,我們稍後將使用自訂和更穩定的配置。
現在我配置了WAN連結。在經典的Azure網關配置中,這將是本機網關IP。在我的範例配置中,我對傳統設定進行了兩處更改。第一,我使用了兩個WAN鏈接,目前我有兩個互聯網服務提供商(ISP)來實現互聯網冗餘和連接Azure。因此,配置這兩個連結到我的虛擬WAN網關是合乎邏輯的。第二個變更是我使用了常見的網域名稱(FQDN),這使我可以使用動態DNS(DDNS)服務或自製DDNS。在我的例子中,我使用了自製DDNS,並在Azure DNS中託管我的VPN DNS條目。
對於DDNS服務,我利用了cirrius tech提供的程式碼。您可以參考以下連結建立自己的動態DNS服務:
在配置連結後,Azure虛擬WAN將驗證您的設定。一旦您通過了驗證,您就可以建立新的VPN網站。
配置Hub和IPSec
接下來,我們導航到要連接VPN站點的Hub,並點擊VPN站點。移除過濾器後,VPN站點將顯示出來。現在讓我們將網站連接到Hub。為此,請選擇網站並點擊連接。
配置面板將會顯示。我使用了與Ubiquiti設備相容的自訂配置。您也可以使用預設配置,但需要將Ubiquiti中的DH群組從2更改為24,並且只能使用較低的加密標準。因此,我更喜歡我的自訂配置。
成功配置後,您應該會看到連線狀態為“成功”,連線狀態為“正在更新”。
準備Ubiquiti VPN設備
在開始配置之前,我們需要從Azure收集一些信息,以便稍後將其添加到Ubiquiti隧道配置中。首先,我們需要取得Azure網關的公用IP位址。有幾種方法可以做到這一點。
經典的方法是下載VPN設定檔。在這裡,您將找到所有配置所需的資訊。
json
[
{
"configurationVersion": {
"LastUpdatedTime": "2021-01-27T13:39:28.0925596Z",
"Version": "eb76d019-4242-443a-a1d9-d56a346972b9"
},
"vpnSiteConfiguration": {
"Name": "GBG01",
"IPAddress": "",
"LinkName": "WAN01",
"Office365Policy": {
"BreakOutCategories": {
"Optimize": false,
"Allow": false,
"Default": false
}
}
},
"vpnSiteConnections": [
{
"hubConfiguration": {
"AddressSpace": "172.20.220.0/24",
"Region": "Germany West Central",
"ConnectedSubnets": [
"10.0.0.0/24",
"10.0.1.0/24",
"192.168.155.0/24",
"192.168.22.0/24"
]
},
"gatewayConfiguration": {
"IpAddresses": {
"Instance0": "",
"Instance1": ""
}
},
"connectionConfiguration": {
"IsBgpEnabled": false,
"PSK": "",
"IPsecParameters": {
"SADataSizeInKilobytes": 102400000,
"SALifeTimeInSeconds": 3600
}
}
}
]
}
]
在該文件中,重要的點有: - hubConfiguration :{ AddressSpace } – 顯示用於Hub的IP子網 - ConnectedSubnets – 顯示連接的虛擬網路的IP子網 - IpAddresses :{ Instance0 :"", Instance1 :""} – 顯示連接到Azure虛擬WAN VPN閘道的Azure負載平衡器的公共IP
您也可以透過查看與2020年第三季發布的網關設定手動收集這些資訊。要尋找連接的VNet IP空間,您需要在主Hub概述中查看連接的VNet列表,然後點擊每個VNet以找到詳細資訊。
VPN設備配置
坦白說,對於我的配置和管理,我使用了新的Ubiquiti Alpha UI。它具有一些在Classic UI中未啟用的功能,這使得配置過程更加高效和便捷。
透過本指南,您應該能夠成功將Ubiquiti設備連接到Azure虛擬WAN,並享受更有效率的網路體驗。如果您有任何問題或需要進一步的協助,歡迎隨時與我聯繫!
