Help us understand the problem. What is going on with this article?

AzureとBarracuda NextG FirewallでSite to Site VPN接続

More than 3 years have passed since last update.

はじめに

Azure標準のVPNゲートウェイを使って、Barracuda NextG Firewall(以下NGFW)とSite to Site VPN接続を試しました。

もともとNGFWは「サイト間 VPN ゲートウェイ接続用の VPN デバイスと IPsec/IKE パラメーターについて」にかかれている通り「検証済みのVPNデバイス」になっているため安心して利用可能です。

英語版の資料ですが「How to Configure an IKEv2 IPsec Site-to-Site VPN to a Routed-Based Microsoft Azure VPN Gateway」の内容に添って簡単に試すことができました。

【宣伝】pnopバラクーダネットワークスジャパンさんのクラウドパートナーです【大事】

構成

以下の格好悪い図ですが、Azure側は192.168.0.0/16の仮想ネットワーク内にGatewaySubnetとSubnet-1を作成。仮想ネットワークゲートウェイとWindowsサーバを配置しておきます。

オンプレミス側は今回は物理HWは使わずに、こちらもAzure上に構築したNGFWを使って検証します。
仮想ネットワークとしては10.0.0.0/16になっているため、本資料でもこちらのセグメントはオンプレである想定で読んでいただければと。

image.png

NGFWの構築については「AzureでBarracuda NextG Firewall(構築編)」を参照下さい。

Site to Site VPN設定

Azure側のVPN設定

適当なリソースグループを作成して、仮想ネットワークとしては192.168.0.0/16の空間を作成します。
Subnet-1の他にGatewaySubnetも作成しておきます。
image.png

仮想ネットワークゲートウェイはVPN用で作成。SKUは今回は検証目的なので安価なBasicを利用します。
仮想ネットワークゲートウェイのデプロイには数十分かかるので気長に待ちます。作成完了後、パブリックIPアドレスは控えておきます。
image.png

ローカルネットワークゲートウェイは接続先の情報(NGFW側)を入力して作成します。
IPアドレスはNGFWのパブリックIPアドレスを、アドレス空間には10.0.0.0/16を設定します。
image.png

接続(Connection)も先に作成しておきます。
先に作成した仮想ネットワークゲートウェイ、ローカルネットワークゲートウェイの情報を元に作成します。
作成後、状態が「不明」になりますが、今はNGFW側のVPN設定が済んでいないためこのままでOKです。
image.png

NGFW側のVPN設定

クライアントPCからNextGenAdmin.exeを実行して、NGFWの管理画面にログインします。
image.png

「CONFIGURATION」「Configuration Tree」から、Virtual Server配下のツリーを開き、「Site to Site」をダブルクリックします。
image.png

「Lock」ボタンをクリック後、「IPsec IKEv2 Tunnels」をクリック。一覧を右クリックしてメニューから「New IPsec IKEv2 Tunnel..」を選択します。
image.png

VPN接続のための情報を入力します。
【General】
Tunnel Name:任意の名前入力
Enabled:Yes
Initiates tunnel:Yes
Restart SA on Close:Yes

【Authentication】
Authentication Method:Pre-Shared key
Shared Secret:Azure側の接続(Connection)作成時に入力したキー

【Phase 1 / Phase 2】
Phase 1 - Encryption:AES256
Phase 1 - Hash:SHA
Phase 1 - DH-Group:Group 2
Phase 2 - Encryption:AES256
Phase 2 - Hash:SHA
Phase 2 - DH-Group:Disable PFS

【Network Local / Network Remote】
Local Gateway:0.0.0.0
Local ID:(空白)
Local Network Address:10.0.0.0/16 (NGFW側のネットワークセグメント)
Remote Gateway:xx.xx.xx.xx (Azure側の仮想ネットワークゲートウェイのパブリックIPアドレス)
Remote ID:(空白)
Remote Network Address:192.168.0.0/16 (Azure側のネットワークセグメント)

記載の無い項目はデフォルト設定のままで良いと思います。最後に「OK」をクリックします。
image.png

「Send Changes」「Activation Pending」「Activate」の順にクリックして変更を適用します。
image.png

VPN接続確認

NGFW管理画面から、「VPN」「Status」をクリックするとトンネルの定義が2つ追加されており、その片方のステータスが「ACTIVE」になっていれば接続完了です。
image.png

Azureポータルからも接続(Connection)の状態を見ると「接続済み」に変わりました。
image.png

NGFWのFirewall設定

NGFW管理画面から「COFIGURATION」「Forwarding Rules」をダブルクリックします。
image.png

「Lock」ボタンクリック後、「+」ボタンをクリックします。
image.png

新規ルールとして以下の情報を入力します。

ルール種類:Pass
ルール名:任意
BI-Directional:チェック
Source:10.0.0.0/16 (NGFW側)
Destination:192.168.0.0/16(Azure側)
Connection Method:Original Source IP

記載の無い項目はデフォルト設定のままで良いと思います。最後に「OK」をクリックします。
image.png

新規追加されたルールは「↑」をクリックして、リストの「Block」よりも上に移動させます。
image.png

「Send Changes」「Activation Pending」「Activate」の順にクリックして変更を適用します。
image.png

接続確認

予めAzure側(192.168.0.0/16)上にWindows Server 2012R2をデプロイして、IISをインストールしておきました。
NGFW側(10.0.0.0/16)のPCからIEでhttp://192.168.0.4/ でAzure側のIISに接続出来たことを確認します。
image.png

image.png

NGFW管理画面からも「FIREWALL」「Live」で該当の通信が正常に通っていることが確認できます。
image.png

おわりに

NGFWはAzureとSite to Site接続をMSが確認済みであるため、特に迷うこと無くお試しが出来ました。

yotan
Azureコンサルタント/イクメン/カワイイモノズキ/デジタルモノズキ/バイクノリ/Microsoft MVP for Azure
Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
Comments
No comments
Sign up for free and join this conversation.
If you already have a Qiita account
Why do not you register as a user and use Qiita more conveniently?
You need to log in to use this function. Qiita can be used more conveniently after logging in.
You seem to be reading articles frequently this month. Qiita can be used more conveniently after logging in.
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
ユーザーは見つかりませんでした