Oi a todos
Como vocês lidam com suas VPNs de site para site ao terem um NVA de terceiros ou Azure Firewall?
Azure VPN Gateway ou NVA.
O que você quer dizer com “lidar”? Você o configura, monitora, gerencia como qualquer outro. Eu gerencio cerca de 60 S2S, alguns baseados em VNG e alguns em ER.
Quando tenho um NVA, eu faço o roteamento para esses. O firewall do Azure não tem configuração de site para site.
NVA será mais barato em S2S
Ou use Azure VNG/LNG se desejar.
Gateway Virtual no Azure. Eu acabei de criar dois ontem nos meus FortiGates.
Modelo tradicional de Hub e Spoke. Tudo o que é outro é um spoke que se conecta ao HUB que contém o NVA. Então, na rede do HUB, você tem um Azure VPN Gateway que se conecta ao que quer que seja, que pode ser S2S ou VPN de rota expressa. Nós usamos NVA de terceiros, não o Azure Firewall.
Fica realmente divertido quando você introduz SDWAN, então o roteamento fica difícil de resolver. Boa sorte!
Nós desistimos. Tentamos fazer funcionar com nosso VPN existente e nosso consultor não conseguiu configurá-lo. Depois olhamos para o Azure VPN Gateway, mas nossos usuários rebelaram-se.
Azure VPN Gateway em uma rede Hub que inclui Azure Firewall implantado em outro subnet, é recomendado para fácil SLA de uptime e sem necessidade de gerenciamento.
Se você já tem um NVA de terceiros implantado no Azure, use-o, assumindo que está na sua rede hub. Tenha em mente que precisará de resilência, pois ele implantará 2 VMs. Basta criar seus túneis IKEv2 lá. Provavelmente precisará também do Azure Route Server para facilitar a rota dinâmica e BGP. Além disso, você precisará de balanceadores de carga.
Leia este artigo: Deploy Highly Available NVAs - Azure Architecture Center | Microsoft Learn
Temos firewalls Fortigate no local e então usamos Fortigate no Azure. Temos uma configuração de site para site através deles e usamos FortiClient para P2S.
Como você configurou seus VPNs? No NVA ou você tem um Azure VPN Gateway para isso?
VNG é mais barato comparado ao NVA?
Você usa os Fortigates e um Azure VPN Gateway?
Então você tem ambos: o de terceiros e o Azure VPN Gateway?
VNG. Gostaria de usar um NVA se pudesse encontrar uma opção acessível. Opções gratuitas como frrouter também não funcionam para mim.
[edit] Acho que devo acrescentar. A configuração é apenas uma política padrão de IKEv2 em modo baseado em rota. Conectamos com PAN, Checkpoint, Fortigate, Cisco ASA, Firepower e outros, dependendo do que o cliente tem do lado dele. O recurso IPSEC do Azure VNG é muito confiável. Raramente encontrei um problema que não estivesse relacionado a uma má configuração do cliente.
Dito isso, há desvantagens que tornam os NVA tão atraentes. Para começar, o VNG é um roteador ruim. Sem suporte a GRE, comportamento errado do BGP, especialmente com o novo recurso APIPA, sem suporte à comunidade BGP, limitações adicionais do BGP do Azure que forçam topologias de “wan virtual” altamente complicadas para resolver casos de uso que o BGP e IGPs resolveram há décadas em formatos muito mais simples. Ferramentas de troubleshoot muito ruins. Ferramenta de captura de pacotes ruim. Sem possibilidade de fazer testes de rede direto a partir do VNG, como ping, traceroute, etc.
NVA são basicamente appliances de rede que deixam você fazer tudo que desejar. Então, só que vem a um custo significativo sobre um VNG básico.
Sim, não implanto um novo NVA, mas se você já tiver um NVA existente, adicione uma nova conexão a ele.
VPN de terceiros e VPN de rota expressa. VPN de Rota Expressa pode ser substituída por S2S VPN. Você pode ter ambos na sua subrede de gateway, mas a VPN de Rota Expressa sempre tem prioridade sobre a VPN do Azure S2S; pelo menos era assim há um tempo quando tentamos configurar e fomos impedidos pelo MS.
Houve alguma razão para não simplesmente terminar VPNs no NVA?
Porque estou estudando AZ-104 e testando? 
Estou me perguntando porque, na maioria das vezes, vejo NVA lidando com ambos, se for Palo ou Fortigate. Quando usa Azure Firewall, você precisa de um VNG porque ele não faz VPNs sozinho. A menos que o VNG esteja sendo usado para ExR e VPN.