• 项目
• 2017/07/11
• 6分钟可浏览

作者：丹尼尔·皮雷斯和丹尼尔·毛瑟

介绍

在本文中，我们将向您展示如何使用 MikroTik 路由器在 Azure 和本地位置之间设置 IPSec 站点到站点 VPN。几年前发布了另一篇关于同一主题的博客文章使用 Windows Azure 和 MikroTik (RouterOS) 创建站点到站点 VPN。但是，我们在本文中有一些重大更新。首先，我们将使用 Azure 资源管理器门户（https://portal.azure.com ）设置站点到站点 VPN)，而原始文章使用经典 Azure 门户。其次，这篇博文中的 VPN 网关是基于路由的，它将利用 IKE 版本 2 (IKEv2)，而第一篇文章中的基于策略的网关利用了 IKE 版本 1 (IKEv1)。如果您不熟悉 IPSec 参数的术语，尤其是 IKEv2，请查看以下文档About VPN devices and IPsec/IKE parameters for Site-to-Site VPN Gateway connections。

设想

下面我们有一个分步介绍的场景图。

配置站点到站点 VPN 所需的上图中的相关信息。

蔚蓝的一面：

• VNET 子网：10.4.0.0/16
• Azure VPN网关公网IP：13.85.83.XX

本地方面：

• 子网：192.168.88.0/24
• On-Prem 网关的公共 IP：47.187.118.YY

Azure：配置基于路由的 IPSec 站点到站点 VPN

本节我们将逐步介绍如何在 Azure 端配置 Site-to-Site VPN。此处演示的步骤与官方文档中的相同：在 Azure 门户中创建站点到站点连接。因此，我们不会一步一步地介绍如何到达屏幕的具体步骤，您可以参考官方文档。此外，如果您已经熟悉这些步骤，请随意跳到下面的会话中：MikroTik（本地）配置 IPSec (IKEv2) 站点到站点 VPN。

1.创建虚拟网络

2. 指定 DNS 服务器（可选，此演示不需要）

3. 创建网关子网：

一种。选择网关子网

湾。添加网关子网。在这种情况下，我将使用 10.4.0.0/16 内的最终 255 网络创建 32 个分配给 VPN 网关的地址，子网为：10.4.255.0.27

4. 创建虚拟网络网关。重要的是要强调我们将使用 VPN 类型：基于路由 此外，对于您的实验室目的，您可以使用 SKU Basic，对于生产工作负载，建议至少使用标准 SKU。有关 VPN 网关大小的更多信息，请参阅：网关 SKU。

a) 创建名为 VNET1GW 的虚拟网关

b) 创建虚拟网络网关后，您可以看到状态以及将要使用的公共 IP：

5. 创建本地网络网关，需要您指定 VPN 设备的公共 IP (47.187.117.YY) 以及本地子网 (192.168.88.0/24)。

6. 配置您的 VPN 设备 – 请参阅部分：  MikroTik (On-Premises) 配置 IPSec (IKEv2) Site-to-Site VPN。

7. 创建 VPN 连接

8.验证VPN连接

MikroTik（本地）配置 IPSec (IKEv2) 站点到站点 VPN

MikroTik RouterOS 有多种型号，并且有非常实惠的设备型号，您还可以使用它们来玩和学习如何使用 Azure 配置 Site-to-Site VPN。

免责声明：虽然我们在本文中演示了 Mikrotik，但重要的是要提到 Microsoft 不直接支持设备配置。如果您有问题，请联系设备制造商以获取更多支持和配置说明。

需要强调的重要一点是 IKEv2 已在 6.38 版中引入。因此，请确保您有一个兼容版本，以便能够继续我们使用的本文中演示的配置：RouterBOARD 750 和软件版本：RouterOS 6.39。

在本教程中， Winbox管理实用程序已用于执行 MikroTik 配置，以下是正确配置 MikroTik 的必要步骤：

1. 通过选择菜单IP和IPSec添加 IPSec 策略- 在策略选项卡上单击+（加号）以添加新策略。在常规选项卡上添加两个子网（来源：本地和目标：Azure），如图所示： 
2. 在同一屏幕上，但操作选项卡 - 选择隧道并指定本地源公共 IP 和目标 Azure 网关公共 IP，可以在创建虚拟网络网关后获取（请参阅：Azure S2S VPN 部分 - 步骤 4b）
   
3. 在Peers选项卡上 – 单击 +（加号）并添加一个新的 IPSec Peer。在 IPSec 术语中，我们正在此配置选项卡上处理 IKE 阶段 1（主模式）。这里我们需要 Azure 网关公共 IP，指定可以在第一部分 - 步骤 7（创建 VPN 连接）中指定的预共享密钥。注意：如果您的 MikroTik 不显示 IKEv2，请确保您至少拥有 RouteOS 版本：6.38。在该版本之前，只有 IKEv1 可用。
4. 在同一屏幕上，转到“高级”选项卡，根据 Azure 官方文档IPSec/IKE 参数- SA（安全关联），用于 IKE Phase 1（主模式），将 Lifetime 调整为 8h = 28,800 秒。 
5. 在Encryption选项卡上，您可以使用 Azure 支持的默认值，或者调整更强的哈希和加密（请参阅此处的详细信息：IPSec/IKE 参数）。本文选择了以下内容： 
6. 现在，让我们继续讨论在 MikroTik 中由Proposals 表示的 IKE 阶段 2（快速模式）。对于这个，您可以创建一个新的（+ 号）或更改默认值。如果您创建一个新的，请确保更改第 2 步（IP Sec 策略）和操作选项卡并选择适当的建议。对于本文，我们将根据 Azure 官方信息为IPSec/IKE 参数中的 IKE Phase 2 更改默认的 IPSec Proposal ： 
7. 确保 VPN 将在 On-Prem 和 Azure 之间正确路由的最后一步是配置 NAT 规则。这是通过转到IP并选择防火墙- 选择NAT选项卡来完成的
   1. 将链添加为srcnat和两个子网（本地和 Azure 子网）。 
   2. 在操作选项卡上选择接受 

验证 IPSec 隧道

在每侧的两台计算机之间 Ping。在右侧本地计算机 (192.168.88.17) 中正确 ping Azure VM (10.4.0.4)，反之亦然。

在两边，我们看到 TTL 为 126，这对应于两个跃点（两个网关）递减。Windows 机器的默认 TTL 为 128。

注意：默认情况下，ICMP 是禁用的。通过运行以下 PowerShell 命令确保允许 ICMP：
Set-NetfirewallRule -Name FPS-ICMP4-ERQ-In -Enable  True

在 Azure 一侧

在 Azure 门户上，您可以验证如第 8 项所示创建的全新隧道。验证上面的 VPN 连接。这也可以通过 PowerShell 使用以下命令进行验证：Get-AzureRmVirtualNetworkGatewayConnection -Name From-Azure-to-Mikrotik -ResourceGroupName S2SVPNDemo 

在 MikroTik 方面
有多种方法可以在 MikroTik 上验证与 Azure 的 IPSec VPN 连接。以下是一些方法：
1. IPSec –策略选项卡。它显示 IKE 阶段 2 是否正常工作。

2.远程对等选项卡。这显示 IKE 阶段 1（主模式）是否正常工作。

3.已安装的 SA选项卡显示当前的安全关联：

IPSec 故障排除

如果在您的配置过程中由于某种原因无法正常工作，您可以进行故障排除以确定发生了什么。MikroTik 为记录和排除 IPSec 故障提供了一个很好的界面，以防您想获得有关正在发生的事情的更多详细信息。事件可以在日志菜单中可视化，但为了确保您可以公开 IPSec 事件，您需要在日志配置（系统 - 日志）中进行简单更改并将 IPSec 添加为主题：

添加此新的日志记录规则后，您将看到以下详细的 IPSec 事件：

额外提示：请参阅读者分享的有关 TCP MSS Clamp 配置的评论。

结论

在本文中，我们演示了如何在 Azure 和 MikroTik RouterBoard 之间使用 IKEv2（基于路由）设置 IPSec 站点到站点 VPN。这些说明还可以帮助您设置与 Azure VPN 网关设置兼容的任何 IPSec 设备。我希望您喜欢这里分享的信息，如果您有其他问题，请在下面的评论中告诉我们。我要特别感谢 Azure 支持升级工程师 Daniel Pires，他与我共同撰写了这篇文章。谢谢！