Azure Virtual Private Network ağ geçidi, İnternet üzerinden bir Azure sanal ağı ile kurum içi ya da ortamımız arasında şifrelenmiş trafik göndermek için kullanılan sanal ağ geçididir. Ayrıca VPN ağ geçidini Microsoft ağı üzerinden Azure sanal ağları arasında şifrelenmiş trafik göndermek için de kullanabilirsiniz.
Azure üzerinde Virtual Private Network tarafına girerken IPSEC,IKEv1 ve IKEv2 olarak isimlendirdiğimiz Internet protokolleri ve güvenliği için kullanılan endüstri standartları mevcuttur. Bu anlamda Azure VPN ağ geçidinin belirtilen bu protollerle uyumlu olduğu ve ortamımızda var olan bu endüstri standartlarına sahip donanımlarımızla rahatlıkla VPN bağlantılarını gerçekleştirebileceğimiz anlamına gelmektedir.
Azure ortamımızda oluşturduğumuz ve kullandığımız VNET’ler ile kurum içerisinde Site to site VPN yapabileceğimiz gibi yine yukarıda bahsettiğim ve Azure üzerinde var olan VNET’ler arasında da VPN yapabilmekteyiz.
Azure VPN Gateway Tipleri :
Azure üzerinde oluşturacağımız VPN Gateway tipleri mevcuttur. Bununla ilgili olan listeyi aşağıda görebilirsiniz. Bu listeye göre belirli Azure VPN Gateway SKU’larına göre ihtiyacınız olan VPN tipini ve limitasyonlarına göre seçimimizi yapabiliriz.
Azure VPN Gateway oluştururken Gateway SKU’ları dışında karşımıza yine iki seçenek çıkacaktır. Azure VPN Gateway’i Policy Based’mi ya da Routed Based olarak mı yapılandıracağım.
Policy Based yapılandırılmış VPN Gateway’de static routing kullanılmaktadır ve hataya oldukça açıktır. Routed Based VPN Gateway ise dynamic routing kullanmaktadır ve S2S,P2S ve VNET to VNET’ler için önerilen Routed Based gateway türüdür.
Yine aralarındaki farklar için aşağıdaki tablodan yararlanabiliriz.
Şimdi Azure üzerinde VPN ile ilgili açıklamaları yaptıktan sonra Site to Site VPN kurulumuna geçelim. Bu kurulumu gerçekleştirirken Windows Server Remote Access Rolü ile gerçekleştireceğiz.
Kurulum öncesinde ortamımızı aşağıdaki şema üzerinde görselleştirdim.
Öncelikle Azure Portal üzerinde Virtual Network seçimini yapıyoruz. Oluşturacağımız subnet yukarıda ki şemamızda da belirttiğim gibi 10.34.0.0/16 subnet’I olacak.
Azure Virtual Network ;
Azure üzerinde oluşturacağımız sanal network adını DemoVNET olarak isimlendirdik. Subnetimizi ise 10.34.0.0/16 olarak tanımladık. Fakat burada önemli olan en önemli nokta bu subnet altında sunucularımız için ayrı bir alt ağ oluşturduk ve bunu 10.34.0.0/24 subnetini ServersSubnet olarak isimlendirdik. Bu adımları gerçekleştirdikten sonra create ile sanal networkümüzü oluşturuyoruz.
Evet networkümüz oluşturuldu. DemoVnet isimli oluşturduğumuz networkümüz üzerinde Subnet tabına geçtiğimiz ve bizlerin daha önce oluşturduğu ve sunucular için kullanacağımız ServersSubnet isimli ağımızı görüyoruz. Bu ekranımızda Azure VPN ağ geçidin de kullanmak üzere Gateway Subnet seçimini yapıyoruz.
Network şemamızda da belirttiğimiz gibi VPN Gateway için kullanılacak olan subnetimizi 10.34.1.0/27 olarak atadım. Burada ilk açıldığında default olarak subnet maskımız 24 olarak gelecektir. Fakat VPN gateway için bu kadar geniş kullanmadım. Gerekli tanımlarımızı yaptıktan sonra onaylıyoruz ve VPN Gateway oluşturmuş olacağız.
Evet gördüğümüz üzere iki adet subnete sahibim. Bunlardan birincisi sunucularım için kullanacağım subnet bir diğeri ise Azure VPN Gateway için kullanacağım subnet.
Azure Virtual Network Gateway ;
Azure virtual gateway oluşturmak için yine Azure Portal üzerinde All Services üzerinde Virtual Network Gateway buluyoruz ve seçimini yapıyoruz.
Açılan ekranımızda Add diyerek yeni bir VPN Network Gateway oluşturmaya başlayacağız.
Azure VPN Gateway için ilk adımımızda isimlendirmemizi yaptık. VPN tipi olarak Route-Based seçimini yaptık. Daha öncede tablo halinde verdiğimiz Gateway SKU’sunu Basic olarak seçiyoruz. Sonraki dikkat etmemizi gereken nokta oluşturmuş olduğumuz Gateway Subnet’imizi olup olmadığı. Gördüğümüz gibi 10.34.1.0/27 olarak oluşturduğumuz subnet gelmekte. Gatewayimizin kullanacağı ve uç noktada olacak Public IP adresini oluşturuyoruz. Bütün adımlar tamamlandıkan sonra Create diyerek Virtual Network Gateway oluşturmasına başlıyoruz.
Not : Bu işlem yaklaşık olarak 30 dakika sürmektedir.
Azure VPN Gateway kurulumu tamamlandı. Bu adımdan sonra sıra Local Network Gateway kurulumunu yapacağız. Bunun için yine Azure Portal ana sayfada bulunan All Service ve ardından Local Network Gateway seçimini yaparak ilerleyeceğiz.
Bizleri karşılayan ekranımızda Add seçimin yaparak Local Network Gateway oluşturmaya başlıyoruz.
Ekranımızda sırasıyla isimlendirmemizi yaptık. Ardından on-prem tarafında bizleri karşılayacak olan WAN IP adresi tanımını yapıyoruz. Ardından yine şemamızda belirttiğimiz üzere local ip subnet tanımımızı 192.168.1.0/24 olarak tanımladık. Burada da tanımlarımızı bitirdikten sonra Local Network Gateway oluşturma işlemine Create diyerek başlıyoruz.
Evet artık Azure tarafında artık son adıma geldik. Oluşturmuş olduğumuz Local Network Gateway içerisinde yer alan Connections tabına geçiyoruz ve Add diyerek yeni bir connection oluşturacağız.
Connection oluştururken yine standard olan isimlendirmemizi yaptık. Ardından Virtual Network ve Local Network Gateway seçimlerini yapıyoruz. Son olarak Shared Key tanımını yaptıktan sonra onaylıyoruz ve bağlantımızı oluşturuyoruz.
Böylelikle Azure tarafında yapılacak işlemlerimizi tamamlamış olduk.Şimdi On Prem tarafımızda Windows Server üzerinde Remote Access sunucu rolümüzü kuracağız ve Site to Site VPN tanımlarını gerçekleştireceğiz.
Remote Access Server Kurulum ve Konfigürasyonu ;
Windows Server 2012 R2 sunucumuz üzerinde Server Manager ekranımızda Add Roles and Features seçimini yapıyoruz.
Gelen ekranımızda Server Roles altından Remote Access rolünü seçiyoruz ilerliyoruz.
Roles Service ekranımızda Routing ve DirectAccess and VPN (RAS) servislerini seçerek kurulumu tamamlıyoruz.
Kurulum işlemleri tamamlandıktan sonra şimdi Remote Access sunucu rolümüzü yapılandıracağız. Bunun için Deploy VPN Only seçimini yapıyoruz.
RRASSRV üzerinde sağ klik ve açılan menüden Configure and enable Routing and Remote Access seçimini yaparak konfigürasyonumuza devam ediyoruz.
Gelen ilk wizard ekranımızda ekran görüntüsünde de göreceğiniz üzere Custom Configuration diyerek ilerliyoruz.
Cutom configuration sonrası gelen ekranımızda VPN Access ve Lan Routing seçimini yaparak iierliyoruz. Bir sonraki ekranımız wizard ekranımızın özeti bu ekranımızıda finish diyerek bitiriyoruz.
Son olarak Start Service diyerek Remote Access rolümüzü başlatıyoruz.
Routing and Remote Access üzerinde Network Interface üzerinde sağ klik yapacağız ve yeni bir interface oluşturacağız. Bu oluşturacağımız interface ile Azure arasında ağ geçidi olarak kullanılacak arayüz olacak.
Standard gelen wizard ekranımızı next ile geçiyoruz.
Oluşturacağımız bu interface için isimlendirmemizi yaparak ilerliyoruz.
Bir sonraki ekranımız olan connection Type üzerinde connection using virtual private networking (VPN) seçimini yaparak devam ediyoruz.
VPN type olarak IKEv2 seçimini yapıyoruz. Burada dikkat edilmesi gereken konu makalemizim başında da belirttiğimiz gibi Azure tarafında oluşturduğumuz Azure VPN Gateway’imizi Routed Base olarak oluşturmamız gerekmekte. Eğer ki Policy Base oluşturursak IKEv2 desteklemediği için başarısız oluruz.
Evet Destination Address olarak bizleri karşılayan bu ekranımızda Azure VPN Gateway için tanımlanmış olan WAN IP adresini gireceğiz.
Protocols and Security kısmında ekran görüntüsünde de göreceğimiz gibi Route IP packets on this interface. Seçimini yaparak ilerliyoruz.
Static Routes tanımlamamızda yine şemada da göreceğiniz üzere Azure üzerinde sunucular için ServersSubnet isimli ve 10.34.0.0/24 subnetimizi gelen Static Routes ekranımıza tanımladıktan sonra ilerliyoruz.
Dial-Out Credentials tarafında User Name olarak Azure tanımını yaptım. Burada ki user name bir çok kaynakta Azure olarak tanımlanmış durumda. Fakat farklı bir kullanıcıda yazsak çalışmakta.Standartı bozmamak adına Azure olarak tanımlayarak ilerliyoruz ve işlemimizi sonlandırıyoruz.
Şimdi son adım alarak oluşturduğumuz AzuretoOnPremS2S isimli interface üzerinde sağ klik yaparak özelliklerine gidiyoruz.
Özellikler ekranında bulunan Security tabında Preshared key tanımını yapıyoruz. Bu anahtarı Azure üzerinde Connection olarak tanımlamıştık.
Ve artık sona geldik. Interfacemiz üzerinde yeniden sağ klik seçimini yapıyoruz ve Connect diyerek bağlantımızı gerçekleştiriyoruz.
Routing and Remote Access rolümüz üzerinde bağlantının başarılı bir gerçekleştiğini gördük.
Azure üzerinde de bağlantımızı kontrol ettiğimizde Connected durumunu görmekteyiz.
Şimdi erişim testlerimizi yapalım.
On Prem üzerinden Azure üzerinde ve ServersSubnet isimli 10.34.0.0/24 bloğundaki bir sunucuya ping göndererek erişimlerimizi kontrol edelim.
Evet erişimlerde de bir sorun olmadığını teyit ettik. Böylelikle Azure ile Windows Server Remote Access rolümüz ile site to site bağlantımızı gerçekleştirmiş olduk.