Hvordan laver man en site-to-site VPN mellem din virksomhed og Azure, hvis du bruger det vildt populære Unifi netværksudstyr? Det er faktisk ikke så bøvlet som det måske lyder.
I denne guide har jeg lavet en site-to-site VPN fra en Unifi Dream Machine Pro (UDMP) ud til Azure.
Før du kan oprette selve VPN tunnellen er der et par ting der skal være på plads, så opskriften er som følger:
- Opret en local network gateway i Azure
- Opret en virtual network gateway i Azure
- Opret en site-to-site connection i Azure
- Opret en site-to-site VPN i din UDMP
De sidste to punkter kan med fordel gøres samtidig, så du er sikker på, at indstillingerne på begge sider af VPN tunnellen matcher hinanden.
Opret en local network gateway
Det første du skal have lavet er en local network gateway i Azure. Det er blot en pegepind, der kan bruges til at fortælle din VPN gateway i Azure, hvad din offentlige IP adresse er, og hvilke netværk du har internt i firmaet.
Søg på “local network gateways” i Azure og vælg Create…
Udfyld de relevante felter med den korrekte subscription, resource group osv. I feltet “IP address” skal du skrive din egen offentlige IP adresse. I “Address Space(s)” angiver du de interne netværk du har i firmaet.
Review + Create… Go go go! 😊
Opret en virtual network gateway
Det næste der skal oprettes er en virtual network gateway. Før du kan lave sådan en skal du have mindst ét virtuelt net og et subnet i azure. Når det er på plads, så er det bare at søge efter “virtual network gateways” og vælge “Create”
Udfyld igen de relevante felter såsom subscription, navn på din nye gateway og region.
I dette tilfælde har jeg blot valgt den mindste SKU der er tilgængelig. Det er mest af alt bare fordi det er den, der er billigst. Du skal nemlig være opmærksom på, at en virtual network gateway koster penge – uanset om du har en aktiv VPN tunnel eller ej. Og man kan ikke pause den eller på anden måde sætte den i “dvale” når den ikke bruges. Så taxameteret tæller med det samme du opretter den.
Gateway typen er “VPN” og jeg har valgt et af mine virtuelle netværk, og som du kan se, så har den valgt et subnet tilhørende det netværk jeg har valgt.
Nederst lader jeg Azure oprette to nye offentlige IP adresser, som skal bruges til at lave VPN forbindelsen med.
Review + Create… Go go go! 😊
OBS: Azure er lidt længe om at oprette en virtual network gateway, så hav tålmodighed med den.
Opret site-to-site VPN mellem Azure og Unifi
Så kommer vi til den spændende del af øvelsen, nemlig at oprette selve VPN forbindelsen mellem Azure og din UDMP. I Azure skal du ind på din nye gateway og vælge “Create connection”, og i Unifi skal du ind i “Settings –> VPN –> site-to-site VPN”
I Azure skal du give din forbindelse et navn og vælge typen “Site-to-site (IPsec)”. På den næste side vælger du først din nye virtual network gateway og din local network gateway som du har oprettet. Derefter kommer alle de “spændende” felter, som skal være identiske i Azure og i din UDMP.
Når du opretter en VPN i din UDMP, så foreslår den selv en god og lang preshared key. Så den har jeg bare brugt og kopieret over i feltet i Azure. Derudover har jeg tilføjet mit Azure VNET (10.100.0.0/16) som en remote network i UDMP’en.
Til sidst er det blot at matche alle kryteringsfelterne op med hinanden, som du kan se jeg har gjort her. Hvilke cryptografier der er tilladt i Azure, kan du se mere om her. Der sker hele tiden opdateringer og nye tiltag, så hvad der lige er muligt mellem Azure og dit udstyr kan hurtigt ændre sig. Men hvis ikke indstillingerne matcher i hver ende, så kommer din VPN tunnel aldrig op.
Når du har fundet de rigtige indstillinger i begge ender er det bare at trykke opret og se om det virker.
I UDMP er den ret hurtigt til at vise dig, at tunellen er oppe, hvis det virker. Så står den med status “Online”.
Azure er noget langsommere til at fatte, at der er hul igennem, men giv den nogle minutter, og så vil du se, at den er enig, og tunnellen også er registreret som “Connected” i Azure:
Det lykkedes uden de store problemer 😊
NB: Jeg yder ikke support på specifikke problemstillinger i kommentarerne her på bloggen.