9 February 2015 Matthias Autrique

Een VPN verbinding opzetten tussen Watchguard XTM firewall en Azure

In deze post geven we wat meer uitleg over het opzetten van een site to site vpn verbinding tussen een Watchguard XTM firewall en Windows Azure.

STAP 1

Aanmaken virtual network

Stap 1

Log in op Azure (https://manage.windowsazure.com). Kies linksonder in de hoek voor NEW/Network Services/Virtual Network/ Custom Create.

Stap 2

Geef een naam aan je virtual network en kies een locatie.

STAP2

Stap 3

Als je wil dat de Azure VM’s je interne DNS servers gebruiken, geef deze dan hier in.
Vink ConfigureSite-To-Site VPN aan.

STAP 3

Stap 4

Geef nu een naam in voor je interne netwerk waar je een vpn naar wil leggen. Bij VPN Device IP Address geef je het externe IP address in van je Watchguard firewall. Nu gaan we de subnetten ingeven van je lokale netwerk waar je verbinding mee wil leggen. (niet die van Azure) In dit voorbeeld een verbinding met 1 subnet.

STAP 4

Stap 5

Nu gaan we de IP range(s) aanmaken voor gebruik in Azure. Je kan zoveel subnets aanmaken als je zelf wil. Let wel op dat de eerste 3 IP adressen van je range gebruikt worden door Azure zelf voor interne doeleinden.

STAP 5

Stap 6

Azure zal nu beginnen met het aanmaken van het virtual network. Dit kan enige tijd duren, dus wees geduldig. Als dit aangemaakt is ga dan naar het Dashboard van je virtual network. Je zal zien dat Azure een melding geeft dat er nog geen Gateway aangemaakt is. Om dit te doen klikken we onderdaan op Create Gateway/Static Routing. Dit neemt ook weer enige tijd in beslag. Houd wel in gedachten dat als je ooit je virtual network verwijdert en opnieuw aanmaakt het IP address van je Gateway anders zal zijn.

STAP 6

Aanmaken Gateway

Stap 7

Het enige dat we nog moeten weten voor we aan het Watchguard gedeelte beginnen is de Shared Key om de vpn verbinding tot stand te kunnen brengen. Om dit te weten te komen klikken we onderaan op Manage Key.

STAP 7

Watchguard configuratie

Stap 8

Open lokaal in je netwerk de Watchguard Systemmanager en ga naar de Policy Manager. Onder het tabblad VPN kiezen we eerst voor Branch Office Gateways en klikken we op Add om er één toe te voegen. Vervolgens voegen we een Gateway Endpoint toe.

STAP 8

Stap 9

Nu gaan we wat instellingen wijzigen in de Phase1 Settings. Zie dat je settings gelijk staan met onderstaande.

STAP 9.1

STAP 9.2

Stap 10

Nu dit in orde is gaan we een tunnel aanmaken naar Azure. Sluit de branch office gateway en kies VPN/Branch Office Tunnels. We voegen vervolgens een tunnel toe door op Add te klikken.

STAP 10

Stap 11

Als we dan op Add klikken krijgen we volgend venster. Bij Local vullen we de range in van ons lokaal netwerk (zie stap 4). Bij Remote vullen we de Address Space in die we ingevuld hebben in Azure (zie stap 5).

STAP 11

Stap 12

Klik op Phase2 Settings en verwijder de standaard IPsec Proposal (PFS moet zeker af staan!). Zie onderstaande afbeelding voor de juiste settings.

STAP 12

Stap 13

Zie zeker dat de Multicast settings afstaan onder het tabblad Multicast Settings

Stap 14

Klik op OK en sluit het venster. Sla vervolgens je config op naar de firebox.

Stap 15

De VPN verbinding is nu als alles is goed gegaan tot stand gekomen. Dit kan je nakijken op het Azure Portal onder Networks. Hier kan ook nagekeken worden hoeveel data er reeds over de verbinding gelopen is.

STAP 15

Aanmaken Virtual machine gekoppeld aan VPN

Stap 16

Nu het belangrijkste gedeelte. Het aanmaken van (een) Virtual Machine(s) die gebruik kunnen maken van de vpn verbinding. Navigeer onder het Azure Portal naar Virtual Machines en klik linksonder op New>Virtual Machine>Form Gallery

STAP 16

Stap 17

Kies nu een OS naar voorkeur of een eerder gemaakte image.

STAP 17

Stap 18

Vul vervolgens de gevraagde gegevens naar keuze in.

STAP 18

Stap 19

Maak vervolgens een nieuwe Cloud Service aan en duid bij Region/Affinity Group /Virtual Network je gemaakte Virtual Network

STAP 19

Stap 20

In het volgende scherm duid de gewenste instellingen aan en voltooi de configuratie. Wacht vervolgens tot de Virtual Machine aangemaakt is en start deze op.

Stap 21

Als allerlaatste stap gaan we na of de vpn wel degelijk gelukt is. Onderstaande een print screen van een ping naar de lokale firewall. Je kan ook zien dat onze server een IP adres gekregen heeft binnen in onze range van ons Virtual Network die een verbinding heeft met de Watchguard firewall.

STAP 21

Reference:
https://hmmconfused.wordpress.com/2013/05/10/creating-a-vpn-between-a-watchguard-xtm-510-and-windows-azure-virtual-networks/

CONTACT