232 views(since 2013/10/08)

会社から(Yamaha RTX1200)、Microsoft Azure のデータセンターにサイト間VPNを接続して仮想マシンにアクセスしてみよう。(VPN:仮想ネットワーク)

snoro | 4月 22, 2014 | 0 comments

概要

Microsoft Azureに仮想サーバを置き、会社のローカルネットワークから、インターネットでアクセスする場合には以下のようにサイト間VPNを接続する方法があります。

今回はＶＰＮの接続方法から、仮想マシンを作成して、リモートデスクトップを行うところまで、手順を解説します。

※今回はサイト間VPN(Azure-Ｒｏｕｔｅｒ)を説明します。

※PCから直接AzureにVPNを接続する場合はポイント対サイト接続の構成が必要です。

メリット

VPNにて安価のインターネット使用して安全（データが暗号化されているので）にアクセスできます。
Azure側が固定ＩＰになります。
※データでしたら、BLOB等にhttps等で安全にアクセスする方法もあります。
※ファイルサーバ等のポートを開ければ、暗号化されていないですが、直接アクセスすることも可能です。

価格(2014/04/21日)

価格は、接続時間＋データ転送量の合計金額になります。
接続時間あたり ¥5.10 (約 ¥3,795/月)　利用可能になっている時間のみ課金
- http://azure.microsoft.com/ja-jp/pricing/details/virtual-network/
データ転送量 5GB無料/月 12.24円/1G
- http://azure.microsoft.com/ja-jp/pricing/details/data-transfers/

概念図

論理図

用意するもの

RTX1200 x 1台
BFlet’s +プロバイダー(固定IP8個、1個だけ使う)
Microsoft Azure

会社側ネットワーク構成(例：Exceedone)

構成	説明
接続メディア	ADSL/FTTH など
接続プロトコル	PPPoE
WAN	8個 (/29) 固定のグローバルアドレスのうち1個を専有で使用 ※IP1個で行う場合は、社内のインターネットのNATと重なると、500番のポート等追加で設定必要 Yamaha IPsecでのNATの設定について(簡単にする方法)
LAN	192.168.0.0/16

Microsoft Azure側ネットワーク構成

サブネット名	アドレス範囲
アドレス空間	10.0.0.0/8
ゲートウェイ	10.10.0.0/24
Subnet-1	10.10.10.0/24
Subnet-2	10.10.20.0/24

仮想ネットワークの作成手順

1. [新規]-[ネットワークサービス]-[仮想ネットワーク]-[簡易作成]で仮想ネットワークを作成する。

仮想ネットワーク – 簡易作成
名前	exceedone
アドレス空間	10.—.—.—
最大 VM 数	65536 (CIDR/16)
アフィニティグループ作成/地域	日本（東）
既存 DNS への接続	なし

2. [構成]を選んで[仮想ネットワークアドレス空間]を入力して、[保存]する。

サブネット名	アドレス範囲
アドレス空間	10.0.0.0/8
Subnet-1	10.10.10.0/24
Subnet-2	10.10.20.0/24

3. ローカルネットワークを追加する。（会社側のローカルネットワークね！）

[Azure]-[ネットワーク]-[ローカルネットワーク]

ローカルネットワーク
名前	exceedoneloacal
VPN デバイスの IP アドレス	RTX1200のグローバル IP アドレス
アドレス空間	192.168.0.0/16

4. サイト間接続にチェックマークを入れる。

[Azure]-[ネットワーク]-[exceedone]-[構成]

[サイト間接続]-[ローカルネットワークに接続する]にチェックを入れる

[サブネット]-[ゲートウェイ]に　10.10.0.0/24　と入力する。

5. 仮想ネットワークにゲートウェイ作成

[Azure]-[ネットワーク]-[exceedone]-[ダッジュボード]-[ゲートウェイ作成]-[静的ルーティング]

10分ぐらいまちます。。。。

完成するとゲートウェイIPアドレスが表示されます。

※ゲートウェイを作成する毎にIPアドレスはかわります。

6. 共有キーのコピー

[Azure]-[ネットワーク]-[exceedone]-[ダッジュボード]-[キーの管理]

キーをコピーします。

7. 会社側のルータ(RTX1200)に以下のコマンド(config)で入力します。

例

tunnel select 71
 ipsec tunnel 171
  ipsec sa policy 171 71 esp aes256-cbc sha256-hmac anti-replay-check=off
  ipsec ike duration ipsec-sa 71 3600
  ipsec ike encryption 71 aes256-cbc
  ipsec ike group 71 modp1024
  ipsec ike hash 71 sha256
  ipsec ike keepalive log 71 off
  ipsec ike local address 71 192.168.20.1
  ipsec ike local id 71 192.168.20.1
  ipsec ike nat-traversal 71 on
  ipsec ike pre-shared-key 71 text cZGurm9NXXXXXXXXXXXXXXXXXXX
  ipsec ike remote address 71 138.91.5.74
  ipsec ike remote id 71 10.10.0.1
 ip tunnel tcp mss limit 1350
 tunnel enable 71

ip route 10.10.0.0/16 gateway tunnel 71

8. RTX1200でテストします。

以下のように表示されたらＯＫです。

EXRT02:> show status tunnel 71
TUNNEL[71]: 
説明: 
  インタフェースの種類: IPsec
  トンネルインタフェースは接続されています
  開始: 2014/04/22 15:02:02
  通信時間: 1分50秒
  受信: (IPv4) 222 パケット [7368 オクテット]
        (IPv6) 0 パケット [0 オクテット]
  送信: (IPv4) 9 パケット [786 オクテット]
        (IPv6) 0 パケット [0 オクテット]
EXRT02:> show ipsec sa 
Total: isakmp:1 send:1 recv:12

sa   sgw isakmp connection   dir  life[s] remote-id
-----------------------------------------------------------------------------
1     71   -    isakmp       -    15518   138.91.5.74
2     71   1    tun[071]esp  send 3485    138.91.5.74