SE の雑記

SQL Server の情報をメインに Microsoft 製品の勉強内容を日々投稿

PPPoE と TMG 2010 を使って Windows Azure Virtual Network に接続

2 comments

TMG で Azure の Virtual Network に接続できるか挑戦中 (未完) の続編です。
Windows Azure Virtual Network VPN with TMG 2010 という記事を見て、TMG で接続するための手順が細かに紹介されていたので、もう一度やってみようと思ってシンプルな構成にしてチャレンジしてみました。
こちらは未完になっていないので接続後のオンプレミスと Azure 間のデータ授受まで試せました。

■環境の構成の見直し


家の環境は光回線 (B フレッツ) を使用しているので以下のようなネットワークの構成となっています。
image
今までの TMG を使用した検証は以下のような構成で試していました。
# OS 標準の機能で検証していた場合も同様の構成です。
image
PPPoE の設定は、通常使用しているプロバイダーの接続情報と固定 IP を使用するために i-revo アクセス の 500 円の固定 IP の接続サービスを PPPoE のマルチセッションで使用しています。
# 私が契約した時は、オンラインゲーム向けのサービスとして提供されていたのですがオンラインゲームには一切使わずに専ら検証用の固定 IP として利用しています。
この環境で Virtual Network (VN) を試したところ、接続状態にはなるのですが、DATA IN / OUT 共に 0B から増えないと現象が発生していました。
image
Azure の VN はCreate a Virtual Network for Cross-Premises Connectivity に記載されているように NAT の背後に配置した VPN デバイスは現状サポートしていないため、接続できないのも無理はないのですが。

The public IP address for your VPN device. This VPN device cannot be behind a NAT. You can get this from your network engineer.

 
そこで、今回は以下のような環境で接続をしてみることにしました。
image
以下のような構成ですね。

  • ONU からルーターに接続されていた LAN ケーブルを Hyper-V をインストールしているノート PC に接続
  • TMG のゲスト OS にノート PC のオンボード NIC を外部ネットワークとして設定
  • TMG で PPPoE の設定をして、TMG にグローバル IP を割り当て

今まで使用していたネットワークを切ってしまっているので気軽に検証できない環境です(汗)
なお、TMG には KB2523881 を適用済みです。
 

■PPPoE の設定


Windows は標準の機能で PPPoE を使用した接続をすることができます。
なお、Windows の標準機能の PPPoE での接続ではマルチセッションが使用できないようですので、通常使用しているプロバイダの接続と i-revo の接続の両方を使用することはできません。
そのため、今回は i-revo の固定 IP の接続設定を使用しています。
PPPoE の設定は

  1. [スタート] → [ネットワーク] のプロパティを開きます。
  2. [新しい接続またはネットワークのセットアップ] をクリックします。
    image
  3. [インターネットに接続します] をクリックします。
    image
  4. [新しい接続をセットアップします] をクリックします。
    image
  5. [ブロードバンド (PPPoE)] をクリックします。
    image
  6. PPPoE の接続情報を入力して、[接続] をクリックします。
    image

設定が正常であれば接続ができ、TMG にグローバル IP が割り当てられます。
i-revo のアクセスサービスを使用している場合は、常に一定の固定 IP になります。

■TMG の VPN を設定


これは以前検証した設定と同じですね。
NAT 越しでの TMG を使用した場合に接続ができる設定が行われている必要があります。
今回は、TMG にグローバル IP を割り当てていますので、VPN の設定のローカル VPN ゲートウェイの IP アドレスはグローバル IP を指定します。
imageimageimageimageimage
 

■疎通の確認


設定ができ接続が行われると、DATA OUT のバイト数が増加していると思います。
image
TMG のシステムポリシーで Azure のネットワーク (VN のグローバル IP / VN のゲストマシンで使用するローカル IP) からの [ICMP (Ping)] を 許可して、数分待ってみたのですが DATA IN は増加しませんでした。
image
また、TMG から Azure の VN に配置したインスタンスにアクセスしようとしたところアクセスができませんでした。
検証をする際には以下のような環境を用意して、ゲートウェイを介したアクセスができるようにしておいた方が良いかもしれませんね。
image
上記のような環境であれば、172.16.1.4 と 10.0.0.1 間は IP アドレスを使用した PING / ファイル共有の接続テストを実施することができます。
# テスト時は問題の発生点を少なくするため、両サーバー間でファイアウォールを無効にしておくとよいと思います。
なお、TMG 側の設定しては [内部] のネットワークの IP アドレス設定として、[10.0.0.0 – 10.255.255.255.255] を追加しています。
VPN のファイアウォールポリシー (アクセスルール) では Azure / 内部 のアクセスは許可していますので、これでオンプレミスと Azure 間の通信が許可されます。
imageimage
サーバー間でファイルのコピーをしたところ、DATA IN も増加しました。
image
接続ができた状態の IP セキュリティ モニター (MMC) と ネットワークモニターの状態が以下のようになります。
接続が確立でき、通信ができる状態であれば、IP セキュリティ モニターで機密 / 認証された / トンネル 送信バイト数、受信バイト数が増加します。
imageimageimage
この状態で VN のインスタンスをオンプレミスの AD に参加させることができました。
な、冒頭で紹介した Windows Azure Virtual Network VPN with TMG 2010 では、TMG Network Card MTU と Disable RPC Strict Compliance and Restart TMG Firewall Service の作業が入っていましたので、

  • netsh interface ipv4 set interface “<PPPoE のインターフェース>” MTU=1350
  • VPN 用のアクセスルールで [厳密な RPC 互換性を適用] を無効
    imageimage

の設定を実施してます。
起動時に PPPoE の接続を自動的に開始するという設定は探せていないので、実運用では使用するのが難しいかもしれませんが、検証をするレベルであればこの方法を使用することができるかと。
TMG で [ダイヤルアップの基本設定の指定] があるのですが、これは内部ネットワークからの接続時に TMG の PPPoE で接続を確立するという設定かと思いますので、常時接続とは違うのかなと。
# あまり調べていないので私の認識が間違っているかもしれませんが…。
imageimage
Hyper-V のホスト OS に Windows Server 2008 R2 を使用しているのであれば、BUFFALO の LUA3-U2-AGT や 玄人志向の GbE-USB のような USB NIC が使用できますので、ノート PC に NIC を増設することも可能だだと思います。
これらのデバイスは ASIX の AX88178 が使用されていますので、このコントローラーを使用している USB NIC であれば大丈夫かと。ドライバーとしては Windows 7 x64 のものが流用できます。
Windows Server 2012 RC では残念ながら上記のドライバーが使用できなかったため、USB NIC の増設は現状難しいかもしれません。
# 手動で Windows 7 x64 用のドライバーをインストールすれば、デバイスは認識するのですがリンクアップしないのですよね…。
以下のような環境が作成できると通常のルーター代わりにできるので複数の端末を使用しながらの検証もできるのですが。
image
現在の Azure の VN はサポートされている VPN 機器が制限されており、ソフトウェアの VPN に関しては非サポートとなっているはずですが、Windows 環境の VPN を PPPoE で直接グローバル IP を割り当てることで検証をすることはできると思います。
TMG で接続ができましたので、Windows 標準の RRAS のゲートウェイを利用しても VN の検証はできるかと。
# 時間がある時に確認してみたいと思います。
NAT 越しのアクセスがうまくできないので、家の資材で確認できるのはここまでになりそうですね~。

Share

Written by Masayuki.Ozawa

7月 29th, 2012 at 4:06 pm

Posted in TMG,Windows Azure

Tagged with , ,

2 Responses to 'PPPoE と TMG 2010 を使って Windows Azure Virtual Network に接続'

Subscribe to comments with RSS or TrackBack to 'PPPoE と TMG 2010 を使って Windows Azure Virtual Network に接続'.

  1. なるほど、Widnows 搭載の PPPoE は通るんですねw
    これ、ONU 配下にスイッチングハブつなぐと、Windows Server とブロードバンドルータの接続が共存できるかも。
    (プロバイダによっては明確に禁じている場合があるかもしれませんが)

    渋木宏明

    30 7月 12 at 13:36

Leave a Reply