깡민쓰~IT Story

Hello and welcome to today’s post! In this one, I will show how to create a Site-to-Site connection between an Azure Network and one that is On-Prem.

In order to complete these following steps, you will need to have some prerequisite:

• An Azure Virtual Network
• An Azure Windows Virtual Machine
• An up and running Windows Server

This is the plan for today’s post:

• Part 1: Create a Gateway subnet
• Part 2: Create a Network Gateway
• Part 3: Create a Local Network Gateway
• Part 4: Configure Server for connection
• Part 5: Create an Azure connection and verify connectivity

Part 1: Create a Gateway subnet

• Go to your Azure Virtual Network page. Under settings, click subnets.
• Click + Gateway subnet.

• Enter a subnet address range and click Save.

Part 2: Create a Network Gateway

• In the search bar, enter virtual network gateways and click on the choice given as shown below.

• Click Create.

• Enter the Name for the gateway.
• In the SKU field, enter VpnGw1.
• In the Virtual network field, select the appropriate network that you want to connect. That network is the same that contains the Gateway subnet that we created earlier.

• In the Public IP address field select Create new.
• In the Public IP address name, enter a name recognizable name.
• Click Review + Create, then Create.

Part 3: Create a Local Network Gateway

• In the search bar, type Local network gateways as shown below.

• Click Create

• Enter Name.
• Enter the IP address of your Router.
• Enter the Address Space of you local network.
• Click Review + Create, then Create.

Part 4: Configure Server for connection

Part 4.a: Add Remote Access feature

• In your server manager dashboard top bar, click Manage then Add Roles and Features.

• Click Next until the Server Roles page then check Remote Access.
• Click next until you get to Select Role services page.

• Check Routing. (DirectAccess and VPN (RAS) will be automatically selected.)

• Click Add Features then click next until you get to the confirmation page.

• Click Install

• When the installation is complete, click Close.

Part 4.b: Configure Routing and Remote Access

• On the top bar of the server manager, click Tools, then Routing and Remote Access.

• On the Routing and Remote Access, right click on the Server icon then click Configure and Enable Routing and Remote Access.

• Select Custom configuration, then click next.

• Check VPN access and LAN routing then click next.

• Click Finish.

• Click Start service.

Part 4.c: Create a new Network Interface

• Back on the Routing and Remote Access window, right click Network Interface, then New Demand-dial Interface.

• Enter a Name for the interface then click next.

• Select Connect using virtual networking (VPN) then click Next.

• Select IKEv2 then click next.

• Enter the public IP address of the Virtual Network Gateway that we created earlier then click Next.

• Check Route IP packets on this interface, then Next.

• Click Add.

• Enter the Cloud Destination address and Mask.
• Enter 10 for Metric, then click OK. (Metric specifies the priority)

• Click Finish

• Right Click on the newly created interface, then click Properties.

• In the Option tab, select Persistent connection

In the Security tab, select Use preshared key for authentication and enter a Key that we will use later, then click OK.

Part 5: Create an Azure connection and verify connectivity

• Back in Azure, search for Connections.

• Click Create

• Select Site-to-site (IPsec) for Connection type.
• Enter a Name for the connection and click Next.

• Select the appropriate Virtual network gateway and Local network gateway that we created at the beginning.
• In the Shared key field, enter the Preshared Key that we created earlier and click Review + create, then Create.

• After the deployment is complete, click Go to resource.

• Notice the status says Not Connected.

Back in the Server manager Routing and Remote Access window, right click the Interface that we created earlier and click Connect.

• Back in the Connection page on Azure, click Refresh and notice the status says Connected. (It might take a few minutes to update).

• Test the connection by Pinging the cloud machine with its private IPv4 address to test the connection. (Make sure the cloud machine firewall allows Pings from the internal network.)

This wraps up this post on Setting up a Site-to-Site connection between an on-prem network and an Azure network.

Thank you for reading!

Windows Server의 RRAS (Routing and Remote Access Service) 기능을 사용하여 Azure Virtual Network와 S2S VPN을 연결하는 방법을 소개합니다.

 

S2S (Site to Site) VPN은 온프레미스 네트워크와 Azure Virtual Network 간의 연결을 의미하는데, 온프레미스의 VPN 장비와 Azure의 VPN Gateway를 서로 연결해서 구성합니다.

S2S VPN 구성을 테스트하고 싶어도 온프레미스에 VPN 장비가 없으면 테스트가 거의 불가능합니다.

 

이 글에서는 Azure Virtual Network를 온프레미스 네트워크라고 가정하고, Windows Server에 RRAS 역할을 설치하여 VPN 장비처럼 동작하도록 구성하는 방법을 소개합니다.

테스트 구성도를 보시면 좀 더 쉽게 이해하실 수 있을겁니다.

 

 

 

왼쪽의 Virtual Network를 온프레미스 네트워크라고 가정하고, rras-vm을 VPN 장비처럼 동작하도록 구성하는 방법을 소개할 예정입니다.

테스트 환경 구성이 완료되면 온프레미스의 dmz-svr01과 Azure의 mgmt-vm간에 private ip 주소로 통신이 가능해집니다.

 

*중요 Microsoft는 Azure 의 Windows Server 가상 머신에서의 RRAS 사용을 공식적으로는 지원하지 않습니다. https://support.microsoft.com/en-us/help/2721672/microsoft-server-software-support-for-microsoft-azure-virtual-machines 따라서, Azure에서는 테스트 용도로만 RRAS를 사용해야 합니다. Azure에서 RRAS를 사용하다가 문제가 생기더라도 Microsoft로부터 지원을 받을 수 없습니다.

 

*테스트에서는 Azure Korea Central 지역을 사용합니다.

 

1. 가상 네트워크 구성

구성도와 같이 두 개의 가상 네트워크를 만듭니다.

Onprem-NW	Hub-VNET
Address spaces : 192.168.0.0/16 - RRAS-Subnet : 192.168.100.0/24 - DMZ-Subnet : 192.168.200.0/24	Address spaces : 172.16.0.0/16 - GatewaySubnet : 172.16.0.0/26 - Mgmt-Subnet : 172.16.1.0/24

 

 

 

2. VPN Gateway 생성

Hub-VNET에 VPN Gateway를 만듭니다.

저는 아래와 같이 설정하였습니다.

 

 

 

VPN Gateway가 생성되면 Public IP address를 확인합니다.

 

 

 

 

3. RRAS용 Windows VM 생성

Windows Server 2019 VM을 생성합니다.

저는 아래와 같이 설정했습니다만, 동일하게 설정하지 않으셔도 됩니다.

• Image : Windows Server 2019 Datacenter - Gen2
• Size : Standard D2as_v4

 

 

 

Virtual network와 Subnet은 아래와 동일하게 설정합니다.

• Virtual network : OnPrem-NW
• Subnet : RRAS-Subnet

 

 

 

RRAS VM 생성이 완료되면 VM을 중지합니다. 

VM이 중지되면 IP 주소를 테스트 구성도처럼 지정합니다.

 

 

 

첫 번째 NIC의 IP 주소를 테스트 구성도처럼 지정합니다. (192.168.100.101)

 

 

 

두 번째 NIC 추가 및 테스트 구성도처럼 IP 주소를 지정합니다. (192.168.200.101)

두 번째 NIC는 DMZ-Subnet에 연결합니다.

 

 

 

두 번째 NIC의 IP configurations 메뉴에서 IP forwarding을 Enabled로 변경합니다.

 

 

 

RRAS VM을 시작합니다.

 

 

4. RRAS VM Windows 방화벽 중지 및 NSG 설정

RRAS VM의 Windows 방화벽을 중지합니다.

 

 

 

VPN Gateway와 S2S VPN 연결을 위해, RRAS VM의 NSG의 Inbound 규칙에 아래의 Port들을 허용으로 추가합니다.
*Source는 VPN Gateway의 Public IP 주소, Destination은 RRAS VM의 첫 번째 NIC의 Private IP 주소
- TCP port 443 (SSTP)
- UDP port 500 (IKEv2)
- UDP port 4500 (IKEv2 NAT traversal)

 

 

 

 

5. VPN Gateway 설정

Local Network Gateway와 Connection 리소스를 생성합니다.

 

Local Network Gateway를 생성할 때,

IP address에는 RRAS VM의 Public IP 주소를 입력하고,

Address Space에는 온프레미스 IP 대역을 입력합니다. (192.168.0.0/16)

 

 

 

Connection 리소스를 생성할 때, Connection type은 Site-to-site (IPsec)을 선택합니다.

 

 

 

Virtual network gateway, Local network gateway, Shared key(PSK)를 지정합니다.

나머지 옵션은 기본값을 사용합니다.

* Shared key는 RRAS 구성에서도 사용됩니다.

 

 

 

 

6. RRAS 역할 설치

RRAS VM에 원격으로 접속한 후 RRAS 역할을 설치하고 구성합니다.

 

Server Manager - Add Roles and Features

 

 

 

Server Roles에서 Remote Access를 선택합니다.

 

 

 

Role Services에서 DirectAccess and VPN (RAS), Routing을 선택합니다.

 

 

 

나머지 옵션들은 기본값을 사용해서 RRAS 역할을 설치합니다.

 

 

7. RRAS 구성

* 이 부분이 이번 글에서 핵심입니다.

 

RRAS 역할이 설치된 후 Azure VPN Gateway와 연결하기 위해 RRAS를 구성합니다.

 

Routing and Remote Access 관리 콘솔을 실행합니다.

 

 

 

RRAS VM을 오른쪽 버튼 클릭하고 'Configure and Enable Routing and Remote Access'를 클릭합니다.

 

 

 

Routing and Remote Access Server Setup Wizard

• [Next]

 

 

 

Configuration

• 'Secure connection between two private networks' 
• [Next]

 

 

 

Demand-Dial Connections

• 'No' 
• [Next]

 

 

 

Completing the Routing and Remote Access Server Setup Wizard

• [Finish]

 

 

 

 

Network Interfaces 오른쪽 버튼 클릭 - 'New Demand-dial Interface' 클릭

 

 

 

Demand-Dial Interface Wizard

• [Next]

 

 

 

Interface Name

• Interface name : AzureVPNGW
• [Next]

 

 

 

Connection Type

• Connect using virtual private networking(VPN)
• [Next]

 

 

 

VPN Type

• IKEv2
• [Next]

 

 

 

Destination Address

• VPN Gateway의 Public IP 주소 입력
• [Next]

 

 

 

Protocols and Security

• Route IP packets on this interface
• [Next]

 

 

 

Static Routes for Remote Networks

• [Add]
• Azure IP 대역 등록 (172.16.0.0/16)
• [Next]

 

 

 

Dial-Out Credentials

• [Next]

 

 

 

Completing the Demand-Dial Interface Wizard

• [Finish]

 

 

 

 

*Preshared key를 지정합니다.

 

새로 생성된 Network Interface 오른쪽 버튼 클릭 - 'Properties'

 

 

 

[Security] 탭

• Use preshared key for authentication - Preshared key 입력 ('12345')
• [OK]

 

 

 

*Azure VPN Gateway와 연결합니다.

 

AzureVPNGW 오른쪽 버튼 클릭 - 'Connect'

 

 

연결 완료 (Connection State가 Connected로 표시됩니다.)

 

 

 

 

VPN Gateway Connection 리소스를 확인해보면, Status가 Connected로 표시됩니다.

(Connected로 표시되기까지 약 3~5분 정도 걸립니다.)

 

 

 

이제 S2S VPN 연결이 완료되었습니다.

 

 

8. 테스트용 VM 생성

네트워크 통신 테스트를 위한 VM들을 온프레미스 네트워크(OnPrem-NW)와 Azure Virtual Network(Hub-VNET)에 생성합니다.

(dmz-svr01, mgmt-vm)

 

 

 

*VM을 생성하는 과정에 대한 설명은 생략합니다.

 

 

 

9. 온프레미스 서브넷에 UDR 설정

*이 부분도 중요합니다.

 

온프레미스(OnPrem-NW)에서 Azure Virtual network(Hub-VNET)의 IP 대역으로 나가는 트래픽이 RRAS를 통과하도록 하기위해 UDR을 사용합니다.

 

Routes에서

• Address prefix는 Azure IP 대역을 지정하고 (172.16.0.0/16),
• Next hop type은 'Virtual appliance',
• Next hop IP address는 RRAS의 두 번째 NIC의 IP 주소를 입력합니다 (192.168.200.101).

UDR을 온프레미스 서브넷(DMZ-Subnet)에 연결합니다.

 

 

 

10. 네트워크 통신 테스트

테스트를 위해 VM의 Windows 방화벽은 중지합니다.

 

 

 

두 VM 간에 Private IP 주소로 통신이 가능한지 확인해봅니다.

 

 

끝.