SE の雑記

SQL Server の情報をメインに Microsoft 製品の勉強内容を日々投稿

RRAS で Windows Azure 間を接続してみる (微妙に未完)

leave a comment

ケンタテクブロ さんのブログで、以下の記事がありました。
Windows Azureの地域間VPNを試してみた(始めの調査編)
Windows Azureのリージョン間でVPN接続してみた

こちらの記事では Ubuntu を使用されていましたが、Windows でも大丈夫なのかなと思って試してみました。
今回は、サブスクリプションを二つ用意して異なるデータセンターに配置しています。

image

それでは、ざっくりと手順を見ていきたいと思います。

■仮想ネットワークの作成


まずはインスタンスで使用するネットワークを作成します。

今回は East Asia では 10.0.0.0 /8 のネットワークを、East US では 172.16.0.0 / 16 のネットワークを使用しますのでそれに応じたネットワークを設定します。
East Asia のネットワーク設定は以下のようになっています。

今回はネットワークの作成時にサイト間接続の設定も有効にしています。

この段階では、クラウドサービスが起動していないので、対向側の VPN ゲートウェイアドレスはダミーで 10.0.0.1 を設定しています。今回は対向の VPN 装置としては仮想マシンを使用しますので、仮想マシンをデプロイしてグローバル IP アドレスが払い出されたら設定を変更します。

image

image

 

続いて East US のネットワークを設定します。
こちらは VPN ゲートウェイとしてダミーで 172.16.0.1 を設定しています。

image
image

通常 VPN ゲートウェイは対向のネットワークの VPN ゲートウェイのグローバル IP を設定しますが、今回はダミーの IP アドレスを設定しています。
仮想ネットワーク作成時にサイト間接続の設定をする場合にダミーの IP を設定する場合、対向のローカルネットワークとは違うセグメント帯の IP を設定しないとエラーとなってしまいましたのでこの辺は気を付けておいたほうがよいかもしれないですね。

 

■VPN 用の仮想マシンを作成


 

仮想ネットワークの設定が終わりましたので各ネットワーク上に仮想マシンを作成します。
今回は Windows Server 2012 R2 の仮想マシンを展開しています。

image

VPN のエンドポイントとして、IKE (UDP:500) / NAT-T (UDP:4500) をエンドポイントとして設定しておきます。
image

この設定をした仮想マシンを各仮想ネットワーク上に作成します。

 

■VPN ゲートウェイの設定


仮想マシンを作成することで、クラウドサービスが作成されグローバル IP が付与されますので、これで VPN ゲートウェイの設定ができるようになります。

まずはローカルネットワークの VPN ゲートウェイアドレスを設定します。
現状はダミーの IP アドレスが設定されていますので、各 IP アドレスをクラウドサービスのアドレスに変更します。
image

EastAsiaLN には、East Asia に展開した仮想マシン / EastUSLN には East US に展開した仮想マシンのクラウドサービスに割り当てられているグローバル IP を設定します。

image

あとは各仮想ネットワークでゲートウェイの作成をします。
image

RRAS を使用する場合には、ゲートウェイとしては [動的ルーティング] を設定する必要があります。
ルーティングとリモート アクセス サービス用テンプレート

静的ルーティングについては現状サポートされていないため、使用するルーティングは注意をしておく必要があるかと。

 

■VPN の設定


ここまでで Azure 上の設定は終わりましたので、あとは各仮想マシンで VPN を設定します。

RRAS の VPN 設定をするための PowerShell のスクリプトはポータルからダウンロードすることができます。

East Asia の環境では East US に接続するための設定をしますので、East US の仮想ネットワークからスクリプトをダウンロードして実行します。
現在は、Windows Server 2012 のスクリプトのダウンロードとなりますが、このスクリプトは 2012 R2 でも使用できます。
image
ダウンロードしたファイルは拡張子が cfg となっていますので ps1 にして実行します。

このスクリプトでは RRAS の追加も自動的に行われますので、VPN ゲートウェイとして用意した仮想マシンではスクリプトを実行するだけで環境が整います。

インストールが終わったら RRAS の管理コンソールを開いて接続状況を確認してみます。
image
対向の VPN ゲートウェイ用の設定がされています。
Disconnected となっている場合は右クリックをして [Connect] で接続をします。
image

各仮想マシンで接続ができると、ポータルで接続済みの状態になります。

imageimage

ここまでの設定で各 VM から VPN GW までは疎通が取れるようになりますが、その先 (仮想マシン) までは疎通をすることができません。

VM から VPN GW に PING を実行した場合、VPN GW には届いているのですが、その先には届いていませんでした。
NAT を使えばいいのかなと思うのですがまだ設定がうまくできていません。
また、NAT 越ししか設定できないとなると、VPN GW が AD も兼用していないと AD 参加も難しいのかなと思っています。

ということで、微妙に未完な投稿となってしまいました…。

Written by masayuki.ozawa

11月 2nd, 2013 at 9:46 pm

Posted in Windows Azure

Tagged with

Leave a Reply

*