Azure VPN を設定、新ポータルからの設定手順。サイト間接続の場合

2016/06/03 Azure, クラウドサービス

vpn-azure-connect
Microsoftのクラウドサービス、Azureには、オンプレミスの環境(物理的な拠点)とVPN接続(サイト対サイト)するための機能があります。VPNを利用することでクラウド環境をローカルネットワークと接続し、クラウドをローカルと同じように利用することができる機能です。

スポンサーリンク


このVPNですが、実際に設定をやってみると、Azure側の設定が分かり難い。特に今年(2016年)からAzureを管理するためのポータルが大幅に変更されてしまい、以前に比較して、より分かり難くなっています。
古いAzureポータルを利用してのVPN設定についてはインターネット上に多くの事例や情報がありますが、今回変更された新ポータルを利用してのVPN接続についての接続方法を説明した情報が見つからなかったため、弊社で設定を行ってみました。

  • クラウド環境を利用したいが、社内と同様に利用できるか心配。
  • 新ポータルでVPN設定の仕方が分からない。
  • Azureの導入を考えているが、セキュリティが心配。

といった問題でお悩みの時に参照頂けると、幸いです。

1.Azure VPN設定の前提となる環境

VPN接続を行う環境は以下を前提としています。実際に設定する環境に合わせて読み替えて下さい。

1-1.ネットワーク

(Azure側)

  • 仮想ネットワークのアドレス空間:172.16.0.0/16
  • 仮想ネットワークゲートウェイサブネット:172.16.1.0/29
  • 仮想ネットワークサブネット:172.16.2.0/24

(オンプレミス側)

  • WAN側のIPアドレス:PPPoEによる固定IP1アドレス
  • LAN側のサブネット:192.168.10.0/24

1-2.Azure 新ポータルで表示されるメニューについて

メニューについて、新ポータルでは同じ設定項目でも「クラシック」とクラシック無しがあります。このクラシックも、古いポータルと比較して、随分手順が変わってしまいました。こちらについても別の記事で接続方法は説明するとして、今回は、「クラシック無し」でVPN接続を行います。

1-3.Azureに追加するリソースについて

Azureではリソースをリソースグループというグルーピングで、ひと纏めにできます。VPNの設定には専用のリソースグループ作成は必須ではありませんが、Azureの管理上、分かりやすくするために、リソースグループの作成からVPNに必要なリソースの作成まで紹介していきます。

2.Azureポータルへのログイン

「Azureポータルへのサインイン」からAzureポータルへログインします。古いポータルへのURLもこちらへリダイレクトされます。ログインには事前にMicrosoftアカウントなどを作成する必要があります。ここではログインに必要なアカウントの作成方法は割愛します。
1-azure-portal-login

3.リソースグループの作成

参照から、リソースグループをクリックすると、リソースグループ作成の画面が開きます。
リソースグループとして、VPN接続に関連するリソースを保存するためのグループ、「VPN-GROUP」を作成します。
3-add-resouce-group
本VPNの記事のみで利用する前提ですので、分かりやすい名前にしました。実際には利用する環境に合わせてグループ名の設定を行って下さい。

4.Azure側ネットワーク環境の整備

VPN設定を行う前に、Azure側のネットワーク環境を整備する必要があります。
ここでは、Azure側で利用する仮想ネットワークを作成します。

4-1.仮想ネットワークの作成

参照から、仮想ネットワークを選択して、仮想ネットワーク作成画面へ移行します。
4-1-add-vr-network
追加[+]をクリックして、仮想ネットワークを追加します。
4-1-add-vr-network2
以下のようにパラメーターを設定しました。

  • 名前:Virtula-Network01
  • アドレス空間:172.16.0.0/16
  • サブネット名:VPN-Subnet01(任意)
  • サブネット アドレス範囲:172.16.2.0/24

4-1-add-vrn-parameters1

  • サブスクリプション:ご契約頂いているサブスクリプション
  • リソースグループ:VPN-GROUP
  • 場所:任意の場所(ここでは西日本)

4-1-add-vrn-parameters2
パラメーターの入力後、[作成]ボタンをクリックして、仮想ネットワークを作成します。
仮想ネットワークのデプロイが開始された旨、情報が表示されます。多少時間が掛かります。
4-1-add-vrn-deploy
作成が完了すると、作成した仮想ネットワークが表示されます。
4-1-vrn-deploy-complete

4-2.サブネットの追加

作成した仮想ネットワークはアドレス空間として、172.16.0.0/16を設定しています。
このアドレス空間を実際に利用するサブネットに分割していきます。
最低限、必要になるサブネットは、VPN用のゲートウェイとなるゲートウェイサブネットと、実際に仮想マシンなどを配置するサブネットです。仮想マシンを配置するためのサブネットは、手順4-1で作成が完了しているため、ここではVPN用のゲートウェイサブネットを追加します。

仮想ネットワークからサブネットを選択して、Gateway subnet[+]をクリックします。
4-2-add-gw-subnet1
サブネット追加で以下のようにパラメーターを設定します。

  • 名前:GatewaySubnet(変更できません)
  • アドレス範囲:172.16.1.0/29
  • ルートテーブル:なし(必要に応じて設定)

4-2-add-gw-subnet2
入力後[OK]をクリックして、ゲートウェイサブネットの追加を完了します。
完了すると、追加したサブネットが表示されます。
4-2-add-gw-subnet3
サブネットの作成が完了すると、二つのサブネットが表示されます。
4-2-add-gw-subnet4
これでVMを配置するサブネットと、VPNゲートウェイサブネットの作成が完了しました。

4-3.仮想ネットワーク ゲートウェイの作成

続いて仮想ネットワーク ゲートウェイの作成を行います。
仮想ネットワーク ゲートウェイは仮想ネットワークと他拠点を接続するためのVPNゲートウェイになります。事前に手順4-2.に記載したゲートウェイサブネットを作成している必要があります。

参照から、仮想ネットワーク ゲートウェイをクリックします。
4-3-add-vpn-gateway1

仮想ネットワーク ゲートウェイの作成から、必要なパラメーターを入力します。

  • 名前:Virtual-Network-Gateway01 (任意)
  • 仮想ネットワーク:ゲートウェイを作成する、仮想ネットワーク (VPN-Network01)
  • パブリックIPアドレス:4-3-1で作成します。

4-3-add-vpn-gateway2

4-3-1.パブリックIPアドレスの作成

ここで、仮想ネットワークゲートウェイに割り当てるパブリックIPアドレスを作成します。
このパブリックIPアドレスをルーター側のピアとして設定します。
新規から、パブリックIPアドレスを追加します。
4-3-1-add-public-IP1
パブリックIPアドレスの作成画面で

  • 名前:Virtual-Network-Gateway01(任意)

を入力して[OK]をクリックします。
これでパブリックIPアドレスの作成は完了です。引き続き、仮想ネットワークゲートウェイの作成に戻ります。

4-3-2.仮想ネットワークゲートウェイの作成(続き)

仮想ネットワークゲートウェイの作成について残りのパラメーターを指定します。
VPNの種類については、ルートベースがデフォルトになっています。
※古いポータルではポリシーベース(静的)がデフォルトになっていたようです。
ポリシーベースとルートベースの差異は、マイクロソフトのサイト「VPN ゲートウェイについて」に記載されています。

  • ゲートウェイの種類:VPN
  • VPNの種類:ルートベース(任意ですが、ルーター側に設定する内容が変わります。)
  • サブスクリプション:変更できません
  • リソースグループ:VPN-GROUP
  • 場所:西日本

4-3-2-add-vpn-gateway3
[作成]をクリックして、仮想ネットワークゲートウェイのデプロイを開始します。
4-3-add-vpn-gateway4
デプロイが完了するまで、約40~50分程度掛かりますので、この間に他の設定を行います。

4-4.ローカルネットワークゲートウェイの作成

ローカルネットワークゲートウェイはオンプレミス側のネットワーク設定になります。
この設定はVPNの[接続]を追加する際に利用されます。[接続]を設定する前に、ローカルネットワークゲートウェイの作成を完了しておく必要があります。
参照から、ローカルネットワークゲートウェイをクリックします。
4-4-add-localnetwork-gateway1
表示された画面から、追加[+]をクリックします。
4-4-add-local-network-gateway2

表示されたローカルネットワークゲートウェイの作成画面で以下のパラメーターを入力します。

  • 名前:任意
  • IPアドレス:オンプレミス側のWAN側IPアドレス
  • アドレス空間:オンプレミス側のLAN側IPアドレス
  • サブスクリプション:ご契約のサブスクリプション
  • リソースグループ:VPN-GROUP
  • 場所:西日本

4-4-add-local-network-gateway3
パラメーターを全て指定後、[作成]をクリックして、ローカルネットワークゲートウェイをデプロイします。
4-4-add-local-network-gateway4
デプロイが完了すると、作成したローカルネットワークゲートウェイが表示されます。
表示されない場合は、[最新の情報に更新]をクリックして、表示されることを確認して下さい。正常に表示されれば、ローカルネットワークゲートウェイの作成は完了です。

4-5.仮想ネットワークゲートウェイのデプロイ完了

4-3-2.で作成した仮想ネットワークゲートウェイの作成が完了すると、リソースとして以下の状態になります。
4-5-virtual-network-gateway-complete
リソースは上から、以下の内容となります。

  • rem-site:ローカルネットワークゲートウェイ
  • Virtual-Network-Gateway01:グローバルIPアドレス
  • Virtual-Network-Gateway01:仮想ネットワークゲートウェイ
  • Virtual-Network01:仮想ネットワーク

ここまで表示されれば、Azure側ネットワーク環境の整備は完了です。
続いて、VPN接続設定の追加を行います。

5.VPN接続の追加

ここではVPNを行うための接続設定を追加します。
暗号に関するプロポーサルなどは指定できず、決め打ちになります。どのようなプロポーサルが利用できるかはマイクロソフトのサイト「サイト間 VPN Gateway 接続の VPN デバイスについて」を参照下さい。

5-1.接続の追加

参照から「接続」を選択します。表示された画面から、追加をクリックします。
接続の追加画面が表示されます。
以下のパラメーターを設定します。共有キーについては、実際に利用するものに合わせて下さい。ここで設定した共有キーを、オンプレミス側のルーターにも設定します。

  • 名前:任意(ここではRem-Site-VPN)
  • 接続の種類:サイト対サイト(IPSec)
  • 仮想ネットワークゲートウェイ:Virtual-Network-Gateway01
  • ローカルネットワークゲートウェイ:rem-site
  • 共有キー(PSK):VPN接続の際に設定する共有キー (1234567890)

5-1-add-vpn-connect2

  • サブスクリプション:変更できない
  • リソースグループ:VPN-GROUP
  • 場所:変更できない

5-1-add-vpn-connect3
[OK]をクリックして、接続をデプロイします。
5-1-vpn-conncet-deploy
接続のデプロイが正常に完了すると、Azure側の設定は完了です。
接続画面に作成した[接続]が表示されます。
この時点では、ルーター側の設定が行われていないため、接続状態は不明になっています。
5-1-vpn-connect-complete

6.ルーター側の設定

ルーター側にVPN設定を追加します。本記事ではVPNルーターとしてCenturySystemsのNXR-230を利用しました。ルーターの設定に必要となるパラメーターは以下になります。事前にご用意下さい。

  • Azure側のpeer IP (パブリックIPアドレス/Azureのリソースから確認できます。)
  • Azure側のローカルIPサブネット(本環境では172.16.0.0/16)
  • Azureの仮想ネットワークゲートウェイに設定した共有キー(本環境では11234567890)

ルーター側の設定はCenturySystemsのサイト、「4-2. Windows Azure接続設定例」に記載されています。
ほぼこのサイトに記載されている設定内容でVPN接続には問題ありませんが、Azure側のVPNをルートベースにした場合、IKEv1だと接続できませんのでIKEv2を指定する必要があります。
Azureが利用するプロポーサル(暗号化方式などのVPN設定)はマイクロソフトのサイト「サイト間 VPN Gateway 接続の VPN デバイスについて」で確認できます。

本記事では参考としてNXRを利用した場合のVPN設定を記載します。
環境はPPPoEによる固定IPで、ローカルIPサブネットは192.168.10.0/24を想定しています。
*(アスタリスク)で伏せてある設定パラメーターについては、環境に合わせて設定して下さい。

ヤマハのRTXシリーズでAzure環境とのVPNを行う場合は、「Microsoft AzureとVPN接続するルーターの設定」以下のサイトに掲載されている設定を参考にして下さい。
気を付ける点として、IKEのバージョンがあります。NXRと同じくIKEのバージョンがv1だと接続できませんので、IKEv2を指定する必要があります。VPNトンネルで、IKEv2をコマンドは以下になるようです。

もしRTXで接続が出来た方は設定について、教えて下さい。

7.VPN接続の確認

ルーター側とAzure側の両方でVPN設定ができれば、VPNは自動的に接続されます。古いポータルや、クラシックメニューを利用したVPN設定だと、「接続」「切断」を操作できたのですが、新ポータルでは探してみた限り、そのようなメニューがありません。(切断するにはルーター側で行うしかなさそうです。)

VPN接続されると、Azure側の接続画面が、「接続」に変更されます。
ルーター側でも確認してみます。NXRでは、ipsecの確認に、show ipsec statusコマンドを利用します。
sshでログインして、コマンドを実行した結果は以下の通りです。

出力結果からVPN接続が正常に完了していることが確認できます。
VPNトンネルのステータスはshow ipsec status briefコマンドで確認できます。

トンネルのステータスが[up]になっていることが確認できます。
VPNが接続できれば、後は仮想マシンへのリモートデスクトップ接続やアプリケーションへの接続をローカルIPで行うことができます。

8.まとめ

AzureでのVPNは新ポータルに代わってから、情報が少ないことから、難しい部分が多いと思います。
恐らく新ポータルでのVPN接続は、まだ環境が十分に整っていないように見受けられます。
今後は、より使いやすいように手が入っていくと考えられますが、現時点ではまだ使いにくい部分が多々あります。そんなときに本記事が参考になれば幸いです。
オンプレミス側のVPNルーターについては、マイクロソフトのサイトに動作確認済みの機器が掲載されていますが、ipsecが利用できるVPNルーターなら、殆どの機種が利用できます。
クラウドとオンプレミス側の環境を統合するためにはVPNは欠かせない設定ですので、是非、試して見て下さい。

システムでお困りのお客様

もし、貴社で、

  • サポート切れのサーバやネットワーク機器の入れ替えをしたいが、どうしたらよいかわからない
  • サーバやネットワークの管理を行う社員がいないため困っている
  • 業務に利用している機器のセキュリティが大丈夫か心配
  • 機器の障害で、業務への影響が発生している
  • 社内の要望に対して、どのようなシステムを導入したらよいか解らない

など、サーバーやネットワーク、セキュリティでお悩みの方、新規のシステム導入を検討中の方。
多くのシステム構築を行い、成功させてきた実績をもつ弊社が、その問題を解決します。
お気軽にお問い合わせ頂き、貴社の問題解決にお役立てください。

お問い合わせ・ご相談はこちらから

Facebookでのご購読が便利です。

Twitter・Feedlyでもご購読できます。

Twitterでフォローする Feedlyでフォローする

関連する情報

ec2-install-apache

amazon ec2上のRedhat Enterprise Linuxへapacheをインストールして公開してみる。

先日、amazon ec2上にRedhat Enterprise Linux (ver6.4/x

office365-dns-settings

Office365導入前に必要なネームサーバ(bind)を設定する

ここ最近、少し訳あって、Office365を利用しています。 自社内にExchangeサーバを

ec2-mysql-install

Amazon ec2 (aws ec2) 上のLinuxへMySQLをインストール

以前の記事「Amazon aws EC2上のRedhat Enterprise Linuxへap

ec2-php-install

Amazon ec2 (aws ec2) 上のLinuxへPHPをインストールしてみる

前回の記事「amazon ec2上のRedhat Enterprise Linuxへapache

aws-wp-install

Amazon ec2 (aws ec2) のLinuxへwordpressをインストール

今までapache、php、MySQLのインストールをec2上のRHELへ行いました。(この環境

amazon-aws

Amazon aws (Amazon Web Service) の評価環境作成 EC2の場合

ここ最近、物理サーバ導入のお話がめっきり少なく...変わりにクラウドサービスを利用したサーバ構築

Message

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

  • スポンサーリンク