Azure Site-to-Site-VPN mit der FritzBox

23.12.2016 von robert@riwa4.de
/blog/artikel/azure-fritzbox

In Azure kann man bekanntlich sein “eigenes” Netz einrichten, d.h. einen (fast) beliebigen Adressbereich seiner Wahl in einem sog. VNet konfigurieren. Durch die mögliche Verbindung via VPN mit dem Netzwerk im eigenen Rechenzentrum wird somit das in Azure eingerichtete Netzwerk zu einem weiteren Standort der eigenen Infrastruktur und die Ressourcen in Azure sind transparent wie im eigenen Netzwerk erreichbar. 

In dieser Anleitung wird beschrieben, wie man diese VPN-Anbindung auch mit einer FritzBox 7490 herstellen kann und somit Azure auch als “Verlängerung” des eigenen Heimnetzwerkes verwenden kann.

English Français Espagnol Portuguese

Einrichtung VNet

Grundlage ist der Artikel https://docs.microsoft.com/en-us/azure/virtual-network/virtual-network-vnet-plan-design-arm. Als Beispiel richte ich hier ein VNet mit Adressbereich 10.3.0.0/16 (der Adressbereich darf sich nicht mit den lokalen Adressen überschneiden) und den folgenden Subnetzen ein:

Subnet 10.3.0.0/24 - bietet 247 freie IP-Adressen
GatewaySubnet 10.3.1.0/24 - Spezielles Subnetz für die VPN-Verbindung
Virtuelle Maschinen, auf die dann später wie im lokalen Netz zugegriffen werden sollen, müssen in dem ersten Subnet angelegt werden.

Einrichtung des Gateways in Azure

In https://docs.microsoft.com/de-de/azure/vpn-gateway/vpn-gateway-howto-site-to-site-resource-manager-portal wird beschrieben wie es geht. Das Gateway wie in dem Artikel anlegen. Dabei beachten: Das Gateway muss “Richtlinienbasiert” sein. Dabei wird dann auch eine Public-IP Adresse angelegt, die später bei der Konfiguration der FritzBox benötigt wird.

Als “Stellvertreter” für die FritzBox wird in Azure nun das “Local Network Gateway” angelegt. Dabei muss man die öffentliche IP-Adresse der FritzBox, die gerade gültig ist, kennen. Außerdem den Adressbereich des lokalen Netzwerkes eintragen, in meinem Fall ist das z.B: 192.168.2.0/24.

Schließlich muss wie in dem Artikel beschrieben, eine Verbindung zwischen dem Gateway und dem lokalen Gateway eingerichtet werden. Dabei den Shared Key festlegen, den man später dann auch für die FritzBox konfiguriert.

FritzBox konfigurieren

Um die FritzBox zu konfigurieren, muss die Konfigurationsdatei https://1drv.ms/u/s!AlVNeomY2iiZnvQhtPIwZ59v4bTNNw angepasst werden: Alles Stellen, die mit <todo> gekennzeichnet sind, müssen entsprechend ergänzt werden und dann natürlich “<todo>” gelöscht werden. Die FritzBox muss mit einem Dynamischen DNS-Service registriert werden, damit die wechselnde IP-Adresse abgefragt werden kann.

Bei den Freigaben im FritzBox-Konfigurationsmenü liest man schließlich die angepasste CFG-Datei ein. Damit wird dann die Verbindung hergestellt.

Automatische Anpassung der IP-Adresse

Bei den meisten Internet-Providern erfolgt eine Neuzuweisung der IP-Adresse einmal in 24 Stunden. Am besten konfiguriert man die FritzBox so, dass man eine Zwangstrennung z.B. um 4 Uhr morgens vornimmt und somit nach diesem Zeitpunkt eine IP-Adresse hat, die 24 Stunden gültig bleibt. Jetzt bleibt noch die Aufgabe, dass diese IP-Adresse automatisch in Azure entsprechend in die Konfigurations des Gateways aufgenommen wird.

Dazu wird ein Automationskonto eingerichtet und das folgende Skript (nach Anpassung der Variablen natürlich) jeden Morgen nach 4 Uhr ausgeführt: https://1drv.ms/u/s!AlVNeomY2iiZnvQjmtJ24egMhsAFfQ 

Damit wäre die Verbindung eingerichtet und wird automatisch mit der aktuellenIP der FritzBox aufrecht erhalten.

Zu den Kosten: Hält man so die Verbindung den ganzen Monat aufrecht, fallen Kosten in Höhe von knapp 22 EUR monatlich an.