毎度おなじみ未完シリーズです。
Windows Server ではルーティングとリモート アクセス サービス (RRAS) の機能が標準で含まれており、VPN を構築することができます。
今回の投稿では Windows OS 標準の機能で Azure の VIrtual Network に接続ができるか試してみました。
タイトルにあるように未完ですので途中までしか検証できていません。
TMG の時と同様、ポータルからは接続の状態になるのですが通信ができないのですよね…。
# そもそものお話として、現状は NAT の後ろにある VPN への接続はサポートしていないようですが。
■OS 標準の機能で Virtual Network に接続してみる
最初に書いてしまいましと、実は拠点 (サイト間) の接続まででしたら RRAS をインストールする必要がなかったりします。
最終的にはゲートウェイとして使用することになると思いますので、接続後は必要になるのですが。
今回は接続までですので、 RRAS はインストールしていません。
# なぜなら接続から先に進めていないもので…。
OS に関しては WIndows Server 2008 SP2 + Windows Update 実行済みの環境を使用していますが 2008 R2 でも同じになると思います。
今回は NAT の後ろにおいていますので ESP / UDP:500 / UDP:4500 を設定をしているサーバーに転送するようにポートフォワードをルーター側で設定してあります。
- [セキュリティが強化された Windows ファイアウォール] を起動します。
- [ローカルコンピューターの~] を右クリックしてプロパティを開きます。
- [IPSec の設定] のカスタマイズをクリックします。
- [メインモード] の [詳細設定] を選択して [カスタマイズ] をクリックします。
- [SHA1] [AES-128] だけあれば接続できますので、[3DES] は削除して、[OK] をクリックします。
# 削除しなくてもおそらく大丈夫だとは思うのですが。 - [クイックモード] の [詳細設定] を選択して [カスタマイズ] をクリックします。
- [AH] と [3DES] は使用しませんので削除をします。
# これも削除しなくても大丈夫だとは思うのですが。
削除をしたら [データ整合性] の [SHA1] を選択して、[編集] をクリックします。 - [キーの有効期間 (KB)] を [102400000] に設定し、[OK] をクリックします。
- [データの整合性と暗号化] の [SHA1] の設定も同様に [102400000] を設定して [OK] をクリックして設定を反映します。
続いて接続セキュリティの規則を作成します。
- [接続セキュリティの規則] を右クリックして [新しい規則] をクリックします。
- [トンネル] を選択して、[次へ] をクリックします。
- エンドポイントとトンネルの設定をして [次へ] をクリックします。
今回はオンプレミスで [10.0.0.0/8] [192.168.0.0/24] Azure 上では [172.16.0.0/16] のセグメントを使っているという前提で設定をしています。
ローカルトンネルの IP は設定しているサーバーの IP を、リモートトンネルの IP は Azure のポータルで確認できる IP を設定します。 - [事前共有キー] を選択し、ポータルで確認した事前共有キーを設定して [次へ] をクリックします。
- [次へ] をクリックします。
- 設定の名称を入力して [完了] をクリックします。
以上で設定は完了です。
今回の設定は [Windows Firewall] サービスの設定になりますので設定の終了後、念のためサービスの再起動をしています。
私の環境では NEC の Aterm を使用しているのですが、[IPSec パススルー] の設定をつけはずしして、[使用するを無効な状態 (使用しない状態)] にしないとうまく接続されませんでした。まぁうまく接続されたといっても見かけ上だけで通信できていないのですが…。
# 最初から使用しない状態になっていても有効→無効をしないと駄目でした。
ここまでの作業で、ポータルからはつながっているように見える状態まで持っていくことができます。
To enable Windows Firewall with Advanced Security audit events に書かれている内容を実行するとイベントビューアーのセキュリティに IPSec のログを出せるようになりますので、うまくいかないときはこのログを有効にするとよいかもしれないです。
この技術情報は英語のものですので、日本語 OS の場合は以下のようにして実行する必要がありますが。
auditpol.exe /set /SubCategory:"IPsec メイン モード","IPsec クイック モード" /success:enable /failure:enable |
ポータルから接続されているように見える状態には持っていけるのですがここから先をどうすればよいのかが、調べきれていないですね…。
サポートされていない NAT の後ろの配置と VPN 装置を使用している構成で検証しているのでなかなか難しいです。
[…] いつもブログでお世話になっているSEの雑記さんでも苦労しているようです。 うまい、安い、早いやり方が見つかると良いですね。 Share this:TwitterFacebookLinkedIn […]
【Windows Azure Virtual Machine】仮想マシンの利用シナリオ « Always on the clock
24 7月 12 at 09:40