クラウド接続 Windows Azure との接続 2013 年 10 月
目次はじめに...3 ネットワーク構成...3 オンプレミス側ネットワーク...3 Windows Azure 側ネットワーク...4 Windows Azure での設定...4 仮想ネットワークの作成...4 ゲートウェイの作成...9 オンプレミス (Si-R) での設定... 11 IPsec 設定項目... 11 config... 14 ether ポートの設定... 16 PPPoE の設定... 16 lan 側アドレスの設定... 17 IPsec の設定... 17 IPsec 確立確認方法... 20
はじめに Si-R G シリーズは富士通が提供する企業向けアクセスルータです 本頁では Si-R G100 を使用して Windows Azure 仮想ネットワークの IPsec ゲートウェイと IPsec 接続する設定について解説します 以降は Si-R G100 を使用することを前提として記述します ネットワーク構成 本設定例では 以下の構成について解説します オンプレミス側 192.168.10.0/24 Azure 側 172.16.0.0/12 IPsec Gateway subnet 172.16.10.0/24 オンプレミス側ネットワーク 項目 環境情報 接続メディア ADSL/FTTH など 接続プロトコル PPPoE WAN 固定グローバルアドレス LAN 192.168.10.0/24 オンプレミス側ネットワークでは Si-R で PPPoE( アドレス固定 ) を行います 固定のア ドレスを使用して Azure ネットワークに対して IPsec 接続を動作させます
Windows Azure 側ネットワーク Windows azure 仮想ネットワークでは 172.16.0.0/12 のアドレス空間の中に 1 つのサブネットが存在します サブネット名アドレス範囲 Gateway subnet 172.16.10.0/24 オンプレミス側と Windows Azure 側での IPsec により IPsec トンネルを介して オンプ レミスから Azure 側のサブネットに対して通信をすることが可能となります Windows Azure での設定 本章ではオンプレミス側との IPsec 接続をするための Azure での設定について説明します 仮想ネットワークの作成 Windows Azure ポータルサイトにログインし [ ネットワークサービス ]-[ 仮想ネットワー ク ]-[ カスタム作成 ] の順に選択します
仮想ネットワークの詳細 [ 名前 ],[ 地域 ],[ アフィニティグループ ],[ アフィニティグループ名 ] を入力 または選択します 既に存在するアフィニティグループを使用する場合は [ 地域 ],[ アフィニティグループ名 ] の 入力項目は出現しません 設定内容名前地域アフィニティグループアフィニティグループ名 設定値 Azure-G100 東アジア新しいアフィニティグループの作成 Azure-G100
DNS サーバーおよび VPN 接続 サイト間接続にチェックを入れ [ ローカルネットワーク ] の項目として 新しいローカルネ ットワークを指定する を選択します DNS サーバについては設定しなくても問題はありません 設定内容 DNS サーバポイント対サイト接続サイト間 VPN の構成ローカルネットワーク 設定値なしなしチェック新しいローカルネットワークを指定する
サイト間接続 オンプレミス側の設定をします [ 名前 ],[VPN デバイスの IP アドレス ],[ 開始 IP],[CIDR( ア ドレス数 )] を入力します [VPN デバイスの IP アドレス ] は Si-R の固定グローバルアドレ スを [ 開始 IP],[CIDR( アドレス数 )] には Si-R LAN 側のローカルアドレスを設定します 設定内容 設定値 名前 Si-RG100 VPN デバイスの IP アドレス Si-RWAN 側の固定グローバルアドレス xxx.xxx.xxx.xxx 開始 IP 192.168.10.1 CIDR( アドレス数 ) /24(256)
仮想ネットワークアドレス空間 Windows Azure 側のアドレス空間を設定します ゲートウェイの [ 開始 IP],[CIDR( アドレス数 )] を設定します default 値として サブネットが定義されています [ ゲートウェイサブネットの追加 ] を押下して ゲートウェイサブネットを追加してください ゲートウェイサブネットがないと 先に進めません 設定内容 設定値 開始 IP( ゲートウェイ ) 172.16.10.0 CIDR( アドレス数 ) /24(256) 以上で 仮想ネットワークの作成が完了します
ゲートウェイの作成次に VPN を張るためのゲートウェイを作成します ポータルの [ ネットワーク ] を選択し 先ほど作成したネットワーク名が存在することを確認します 作成したネットワークを選択し クリックします
選択したネットワークの詳細が表示されます このネットワークに対して ゲートウェイ を作成します [ ゲートウェイの作成 ]-[ 静的ルーティング ] の順にクリックします 設定内容 ゲートウェイの作成 設定値 静的ルーティング 静的ルーティングをクリックすると ゲートウェイを作成しますか? と聞かれるので はい をクリックします しばらく待っていると ゲートウェイ作成が完了した旨が表 示されます
オンプレミス (Si-R) での設定 本章では Windows Azure と IPsec 接続するための Si-R の設定について解説します IPsec 設定項目 IPsec 設定値については 以下のような内容になります IKE フェーズ 1 項目 設定値 自側トンネルエンドポイントアドレス xxx.xxx.xxx.xxx/32(isp より割当 ) 相手側トンネルエンドポイントアドレス yyy.yyy.yyy.yyy ポータルサイトより確認 IKE 交換モード main lan 側ローカルアドレス 192.168.10.1/24 暗号情報 aes-cbc-256 認証 ( ハッシュ ) 情報 hmac-sha256 DH グループ group 2(modp1024) IKE SA 有効時間 8h NAT-TRAVERSAL on IKE セッション共有鍵 ポータルサイトより確認 IKE フェーズ 2 項目 設定値 IPsec 情報のセキュリティプロトコル esp 暗号情報 aes-cbc-256 認証 ( ハッシュ ) 情報 hmac-sha256 DH グループ off IPsec SA 有効時間 1h IPsec SA 有効パケット量 100000m IPsec 対象範囲 ( 送信元 ) 192.168.10.0/24 IPsec 対象範囲 ( 宛先 ) 172.16.0.0/12
相手側トンネルエンドポイントアドレスの確認ポータルサイトより [ ネットワーク ] 選択し 対象の仮想ネットワークをクリックします ダッシュボードに表示された [ ゲートウエイ IP アドレス ] が 相手側エンドポイントアドレスとなります
IKE セッション共有鍵の確認 上記ダッシュボードのページより 下部中央の[キーの管理]をクリックします 共有キーの管理という枠が出てきますので コピーします
config config の全体像としては以下のような内容になります config は大きく分けて ether ポート定義 lan 定義 PPPoE 定義 IPsec 定義に分けられ ます それぞれについて順を追って説明していきます ether 1 1 vlan untag 1 ether 2 1 vlan untag 2 ether 2 2 vlan untag 2 ether 2 3 vlan untag 2 ether 2 4 vlan untag 2 lan 1 ip address 192.168.10.1/24 3 lan 1 vlan 2 remote 0 name PPPoE remote 0 mtu 1454 remote 0 ap 0 name PPPoE remote 0 ap 0 datalink bind vlan 1 remote 0 ap 0 ppp auth send id@isp pass@isp remote 0 ap 0 keep connect remote 0 ap 0 ike proposal 0 prf hmac-sha384 remote 0 ppp ipcp vjcomp disable remote 0 ip address local 202.248.1.1 remote 0 ip route 0 default 1 1 remote 0 ip nat mode multi any 1 5m remote 0 ip nat static 0 xxx.xxx.xxx.xxx 500 xxx.xxx.xxx.xxx 500 17 remote 0 ip nat static 1 xxx.xxx.xxx.xxx 4500 xxx.xxx.xxx.xxx 4500 17 remote 0 ip nat static 2 xxx.xxx.xxx.xxx any xxx.xxx.xxx.xxx any 50 remote 0 ip msschange 1414
remote 1 name Azure remote 1 ap 0 name IPSec remote 1 ap 0 datalink type ipsec remote 1 ap 0 ipsec type ike remote 1 ap 0 ipsec ike protocol esp remote 1 ap 0 ipsec ike range 192.168.10.0/24 172.16.0.0/12 remote 1 ap 0 ipsec ike encrypt aes-cbc-256 remote 1 ap 0 ipsec ike auth hmac-sha256 remote 1 ap 0 ipsec ike lifetime 1h remote 1 ap 0 ipsec ike lifebyte 100000m remote 1 ap 0 ipsec extension-range 0 192.168.10.0/24 172.16.0.0/16 remote 1 ap 0 ike mode main remote 1 ap 0 ike shared key text abcdefghijklmnopqrstuvwxyz12345 remote 1 ap 0 ike proposal 0 encrypt aes-cbc-256 remote 1 ap 0 ike proposal 0 hash hmac-sha256 remote 1 ap 0 ike proposal 0 pfs modp1024 remote 1 ap 0 ike proposal 0 lifetime 8h remote 1 ap 0 ike nat-traversal use on remote 1 ap 0 tunnel local xxx.xxx.xxx.xxx remote 1 ap 0 tunnel remote yyy.yyy.yyy.yyy remote 1 ip route 0 172.16.0.0/16 1 1 remote 1 ip msschange 1350
ether ポートの設定 各 ether ポートに VLAN(untag)を割り当てます これは 後の lan 定義や PPPoE の定義 と結びつきます ether 1 1 vlan untag 1 ether 2 1-4 vlan untag 2 wan 側のポートに対して vlan 1 を lan 側のポートに対して vlan 2 を設定します PPPoE の設定 WAN 側に PPPoE の設定をします PPPoE の送出先として vlan 1(ether 1 1 )を指定しま す remote 0 name PPPoE remote 0 mtu 1454 remote 0 ap 0 name PPPoE remote 0 ap 0 datalink bind vlan 1 remote 0 ap 0 ppp auth send id@isp pass@isp remote 0 ap 0 keep connect remote 0 ppp ipcp vjcomp disable remote 0 ip address local xxx.xxx.xxx.xxx remote 0 ip msschange 1414 項目 設定値 ID(PPPoE) id@isp PASS(PPPoE) pass@isp グローバルアドレス xxx.xxx.xxx.xxx mtu 値 mss 値については回線により異なります 回線側にご確認ください remote 0 ip route 0 default 1 1 PPPoE のインタフェースに対してデフォルトルートを設定します
ファイアウォールの設定 PPPoE の定義にファイアウォールの設定を追加します remote 0 ip nat mode multi any 1 5m remote 0 ip nat static 0 xxx.xxx.xxx.xxx 500 xxx.xxx.xxx.xxx 500 17 remote 0 ip nat static 1 xxx.xxx.xxx.xxx 4500 xxx.xxx.xxx.xxx 4500 17 remote 0 ip nat static 2 xxx.xxx.xxx.xxx any xxx.xxx.xxx.xxx any 50 mode multi の設定により NAPT の設定が有効になります nat static の定義により グ ローバルアドレス(固定)宛ての ISAKMP,ESP,NAT-T を Si-R で受けることができるように します lan 側アドレスの設定 lan 側のアドレスを 192.168.10.1/24 に設定します この lan インタフェースは vlan 2 の物 理ポートと結びつきます lan 1 ip address 192.168.10.1/24 3 lan 1 vlan 2 IPsec の設定 まず 設定するインタフェースを IPsec ができるようにするため インタフェースの転送方 式 IPsec タイプを設定します remote 1 ap 0 datalink type ipsec remote 1 ap 0 ipsec type ike
IKE フェーズ 1 IPsec 設定項目 IKE フェーズ 1 表にて提示した内容を設定します remote 1 ap 0 ike mode main remote 1 ap 0 ike shared key text abcdefghijklmnopqrstuvwxyz12345 remote 1 ap 0 ike proposal 0 encrypt aes-cbc-256 remote 1 ap 0 ike proposal 0 hash hmac-sha256 remote 1 ap 0 ike proposal 0 pfs modp1024 remote 1 ap 0 ike proposal 0 lifetime 8h remote 1 ap 0 ike nat-traversal use on remote 1 ap 0 tunnel local xxx.xxx.xxx.xxx remote 1 ap 0 tunnel remote yyy.yyy.yyy.yyy 事前共有鍵(ike shared key) 相手側トンネルエンドポイント(tunnel remote)については Windows Azure ポータルサイトにて確認した内容を設定します IKE フェーズ 2 IPsec 設定項目 IKE フェーズ2表にて提示した内容を設定します remote 1 ap 0 ipsec ike protocol esp remote 1 ap 0 ipsec ike range 192.168.10.0/24 172.16.0.0/12 remote 1 ap 0 ipsec ike encrypt aes-cbc-256 remote 1 ap 0 ipsec ike auth hmac-sha256 remote 1 ap 0 ipsec ike lifetime 1h ike range 設定の対向側のセグメントについては注意が必要です ゲートウェイサブネット ではなく 仮想ネットワークのセグメントを設定してください
その他 ルート設定 MSS 値の設定をします この MSS 値はカプセル化の方式によって変わりま す 今回は 1350 を設定します remote 1 ip route 0 172.16.0.0/16 1 1 remote 1 ip msschange 1350 以上で設定が完了です 最後に設定を save して再起動します save reset
IPsec 確立確認方法 Windows Azure での IPsec は Azure 側でゲートウェイ作成後 [接続]をクリックすると Azure 側からネゴシエーションが開始されます
Si-R を接続し 少し時間がたってから show access-point コマンドを実行して確認してくだ さい 正常に IPsec が確立できていれば下記のような結果が得られます #show access-point remote 1 ap 0 status since speed send traffic receive traffic type : Azure.IPSec : connected : Sep : not available : not available : not available : IPsec/IKE IKE Version :1 exchange type : main IKE SA IPsec SA 6 05:56:28 2013 : established : established IKE SA,IPsec SA ともに established status connected となっていれば接続ができていま す