Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

2 VPN tunnels naar 1 Azure Virtual Network

Pagina: 1
Acties:

woensdag 18 december 2013 15:15

Acties:

Verwijderd

Topicstarter
In Azure wil ik het volgende realiseren:

1 Virtual network met daarin een paar VM's.
Deze VM's moeten vanuit 2 locaties beschikbaar zijn.

Tussen NL en Azure heb ik al succesvol een tunnel opgezet.
Tussen het kantoor in het buiteland en dezelfde Azure omgeving nog niet.
Ik loop vast omdat het VPN script het 2e local network niet meegeeft.

Aan dezelfde gateway in Azure wil ik dus eigenlijk 2 VPN tunnels hangen.
Kan ik aan mijn gateway (firewall) op kantoor immers ook, dus waarom zou dat niet in Azure kunnen?

Situatie schets:

Afbeeldingslocatie: http://i41.tinypic.com/2d83ucg.jpg

Ik wil niet dat men vanuit het buitenland over de VPN tunnel tussen de 2 locaties naar Azure gaat, maar een directe lijn naar Azure heeft.

Wanneer ik een 2e Virtual Network wil aanmaken kan ik wel een VPN tunnel configureren naar het andere kantoor. Maar die krijgen dan een Eigen aparte Virtuale Network binnen Azure, en dat wil ik niet, de VM's hangen immers in het reeds bestaande Virtual Network.

Wie weet hoe ik dit voor elkaar kan krijgen?
Zie ik iets over het hoofd?
Kan het technisch uberhaupt wel?

Wat hulp in de juiste richting zou erg welkom zijn. :)

vrijdag 20 december 2013 16:14

Acties:

Verwijderd

Topicstarter
Iemand?

vrijdag 20 december 2013 16:15

Acties:
  • lier
  • Registratie: Januari 2004
  • Laatst online: 30-11 17:54

lier

MikroTik nerd

Heb je al iemand binnen Microsoft hiervoor benaderd? Ik heb erg goede ervaring met ondersteuning van vraagstukken...

Eerst het probleem, dan de oplossing

zaterdag 21 december 2013 22:32

Acties:

Verwijderd

Topicstarter
Nee nog niet.
Heb alleen nog maar een gratis variant en daar zit geen support bij.

zondag 22 december 2013 12:02

Acties:
  • lier
  • Registratie: Januari 2004
  • Laatst online: 30-11 17:54

lier

MikroTik nerd

Azure wordt door Microsoft stevig gepromoot, lijkt me de moeite waard om eens op een forum van Microsoft deze vraag te stellen...

Eerst het probleem, dan de oplossing

zondag 22 december 2013 12:46

Acties:
  • Kompaan
  • Registratie: Juni 2009
  • Laatst online: 02-12-2022

Kompaan

Dit kan, RIP of OSPF (of BGP als je fancy wil doen) zou handig zijn om routing te regelen (je hebt meerdere routes naar je cloud).
Ik loop vast omdat het VPN script het 2e local network niet meegeeft.
Wat je kan doen is je 2 VPNs als volgt opzetten 10/8 naar 10.10/16 en vervolgens je routing protocol laten uitzoeken welke route het verkeer zou moeten nemen.

Andere optie is om 2 z.g.n. "Phase 2"s te gebruiken (10.100/16 <> 10.10/16 en 10.200/16 <> 10.10/16), maar daar voorziet dat script niet in, dus moet je die zelf toevoegen.

(ik ga er even vanuit dat dit IPSec is)

Als je geen 2e VPN naar Azure wil maken en moeilijke routing dingen wil doen, kan je ook het verkeer vanaf "buitenland" voor Azure door de site to site heen sturen, met een 2e "Phase 2" op je site-to-site (10.200/16 <> 10.10/16).

zondag 22 december 2013 15:15

Acties:

Verwijderd

Topicstarter
Ik begrijp uit je reactie dat het moet kunnen.
Maar je gaat net even wat te diep voor mijn kennis niveau. ;)

Je zou mij erg blij maken door het (voor mij) iets begrijpelijker uit te leggen. :)
Zou je daar toe bereid zijn?

zondag 22 december 2013 17:20

Acties:
  • Kompaan
  • Registratie: Juni 2009
  • Laatst online: 02-12-2022

Kompaan

Als je een linkje hebt met het script/instructies wat je gevolgd hebt, dan kan ik het misschien aan de hand daarvan verder uitleggen?

zondag 22 december 2013 17:42

Acties:

Verwijderd

Topicstarter
Bij deze. Wat aan IP's weg gehaald i.v.m. security.
Dit staat dus in NLFW.

Er zal dus iets vergelijkbaars moeten in INFW, maar of Azure dat zomaar accepteert?

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33

set security ike proposal azure-proposal authentication-method pre-shared-keys
set security ike proposal azure-proposal dh-group group2
set security ike proposal azure-proposal authentication-algorithm sha1
set security ike proposal azure-proposal encryption-algorithm aes-256-cbc
set security ike proposal azure-proposal lifetime-seconds 28800
set security ike policy azure-policy mode main
set security ike policy azure-policy proposals azure-proposal
set security ike policy azure-policy pre-shared-key ascii-text <CODE>
set security ike gateway azure-gateway ike-policy azure-policy
set security ike gateway azure-gateway address <IP>
set security ike gateway azure-gateway external-interface <INT>
set security ipsec proposal azure-ipsec-proposal protocol esp
set security ipsec proposal azure-ipsec-proposal authentication-algorithm hmac-sha1-96
set security ipsec proposal azure-ipsec-proposal encryption-algorithm aes-256-cbc
set security ipsec proposal azure-ipsec-proposal lifetime-seconds 3600
set security ipsec policy azure-vpn-policy proposals azure-ipsec-proposal
set security ipsec vpn azure-ipsec-vpn bind-interface <INT>
set security ipsec vpn azure-ipsec-vpn ike gateway azure-gateway
set security ipsec vpn azure-ipsec-vpn ike proxy-identity local 10.100.0.0/16
set security ipsec vpn azure-ipsec-vpn ike proxy-identity remote 10.10.0.0/16
set security ipsec vpn azure-ipsec-vpn ike proxy-identity service any
set security ipsec vpn azure-ipsec-vpn ike ipsec-policy azure-vpn-policy
set security ipsec vpn azure-ipsec-vpn establish-tunnels immediately
set security policies from-zone Servers to-zone vpn policy azure-security-servers-to-vpn match source-address vpn-local-net-servers
set security policies from-zone Servers to-zone vpn policy azure-security-servers-to-vpn match destination-address azure-networks-1
set security policies from-zone Servers to-zone vpn policy azure-security-servers-to-vpn match application any
set security policies from-zone Servers to-zone vpn policy azure-security-servers-to-vpn then permit
set security policies from-zone vpn to-zone Servers policy azure-security-vpn-to-servers match source-address azure-networks-1
set security policies from-zone vpn to-zone Servers policy azure-security-vpn-to-servers match destination-address vpn-local-net-servers
set security policies from-zone vpn to-zone Servers policy azure-security-vpn-to-servers match application any
set security policies from-zone vpn to-zone Servers policy azure-security-vpn-to-servers then permit
set security zones security-zone vpn address-book address azure-networks-1 10.100.0.0/16
set interfaces stX unit X family inet address <IP>

zondag 22 december 2013 19:39

Acties:
  • Kompaan
  • Registratie: Juni 2009
  • Laatst online: 02-12-2022

Kompaan

Ha, het lijkt erop dat Azure dit niet ondersteunt:

MSDN: Multiple site-to-site VPN with Azure

Dan wordt het dus via de site2site verbinding.

Op je VPN van NL-Azure zou je dan dit moeten hebben:
set security ipsec vpn azure-ipsec-vpn ike proxy-identity local 10.0.0.0/8
set security ipsec vpn azure-ipsec-vpn ike proxy-identity remote 10.10.0.0/16


en op je Site to Site NL zijde:
set security ipsec vpn azure-ipsec-vpn ike proxy-identity local 10.0.0.0/8
set security ipsec vpn azure-ipsec-vpn ike proxy-identity remote 10.200.0.0/16


Site to Site buitenland zijde:
set security ipsec vpn azure-ipsec-vpn ike proxy-identity local 10.200.0.0/16
set security ipsec vpn azure-ipsec-vpn ike proxy-identity remote 10.0.0.0/8


Op deze manier gaat het verkeer van buitenland -> NL -> Azure

(je policies wel ook op aanpassen, er gaan extra subnets over deze verbinding nu)

zondag 22 december 2013 22:28

Acties:

Verwijderd

Topicstarter
Jammer dat Azure dat niet ondersteund. Zo te lezen zijn er plannen om het voor in de toekomst wel mogelijk te maken. Bij voorkeur wil ik namelijk niet het verkeer via NL laten lopen.
Teveel afhankelijkheden / latency op die manier.

Voor nu zou het kunnen, gezien het slechts om en enkele DC gaat voor de site in het buitenland.
Maar voor de toekomst is het wenselijker om het direct te hebben. Nou ja, hopelijk is het een goed voornemen voor 2014 van Microsoft Azure dan. ;)

Thanks zover, zeer gewaardeerd! :)

maandag 23 december 2013 20:18

Acties:
  • Kompaan
  • Registratie: Juni 2009
  • Laatst online: 02-12-2022

Kompaan

geen probleem, ikzelf moet een keer met een dergelijke constructie aan de slag bij EC2, maar ik heb daar nog niet verder naar gekeken.

donderdag 2 januari 2014 11:45

Acties:

Verwijderd

Topicstarter
Zit een conflict in je voorstel.
Azure accepteert het niet als ik 'remote' aanpas naar 10.0.0.0/8
Aangezien het lokale subnet dat ik op Azure heb ingesteld binnen die range valt.
Klinkt ook vrij logisch eerlijk gezegd.

Wat wel kan is dat ik een extra remote subnet toevoeg op azure.
Dat gedaan, maar resulteert nog niet in verkeer richting het buitenlandse kantoor.

In mijn NL FW staat wel al een static route voor verkeer richting het subnet in het buitenland.
Ook geprobeerd een route aan te maken in een VM (route add....) maar dat werkt ook niet.

Ik zie iets over het hoofd denk ik?

donderdag 2 januari 2014 23:56

Acties:
  • Kompaan
  • Registratie: Juni 2009
  • Laatst online: 02-12-2022

Kompaan

Verwijderd schreef op donderdag 02 januari 2014 @ 11:45:
Zit een conflict in je voorstel.
Azure accepteert het niet als ik 'remote' aanpas naar 10.0.0.0/8

Aangezien het lokale subnet dat ik op Azure heb ingesteld binnen die range valt.
Klinkt ook vrij logisch eerlijk gezegd.
Niet alle interfaces accepteren dat, heb ik wel vaker gezien, ik heb het wel zien werken (directly connected subnets hebben voorrang op remote subnets)
Wat wel kan is dat ik een extra remote subnet toevoeg op azure.
Dan kan je dus mijn andere scenario doen denk ik
Dat gedaan, maar resulteert nog niet in verkeer richting het buitenlandse kantoor.

In mijn NL FW staat wel al een static route voor verkeer richting het subnet in het buitenland.
Ook geprobeerd een route aan te maken in een VM (route add....) maar dat werkt ook niet.

Ik zie iets over het hoofd denk ik?
Ja, je VPN laat die extra subnetten niet zomaar door, aangepast van eerdere comment:

Op je VPN van NL-Azure zou je dan dit moeten toevoegen:
set security ipsec vpn azure-ipsec-vpn ike proxy-identity local 10.200.0.0/16
set security ipsec vpn azure-ipsec-vpn ike proxy-identity remote 10.10.0.0/16


en op je Site to Site NL zijde voeg je toe:
set security ipsec vpn azure-ipsec-vpn ike proxy-identity local 10.10.0.0/16
set security ipsec vpn azure-ipsec-vpn ike proxy-identity remote 10.200.0.0/16


Site to Site buitenland zijde:
set security ipsec vpn azure-ipsec-vpn ike proxy-identity local 10.200.0.0/16
set security ipsec vpn azure-ipsec-vpn ike proxy-identity remote 10.10.0.0/16

vrijdag 21 november 2014 14:44

Acties:
  • Audio-Catalyst
  • Registratie: Januari 2014
  • Laatst online: 12-12-2024

Audio-Catalyst

Op dit moment doen wij dit reeds...

Wij adverteren via OSPF en/OF BGP de Azure routes vanuit in jou voorbeeld NL naar een stuk of 30 andere locaties.
Waar je wel even op moet letten is dat zorgt dat je een Multi Tunnel vanuit azure gebruikt

vrijdag 21 november 2014 17:35

Acties:

Verwijderd

Topicstarter
Ik inmiddels ook.
Ten tijde van het schrijve van mijn TS kon dat nog niet in Azure. ;)
Ik moest er ook mijn SRX 240's van voorzien met een nieuwere firmware, omdat die ik gebruikte het ikev2 protocol niet ondersteunde.

[ Voor 43% gewijzigd door Verwijderd op 21-11-2014 17:36 ]

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq