在探索Azure虚拟WAN的过程中,我决定写一篇简短的指南,介绍如何将非托管CPE合作伙伴的站点到站点VPN设备连接到虚拟WAN。在与Andy Syrewicze的讨论后,我们决定使用Ubiquiti Dream Machine Pro进行配置演示。本指南同样适用于以下Ubiquiti产品,并为其他供应商(如Sophos或LanCom)提供了一个适用的框架:
- Ubiquiti Dream Machine
- Ubiquiti Security Gateway 3P
- Ubiquiti Security Gateway 4P Pro
为Azure虚拟WAN做准备
首先,我们需要准备虚拟WAN,使其能够作为VPN端点。为此,您需要在其中部署一个带有VPN网关的虚拟WAN Hub。
教程:使用Azure虚拟WAN创建站点到站点连接 | Microsoft Docs
在我配置好Hub后,我开始为我的位置配置VPN站点。在我的情况下,我禁用了BGP,因为UDN Pro不支持边界网关协议。如果您使用的是支持BGP的Ubiquiti Edge设备,或者可以使用Ubiquiti Security Gateway CLI配置,则可以启用BGP。
EdgeRouter – 边界网关协议(BGP) – Ubiquiti支持中心
我将“连接到Hub”选项留空,因为它将使用默认的VPN配置。在我们的案例中,我们稍后将使用自定义和更稳定的配置。
现在我配置了WAN链接。在经典的Azure网关配置中,这将是本地网关IP。在我的示例配置中,我对传统设置进行了两处更改。第一,我使用了两个WAN链接,目前我有两个互联网服务提供商(ISP)来实现互联网冗余和连接Azure。因此,配置这两个链接到我的虚拟WAN网关是合乎逻辑的。第二个更改是我使用了常见的域名(FQDN),这使我可以使用动态DNS(DDNS)服务或自制DDNS。在我的例子中,我使用了自制DDNS,并在Azure DNS中托管我的VPN DNS条目。
对于DDNS服务,我利用了cirrius tech提供的代码。您可以参考以下链接创建自己的动态DNS服务:
使用Azure DNS创建自己的动态DNS服务 – 第1部分
在配置完链接后,Azure虚拟WAN将验证您的配置。一旦您通过了验证,您就可以创建新的VPN站点。
配置Hub和IPSec
接下来,我们导航到要连接VPN站点的Hub,并点击VPN站点。移除过滤器后,VPN站点将显示出来。现在让我们将站点连接到Hub。为此,请选择站点并点击连接。
配置面板将会显示。我使用了与Ubiquiti设备兼容的自定义配置。您也可以使用默认配置,但需要将Ubiquiti中的DH组从2更改为24,并且您只能使用较低的加密标准。因此,我更喜欢我的自定义配置。
在成功配置后,您应该看到连接状态为“成功”,连接状态为“正在更新”。
准备Ubiquiti VPN设备
在开始配置之前,我们需要从Azure收集一些信息,以便稍后将其添加到Ubiquiti隧道配置中。首先,我们需要获取Azure网关的公共IP地址。有几种方法可以做到这一点。
经典的方法是下载VPN配置文件。在这里,您将找到所有配置所需的信息。
json
[
{
"configurationVersion": {
"LastUpdatedTime": "2021-01-27T13:39:28.0925596Z",
"Version": "eb76d019-4242-443a-a1d9-d56a346972b9"
},
"vpnSiteConfiguration": {
"Name": "GBG01",
"IPAddress": "",
"LinkName": "WAN01",
"Office365Policy": {
"BreakOutCategories": {
"Optimize": false,
"Allow": false,
"Default": false
}
}
},
"vpnSiteConnections": [
{
"hubConfiguration": {
"AddressSpace": "172.20.220.0/24",
"Region": "Germany West Central",
"ConnectedSubnets": [
"10.0.0.0/24",
"10.0.1.0/24",
"192.168.155.0/24",
"192.168.22.0/24"
]
},
"gatewayConfiguration": {
"IpAddresses": {
"Instance0": "",
"Instance1": ""
}
},
"connectionConfiguration": {
"IsBgpEnabled": false,
"PSK": "",
"IPsecParameters": {
"SADataSizeInKilobytes": 102400000,
"SALifeTimeInSeconds": 3600
}
}
}
]
}
]
在该文件中,重要的点有: - hubConfiguration:{AddressSpace} – 显示用于Hub的IP子网 - ConnectedSubnets – 显示连接的虚拟网络的IP子网 - IpAddresses:{Instance0:"",Instance1:""} – 显示连接到Azure虚拟WAN VPN网关的Azure负载均衡器的公共IP
您还可以通过查看与2020年第三季度发布的网关配置手动收集这些信息。要查找连接的VNet IP空间,您需要在主Hub概述中查看连接的VNet列表,然后点击每个VNet以找到详细信息。
VPN设备配置
坦白说,对于我的配置和管理,我使用了新的Ubiquiti Alpha UI。它具有一些在Classic UI中未启用的功能,这使得配置过程更加高效和便捷。
通过本指南,您应该能够成功将Ubiquiti设备连接到Azure虚拟WAN,并享受更高效的网络体验。如果您有任何问题或需要进一步的帮助,欢迎随时联系我!
