読者です 読者をやめる 読者になる 読者になる

あじゅらーの成長日記

にわかITインフラエンジニアがMicrosoft AzureなどIT関係全般を綴ります。

【Azure】自宅とAzureをサイト間VPN Gateway接続してみた

前回はインターネットから自宅のグローバルIPアドレスに接続するために、Dynamic DNSサービスを利用することを紹介しました。
afraidというサービスを使用して、グローバルIPアドレスが変更になってもFQDNが変わらないようにする設定方法を紹介しました。

enjoymylife.hatenablog.com

今回はAzureのサイト間VPN Gateway接続を行いたいと思います。

<目次>


サイト間VPN Gateway接続とは

Azureの仮想ネットワークのサービスになります。
VPN Gatewayを利用すると、サイト間同士でVPN接続できるため、プライベートIPアドレスで接続できるようになります。

以前はポイント対サイト接続について紹介しました。

enjoymylife.hatenablog.com

これはクライアント端末とAzureの仮想ネットワークを一時的に接続するサービスですが、サイト間VPN Gateway接続は常時接続するようになります。
詳細は以下をご確認ください。

docs.microsoft.com


設定方法(Azure側)

さて、ここからは実際にサイト間VPN接続していきます。
サイト間VPN接続は以下の手順で作成していきます。

  1. 仮想ネットワーク作成(今回は省略)
  2. 仮想ネットワークゲートウェイ作成(今回は省略)
  3. ローカルネットワークゲートウェイ作成
  4. 仮想ネットワークゲートウェイにローカルネットワークゲートを接続

今回は3から紹介します。
Azure Portalで[新規]->[ネットワーキング]->[ローカルネットワークゲートウェイ]と選択してきます。 f:id:hayato320:20161225091352p:plain

IPアドレスアドレス空間の値は注意が必要です。接続先の情報を入力する必要があります。

項目 設定値
IPアドレス 自宅のグローバルIPアドレス
アドレス空間 自宅のLANのセグメント

これでローカルネットワークゲートウェイ側は作成完了です。

次に仮想ネットワークゲートウェイにローカルネットワークを接続していきます。 すでに作成済みの仮想ネットワークゲートウェイを選択し、[接続]->[追加]と移動します。

f:id:hayato320:20161225091331p:plain

接続の種類はサイト対サイトです。
共有キーは後で自宅ルーター側に設定することを覚えておいてください。
ローカルネットワークゲートウェイは3で作成したゲートウェイを選択します。

これで仮想ネットワークゲートウェイにローカルネットワークゲートを接続する設定は完了です。
次に自宅ルーター側の設定に移っていきます。

設定方法(自宅ルーター側)

まず使用できるVPNバイスについて紹介します。
Azureで使用できるVPNバイスは以下に記載があります。

docs.microsoft.com

マイクロソフトで検証済みのデバイスもありますが、未検証でも要件を満たしていればVPN接続することができます。

筆者の環境ではEdge Routerを使用してします。
今回はこちらの設定方法を紹介します。

EdgeRouterのGUIコンソールに接続し、[VPN]->[IPSec Site-to-Site]に移動します。
IPSecを利用するインターフェースとPeerをAddして必要な情報を入力していきます。

f:id:hayato320:20161225093518p:plain

以下に入力する値のうち注意が必要な値を紹介します。

項目 設定値
Peer 接続先の仮想ネットワークゲートウェイIPアドレス
Local IP 自宅のグローバルIPアドレス
DH Group 2(マイクロソフトのページに要件として記載があります。)
Pre Shared Secret Azure側で設定した共有キー
Local subnet 自宅のLANのセグメント
Remote Subnet AzureのLANのセグメント

入力が完了したら[Apply]をします。

次に、マイクロソフトのデバイス要件で先ほどのページで設定できないPFSの設定を行います。 [Config Tree]->[vpn]->[ipsec]->[esp-group]->[FOO0]に移動し、「PFS」の設定をdisableに設定します。

以上で設定は完了です。
ただし、自宅ルーターと仮想ネットワークゲートウェイが自動で接続するのに少し時間がかかります。
仮想ネットワークゲートウェイの接続状態が「接続済み」になっていても接続できるまで時間がかかるので注意が必要です。
筆者の環境では自宅からAzure上の仮想マシンPING疎通できるのに50分くらいかかりました。

最後に

今回は自宅とAzureをVPNGatewayを用いて接続しました。
これにより自宅とAzureをプライベートIPで接続することが可能になりました。
ただ、今回の設定では自宅のグローバルIPアドレスが変更になるとVPN接続が解除されてしまいます。
これはどうにか対処したいですね。