先日 FortigateとMicrosoftのクラウド基盤サービスのAZUREを接続する機会がありましたのでメモします。
AZUREに接続するときには、いくつかルールがあるようですね。
ちょっと苦労しましたのでご参考になれば倖いです。
FortigateでAZUREにVPN接続しよう。インターネットIPSecでの設定例。
構成例
下記図のようになります。
当然ですがAZURE側でも環境構築が必要です。
AZUREの設定は以下のような感じ。
メモ
① インターネットのAZUREサイトにログイン
② 要素を作成
・仮想ネットワーク
・仮想ネットワークゲートウェイ
・仮想マシンエリア
・仮想マシン
・ローカルネットワークゲートウェイ(IKEv2じゃないとだめ、任意の事前共有キーを設定)
・接続 ※←接続という名前の設定
参考
仮想マシンの作り方は以下のサイトが参考になりそう。
参考:NE + Azure
AzureでWindows仮想マシンをつくる
構成で気になる点
気になる点は以下。
オンプレミス側に固定IP
オンプレミス側に固定のグローバルIPが必要。
固定IPでなくてもつながるけどFortigateを再起動したらIPが変わって繋がらなくなると思う。
DDNSは接続先としてはAZURE側に設定できない模様。
IPアドレス体系
仮想マシンエリアの最初の1~3のIPはAZUREが自動的に何かに割り当てているらしい。
ゲストOSには10.1.2.1からのDHCPで自動的に10.1.2.4が割り当てられます。
Azureの接続
仮想マシン、ゲストOSを作成したらパブリックIPが割り当てられるのでゲストOSでリモートアクセス許可をすればインターネット越しにリモートデスクトップが可能になる。
でも仮想ネットワークゲートウェイとかAzureの諸々のIPにはPingは通らないので通信確認としてpingは使えなさそう。
FortigateのVPN接続設定
参考
参考:システム開発等の作業メモ ITブログ
Azure Portal でVPN構築 サイト間接続
作成すると「成功」とか表示されますがこれはあくまでプロビジョニング、作成が成功したという意味らしい。
まだVPN接続ができているかどうかは不明です。
状態で正解なのは「接続中」ではなくて「接続済み」。
「接続済み」にならないとオンプレミスとVPN接続できてないのでご注意です。
IPSecのローカルアドレスとリモートアドレスは設定しなくてもいいみたいですね。
yamahaルータ設定経験者からするとIPSEcトンネルなのになあと思います。不思議です。
オンプレミスのトンネルを接続するためのネットワーク機器が古いと、トンネルは繋がるけど切断される、とか、トンネルはつながるけど通信できない、とかおかしげな状態になります。
FortigateとAzureがVPNで接続できない時のトラブルシュート
以下のサイトさんが参考なりそう。
参考
syuheiudaさんのサイト
Azure VPN Gateway と Fortigate で VPN がつながらない場合のトラブルシューティング方法
トンネルがつながらない場合のログ確認ですね。
トラブルシュートは整理しながらひとつひとつ設定とログを確認していくしかないですね。
うまく接続できた場合は、オンプレミス側からAZURE側のゲストOSにpingが通ります。
ゲストOS側のファイアウォールを無効または通信許可にしていれば、です。
FortigateでAZUREにVPN接続しよう。インターネットIPSecでの設定例。~結論~
いかがでしたでしょうか。
MicrosoftのAzureにVPN接続するときにはちょっとした癖があります。
参考
IPSecはIKEv2
オンプレミス側に固定グローバルIPが必要
ゲストOS側に振れるIPの制約
などなど
資料をみたら簡単に繋がるような気がするので軽い気持ちで設定を始めると痛い目をみたりすることがあります。
お客様に見積もりを出す前に、初物の構成はちゃんと事前に検証すべきですね。
本記事が少しでもあなたのお役に立てたならばこれほど嬉しいことはありません。
最後まで読んでいただきありがとうございました。
よろしければ別記事もご参照ください。