In diesem Beitrag möchten wir Ihnen zeigen, wie Sie Ihre virtuellen Netze in Microsoft Azure untereinander, oder mit Ihrem lokalen Firmennetzwerk sicher und zuverlässig verbinden können, ohne dass Sie die Firewall im öffentlichen Bereich öffnen müssen. Hierzu kommt ein verschlüsseltes VNet to VNet Multi-Site VPN zum Einsatz.
Was ist Multi-Site VPN und wofür wird es eingesetzt? Mit dieser Frage möchten wir uns in diesem Beitrag beschäftigen und ein paar Anwendungsbeispiele aufzeigen. Der von unseren Kunden meist-genutzte Anwendungsfall ist die Vernetzung der lokalen Umgebung des Unternehmens mit dem Netz in Microsoft Azure. So können Sie nicht nur administrativen Aufgaben nachkommen, sondern auch Dienste in beiden Richtungen nutzen, die Sie nicht öffentlich zugänglich machen wollen. Sie können beispielsweise Remotedesktop- oder Datenbankverbindungen darüber nutzen.
Was ist Multi-Site VPN?
Multi-Site VPN beschreibt die Vernetzung mehrerer Standorte, egal ob Sie Ihre on Premise Netzwerke mit den Softwaredefined Networks (SDN) in Azure verbinden, oder mehrere Azure Tenants unter sich, über eine gesicherte Verbindung. Dabei kommen die Azure VPN Gateways und die Technologie IPsec mit IKE Sight to Sight VPN Tunnel zum Einsatz.
Zusätzliche Anwendungsbereiche zur Standortvernetzung für die Konfiguration der Server und Dienste sind z.B. die Möglichkeit Geopräsenz oder Georedundanz herzustellen. Das heißt Teile Ihrer Anwendung werden in verschiedenen Rechenzentren zur Verfügung gestellt. Zum Einen erhöhen Sie die Verfügbarkeit, falls es zu Ausfällen in einem Rechenzentrum oder der Anbindung zu diesem kommt – Zum Anderen können Sie eine bessere Performance gewährleisten, da Nutzer die z.B. aus Nordamerika auf Ihren Dienst zugreifen möchten, durch die schnellere Anbindung an ein Rechenzentrum “Vorort” profitieren.
Eine weitere Möglichkeit ist die Trennung des Private Cloud Bereichs, in dem Sie ihre Daten vorhalten, von dem öffentlichen Bereich, der nur Ihre Anwendung zur Verfügung stellt. Es gibt noch zahlreiche weitere Möglichkeiten, die aber den Rahmen des Artikels sprengen würden.
VPN innerhalb einer Azure Subscription
Zur Veranschaulichung definieren wir die beiden Netze in der gleichen Azure Subscription, eine Verbindung zweier getrennter Standorte verhält sich genauso. Obwohl es sich um die gleiche Subscription handelt sprechen wir von den beiden Standorten Westliche USA und Nordeuropa. damit klar wird welche Einstellungen wo hinterlegt werden.
Es kommen dynamische Routing Gateways zum Einsatz, um die Verbindung der Standorte herzustellen, d.h. die Gateways erstellen Ihre Routingtabellen dynamisch. Dadurch sind die Gateways wesentlich flexibler und können auch in großen Netzwerkumgebungen skalieren.
Eine weitere Voraussetzung ist das Vorhandensein eigener dedizierter Netze auf beiden Seiten. In dem Beispiel verwenden wir die die folgenden beiden Netze.
- VNet1 = 10.1.0.0/16 am Standort Westliche USA
- VNet2 = 10.2.0.0/16 am Standort Nordeuropa
Erstellen der VNets und der lokalen Netzwerke
Standort Westliche USA
- Erstellen Sie am Standort Westliche USA das VNet1 mit der Netzwerk Adresse 10.1.0.0/16
- Erstellen Sie am gleichen Standort das Lokale Netz VNet2 mit einem Platzhalter (z.B. 1.1.1.1) für das VPN Gateway und der Start IP 10.2.0.0 sowie der Netzwerkmaske /16
- Hinterlegen Sie das lokale Netz VNet2 unter “Site to Site Konnektivität”
Standort Nordeuropa
- Am Standort Nordeuropa fügen Sie das Netz VNet2 mit der Adresse 10.2.0.0/16 hinzu
- Als lokales Netzwerk hinterlegen Sie hier das VNet1 mit einem Platzhalten (z.B. 2.2.2.2) als Gateway und der Start IP 10.1.0.0 und der Maske /16
- Unter “Site to Site Konnektivität” tragen Sie hier das VNet1 ein
Erstellen und Hinterlegen der VPN Gateways
- Im Dashboard der Virtuellen Netzwerke können Sie durch klicken auf “Gateway erstellen” die beiden VPN Gateways erstellen
- nachdem sie erstellt wurden kopieren Sie die Gateway IP Adresse und hinterlegen Sie sie im lokalen Netzwerk an der Stelle des Platzhalters
- Die Gateway IP Adresse von VNet1 hinterlegen Sie im lokalen Netz VNet1
- Die Gateway IP Adresse von VNet2 hinterlegen Sie im lokalen Netz VNet2
Verbindung herstellen
Um die Verbindung zwischen den beiden Standorten herstellen zu können, müssen sie den gleichen Preshared Key benutzen. Standardmäßig erstellt Azure Ihnen pro Gateway einen eigenen Key, den Sie auf der Gegenseite eintragen können. Mit Hilfe von Powershell-Skripten (zum Download am Ende des Artikels) können Sie diesen Key aber auch selbst setzen. In unserem Beispiel ist das notwendig, damit die Schlüssel in beiden Gateways identisch sind.
- Loggen Sie sich mit Powershell in Ihrer Azure Subscription ein
- Führen Sie die Befehle “Set-AzureVNetGatewayKey” aus
- Verbinden Sie die beiden Gateways
Video bei Microsoft Channel 9
Wir haben bei Channel 9 ein Howto-Video zur Konfiguration des VNet to VNet Multi-Site VPNs erstellt. Den Clip finden Sie hier. Darin werden alle Schritte noch einmal im Detail beschrieben. Im Folgenden listen wir Ihnen die einzelnen Schritte in Stichpunkten auf.
Powershell Skripte
Hier können Sie das Powershellskript herunterladen, das Sie benötigen um den Preshared Key eines Azure VPN Gateways anzupassen.
Fazit
Durch die Standortvernetzung via Multisite VPN können Sie auf Ihre Server und Dienste in Azure zugreifen, ohne diese für die Öffentlichkeit freizugeben. Zudem sind weitere Szenarien denkbar, wie die Geopräsenz, die die Verfügbarkeit erhöhen. Wollen sie noch mehr über die Möglichkeiten in Micorosft Azure erfahren? Dann melden Sie sich bei uns. Wir freuen uns auf Ihre Nachricht.