インターネットが繋がらないトラブルや日常のIT機器に関するいろんな出来事を記事にしています。

FortigateでAZUREにVPN接続しよう。インターネットIPSecでの設定例。

先日 FortigateとMicrosoftのクラウド基盤サービスのAZUREを接続する機会がありましたのでメモします。

AZUREに接続するときには、いくつかルールがあるようですね。

ちょっと苦労しましたのでご参考になれば倖いです。

FortigateでAZUREにVPN接続しよう。インターネットIPSecでの設定例。

構成例

下記図のようになります。

当然ですがAZURE側でも環境構築が必要です。

AZUREの設定は以下のような感じ。

メモ

① インターネットのAZUREサイトにログイン
② 要素を作成
・仮想ネットワーク
・仮想ネットワークゲートウェイ
・仮想マシンエリア
・仮想マシン
・ローカルネットワークゲートウェイ(IKEv2じゃないとだめ、任意の事前共有キーを設定)
・接続 ※←接続という名前の設定

参考

仮想マシンの作り方は以下のサイトが参考になりそう。
参考:NE + Azure
AzureでWindows仮想マシンをつくる

構成で気になる点

気になる点は以下。

オンプレミス側に固定IP

オンプレミス側に固定のグローバルIPが必要。

固定IPでなくてもつながるけどFortigateを再起動したらIPが変わって繋がらなくなると思う。

DDNSは接続先としてはAZURE側に設定できない模様。

IPアドレス体系

仮想マシンエリアの最初の1~3のIPはAZUREが自動的に何かに割り当てているらしい。

今回の構成例でいえば 10.1.2.1~10.1.2.3 ですね。

ゲストOSには10.1.2.1からのDHCPで自動的に10.1.2.4が割り当てられます。

Azureの接続

仮想マシン、ゲストOSを作成したらパブリックIPが割り当てられるのでゲストOSでリモートアクセス許可をすればインターネット越しにリモートデスクトップが可能になる。

でも仮想ネットワークゲートウェイとかAzureの諸々のIPにはPingは通らないので通信確認としてpingは使えなさそう。

ゲストOSのパブリックIPには通ったけどね。

FortigateのVPN接続設定

参考

参考:システム開発等の作業メモ ITブログ
Azure Portal でVPN構築 サイト間接続

作成すると「成功」とか表示されますがこれはあくまでプロビジョニング、作成が成功したという意味らしい。

まだVPN接続ができているかどうかは不明です。

状態で正解なのは「接続中」ではなくて「接続済み」。

「接続済み」にならないとオンプレミスとVPN接続できてないのでご注意です。

IPSecのローカルアドレスとリモートアドレスは設定しなくてもいいみたいですね。

yamahaルータ設定経験者からするとIPSEcトンネルなのになあと思います。不思議です。

そうそう、先述もしましたがIPSecはIKEv2じゃないとAZURE側が接続してくれません。

オンプレミスのトンネルを接続するためのネットワーク機器が古いと、トンネルは繋がるけど切断される、とか、トンネルはつながるけど通信できない、とかおかしげな状態になります。

FortigateとAzureがVPNで接続できない時のトラブルシュート

以下のサイトさんが参考なりそう。


トンネルがつながらない場合のログ確認ですね。

目に見えないだけに厄介です。

トラブルシュートは整理しながらひとつひとつ設定とログを確認していくしかないですね。

うまく接続できた場合は、オンプレミス側からAZURE側のゲストOSにpingが通ります。

ゲストOS側のファイアウォールを無効または通信許可にしていれば、です。


FortigateでAZUREにVPN接続しよう。インターネットIPSecでの設定例。~結論~

いかがでしたでしょうか。

MicrosoftのAzureにVPN接続するときにはちょっとした癖があります。

参考

IPSecはIKEv2
オンプレミス側に固定グローバルIPが必要
ゲストOS側に振れるIPの制約
などなど

資料をみたら簡単に繋がるような気がするので軽い気持ちで設定を始めると痛い目をみたりすることがあります。

お客様に見積もりを出す前に、初物の構成はちゃんと事前に検証すべきですね。

思いもよらない罠があったりしますので。

本記事が少しでもあなたのお役に立てたならばこれほど嬉しいことはありません。

最後まで読んでいただきありがとうございました。

よろしければ別記事もご参照ください。

  • B!