Microsoft Azure Site to Site VPN with Windows Server 2012 R2 RRAS

 

Merhaba Arkadaşlar,

Bu yazımda sizlere kurum için On-Premise network'unuz ile Microsoft Azure platformu üzerine site to site VPN bağlantısı işlemini gerçekleştireceğim. Microsoft Azure
ile site-to-site bağlantı için şu an güncel olarak kullanılan desteklenen donanımsal vpn cihazları Cisco,Juniper,Citrix,F5,Watchguard ürünleridir. Bunlar şu an Microsoft'un destek verdiğini cihazlar denilebilir. Firmanızda kullanmış olduğunuz farklı bir marka var ise gerekli security ve vpn ayarlarını yaptıktan sonra Site-to-Site VPN bağlantısını gerçekleştirebilirsiniz. Ben bu yazıda Windows Server 2012 R2 Routing and Remote Access rolü ile bu işlemi yapıyor olacağım. Ortamınızda donanımsal bir VPN cihazı yok ise Windows Server RRAS rolünü kullanarak Azure'a
VPN yapabilirsiniz.

Windows Server 2012 R2 Routing and Remote Access rolünü kullanarak daha önceden VPN yapmak istediğimiz de Firewall veya Modem arkasında olduğumuz için NAT ile dışarıdan gelen istekleri içerideki RRAS sunucusuna yönlendirmemiz gerekiyordu. Microsoft artık bu işlemi RRAS üzerine statik route kaydı girerek ortadan kaldırmıştır. Bu sayede NAT işlemi yapmadan Azure ile VPN bağlantısını yapabilirsiniz.

Azure üzerine 3 farklı VPN bağlantısı yapabilirsiniz. Bunlar;

  • Point to Site VPN : Client makineler üzerinde herhangi bir yerden Azure üzerine bağlanmak için,
  • Site to Site VPN : Kurum için network'unuz ile Azure network'unuz bağlamak..
  • ExpressRouter: Çok yeni olan bu özellik ise ISP hizmeti aldığınız firma ile Microsoft Azure arasında VPN bağlantısını yapabilmek için.

Yapacağımız işlem başlıkları aşağıdaki gibidir;

  • Azure üzerinde Vnet oluşturarak Site to Site VPN konfigürasyonu,
  • Azure Dynamic VPN Gateway oluşturulması,
  • VPN Device Script Download edip, RRAS üzerinde çalıştırma,
  • Site to Site VPN bağlantı testleri,

 

1-Microsoft Azure hesabım ile giriş yaptıktan sonra ilk olan Virtual Network oluşturmam gerekiyor. Bunun için + New > Network Services > Virtual Network > Custom Create seçeneğini seçiyoruz.

2- Virtual Network Details kısmında oluşturacağımız Vnet için bir isim ve location seçmemiz gerekiyor. "Eng-Azure-Vnet ve West Europe" olarak seçerek devam ediyoruz.

3- DNS Servers and VPN Connectivity ekranında ise kurum içinde bulunan DNS Server bilgilerimizi yazıyoruz. DNS Servers kısmını burada boş geçebilirsiniz VPN konfigürasyonunu yaptıktan sonra tekrar girme şansımız bulunmaktadır. Hangi tip VPN bağlantısını yapacağımız seçiyoruz. Ben burada Configure a site-to-site VPN seçeneğini seçiyorum..Local Network kısmında ise Specify a New Local Network seçerek bir sonraki adımda kurum için network bilgilerinizi giriyorsunuz.. Buraya kadar yapmış olduğumuz ayarlar Eng-Azure-Vnet ile alakalı ayarlardır.

4- Site –to- Site Connectivity kısmına geldiğimiz de kurum içi network bilgilerimizi düzenleyeceğiz. "Eng-RRAS-local" adında bir isim belirliyoruz. VPN Device Ip Address kısmında ISP'den verilen Public IP 'mizi yazıyoruz. Starting IP kısmında kullandığımız Ip aralığını yazıyoruz..Burada yapmış olduğumuz ayarlar ise "Eng-RRAS-local" kısmı ile alakalı ayarlardır.

5- Virtual Network Address Spaces kısmında ise Azure üzerinde kullanılacak IP adres aralığı, kullanabileceğimiz Subnet aralığınız giriyoruz."Add gateway subnet" kutucuğunu seçtiğimizde ise Azure otomatik bir gateway oluşturmaktadır. Burada yaptığımız ayarlar son kısımda bulunan DNS Servers kısmı ile alakalıdır. Buraya kadar tüm ayarları yaptıktan sonra Virtual Network ve S2S VPN oluşturabiliriz.

6-"Eng-Azure-vNet" adında Virtual Network oluşturuluyor.

7-Eng-Azure-vNet > Dashboard kısmında yapmış olduğumuz Site-to-Site VPN bağlantı ayarlarını görebilirsiniz. Sıradaki işlemimiz Create Gateway > Dynamic Routing ile Azure
üzerinde bir Gateway Ip'si oluşturacağız. Gateway oluşturma işlemi yaklaşık 20-30 dk kadar sürebilir sabırla beklemeniz gerekiyor..

8-Başarılı bir şekilde Gateway oluştuktan sonra Azure bize bir IP vermektedir. Bu ip ile VPN bağlantısını yapacağız. Site-to-Site VPN konfigürasyonunu bu şekilde tamamlamış bulunuyoruz. Şimdi quick glance kısmında RRAS için kullanacağımız PowerShell Scriptini indireceğiz. "Download VPN Device Script" linkine tıklıyoruz.

9- VPN Device Configuration Script kısmında ne kullanarak VPN yapacaksak onu seçmemiz gerekmektedir. Microsoft Windows Server 2012 R2 RRAS seçerek onaylıyorum.

10- Download etmiş olduğumuz "VPNDeviceScript.cfg" dosyasını .PS1 olarak değiştiriyoruz.

11-Windows PowerShell ISE konsolunu Administarator olarak açıyoruz. File> Open diyerek Script'i göstereceğiz.

12-"VpnDeviceScript" dosyasını gösteriyoruz.

13- Download etmiş olduğunuz Script içinde RRAS rolünün kurulumu,konfigürasyonu ve VPN için tüm ayarlar yer almaktadır. Bu sayede Routing and Remote Access rolünü kurmak ve yapılandırma süreçlerinde vakit kaybetmiyoruz.

14- Script başarılı bir şekilde tamamlandıktan sonra Administrative Tools> Routing and Remote Access konsolunu açıyoruz. ENG-RRAS > IPv4 > General kısmında Azure
için bir Interface yer almaktadır. Şu an Disconnected durumda..

15-ENG-RRAS > Network Interfaces kısmında Azure VPN bağlantısı için kullanılan Interface üzerine gelip sağ tuş Connect diyoruz.

16- Disconnected olan bağlantı durumu Connected olarak değişmektedir.

17- ENG-RRAS > IPv4 > General kısmına gelip Azure Interface durumuna baktığımız da gelen ve giden paketlerin olduğunu görüyoruz. Windows RRAS tarafındaki işlemler şimdilik tamamlanmıştır.

18-Azure üzerine tekrar döndüğümüz de buradaki bağlantımız "DISCCONECTED" durumdadır. Gelen- giden paket bulunmamaktadır. Alt tarafta bulunan "Connect" seçeneğini ile Azure tarafını Connect ediyoruz.

19- VPN bağlantısı "Connect" olduktan sonra gelen-giden paketlerin olduğunu görebiliriz.

20-Azure üzerinde benim oluşturmuş olduğum" Eng-Azure-Vnet" seçerek bir Virtual Machine oluşturuyorum. Oluşturduğum Virtual Machine 172.16.0.4 IP'sini almıştır..

21- Azure ile kurum için Site-to-Site VPN bağlantısı işlemleri burada tamamlanmıştır. Yapmış olduğumuz VPN bağlantısının testleri için karşılıklı ping testleri yapacağım. İlk olarak local de bulunan ENG-RRAS adındaki sunucum üzerinden 172.16.10.4 Azure üzerindeki ENG-SVR01 makinesi ping atıyoruz.

22-Azure üzerinde bulunan Eng-SVR01 makinesi üzerinden 172.16.0.12 RRAS sunucusu üzerinde ping atıyoruz..

23-Ping testi haricinde dosya erişimim var mı diye kontrol etmek için \\172.16.10.4\c$ diyerek Azure'daki makinemin c$ 'ına gidebiliyorum..

 

Bu yazıda sizlere On-Premise kurum için network yapınızı Microsoft Azure platformu ile Windows Server RRAS rolünü kullanarak nasıl site-to-site VPN bağlantısı yapılabildiğini incelemiş olduk..

Faydalı olması dileğimle..

Leave a Comment

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir