VPNゲートウェイの作成 [サイト対サイト(S2S)]

いいね!!

VPNゲートウェイとは、Azure上のネットワーク(VNet)と他のネットワークをVPN(IPsec)で安全に接続するためのサービスです。

Azureへの接続は下記のような方法があります。

ポイント対サイト:PC(Win7以降)にクライアント証明書とVPNソフトをインストールし、VPNゲートウェイとVPN接続を行う。同時接続数128台

サイト対サイト(IPsec):オンプレミス~VPNゲートウェイ間にてVPN接続

サイト対サイト(専用線):オンプレミス~VPNゲートウェイ間を専用線で接続

VNet 対 VNet (IPsec):VNet ~ VNet 間にてVPN接続 ※Azureバックボーンを利用

今回は、サイト 対 サイト(IPsec) でのVPN接続を作成していきます!!


全体の流れ

Step1:「仮想ネットワーク」の作成
Step2:「仮想ネットワーク ゲートウェイ」の作成
Step3:「ローカルネットワーク ゲートウェイ」の作成
Step4:「接続」の作成

Step1:「仮想ネットワーク」の作成

前回記事を参照下さい。

Step2:「仮想ネットワーク ゲートウェイ」の作成

[+新規]ー[ネットワーキング]ー[仮想ネットワーク ゲートウェイ]を選択

Name:表示名

ゲートウェイの種類:VPN(IPsec),ExpressRoute(専用線)

VPNの種類:
-Route-based:IKEv2接続。最大30拠点接続
-Policy-based:IKEv1接続。※IKEv2で多拠点接続可能

SKU(Route-based): A/A構成の場合、BGPが必要
ーBasic:100Mbps/99.9%
ーVpnGw1:650Mbps/99.95% BGP対応
ーVpnGw2:1GMbps/99.95% BGP対応
ーVpnGw3:1.25Gbps/99.95% BGP対応

仮想ネットワーク:Azure側のネットワークを指定
※[GatewaySubnet]が含まれていない場合、ここで作成できます。

パブリックIPアドレス:Azure側のグローバルIP(動的のみ)

BGP ASNの構成:Private ASN [64512~65534]から指定。デフォルト[65515]
Azure予約済み[65515、65517、65518、65519、65520]

サブスクリプション:Azureサービスの提供範囲

リソースグループ:グループ名(複数のリソースをグループ化する機能)

場所:デプロイするAzureのリージョン

Step3:「ローカル ネットワーク ゲートウェイ」の作成

[+新規]ー[ネットワーキング]ー[ローカル ネットワーク ゲートウェイ]を選択

名前:表示名

IP アドレス:オンプレ側のグローバルIPアドレス

アドレス空間:オンプレ側のIPアドレス範囲

BGP設定の構成
ー自律システム番号:ローカル側のAS番号を指定
※Private AS番号:64512~65534 予約済みを避けて選択すると良い
ーBGPピアのIPアドレス:GatewaySubnet からIPを選択。もしくは、ループバックアドレス

サブスクリプション:Azureサービスの提供範囲

リソースグループ:グループ名(複数のリソースをグループ化する機能)

場所:デプロイするAzureのリージョン

※参考
[Azure予定済み]
パブリックASN: 8075、8076、12076
プライベートASN: 65515、65517、65518、65519、65520
[IANA予約済み]
23456、64496~64511、65535~65551、429496729

Step4:「接続」の作成

[+新規]ー[検索:接続]から作成を行う。

vpn012

接続の種類:
-VNet 対 VNet
-サイト 対 サイト(IPsec)
-ExpressRoute

サブスクリプション:Azureサービスの提供範囲

リソースグループ:グループ名(複数のリソースを1つにグループ化する機能)

場所:デプロイするAzureのリージョン

vpn013

仮想ネットワーク ゲートウェイ:事前に作成したものを選択

ローカル ネットワーク ゲートウェイ:事前に作成したものを選択

接続名:表示名

共有キー(PSK):IPsec用の暗号キー

vpn014

最後に確認

vpn015


お疲れ様です。ここまでで、Azure側での設定は終了です。

次はオンプレ側のNW機器での設定が必要となります。無事に接続ができると、「接続済み」と表示されます。

vpn016