Go to Qiita Advent Calendar 2024 Top
LoginSignup
2
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 3 years have passed since last update.

@kan_itani

Azureとオンプレ環境をインターネットVPNのSite to Site(IKEv2)で接続する手順

Last updated at Posted at 2021-03-25

#目次

  1. 構成イメージ
  2. 事前確認・注意事項
  3. Azureのネットワーク作成
  4. パブリックIPアドレスの作成
  5. 仮想ネットワークゲートウェイの作成
  6. ローカルネットワークゲートウェイ作成
  7. オンプレ側ルータ設定
  8. VPNコネクションの作成
  9. トラブルシュート
  10. ハイブリッド・マルチクラウド検証ラボの紹介

#1. 構成イメージ
以下のように、オンプレが192.168.70.0/24、クラウド側が172.16.0.0/16という環境を作る際のAzure側の環境構築手順を記載します。
VPNはP2SではなくS2Sで接続します。
Azureのマニュアルを読むのが面倒時間がない人向けに、このブログだけで完結できるようになっています。
(情報が不足していたり、間違っていたらコメントをください。修正します。)
image.png

#2. 事前確認・注意事項

  • ネットワーク設計
    • (当たり前ですが)オンプレとAzureそれぞれサブネットがかぶらないようにネットワークを割り当てましょう。
  • VPN接続用の共通パスワードの準備
    • pre-shared-keyを決めましょう。任意の文字列をルータとAzureに設定します。
  • グローバルIPの確認
    • 事前にグローバルIPを確認しましょう。(オンプレミス、Azureともに)
    • Azure側は手動でパブリックIPを作成するので、その時にメモします。
  • 接続する回線速度の検討
    • オンプレミス側で加入している通信回線の回線速度とは別に、Azure側で受け入れられる回線速度を指定する必要があります。AzureのUIでVPNの仮想ネットワークゲートウェイを作成する画面(後述)で「SKU」を選ぶことで、回線速度上限と価格が決まります。オンプレ側に引いた回線とのバランスを考えてSKUを選択しましょう。
      image.png
    • 2020年10月時点ではAzureの無料サブスクリプションを使っているとBasicを選択不可なため、高価で高速な回線しか契約できません。Azureサポートに連絡して無料サブスクリプションの特典(残金)を放棄して、有償サブスクリプションに変更するとBasicを選べるようになります。

#3. Azureのネットワーク作成
172.16.0.0/16の仮想ネットワークを作成し、その中に以下のサブネットを作成します。
・サブネット       172.16.1.0/24
・ゲートウェイサブネット 172.16.255.0/29

 ※以降の画面キャプチャは第2オクテットが172.21.0.0となっていますが、172.16.0.0に読み替えてください。

image.png
image.png
image.png
image.png
image.png
image.png
image.png
image.png
image.png
image.png

#4. パブリックIPアドレスの作成
image.png
image.png
image.png

#5. 仮想ネットワークゲートウェイの作成
image.png
image.png
image.png
image.png
image.png
image.png
image.png
image.png

#6. ローカルネットワークゲートウェイ作成
image.png
image.png
image.png

#7. オンプレ側ルータ設定
ルーターの設定サンプルが公開されているので、それを活用します。
Yamaha RTX1210の場合、以下を利用しました。
https://network.yamaha.com/setting/router_firewall/cloud/microsoft_azure/
Azure側のパブリックIPをルータに設定するので、Azureの「仮想ネットワークゲートウェイ」に動的に割り当てられるグローバルIPをメモしておく必要があります。

#8. VPNコネクションの作成
image.png
image.png
image.png
image.png
image.png
image.png

#9. トラブルシュート

  • Azure側での調査
    image.png

  • オンプレルータ側の調査 (Yamaha RTX1210の場合)

# show ipsec sa 
Total: isakmp:2 send:2 recv:2
sa    sgw isakmp connection    dir  life[s] remote-id
----------------------------------------------------------------------------
1     2    -     ike           -    26645   20.**.**.123
2     1    -     ike           -    28561   20.***.***.171
3     2    1     tun[0002]esp  send 24845   20.**.**.123
4     2    1     tun[0002]esp  recv 24845   20.**.***.123
6     1    2     tun[0001]esp  send 26761   20.***.***.171
7     1    2     tun[0001]esp  recv 26761   20.***.***.171

# show ipsec sa <数字>
SA[1] Status: Establised  Duration: 28774s
Protocol: IKEv2
Local Host: 192.168.70.254:4500
Remote Host: 20.**.**.123:4500
Encryption Algorithm    : AES256_CBC         PRF     : HMAC_SHA1
Authentication Algorithm: HMAC_SHA1_96       DH Group: MODP_1024
SPI: 5d c2 7f b1 87 a4 3b 06 67 b7 9f 75 88 83 1d ce
Key: ** ** ** ** **  (confidential)   ** ** ** ** **

#10. ハイブリッド・マルチクラウド検証ラボの紹介
どなたでも利用できるラボ環境があります。
ご興味のある方はNetApp担当営業、もしくはNetAppパートナーまでお問い合わせください。
image.png

2
1
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
2
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?