In diesem Beitrag möchten wir Ihnen zeigen, wie Sie Ihre virtuellen Netze in Microsoft Azure untereinander, oder mit Ihrem lokalen Firmennetzwerk sicher und zuverlässig verbinden können, ohne dass Sie die Firewall im öffentlichen Bereich öffnen müssen. Hierzu kommt ein verschlüsseltes VNet to VNet Multi-Site VPN zum Einsatz.

Was ist Multi-Site VPN und wofür wird es eingesetzt? Mit dieser Frage möchten wir uns in diesem Beitrag beschäftigen und ein paar Anwendungsbeispiele aufzeigen. Der von unseren Kunden meist-genutzte Anwendungsfall ist die Vernetzung der lokalen Umgebung des Unternehmens mit dem Netz in Microsoft Azure. So können Sie nicht nur administrativen Aufgaben nachkommen, sondern auch Dienste in beiden Richtungen nutzen, die Sie nicht öffentlich zugänglich machen wollen. Sie können beispielsweise Remotedesktop- oder Datenbankverbindungen darüber nutzen.

Quelle: Microsoft
Quelle: Microsoft

Was ist Multi-Site VPN?

Multi-Site VPN beschreibt die Vernetzung mehrerer Standorte, egal ob Sie Ihre on Premise Netzwerke mit den Softwaredefined Networks (SDN) in Azure verbinden, oder mehrere Azure Tenants unter sich, über eine gesicherte Verbindung. Dabei kommen die Azure VPN Gateways und die Technologie IPsec mit IKE Sight to Sight VPN Tunnel zum Einsatz.

Zusätzliche Anwendungsbereiche zur Standortvernetzung für die Konfiguration der Server und Dienste sind z.B. die Möglichkeit Geopräsenz oder Georedundanz herzustellen. Das heißt Teile Ihrer Anwendung werden in verschiedenen Rechenzentren zur Verfügung gestellt. Zum Einen erhöhen Sie die Verfügbarkeit, falls es zu Ausfällen in einem Rechenzentrum oder der Anbindung zu diesem kommt – Zum Anderen können Sie eine bessere Performance gewährleisten, da Nutzer die z.B. aus Nordamerika auf Ihren Dienst zugreifen möchten, durch die schnellere Anbindung an ein Rechenzentrum “Vorort” profitieren.
Eine weitere Möglichkeit ist die Trennung des Private Cloud Bereichs, in dem Sie ihre Daten vorhalten, von dem öffentlichen Bereich, der nur Ihre Anwendung zur Verfügung stellt. Es gibt noch zahlreiche weitere Möglichkeiten, die aber den Rahmen des Artikels sprengen würden.

VPN innerhalb einer Azure Subscription

Zur Veranschaulichung definieren wir die beiden Netze in der gleichen Azure Subscription, eine Verbindung zweier getrennter Standorte verhält sich genauso. Obwohl es sich um die gleiche Subscription handelt sprechen wir von den beiden Standorten Westliche USA und Nordeuropa. damit klar wird welche Einstellungen wo hinterlegt werden.

Es kommen dynamische Routing Gateways zum Einsatz, um die Verbindung der Standorte herzustellen, d.h. die Gateways erstellen Ihre Routingtabellen dynamisch. Dadurch sind die Gateways wesentlich flexibler und können auch in großen Netzwerkumgebungen skalieren.
Eine weitere Voraussetzung ist das Vorhandensein eigener dedizierter Netze auf beiden Seiten. In dem Beispiel verwenden wir die die folgenden beiden Netze.

Quelle: Microsoft
Quelle: Microsoft

Erstellen der VNets und der lokalen Netzwerke

Standort Westliche USA
Standort Nordeuropa

Erstellen und Hinterlegen der VPN Gateways

Verbindung herstellen

Um die Verbindung zwischen den beiden Standorten herstellen zu können, müssen sie den gleichen Preshared Key benutzen. Standardmäßig erstellt Azure Ihnen pro Gateway einen eigenen Key, den Sie auf der Gegenseite eintragen können. Mit Hilfe von Powershell-Skripten (zum Download am Ende des Artikels) können Sie diesen Key aber auch selbst setzen. In unserem Beispiel ist das notwendig, damit die Schlüssel in beiden Gateways identisch sind.

Video bei Microsoft Channel 9

Wir haben bei Channel 9 ein Howto-Video zur Konfiguration des VNet to VNet Multi-Site VPNs erstellt. Den Clip finden Sie hier. Darin werden alle Schritte noch einmal im Detail beschrieben. Im Folgenden listen wir Ihnen die einzelnen Schritte in Stichpunkten auf.

Powershell Skripte

Hier können Sie das Powershellskript herunterladen, das Sie benötigen um den Preshared Key eines Azure VPN Gateways anzupassen.

Fazit

Durch die Standortvernetzung via Multisite VPN können Sie auf Ihre Server und Dienste in Azure zugreifen, ohne diese für die Öffentlichkeit freizugeben. Zudem sind weitere Szenarien denkbar, wie die Geopräsenz, die die Verfügbarkeit erhöhen. Wollen sie noch mehr über die Möglichkeiten in Micorosft Azure erfahren? Dann melden Sie sich bei uns. Wir freuen uns auf Ihre Nachricht.