Multi-Site-Konfiguration
Im Rahmen eines Kundenprojektes wurden wir damit konfrontiert, dass Microsoft im Rahmen der Azure Infrastruktur eine spezielle Vorgehensweisen für die Anbindung mehrerer Standorte per IPSec VPN zur Verfügung stellt.
Ob Sie eine Hardware Firewall Appliance von SonicWALL, Barracuda, Check Point, Cisco, F5, Fortinet, Juniper oder Watchguard einsetzen, spielt dabei keine Rolle. Mit den folgenden Befehlen erhalten Sie die notwendigen Details, um die VPN Tunnel zu den unterschiedlichen Standorten Ihres Unternehmens einzurichten. Ist es zur Anbindung eines Standortes möglich über das Web-Interface im Azure Portal die Pre-Shared Key Konfiguration zu erhalten, so erfordert eine Anbindung mit mehreren Standorten die Verwendung der PowerShell, um die Pre-Shared Keys zu erhalten.
Die dafür notwendigen Befehle habe wir im folgenden aufgeführt:
- PowerShell starten und mit dem Abonnement verbinden
Connect-AzureAD -Credential $UserCredential - Anzeigen der Parameter für VNetName und LocalNetworkSiteName
Get-AzureVNetSite
Dabei entspricht der Wert Name VNetName und GatewaySites den Werten von LocalNetworkSiteName. Wenn die Anzeige für die Darstellung der GatewaySites nicht ausreicht, kann man diese detailliert anzeigen lassen über: Get-AzureVNetSite | select -Expandproperty GatewaySites - Für das Auslesen der Pre-Shared Keys nutzt man jetzt den Befehl Get-AzureVNetGatewayKey
- Darauf folgt die Abfrage für VNetName (Eingabe des Namen vom Befehl Get-AzureVNetSite)
- Anschließend nach LocalNetworkSiteName (Eingabe des entsprechenden Namens von GatewaySites)
Weitere Microsoft Azure Informationen
Microsoft hat einige Informationen zum Thema VPN zusammengestellt:
https://docs.microsoft.com/de-de/azure/vpn-gateway/vpn-gateway-multi-site
Weiterführende Informationen zu kompatiblen und überprüften VPN-Geräten finden Sie hier:
https://docs.microsoft.com/de-de/azure/vpn-gateway/vpn-gateway-about-vpn-devices
Vorteile einer Azure VPN-Infrastruktur
- Kontrolle über den Datenverkehr zwischen den Subnetzwerken
- Konfiguration fortschrittlicher Netzwerktypologien möglich
- Bereitstellung isolierter und sicherer Umgebungen
- Nutzung eigener IP-Adressen und DNS-Server möglich