Azure新ポータルのサイト間VPNをYAMAHA RTXで接続する場合、サイト間接続(S2S)ではRouteBasedの設定が必要になる。
YAMAHAが公開している資料は古く、RouteBasedでない。
Microsoftが公開している「検証済みの VPN デバイスとデバイス構成ガイド」にはYAMAHA RTXは載っていない。
ネット上で見つかる設定例は、情報が古く、RouteBasedでないか、あっても内容があやしかったり、変なことをしていたりするので、あまり当てにならない。
設定のポイントは以下の通り
- RouteBased の場合 IKEv2 を使用する。
- RTX は IKEv2 に対応したできるだけ新しいファームウエアを使用する。
- Azure では SA の ライフタイムは 27000 秒である。
SA のライフタイムは IKEv2 ではネゴシエーションされないので、RTX 側で 27000 秒以内に SA の更新がかかるように
ipsec ike durationを設定する。
設定のサンプル
tunnel select 10
ipsec tunnel 10
ipsec sa policy 10 10 esp anti-replay-check=off
ipsec ike version 10 2
ipsec ike duration ipsec-sa 10 27000
ipsec ike duration ike-sa 10 27000
ipsec ike keepalive use 10 on dpd
ipsec ike local name 10 <my-ip-address> ipv4-addr
ipsec ike nat-traversal 10 on
ipsec ike payload type 10 2 2
ipsec ike pre-shared-key 10 text deadbeaf
ipsec ike remote name 10 <azure-public-ip> ipv4-addr
参考