EdgeRouter에서 Azure 및 Site to Site 연결

8229 단어 Azure

입문


나는 줄곧 한 손님에게서 Edge Router를 빌렸지만 아무리 손도 대지 않고 마침내 시간을 내서 Azure의 VNET와 Site to Site 연결을 먼저 시도했다.
Edger LITE 3 Port Router(ERLite-3)라는 물건은 아마존에서도 2만 엔도 안 돼 구입할 수 있다.

초기 설정


내부의 기존 LAN에 연결하기 위해서는 먼저 직렬 컨트롤러를 통해 EdgeRouter를 연결하고 EdgeRouter의 eth0 포트의 IP 주소를 고정합니다.
직렬 콘솔 케이블과 PC의 USB를 직렬 변환 케이블과 함께 빌려주셔서 감사합니다.

PC 측면에서는 TeraTerm을 이용하여 새로운 연결에서'직렬 포트'를 선택하고 USB로 인식되는 COM 포트를 선택한 다음'설정'메뉴의'직렬 포트 설정'에서 포트율에서'115200'을 선택하여 다른 연결 설정에 대해 기본 상태를 유지하면 된다.
보통 파소통 시대부터 "N81XN"이라고 하면 됩니다.
Enter 키를 적절하게 누르면 로그인 화면이 표시되므로 초기 ID와 PW(ubnt/ubnt)를 입력하여 로그인합니다.

EdgeRouter는 초기 상태에서 Eth0에 192.168.1.1/24를 할당한 것 같지만 192.168.245.12/24로 변경했습니다.
변경 명령 이미지는 다음과 같습니다.
ubnt@ubnt:~$ configure
[edit]
ubnt@ubnt# show interfaces ethernet eth0 address
 address 192.168.1.1/24
[edit]
ubnt@ubnt# set interfaces ethernet eth0 address 192.168.245.12/24
[edit]
ubnt@ubnt# show interfaces ethernet eth0 address
 address 192.168.1.1/24
+address 192.168.245.12/24
[edit]
ubnt@ubnt# delete interfaces ethernet eth0 address 192.168.1.1/24
[edit]
ubnt@ubnt# show interfaces ethernet eth0 address
-address 192.168.1.1/24
+address 192.168.245.12/24
[edit]
ubnt@ubnt# commit
[edit]
ubnt@ubnt# show interfaces ethernet eth0 address
 address 192.168.245.12/24
[edit]
ubnt@ubnt# save
Saving configuration to '/config/config.boot'...
Done
[edit]
ubnt@ubnt# exit
exit
ubnt@ubnt:~$
"set interfaces ethernet"명령을 사용하여 새로운 IP 주소를 추가한 후, "delete interfaces ethernet"에서 기존의 IP 주소를 삭제합니다.마지막으로'commit'으로 응용하고,'save'로 영구화하는 느낌인가요?
이제 사무실 내의 LAN 환경에 EdgeRouter를 직접 설치할 수 있습니다.
https://EdgeRouter의 IP 주소 /에서 UI 관리 화면을 사용할 수도 있고 ssh를 통해 로그인할 수도 있습니다.

Azure 측의 준비.


Azure 측은 임의의 자원 그룹에 다음과 같은 가상 네트워크와 게이트웨이를 만들었다.
  • 가상 네트워크
  • 주소 공간: 10.0.0/16
  • Subnet-1 : 10.0.0.0/24
  • GatewaySubnet : 10.0.1.0/24
  • 가상 네트워크 게이트웨이
  • SKU : Basic
  • 종류: VPN
  • VPN 종류: 루트 기반
  • 가상 네트워크 게이트웨이를 만드는 데 40분 정도 걸리니 기다려 주십시오.
    이 기간 동안 Subnet-1 세그먼트에서 의사소통 확인을 위한 가상 머신을 만드는 것이 좋습니다.
    표준 A1 사이즈로 CentOS7.3을 만들었습니다.최근에는 관리 디스크를 사용하여 가상 머신을 손쉽게 시도할 수 있습니다.
    (기존 스토리지 계정 형식을 사용하는 경우 스토리지 계정 이름의 반복 등이 번거롭다는 뜻)

    그런 다음 로컬 네트워크 게이트웨이 리소스를 생성합니다.
    이것은 Azure에서 본 시작 측 (이번에는 EdgeRouter 측) 의 정보를 설정하여 만든 것입니다.
  • IP 주소(EdgeRouter 측 글로벌 IP 주소): xx.xx.xx.xx(사용 환경에 따라 다름)
  • 주소 공간: 192.168.245.0/24(사용 환경에 따라 다름)

  • 마지막으로 "연결"자원을 만듭니다.
  • 가상 네트워크 게이트웨이: 방금 제작된 가상 네트워크 게이트웨이
  • 로컬 네트워크 게이트웨이: 방금 제작된 로컬 네트워크 게이트웨이
  • 공유 키:hoehoe(임의의 문자열)
  • 공유 키는 모서리 경로 설정에서 동일한 문자열을 지정해야 합니다.
    Azure 측면에서는 여기까지의 설정이 종료됩니다.

    모서리 라우터 측 설정


    우선, 인터넷 회선에 연결하기 위한 ppoe 설정은 웹 GUI 화면에서 시원하게 설정합니다.
    웹 GUI의 대시보드에서 Add Interface → Add PPPoE를 선택하여 사용 중인 공급업체의 정보를 입력합니다.

    VPN 설정은 ssh에서 CLI로 설정됩니다.
    기본적으로 VyOS 명령은 그대로 유지됩니다.
    이번에는 선인들의 지혜입니다. Site to Site VPN into Azure with EdgeRouter의 설정 예를 참고했습니다.
    다음 명령을 실행하여 사이트에서 사이트로의 설정을 완료합니다.
    configure
    set vpn ipsec ipsec-interfaces interface pppoe0
    set vpn ipsec auto-firewall-nat-exclude enable
    set vpn ipsec nat-traversal enable
    
    set vpn ipsec esp-group esp-azure compression disable
    set vpn ipsec esp-group esp-azure lifetime 3600
    set vpn ipsec esp-group esp-azure mode tunnel
    set vpn ipsec esp-group esp-azure pfs disable
    set vpn ipsec esp-group esp-azure proposal 1 encryption aes256
    set vpn ipsec esp-group esp-azure proposal 1 hash sha1
    
    set vpn ipsec ike-group ike-azure key-exchange ikev2
    set vpn ipsec ike-group ike-azure ikev2-reauth no
    set vpn ipsec ike-group ike-azure lifetime 28800
    set vpn ipsec ike-group ike-azure proposal 1 dh-group 2
    set vpn ipsec ike-group ike-azure proposal 1 encryption aes256
    set vpn ipsec ike-group ike-azure proposal 1 hash sha1
    
    set vpn ipsec site-to-site peer <azure-gateway-ip> description Azure
    set vpn ipsec site-to-site peer <azure-gateway-ip> authentication mode pre-shared-secret
    set vpn ipsec site-to-site peer <azure-gateway-ip> authentication pre-shared-secret <super-secret-pre-shared-key>
    set vpn ipsec site-to-site peer <azure-gateway-ip> connection-type initiate
    set vpn ipsec site-to-site peer <azure-gateway-ip> default-esp-group esp-azure
    set vpn ipsec site-to-site peer <azure-gateway-ip> ike-group ike-azure
    set vpn ipsec site-to-site peer <azure-gateway-ip> ikev2-reauth inherit
    set vpn ipsec site-to-site peer <azure-gateway-ip> local-address any
    set vpn ipsec site-to-site peer <azure-gateway-ip> tunnel 1 allow-nat-networks disable
    set vpn ipsec site-to-site peer <azure-gateway-ip> tunnel 1 allow-public-networks disable
    set vpn ipsec site-to-site peer <azure-gateway-ip> tunnel 1 esp-group esp-azure
    set vpn ipsec site-to-site peer <azure-gateway-ip> tunnel 1 local prefix <local-prefix>
    set vpn ipsec site-to-site peer <azure-gateway-ip> tunnel 1 remote prefix <remote-prefix>
    commit
    save
    exit
    
    ""는 Azure 측에서 로컬 네트워크 스위치를 만들 때 지정한 공유 키를 설정합니다.
    ""은 Azure 측 가상 네트워크 게이트웨이에 할당된 공공 IP 주소를 설정합니다.
    ""는 CIDR 형식으로 온라인 네트워크를 설정합니다(이 예에서는 192.168.245.0/24).
    ""는 Azure 측 네트워크를 CIDR 형식으로 설정합니다(이 예는 10.0.0/16)
    잠시 기다리면 연결 리소스의 연결 상태도 Azure 측면에서 연결됩니다.

    연결 확인


    먼저 시작 측 마스터 라우터의 라우팅 설정을 변경하지 않고 클라이언트 PC 측에 정적 라우팅 설정을 추가하고 전용 IP 주소로 클라이언트 PC → Azure 측 Linux에 연결합니다.
    관리자 모드에서 Windows 명령 프롬프트를 열고 다음 명령을 사용하여 정적 루트 디렉토리를 추가합니다.
    route add 10.0.0.0 mask 255.255.0.0 192.168.245.12
    
    CIDR 값, EdgeRouter의 IP 주소를 적절하게 변경하십시오.

    TeraTerm도 10.0.0.4(Azure 측 CentOS에 할당된 전용 IP 주소)와 ssh 연결을 직접 할 수 있음을 확인합니다.


    끝내다


    이번에는 EdgeRouter의 초기 설정~Azure의 VPN과의 연결을 급하게 시도했고, 정식 환경으로 사용하기 위해서는 Firewall 설정 등 다양한 별도의 설정이 필요하지만, 우선 MS가 검증하지 않은 EdgeRouter도 간단하게 연결할 수 있다.
    이번 검증에서 EdgeRouter의 펌웨어는 최신 1.9.1을 사용했습니다.

    좋은 웹페이지 즐겨찾기