【クラウド接続】
「
Windows Azure」との接続
目次
はじめに... 3 ネットワーク構成... 3 オンプレミス側ネットワーク... 3 Windows Azure 側ネットワーク ... 4 Windows Azure での設定... 4 仮想ネットワークの作成... 4 ゲートウェイの作成... 9 オンプレミス(Si-R)での設定 ... 11 IPsec 設定項目... 11 config... 14 ether ポートの設定... 16 PPPoE の設定... 16 lan 側アドレスの設定 ... 17 IPsec の設定 ... 17 IPsec 確立確認方法 ... 20はじめに
Si-R G シリーズは富士通が提供する企業向けアクセスルータです。本頁では、Si-R G100 を使用してWindows Azure 仮想ネットワークの IPsec ゲートウェイと IPsec 接続する設定 について解説します。 以降はSi-R G100 を使用することを前提として記述します。
ネットワーク構成
本設定例では、以下の構成について解説します。 オンプレミス側ネットワーク 項目 環境情報 接続メディア ADSL/FTTH など 接続プロトコル PPPoE WAN 固定グローバルアドレス LAN 192.168.10.0/24 オンプレミス側ネットワークでは、Si-R で PPPoE(アドレス固定)を行います。固定のア ドレスを使用して、Azure ネットワークに対して、IPsec 接続を動作させます。 IPsec オンプレミス側 192.168.10.0/24 Azure 側 172.16.0.0/12 Gateway subnet 172.16.10.0/24Windows Azure 側ネットワーク
Windows azure 仮想ネットワークでは、172.16.0.0/12 のアドレス空間の中に、1 つのサ ブネットが存在します。
サブネット名 アドレス範囲
Gateway subnet 172.16.10.0/24
オンプレミス側とWindows Azure 側での IPsec により、IPsec トンネルを介して、オンプ レミスからAzure 側のサブネットに対して通信をすることが可能となります。
Windows Azure での設定
本章ではオンプレミス側とのIPsec 接続をするための Azure での設定について説明します。 仮想ネットワークの作成 Windows Azure ポータルサイトにログインし、[ネットワークサービス]-[仮想ネットワー ク]-[カスタム作成]の順に選択します。仮想ネットワークの詳細 [名前],[地域],[アフィニティグループ],[アフィニティグループ名]を入力、または選択します。 既に存在するアフィニティグループを使用する場合は、[地域],[アフィニティグループ名]の 入力項目は出現しません。 設定内容 設定値 名前 Azure-G100 地域 東アジア アフィニティグループ 新しいアフィニティグループの作成 アフィニティグループ名 Azure-G100
DNS サーバーおよび VPN 接続 サイト間接続にチェックを入れ、[ローカルネットワーク]の項目として「新しいローカルネ ットワークを指定する」を選択します。 DNS サーバについては設定しなくても問題はありません。 設定内容 設定値 DNS サーバ なし ポイント対サイト接続 なし サイト間VPN の構成 チェック ローカルネットワーク 新しいローカルネットワークを指定する
サイト間接続 オンプレミス側の設定をします。[名前],[VPN デバイスの IP アドレス],[開始 IP],[CIDR(ア ドレス数)]を入力します。[VPN デバイスの IP アドレス]は、Si-R の固定グローバルアドレ スを、[開始 IP],[CIDR(アドレス数)]には、Si-R LAN 側のローカルアドレスを設定します。 設定内容 設定値 名前 Si-RG100 VPN デバイスの IP アドレス Si-RWAN 側の固定グローバルアドレス xxx.xxx.xxx.xxx 開始IP 192.168.10.1 CIDR(アドレス数) /24(256)
仮想ネットワークアドレス空間
Windows Azure 側のアドレス空間を設定します。ゲートウェイの[開始 IP],[CIDR(アドレス 数)]を設定します。 ※default 値として、サブネットが定義されています。[ゲートウェイサブネットの追加]を 押下して、ゲートウェイサブネットを追加してください。ゲートウェイサブネットがない と、先に進めません。 設定内容 設定値 開始IP(ゲートウェイ) 172.16.10.0 CIDR(アドレス数) /24(256) 以上で、仮想ネットワークの作成が完了します。
ゲートウェイの作成
次に、VPN を張るためのゲートウェイを作成します。
ポータルの[ネットワーク]を選択し、先ほど作成したネットワーク名が存在することを確認 します。作成したネットワークを選択し、クリックします。
選択したネットワークの詳細が表示されます。このネットワークに対して、ゲートウェイ を作成します。 [ゲートウェイの作成]-[静的ルーティング]の順にクリックします。 設定内容 設定値 ゲートウェイの作成 静的ルーティング 静的ルーティングをクリックすると、「ゲートウェイを作成しますか?」と聞かれるので、 「はい」をクリックします。しばらく待っていると、ゲートウェイ作成が完了した旨が表 示されます。
オンプレミス(Si-R)での設定
本章では、Windows Azure と IPsec 接続するための Si-R の設定について解説します。 IPsec 設定項目 IPsec 設定値については、以下のような内容になります。 IKE フェーズ 1 項目 設定値 自側トンネルエンドポイントアドレス xxx.xxx.xxx.xxx/32(ISP より割当) 相手側トンネルエンドポイントアドレス yyy.yyy.yyy.yyy ポータルサイトより確認 IKE 交換モード main lan 側ローカルアドレス 192.168.10.1/24 暗号情報 aes-cbc-256 認証(ハッシュ)情報 hmac-sha256 DH グループ group 2(modp1024) IKE SA 有効時間 8h NAT-TRAVERSAL on IKE セッション共有鍵 ポータルサイトより確認 IKE フェーズ 2 項目 設定値 IPsec 情報のセキュリティプロトコル esp 暗号情報 aes-cbc-256 認証(ハッシュ)情報 hmac-sha256 DH グループ off IPsec SA 有効時間 1h IPsec SA 有効パケット量 100000m IPsec 対象範囲(送信元) 192.168.10.0/24 IPsec 対象範囲(宛先) 172.16.0.0/12
相手側トンネルエンドポイントアドレスの確認
ポータルサイトより、[ネットワーク]選択し、対象の仮想ネットワークをクリックします。 ダッシュボードに表示された[ゲートウエイ IP アドレス]が、相手側エンドポイントアドレ スとなります。
IKE セッション共有鍵の確認
上記ダッシュボードのページより、下部中央の[キーの管理]をクリックします
config
config の全体像としては以下のような内容になります。
config は大きく分けて、ether ポート定義、lan 定義、PPPoE 定義、IPsec 定義に分けられ ます。それぞれについて順を追って説明していきます。
ether 1 1 vlan untag 1 ether 2 1 vlan untag 2 ether 2 2 vlan untag 2 ether 2 3 vlan untag 2 ether 2 4 vlan untag 2
lan 1 ip address 192.168.10.1/24 3 lan 1 vlan 2
remote 0 name PPPoE remote 0 mtu 1454
remote 0 ap 0 name PPPoE
remote 0 ap 0 datalink bind vlan 1
remote 0 ap 0 ppp auth send id@isp pass@isp remote 0 ap 0 keep connect
remote 0 ap 0 ike proposal 0 prf hmac-sha384 remote 0 ppp ipcp vjcomp disable
remote 0 ip address local 202.248.1.1 remote 0 ip route 0 default 1 1
remote 0 ip nat mode multi any 1 5m
remote 0 ip nat static 0 xxx.xxx.xxx.xxx 500 xxx.xxx.xxx.xxx 500 17 remote 0 ip nat static 1 xxx.xxx.xxx.xxx 4500 xxx.xxx.xxx.xxx 4500 17 remote 0 ip nat static 2 xxx.xxx.xxx.xxx any xxx.xxx.xxx.xxx any 50 remote 0 ip msschange 1414
remote 1 name Azure remote 1 ap 0 name IPSec
remote 1 ap 0 datalink type ipsec remote 1 ap 0 ipsec type ike
remote 1 ap 0 ipsec ike protocol esp
remote 1 ap 0 ipsec ike range 192.168.10.0/24 172.16.0.0/12 remote 1 ap 0 ipsec ike encrypt aes-cbc-256
remote 1 ap 0 ipsec ike auth hmac-sha256 remote 1 ap 0 ipsec ike lifetime 1h
remote 1 ap 0 ipsec ike lifebyte 100000m
remote 1 ap 0 ipsec extension-range 0 192.168.10.0/24 172.16.0.0/16 remote 1 ap 0 ike mode main
remote 1 ap 0 ike shared key text abcdefghijklmnopqrstuvwxyz12345 remote 1 ap 0 ike proposal 0 encrypt aes-cbc-256
remote 1 ap 0 ike proposal 0 hash hmac-sha256 remote 1 ap 0 ike proposal 0 pfs modp1024 remote 1 ap 0 ike proposal 0 lifetime 8h remote 1 ap 0 ike nat-traversal use on remote 1 ap 0 tunnel local xxx.xxx.xxx.xxx remote 1 ap 0 tunnel remote yyy.yyy.yyy.yyy remote 1 ip route 0 172.16.0.0/16 1 1
ether ポートの設定
各ether ポートに VLAN(untag)を割り当てます。これは、後の lan 定義や、PPPoE の定義 と結びつきます。
wan 側のポートに対して vlan 1 を、lan 側のポートに対して vlan 2 を設定します。 PPPoE の設定
WAN 側に PPPoE の設定をします。PPPoE の送出先として vlan 1(ether 1 1 )を指定しま す。 項目 設定値 ID(PPPoE) id@isp PASS(PPPoE) pass@isp グローバルアドレス xxx.xxx.xxx.xxx mtu 値、mss 値については回線により異なります。回線側にご確認ください。 PPPoE のインタフェースに対してデフォルトルートを設定します。
ether 1 1 vlan untag 1 ether 2 1-4 vlan untag 2
remote 0 name PPPoE remote 0 mtu 1454
remote 0 ap 0 name PPPoE
remote 0 ap 0 datalink bind vlan 1
remote 0 ap 0 ppp auth send id@isp pass@isp remote 0 ap 0 keep connect
remote 0 ppp ipcp vjcomp disable
remote 0 ip address local xxx.xxx.xxx.xxx remote 0 ip msschange 1414
ファイアウォールの設定
PPPoE の定義にファイアウォールの設定を追加します。
mode multi の設定により、NAPT の設定が有効になります。nat static の定義により、グ ローバルアドレス(固定)宛ての ISAKMP,ESP,NAT-T を Si-R で受けることができるように します。
lan 側アドレスの設定
lan 側のアドレスを 192.168.10.1/24 に設定します。この lan インタフェースは vlan 2 の物 理ポートと結びつきます。 IPsec の設定 まず、設定するインタフェースをIPsec ができるようにするため、インタフェースの転送方 式、IPsec タイプを設定します。 lan 1 ip address 192.168.10.1/24 3 lan 1 vlan 2
remote 0 ip nat mode multi any 1 5m
remote 0 ip nat static 0 xxx.xxx.xxx.xxx 500 xxx.xxx.xxx.xxx 500 17 remote 0 ip nat static 1 xxx.xxx.xxx.xxx 4500 xxx.xxx.xxx.xxx 4500 17 remote 0 ip nat static 2 xxx.xxx.xxx.xxx any xxx.xxx.xxx.xxx any 50
remote 1 ap 0 datalink type ipsec remote 1 ap 0 ipsec type ike
IKE フェーズ 1
IPsec 設定項目:IKE フェーズ 1 表にて提示した内容を設定します。
事前共有鍵(ike shared key)、相手側トンネルエンドポイント(tunnel remote)については、 Windows Azure ポータルサイトにて確認した内容を設定します。
IKE フェーズ 2
IPsec 設定項目:IKE フェーズ2表にて提示した内容を設定します。
ike range 設定の対向側のセグメントについては注意が必要です。ゲートウェイサブネット ではなく、仮想ネットワークのセグメントを設定してください。
remote 1 ap 0 ike mode main
remote 1 ap 0 ike shared key text abcdefghijklmnopqrstuvwxyz12345 remote 1 ap 0 ike proposal 0 encrypt aes-cbc-256
remote 1 ap 0 ike proposal 0 hash hmac-sha256 remote 1 ap 0 ike proposal 0 pfs modp1024 remote 1 ap 0 ike proposal 0 lifetime 8h remote 1 ap 0 ike nat-traversal use on remote 1 ap 0 tunnel local xxx.xxx.xxx.xxx remote 1 ap 0 tunnel remote yyy.yyy.yyy.yyy
remote 1 ap 0 ipsec ike protocol esp
remote 1 ap 0 ipsec ike range 192.168.10.0/24 172.16.0.0/12 remote 1 ap 0 ipsec ike encrypt aes-cbc-256
remote 1 ap 0 ipsec ike auth hmac-sha256 remote 1 ap 0 ipsec ike lifetime 1h
その他 ルート設定、MSS 値の設定をします。この MSS 値はカプセル化の方式によって変わりま す。今回は1350 を設定します。 以上で設定が完了です。 最後に設定をsave して再起動します。 remote 1 ip route 0 172.16.0.0/16 1 1 remote 1 ip msschange 1350 save reset
IPsec 確立確認方法
Windows Azure での IPsec は、Azure 側でゲートウェイ作成後、[接続]をクリックすると、 Azure 側からネゴシエーションが開始されます。
Si-R を接続し、少し時間がたってから show access-point コマンドを実行して確認してくだ さい。正常にIPsec が確立できていれば下記のような結果が得られます。
IKE SA,IPsec SA ともに established、status connected となっていれば接続ができていま す。
#show access-point
remote 1 ap 0 : Azure.IPSec status : connected
since : Sep 6 05:56:28 2013 speed : not available
send traffic : not available receive traffic : not available type : IPsec/IKE
IKE Version : 1 exchange type : main
IKE SA : established IPsec SA : established
