Snažím se přijít na nejlepší způsob, jak to udělat. Momentálně to dělám s AWS a 2 x VPN připojeními s statickými trasami na PANech směřujícími k odpovídajícím okruhům směrem k veřejným IP adresám AWS. To funguje skvěle.
Ale s AZURE a pokusem o aktivně/passivní konfiguraci a následováním tohoto dokumentu: https://www.paloaltonetworks.com/resources/guides/azure-transit-vnet-deployment-guide-common-firewall-option mám trochu zmatek, protože má v Azure pouze jednu veřejnou IP adresu. Nedokážu přiřadit obě rozhraní (různé okruhy) na PANech ke stejnému IPSEC IP (alespoň myslím, že to nedokážu). Mohu nakonfigurovat další veřejnou IP v Azure a přiřadit svou záložní trasu/připojení/VPN k té IP? Dokumentace Azure je špatná, takže prosím, ukažte mi cestu.
Komenty:
- cowardlyginger: Máte alespoň několik možností, přičemž nativní možností Azure je použití virtuálního směrovače sítě k ukončení tunelů IPSec. K ukončení IPSec přímo na firewallu je potřeba přiřadit každému jejich veřejnému rozhraní samostatný PIP mimo IP load balanceru.
- Serious-Ad3207: Je to, čeho se snažíte dosáhnout, aktivní/aktivní redundance? Microsoft Azure VPN Gateway High Availability
- JChrisprov: Můžete přidat sekundární IP k rozhraní. V záložkách zařízení nastavte HA v záložkách zařízení a nastavení HA Azure. To umožní API Azure měnit veřejnou IP mezi aktivním a pasivním párem.
Update od me: Na den 4 nebo 5 zatím bez úspěchu… konečně jsem dostal odpověď od podpory Azure, ale byla neurčitá a bojím se, že ani oni nevědí, zda je to podporováno nebo jak to udělat. Opravdu je to den a noc od AWS a Azure podpory a mám pocit, že kdo je omezen pouze na Azure, má těžký život.
Pokud to někdo udělal a funguje mu to, ukažte mi cestu. https://imgur.com/VFfafnN
Máte alespoň několik možností, přičemž nativní možností Azure je použití virtuálního směrovače sítě k ukončení tunelů IPSec. K ukončení IPSec přímo na firewallu je potřeba přiřadit každému jejich veřejnému rozhraní samostatný PIP mimo IP load balanceru.
Je to, čeho se snažíte dosáhnout, aktivní/passivní redundance?
Můžete přidat sekundární IP k rozhraní. V záložkách zařízení nastavte HA v záložkách zařízení a nastavení Azure. To umožní API Azure měnit veřejnou IP mezi aktivním a pasivním párem.
Update: No luck so far but I have two tunnels up from Azure to my HA pair of PANs. Both tunnels are up but only able to establish BGP across 1 of them, the other is a constant CONNECT state. I can pass traffic but when I shut down the tunnel that is peering correctly traffic drops. I can’t seem to figure out why the other tunnel is up but BGP won’t establish and thus no traffic across it.
I have a support ticket with Azure but they are painfully slow to respond and little to no help whatsoever so far.
I am using:
AZURE SIDE:
1 x virtual network gateway w/2 public IP addresses running active/active, BGP and custom Azure APIPA BGP IP addresses (169.254.21.1/169.254.22.1).
2 x LNG, 1 for each circuit on my end.
2 x Connections, each to a different circuit on the PANs.
1 x vnet with subnet and gatewaysubnet
PAN SIDE:
2 x tunnel interfaces configured with BGP local 169.254.21.2/169.254.22.2 and remote 169.254.21.1/169.254.22.1 (vnet GW BGP IPs)
2 x IPsec tunnels on the PANs pointing to each public IP configured on vnet gw in Azure
2 x BGP peers configured with 169.254.21.2/169.254.22.2 a nd matching BGP ASN for Azure
2 x static routes pointing to each tunnel interface with the next hop AZURE BGP peer IP
2 x static routes pointing at default gateway of respective circuits towards AZURE public IPs
1 thing I am not clear on are the connections and BGP settings when trying to do active/active across separate circuits. Both connections are using the same custom BGP addresses because it inherits it from the vnet gateway. I can’t figure out how that would work without me being able to say “use this peer IP for this connection and that peer IP for that connection” because it auto populates both when you are doing active/active.
Update: Day 4 or 5 still no luck…I did finally get a response from Azure support so I had hope…but it was non-committal and I fear they don’t even know if this is supported or how to make it work. Really is night and day difference between AWS and Azure support and I feel for anyone who is pigeon holed into only using Azure.
If anyone has done this and got it working please show me the way. https://imgur.com/VFfafnN