前回のAzure Hub&Spoke構成の記事でAzureネットワークの構成、VNETとSubnetの作成、およびVNET peeringの設定について説明をしました。
今回はAzureとオンプレ環境をSite-to-Site(S2S)のIPsec/IKE(IKEv1またはIKEv2)VPNで接続する構築を紹介します。オンプレ環境は自宅環境で代替します。(自宅環境にあるPCはすべて物理PCです)
Azureとオンプレ環境の接続はS2S以外にP2S(Point to Site)とExpressRouteがあります。一般的には個人端末を直接にAzureに接続するにはP2Sを使用します。帯域幅の確保、セキュリティ対策という意味で専用線のExpressRouteを使うケースも多いです。3者の比較資料は下記MSドキュメントに記載してあります。
では、早速環境の説明からはじめたいと思います。
■ 前提条件
- 下記環境構成にあるAzureのネットワーク構成(VNETとSubnet)は構築済み
- オンプレ側のルーターはインターネットとの通信が可能
- オンプレとAzure双方のBGP広報はしない
■ 環境構成
Azureのネットワーク構成は1回目の記事で作成したものの中のHubVNET×1とSpokeVNET×1を使用します。また、オンプレ(自宅環境)は左側に配置しています。オンプレのネット環境はNTT光ユニット+Softbank光を使っていて、ルーターはSynology社のRT2600acとなります。
(このルータは同僚が使っているものでとても優秀です)
今回新規デプロイするリソースは2つです。
手順は以下通りです。
=========
- VPN Gatewayのデプロイ
- Local Network Gatewayのデプロイ
- オンプレのルーター(Synology)での接続設定
- VPN Gateway/LGNでの接続設定
=========
■ 構築手順
【Step1】VPN Gatewayのデプロイ
1. 仮想ネットワーク ゲートウェイの一覧画面を開く
Azure Portal上部の検索欄に"VPN"を入力し、検索結果から「仮想ネットワーク ゲートウェイ」を選択します。
2. 新規作成
3. 「基本」情報入力
※ VPN GWのSKUのドキュメント
↓
4. 確認及び作成
「タグ」は入力不要で、「確認および作成」画面で"検証に成功しました"を確認します。
↓
「作成」をクリックしてデプロイを開始します
※Gatewayのデプロイは結構時間がかかり、一般的には15分~25分を目安にして頂ければと思います。
↓
5. デプロイ完了
デプロイ後のVPN Gatewayの概要画面は下記通りです。「パブリック IPアドレス」はStep3でオンプレ側のルーターに設定するので、メモしておきます。
【Step2】Local Network Gatewayのデプロイ
これからLocal Network Gateway(LNG)を構築します。
LNGはオンプレ側のルーターおよびルート情報をVPN Gatewayに提供する仲介役のようなリソースだと個人的に思います。LNG自身はIPアドレスを持たないので、VPN GWと違ってVNETやSubnetに属しません。
1. ローカル ネットワークゲートウェイの一覧画面を開く
Azure Portalのホーム画面で"local"を入力し、検索結果から「ローカル ネットワークゲートウェイ」をクリックします。
2. 新規作成
3. 「基本」情報入力
基本情報入力の画面でRGとLNGの名称を決めたあとに、オンプレ側のパブリックIPとプライベートIPを入力する項目があります。
※プライベートIPは場合によって複数のIP空間が存在することがあります。その場合はこのS2S VPNを経由してAzure側と通信したいすべてのIP空間のCIDRを追加してください
★ パブリックIPは不明な場合は下記URLにて確認できます。
4. 「詳細設定」情報入力
次は「BGP設定の構成」ですが、今回はBGP広報を使わない想定なので割愛します。使用の場合はこの設定を"はい"に設定し、「自律システム番号(ASN)」と「BGPピアのIPアドレス」を入力する必要があります。
<BGP設定しない場合>
<BGP設定する場合>
5. 確認及び作成
検証結果は問題がなければ、「作成」ボタンをクリックします。
6. デプロイ完了
デプロイ後のLNGの概要画面ではオンプレ側のパブリックIP(項目「IPアドレス」)を確認できます。
【Step3】オンプレのルーター(Synology)での接続設定
これからオンプレ側のルーターのS2S設定を行います。
ルーターはメーカーが多く、それぞれの機能と画面は異なりますので、ここではあくまでも私が使用しているSynology社製の「RT2600ac」での設定手順を紹介します。
1. ルーターのSite-to-Siteの設定画面を開く
Synologyの管理ポータルにログインします。
↓
これはSynologyの管理ポータルのホーム画面ですが、対象アプリは「VPN Plus Server」となります。
↓
「VPN Plus Server」をクリックして開きます。
<参考>
もし、VPN Plus Serverはまだインストールされていない場合は「パッケージセンター」→ エクスプローラ「すぺて」→ VPN Plus Serverの操作順でインストールできます。
↓
2. Site-to-Site接続の新規作成
サイドメニューの「Site-to-Site VPN」をクリックします。メイン画面で「追加」→「手動」の順をクリックします。
3. 「全般」情報入力
↓
4. 「暗号化」情報設定
暗号化の設定は必要に応じて変更してもいいが、私の設定は下記通りになります。設定後に「OK」をクリックしてデプロイします。
5. デプロイ後の状態
デプロイ後の「状態」は"接続中"となっています。その後のVPN Gateway側の接続設定が完了したら、状態が更新されます。
【Step4】VPN Gatewayでの接続設定
Step3でオンプレのルーター側の接続設定を行いました。次にAzureのVPN Gateway側の接続設定を行います。
接続設定画面はStep1でデプロイしたVPN Gatewayからでも、Step2でデプロイしたLNGからでもアクセスできます。
<VPN Gatewayの場合>
<LNGの場合>
1. 接続の追加
「追加」をクリックして接続設定画面を開きます。
2. 「基本」情報入力
3. 「設定」情報入力
4. 確認及び作成
「タグ」は入力不要で「確認および作成」画面で"検証に成功しました"を確認できたら、「作成」をクリックします。
※ここで共有キーの中身はマスキングせずに表示されるので、ご注意ください。
5. デプロイ後の状態
デプロイ後にVPN GWまたはLNGの「接続」画面で接続状態が確認できます。場合によっては"接続済"になるまで多少のタイムラグがあるので、5分ほど経過してから再度確認したほうがいいかもしれないです。
概要画面の「状態」は"接続済"になっていることを確認できます。
【Step5】オンプレのルーターでS2S接続状態の確認
上記手順はすべて完了できたら、再度オンプレのルーター(Synology)のSite-to-Siteの画面に移動し接続状態を確認します。
※Step3でS2S接続をデプロイした直後の状態は"接続中"です。
接続状態は"接続済"になったことを確認できます。
■ まとめ
以上でオンプレ側とAzure間のS2S VPN接続の設定手順を紹介しました。オンプレ側のルーターのメーカーと型番によって設定画面と項目は変わることがありますが、Azure側の設定は基本的に上記説明でいけると思います。
次回は今回設定した環境を使って、Azure Firewall(AFW)のデプロイとオンプレ⇔AzureのAFW経由の双方向通信の設定について紹介します。
引き続き、よろしくお願いいたします。
以上