クラウド接続「Windows Azure」との接続

クラウド接続 Windows Azure との接続 2013 年 10 月

目次はじめに...3 ネットワーク構成...3 オンプレミス側ネットワーク...3 Windows Azure 側ネットワーク...4 Windows Azure での設定...4 仮想ネットワークの作成...4 ゲートウェイの作成...9 オンプレミス (Si-R) での設定... 11 IPsec 設定項目... 11 config... 14 ether ポートの設定... 16 PPPoE の設定... 16 lan 側アドレスの設定... 17 IPsec の設定... 17 IPsec 確立確認方法... 20

はじめに Si-R G シリーズは富士通が提供する企業向けアクセスルータです本頁では Si-R G100 を使用して Windows Azure 仮想ネットワークの IPsec ゲートウェイと IPsec 接続する設定について解説します以降は Si-R G100 を使用することを前提として記述しますネットワーク構成本設定例では以下の構成について解説しますオンプレミス側 192.168.10.0/24 Azure 側 172.16.0.0/12 IPsec Gateway subnet 172.16.10.0/24 オンプレミス側ネットワーク項目環境情報接続メディア ADSL/FTTH など接続プロトコル PPPoE WAN 固定グローバルアドレス LAN 192.168.10.0/24 オンプレミス側ネットワークでは Si-R で PPPoE( アドレス固定 ) を行います固定のアドレスを使用して Azure ネットワークに対して IPsec 接続を動作させます

Windows Azure 側ネットワーク Windows azure 仮想ネットワークでは 172.16.0.0/12 のアドレス空間の中に 1 つのサブネットが存在しますサブネット名アドレス範囲 Gateway subnet 172.16.10.0/24 オンプレミス側と Windows Azure 側での IPsec により IPsec トンネルを介してオンプレミスから Azure 側のサブネットに対して通信をすることが可能となります Windows Azure での設定本章ではオンプレミス側との IPsec 接続をするための Azure での設定について説明します仮想ネットワークの作成 Windows Azure ポータルサイトにログインし [ ネットワークサービス ]-[ 仮想ネットワーク ]-[ カスタム作成 ] の順に選択します

仮想ネットワークの詳細 [ 名前 ],[ 地域 ],[ アフィニティグループ ],[ アフィニティグループ名 ] を入力または選択します既に存在するアフィニティグループを使用する場合は [ 地域 ],[ アフィニティグループ名 ] の入力項目は出現しません設定内容名前地域アフィニティグループアフィニティグループ名設定値 Azure-G100 東アジア新しいアフィニティグループの作成 Azure-G100

DNS サーバーおよび VPN 接続サイト間接続にチェックを入れ [ ローカルネットワーク ] の項目として新しいローカルネットワークを指定するを選択します DNS サーバについては設定しなくても問題はありません設定内容 DNS サーバポイント対サイト接続サイト間 VPN の構成ローカルネットワーク設定値なしなしチェック新しいローカルネットワークを指定する

サイト間接続オンプレミス側の設定をします [ 名前 ],[VPN デバイスの IP アドレス ],[ 開始 IP],[CIDR( アドレス数 )] を入力します [VPN デバイスの IP アドレス ] は Si-R の固定グローバルアドレスを [ 開始 IP],[CIDR( アドレス数 )] には Si-R LAN 側のローカルアドレスを設定します設定内容設定値名前 Si-RG100 VPN デバイスの IP アドレス Si-RWAN 側の固定グローバルアドレス xxx.xxx.xxx.xxx 開始 IP 192.168.10.1 CIDR( アドレス数 ) /24(256)

仮想ネットワークアドレス空間 Windows Azure 側のアドレス空間を設定しますゲートウェイの [ 開始 IP],[CIDR( アドレス数 )] を設定します default 値としてサブネットが定義されています [ ゲートウェイサブネットの追加 ] を押下してゲートウェイサブネットを追加してくださいゲートウェイサブネットがないと先に進めません設定内容設定値開始 IP( ゲートウェイ ) 172.16.10.0 CIDR( アドレス数 ) /24(256) 以上で仮想ネットワークの作成が完了します

ゲートウェイの作成次に VPN を張るためのゲートウェイを作成しますポータルの [ ネットワーク ] を選択し先ほど作成したネットワーク名が存在することを確認します作成したネットワークを選択しクリックします

選択したネットワークの詳細が表示されますこのネットワークに対してゲートウェイを作成します [ ゲートウェイの作成 ]-[ 静的ルーティング ] の順にクリックします設定内容ゲートウェイの作成設定値静的ルーティング静的ルーティングをクリックするとゲートウェイを作成しますか? と聞かれるのではいをクリックしますしばらく待っているとゲートウェイ作成が完了した旨が表示されます

オンプレミス (Si-R) での設定本章では Windows Azure と IPsec 接続するための Si-R の設定について解説します IPsec 設定項目 IPsec 設定値については以下のような内容になります IKE フェーズ 1 項目設定値自側トンネルエンドポイントアドレス xxx.xxx.xxx.xxx/32(isp より割当 ) 相手側トンネルエンドポイントアドレス yyy.yyy.yyy.yyy ポータルサイトより確認 IKE 交換モード main lan 側ローカルアドレス 192.168.10.1/24 暗号情報 aes-cbc-256 認証 ( ハッシュ ) 情報 hmac-sha256 DH グループ group 2(modp1024) IKE SA 有効時間 8h NAT-TRAVERSAL on IKE セッション共有鍵ポータルサイトより確認 IKE フェーズ 2 項目設定値 IPsec 情報のセキュリティプロトコル esp 暗号情報 aes-cbc-256 認証 ( ハッシュ ) 情報 hmac-sha256 DH グループ off IPsec SA 有効時間 1h IPsec SA 有効パケット量 100000m IPsec 対象範囲 ( 送信元 ) 192.168.10.0/24 IPsec 対象範囲 ( 宛先 ) 172.16.0.0/12

相手側トンネルエンドポイントアドレスの確認ポータルサイトより [ ネットワーク ] 選択し対象の仮想ネットワークをクリックしますダッシュボードに表示された [ ゲートウエイ IP アドレス ] が相手側エンドポイントアドレスとなります

IKE セッション共有鍵の確認上記ダッシュボードのページより下部中央の[キーの管理]をクリックします共有キーの管理という枠が出てきますのでコピーします

config config の全体像としては以下のような内容になります config は大きく分けて ether ポート定義 lan 定義 PPPoE 定義 IPsec 定義に分けられますそれぞれについて順を追って説明していきます ether 1 1 vlan untag 1 ether 2 1 vlan untag 2 ether 2 2 vlan untag 2 ether 2 3 vlan untag 2 ether 2 4 vlan untag 2 lan 1 ip address 192.168.10.1/24 3 lan 1 vlan 2 remote 0 name PPPoE remote 0 mtu 1454 remote 0 ap 0 name PPPoE remote 0 ap 0 datalink bind vlan 1 remote 0 ap 0 ppp auth send id@isp pass@isp remote 0 ap 0 keep connect remote 0 ap 0 ike proposal 0 prf hmac-sha384 remote 0 ppp ipcp vjcomp disable remote 0 ip address local 202.248.1.1 remote 0 ip route 0 default 1 1 remote 0 ip nat mode multi any 1 5m remote 0 ip nat static 0 xxx.xxx.xxx.xxx 500 xxx.xxx.xxx.xxx 500 17 remote 0 ip nat static 1 xxx.xxx.xxx.xxx 4500 xxx.xxx.xxx.xxx 4500 17 remote 0 ip nat static 2 xxx.xxx.xxx.xxx any xxx.xxx.xxx.xxx any 50 remote 0 ip msschange 1414

remote 1 name Azure remote 1 ap 0 name IPSec remote 1 ap 0 datalink type ipsec remote 1 ap 0 ipsec type ike remote 1 ap 0 ipsec ike protocol esp remote 1 ap 0 ipsec ike range 192.168.10.0/24 172.16.0.0/12 remote 1 ap 0 ipsec ike encrypt aes-cbc-256 remote 1 ap 0 ipsec ike auth hmac-sha256 remote 1 ap 0 ipsec ike lifetime 1h remote 1 ap 0 ipsec ike lifebyte 100000m remote 1 ap 0 ipsec extension-range 0 192.168.10.0/24 172.16.0.0/16 remote 1 ap 0 ike mode main remote 1 ap 0 ike shared key text abcdefghijklmnopqrstuvwxyz12345 remote 1 ap 0 ike proposal 0 encrypt aes-cbc-256 remote 1 ap 0 ike proposal 0 hash hmac-sha256 remote 1 ap 0 ike proposal 0 pfs modp1024 remote 1 ap 0 ike proposal 0 lifetime 8h remote 1 ap 0 ike nat-traversal use on remote 1 ap 0 tunnel local xxx.xxx.xxx.xxx remote 1 ap 0 tunnel remote yyy.yyy.yyy.yyy remote 1 ip route 0 172.16.0.0/16 1 1 remote 1 ip msschange 1350

ether ポートの設定各 ether ポートに VLAN(untag)を割り当てますこれは後の lan 定義や PPPoE の定義と結びつきます ether 1 1 vlan untag 1 ether 2 1-4 vlan untag 2 wan 側のポートに対して vlan 1 を lan 側のポートに対して vlan 2 を設定します PPPoE の設定 WAN 側に PPPoE の設定をします PPPoE の送出先として vlan 1(ether 1 1 )を指定します remote 0 name PPPoE remote 0 mtu 1454 remote 0 ap 0 name PPPoE remote 0 ap 0 datalink bind vlan 1 remote 0 ap 0 ppp auth send id@isp pass@isp remote 0 ap 0 keep connect remote 0 ppp ipcp vjcomp disable remote 0 ip address local xxx.xxx.xxx.xxx remote 0 ip msschange 1414 項目設定値 ID(PPPoE) id@isp PASS(PPPoE) pass@isp グローバルアドレス xxx.xxx.xxx.xxx mtu 値 mss 値については回線により異なります回線側にご確認ください remote 0 ip route 0 default 1 1 PPPoE のインタフェースに対してデフォルトルートを設定します

ファイアウォールの設定 PPPoE の定義にファイアウォールの設定を追加します remote 0 ip nat mode multi any 1 5m remote 0 ip nat static 0 xxx.xxx.xxx.xxx 500 xxx.xxx.xxx.xxx 500 17 remote 0 ip nat static 1 xxx.xxx.xxx.xxx 4500 xxx.xxx.xxx.xxx 4500 17 remote 0 ip nat static 2 xxx.xxx.xxx.xxx any xxx.xxx.xxx.xxx any 50 mode multi の設定により NAPT の設定が有効になります nat static の定義によりグローバルアドレス(固定)宛ての ISAKMP,ESP,NAT-T を Si-R で受けることができるようにします lan 側アドレスの設定 lan 側のアドレスを 192.168.10.1/24 に設定しますこの lan インタフェースは vlan 2 の物理ポートと結びつきます lan 1 ip address 192.168.10.1/24 3 lan 1 vlan 2 IPsec の設定まず設定するインタフェースを IPsec ができるようにするためインタフェースの転送方式 IPsec タイプを設定します remote 1 ap 0 datalink type ipsec remote 1 ap 0 ipsec type ike

IKE フェーズ 1 IPsec 設定項目 IKE フェーズ 1 表にて提示した内容を設定します remote 1 ap 0 ike mode main remote 1 ap 0 ike shared key text abcdefghijklmnopqrstuvwxyz12345 remote 1 ap 0 ike proposal 0 encrypt aes-cbc-256 remote 1 ap 0 ike proposal 0 hash hmac-sha256 remote 1 ap 0 ike proposal 0 pfs modp1024 remote 1 ap 0 ike proposal 0 lifetime 8h remote 1 ap 0 ike nat-traversal use on remote 1 ap 0 tunnel local xxx.xxx.xxx.xxx remote 1 ap 0 tunnel remote yyy.yyy.yyy.yyy 事前共有鍵(ike shared key) 相手側トンネルエンドポイント(tunnel remote)については Windows Azure ポータルサイトにて確認した内容を設定します IKE フェーズ 2 IPsec 設定項目 IKE フェーズ２表にて提示した内容を設定します remote 1 ap 0 ipsec ike protocol esp remote 1 ap 0 ipsec ike range 192.168.10.0/24 172.16.0.0/12 remote 1 ap 0 ipsec ike encrypt aes-cbc-256 remote 1 ap 0 ipsec ike auth hmac-sha256 remote 1 ap 0 ipsec ike lifetime 1h ike range 設定の対向側のセグメントについては注意が必要ですゲートウェイサブネットではなく仮想ネットワークのセグメントを設定してください

その他ルート設定 MSS 値の設定をしますこの MSS 値はカプセル化の方式によって変わります今回は 1350 を設定します remote 1 ip route 0 172.16.0.0/16 1 1 remote 1 ip msschange 1350 以上で設定が完了です最後に設定を save して再起動します save reset

IPsec 確立確認方法 Windows Azure での IPsec は Azure 側でゲートウェイ作成後 [接続]をクリックすると Azure 側からネゴシエーションが開始されます

Si-R を接続し少し時間がたってから show access-point コマンドを実行して確認してください正常に IPsec が確立できていれば下記のような結果が得られます #show access-point remote 1 ap 0 status since speed send traffic receive traffic type : Azure.IPSec : connected : Sep : not available : not available : not available : IPsec/IKE IKE Version :1 exchange type : main IKE SA IPsec SA 6 05:56:28 2013 : established : established IKE SA,IPsec SA ともに established status connected となっていれば接続ができています

クラウド接続 「Windows Azure」との接続

クラウド接続「Windows Azure」との接続