1. Module
Microsoft®
Virtual Academy
VNet ve Cross-Premises (Çapraz) Bağlantılar
5
Önder DEĞER | Microsoft Azure - MVP
Mustafa KARA| System Center Cloud and Datacenter Management – MVP
8. Her yerden güvenli bir şekilde sanal ağınıza bağlanın.
Windows işletim sistemi içindeki VPN istemcisini kullanın
Uzak çalışanlar
Site-to-Site VPN
Point-to-Site VPN
Altyapınızı Genişletin.
9. • Site-to-Site
- Her zaman bağlı
- Dış IPv4 adresine sahip uyumlu VPN cihazı gerekmektedir
- Bireysel istemci yapılandırması gerektirmez
- Şube çözümü
• Point-to-Site
- SSTP güvenli bir şekilde güvenlik duvarlarından ve NAT cihazlarından geçebilir
- VPN cihazına gerek yoktur
- Her istemcinin bağlanması için yapılandırma gerekmektedir
- İstemci bilgisayarından VPN bağlantısı manuel olarak başlatılmalıdır
Cross-Premises (Çapraz Bağlantı) Tasarım Hususları
10. • Local Ağlar
• Hangi trafiğin VPN üzerinden gideceği belirlenmeli
• Hiçbir IP adresi çakışmamalı
• DNS Server
• İsim çözümleme için Microsoft Azure IDNS kullanılamaz
• Region/Affinity Group (Bölge / Yakınlık Grubu)
• Kaynaklarınızı nereye konumlandıracaksınız?
• VPN Cihazları
• Cihaz gereksinimleri listesini kontrol edin
Yapılandırma Hususları
11. Statik Yönlendirme Ağ Geçidi Dinamik Yönlendirme Ağ Geçidi
Politika bazlı VPN yapılandırması
• Biraz daha karmaşık şirket için VPN
yapılandırmaları
• IPsec/IKEv1
“Route-based” VPN yapılandırması
• Biraz daha basit şirket içi VPN
yapılandırmaları
• IPsec/IKEv2
Site-to-Site Site-to-Site ve Point-to-Site
11
Statik vs. Dinamik Yönlendirme Ağ Geçitleri
Ağ Geçidi Tipi- Dinamik yada Statik?
• Site-to-Site – dinamik yada statik olabilir.
• Point-to-Site – sadece dinamik
• Eğer aynı Vnet için site-to-site ve point-to-site
bağlantı kullanmak istiyorsanız, dinamik seçin
13. Site-to-Site bağlantınızı yapılandırmak için hem VPN cihazında hem de sanal
ağınızda yapılandırmalar yapmanız gerekmektedir.
Ağ geçidini oluşturduktan sonra, Dashboard sayfasında bulunan bilgileri
kullanarak VPN cihazınızı yapılandırabilirsiniz:
• Ağ Geçidi IP Adresi
• VPN Cihaz Script (şablon)
• Manage Key (sayfanın altında)
Site-to-Site Ayarları
14. VNet’e Point-to-Site eklemek
1. Yönetim konsolu üzerinden Point-to-Site için VNet’i yapılandırın.
2. Ağ geçidi oluşturun.(dinamik)
3. Makecert kullanarak self-signed root sertifikası oluşturun(CA kullanmayın)
4. Microsoft Azure’a *.cer dosyasını yükleyin (private key olmadan dosyayı
oluşturun)
5. Her istemci için istemci sertifikası oluşturun ve yükleyin
6. Dashboard sayfasından uygun VPN istemci paketini indirin ve istemci
bilgisayarlarına yükleyin
Point-to-Site
16. • Makecert kullanarak root sertifikası oluşturun.
• Microsoft Visual Studio Express 2013 indirin ve kurun
• Visual Studio Tools klasörü içerinde, x86 Native Tools Command Prompt
açın
• *.cer dosyasının içinde bulunacağı klasörün adını dilediğiniz gibi
değiştirebilirsiniz
• Gerekli değişiklikleri yapın ve root sertifikası oluşturmak için bunu çalıştırın:
Point-to-Site Sertifikalar
• Root sertifikadan istemci sertifikası oluşturun ve istemci bilgisayarlarına
yükleyin
Let’s say you have individual PCs behind the firewall that you want to connect directly to Azure—or that you have remote workers. You can connect securely to the virtual network In Azure from anywhere using the VPN client in Windows. Because it works across firewalls and proxies, it doesn’t matter if users are behind your firewall, behind someone else’s firewall, or are remote.
Check with YuShun