VPNゲートウェイの作成 [ポイント対サイト(P2S)] ~ARM編~

いいね!!

ポイント対サイト(P2S)とは、クライアント端末から、直接 Azure上のVPNゲートウェイに対してVPN接続を行うサービスです。

下記構成の場合、すべての端末間で通信が可能 ※もちろん、PC同士も可
・VPNゲートウェイにて、BGPを有効にする事で[V2V][S2S]接続が可能
・VPNクライアントを実行すると”Route Add”にて、GW(+Peer)セグメントが追加される
・[V2V][S2S]セグメントは手動で”Route Add”が必要

下記の場合、オンプレ~PC間以外での通信が可能

【サポートOS】
Windows 7 (32bit/64bit)
Windows Server 2008 R2(64bit)
Windows 8.1 (32bit/64bit)
Windows Server 2012(64bit)
Windows Server 2012 R2(64bit)
Windows Server 2016(64bit)
Windows 10
Mac OS X (10.11以上)
Linux(StrongSwan)
iOS

【VPN Protocol】
・SSTP(Secure Socket Tunneling Protocol) [TCP443] ※Windows7以上のみ
・OpenVPN [TCP443]  ※RADIUS認証不可
・IKEv2 [UDP500/4500] ※Windows10/2016以上 / OS X v10.11以上

【認証方式】
・証明書 [エンタープライズ証明書 / 自己証明書]
・RADIUS (+Active Directory)

【最大接続台数】
SSTP:VpnGw1 128 / VpnGw2 128 / VpnGw3 128
IKEv2:VpnGw1 250 / VpnGw2 500 / VpnGw3 1000
※両方同時に利用可能。VpnGw3の場合 128+1000


全体の流れ

Step1:仮想ネットワークの作成 ※省略します。
Step2:ルート証明書&クライアント証明書の作成
Step3:仮想ネットワーク ゲートウェイの作成

※今回は、自己証明書方式で実施


Step1:仮想ネットワークの作成

事前に下記環境を作成しておきます。
・リソースグループ
仮想ネットワーク ※[GatewaySubnet]を作成


Step2:ルート証明書&クライアント証明書の作成

※作業用端末で実施
※事前に「makecert.exe」を準備してください。

ルート証明書を作成
makecert.exe -sky exchange -r -n “CN=tushigami-RootCert” -pe -a sha256 -len 2048 -ss My

クライアント証明書を作成 ※クライアンの台数分発行します。
makecert.exe -n “CN=Client-Host001” -pe -sky exchange -m 96 -ss My -in “tushigami-RootCert” -is my -a sha256

証明書管理画面を表示
ファイル名を指定して実行:certmgr.msc

クライアント証明書のエクスポート

各VPNクライアント端末にクライアント証明書を配布するために、エクスポートします。certmgr からでもエクスポート可能ですが、証明書の数が多いと大変なので、コマンドにて実施します。

証明書一覧を表示
Get-ChildItem -path Cert:\CurrentUser\My

証明書のエクスポート ※英文字のみ
certutil -exportPFX -p “password” -user my “0F2E8F938411~” “c:\Client-Host001.pfx

クライアント証明書のインポート ※各VPNクライアント端末にて実施
certutil.exe -p “password” -user -importpfx “c:\Client-Host001.pfx
※インポート時にパスワードを聞かれるので、エクスポート時のpasswordを入力

ルート証明書のエクスポート

ルート証明書の情報を”P2Sゲートウェイ”に記載する必要があるため、エクスポートします。

エクスポートしたルート証明書の証明書データをコピー


Step3:仮想ネットワーク ゲートウェイの作成

[+新規]ー[ネットワーキング]ー[仮想ネットワーク ゲートウェイ]を選択

サブスクリプション:Azureサービスの提供範囲
リソースグループ:グループ名(複数のリソースをグループ化する機能)
名前:表示名
地域:デプロイするAzureのリージョン
ゲートウェイの種類:VPN(IPsec) / ExpressRoute(専用線)
VPNの種類:※ルートベースを選択
SKU:
ーBasic:100Mbps/99.9%
ーVpnGw1:650Mbps/99.95% BGP対応
ーVpnGw2:1GMbps/99.95% BGP対応
ーVpnGw3:1.25Gbps/99.95% BGP対応
仮想ネットワーク:Azure側のネットワークを指定
※[GatewaySubnet]がない場合、ここで作成できます。
ゲートウェイ サブネットのアドレス範囲: ※このIP範囲から、VPN Clientに払い出される
パブリックIPアドレス名:表示名
パブリックIPアドレスのSKU:Basic固定
割り当て:Azure側のグローバルIP(動的のみ)
アクティブ/アクティブ モードの有効化:VPN GatewayをA/A構成
BGP ASNの構成:Private ASN [64512~65534]から指定。デフォルト[65515]
Azure予約済み[65515、65517、65518、65519、65520]

約30分ほどかかります。

作成した[仮想ネットワーク ゲートウェイ]を選択ー[ポイント対サイトの構成]

アドレスプール:※仮想ネットワークのアドレス空間と重複しないこと
トンネルの種類:
[OpenVPN(SSL) / SSTP(SSL) / IKEv2 / IKEv2とOpenVPN(SSL) / IKEv2とSSTP(SSL)]
認証の種類:[Azure証明書 / RADIUS認証]
ルート証明書:ルート証明書を登録
失効した証明書:失効させるクライアント証明書を登録

[VPNクライアントのダウンロード]を選択

VPNクライアントをインストール後ー[設定]ー[VPN]ー[接続]を選択

[接続]を選択

接続済みを確認!

接続完了!! アドレス プールで設定した、IPが付与されています。