Назад | Перейти на главную страницу

VPN-шлюз RRAS в Azure с NAT через туннели для нескольких клиентов типа "сеть-сеть"

Мы подключаемся к нескольким сетям поставщиков и клиентов (нашим клиентам) из нашей виртуальной сети Azure, мы не можем контролировать, какой VPN-шлюз настроен у клиента. Мы больше не можем использовать встроенный шлюз виртуальной сети Azure, поскольку нескольким клиентам требуются туннели на основе политик. Нам также необходим NAT, поскольку наши подсети пересекаются с подсетями нашего клиента.

Мы изучаем NGFW NVA, такую ​​как PAN VM-Series, Check Point CloudGuard, Barracuda CloudGen, но многие из них дороги и имеют гораздо больше функций, чем нам нужно.

Мне интересно, можно ли использовать Windows Server RRAS, но я нашел ограниченную документацию по моему сценарию.

Итак, что я хотел бы знать:

  1. Может ли RRAS управлять 10-50 туннелями типа "сеть-сеть", подключенными одновременно?

  2. Поддерживает ли он несколько туннелей на основе политик и маршрутов одновременно?

  3. Существуют ли какие-либо известные ограничения на то, какие оконечные устройства или конфигурация туннеля могут использоваться на сайтах наших клиентов?

  4. Можно ли использовать статический NAT, чтобы избежать конфликтов из-за перекрытия подсетей на сайтах наших клиентов? Преобразование IP-адреса нашей виртуальной машины в неконфликтный адрес для каждого туннеля (например, для каждого клиента)?

  5. Можем ли мы расположить две виртуальные машины RRAS между двумя балансировщиками нагрузки (внешним и внутренним) для обеспечения высокой доступности или как можно ожидать ее настройки? Сэндвич с балансировщиком нагрузки - это установка, используемая всеми сторонними продуктами NGFW от перечисленных выше поставщиков.

  6. Является ли этот сценарий слишком сложным для RRAS, и нам было бы лучше с одним из перечисленных выше продуктов третьей стороны NGFW?

Спасибо.

Microsoft не поддерживает RRAS для работы в Azure: https://support.microsoft.com/en-gb/help/2721672/microsoft-server-software-support-for-microsoft-azure-virtual-machines и я думаю, что это будет в ближайшее время. Когда я работал в Microsoft, я однажды попытался получить поддержку, но инженеры решили, что это не так.

И у вас может быть несколько VPN-подключений на основе политик на одной паре шлюзов: https://docs.microsoft.com/en-us/azure/vpn-gateway/vpn-gateway-connect-multiple-policybased-rm-ps а также сочетание соединений на основе маршрутов и политик! :)

По вопросам, не относящимся к RRAS из вашего списка:

4) С поддерживаемым сторонним NVA - да, но подробности уточняйте у поставщика.
5) Да, это обычное решение с функцией портов HA ILB. Спросите стороннего поставщика NVA, поскольку у них обычно есть чертежи для этих настроек. Раньше у них просто были скрипты, выполняющиеся внутри NVA для вызова ARM для изменения маршрутов / общедоступных IP-адресов и т. Д. Для переключения с одного экземпляра на другой.
6) Так как RRAS не поддерживается, да; но еще раз рассмотрите собственное решение VPN для Azure, поскольку оно может соответствовать вашим потребностям.