会社から(Yamaha RTX1200)、Microsoft Azure のデータセンターにサイト間VPNを接続して仮想マシンにアクセスしてみよう。(VPN:仮想ネットワーク)

概要

Microsoft Azureに仮想サーバを置き、会社のローカルネットワークから、インターネットでアクセスする場合には以下のようにサイト間VPNを接続する方法があります。(仮想プライベートネットワークで仮想プライベートクラウドを実現する)

今回はVPNの接続方法から、仮想マシンを作成して、リモートデスクトップを行うところまで、手順を解説します。

最後のほうに2日後の料金の実測もかいてあります。277円と激安です!!

※今回はサイト間VPN(Azure-Router)を説明します。

※PCから直接AzureにVPNを接続する場合はポイント対サイト接続の構成が必要です。

メリット

  • 簡単にいうと「仮想プライベートクラウド」が実現できる。
  • VPNにて安価のインターネット使用して安全(データが暗号化されているので)にアクセスできます。
  • 会社に設置している、ファイルサーバ等も安全にAzureに設置できます。(バックアップ等を大阪等に冗長化すればディザスターリカバリーとしては良いと思います。)
  • ※Azureはx64 仮想マシンなので、Linuxもインストールできます。
  • ※ファイルデータのみでしたら、「仮想ネットワーク」と「Windows仮想マシン」がなくても、BLOBにデータを置いてhttpsで安全にアクセスする方法もあります。
  • ※仮想マシンのポートをインターネットにオープンすれば、暗号化されていないですが、直接インターネットからアクセスすることも可能です。

価格(2014/04/21日)

概念図

AzureVPN0010

論理図

AzureVPN0015

用意するもの

  • RTX1200 x 1台
  • BFlet’s +プロバイダー(固定IP8個、1個だけ使う)
  • Microsoft Azure

会社側ネットワーク構成(例:Exceedone)

構成 説明
接続メディア ADSL/FTTH など
接続プロトコル PPPoE
WAN 8個 (/29) 固定のグローバル アドレスのうち1個を専有で使用
※IP1個で行う場合は、社内のインターネットのNATと重なると、500番のポート等追加で設定必要

LAN 192.168.0.0/16

Microsoft Azure側ネットワーク構成

サブネット名 アドレス範囲
アドレス空間 10.0.0.0/8
ゲートウェイ 10.10.0.0/24
Subnet-1 10.10.10.0/24
Subnet-2 10.10.20.0/24

仮想ネットワークの作成手順

1. [新規]-[ネットワークサービス]-[仮想ネットワーク]-[簡易作成]で仮想ネットワークを作成する。

仮想ネットワーク – 簡易作成
名前 exceedone
アドレス空間 10.—.—.—
最大 VM 数 65536 (CIDR/16)
アフィニティ グループ作成/地域 日本(東)
既存 DNS への接続 なし

AzureVPN0020

2. [構成]を選んで[仮想ネットワークアドレス空間]を入力して、[保存]する。

サブネット名 アドレス範囲
アドレス空間 10.0.0.0/8
Subnet-1 10.10.10.0/24
Subnet-2 10.10.20.0/24

AzureVPN0030

3. ローカルネットワークを追加する。(会社側のローカルネットワークね!

[Azure]-[ネットワーク]-[ローカルネットワーク]

AzureVPN0040

ローカル ネットワーク
名前 exceedoneloacal
VPN デバイスの IP アドレス RTX1200のグローバル IP アドレス
アドレス空間 192.168.0.0/16

AzureVPN0050

AzureVPN0060

4. サイト間接続にチェックマークを入れる。

[Azure]-[ネットワーク]-[exceedone]-[構成]

[サイト間接続]-[ローカルネットワークに接続する]にチェックを入れる

AzureVPN0070

[サブネット]-[ゲートウェイ]に 10.10.0.0/24 と入力する。

AzureVPN0080

5. 仮想ネットワークにゲートウェイ作成

[Azure]-[ネットワーク]-[exceedone]-[ダッジュボード]-[ゲートウェイ作成]-[静的ルーティング]

10分ぐらいまちます。。。。

AzureVPN0090

完成するとゲートウェイIPアドレスが表示されます。

※ゲートウェイを作成する毎にIPアドレスはかわります。

AzureVPN0100

6. 共有キーのコピー

[Azure]-[ネットワーク]-[exceedone]-[ダッジュボード]-[キーの管理]

キーをコピーします。

AzureVPN0110

7. 会社側のルータ(RTX1200)に以下のコマンド(config)で入力します。

tunnel select 71
 ipsec tunnel 171
  ipsec sa policy 171 71 esp aes256-cbc sha256-hmac anti-replay-check=off
  ipsec ike duration ipsec-sa 71 3600
  ipsec ike encryption 71 aes256-cbc
  ipsec ike group 71 modp1024
  ipsec ike hash 71 sha256
  ipsec ike keepalive log 71 off
  ipsec ike local address 71 192.168.20.1
  ipsec ike local id 71 192.168.20.1
  ipsec ike nat-traversal 71 on
  ipsec ike pre-shared-key 71 text cZGurm9NXXXXXXXXXXXXXXXXXXX
  ipsec ike remote address 71 138.91.5.74
  ipsec ike remote id 71 10.10.0.1
 ip tunnel tcp mss limit 1350
 tunnel enable 71

ip route 10.10.0.0/16 gateway tunnel 71

8. RTX1200でテストします。

以下のように表示されたらOKです。

AzureVPN0130

EXRT02:> show status tunnel 71
TUNNEL[71]: 
説明: 
  インタフェースの種類: IPsec
  トンネルインタフェースは接続されています
  開始: 2014/04/22 15:02:02
  通信時間: 1分50秒
  受信: (IPv4) 222 パケット [7368 オクテット]
        (IPv6) 0 パケット [0 オクテット]
  送信: (IPv4) 9 パケット [786 オクテット]
        (IPv6) 0 パケット [0 オクテット]
EXRT02:> show ipsec sa 
Total: isakmp:1 send:1 recv:12

sa   sgw isakmp connection   dir  life[s] remote-id
-----------------------------------------------------------------------------
1     71   -    isakmp       -    15518   138.91.5.74
2     71   1    tun[071]esp  send 3485    138.91.5.74

9. 仮想サーバを作成して、RemoteDesktopしてみます。

[Azure]-[新規]-[コンピューティング]-[仮想マシン]-[ギャラリーから]

AzureVPN0140

今回は[Windows Server2008 RS SP1]を選択しました。

AzureVPN0150

仮想マシンの構成(2ページ目)

仮想マシン名 vm010-004

新しいユーザ名 snoro

AzureVPN0160

仮想マシンの構成(3ページ目)

リージョン/アフィニティグループ/仮想ネットワーク  exceedone

仮想ネットワークサブネット Subnet-1(10.10.10.0/24)

AzureVPN0170

10分まつと作成されます。

10. IPアドレスを確認します。

※DHCPで自動的にIPアドレスが割り当てられている。

ホスト名: vm010-004

内部IPアドレス: 10.10.10.4

AzureVPN0180

11. まずはVPNの使用せずにリモートデスクトップをしてみます。

以下の接続とするとリモートデスクトップが起動されますので、ユーザ名とパスワードを入力します。

コンピュータ名: vm010-004.cloudapp.net:88888 (例)

ユーザー名: vm010-004\snoro

AzureVPN0190

OKボタンを押すと、リモートデスクトップがひらきます。

AzureVPN0200

12. 続きまして、VPN経由でアクセスしようと思います。

コンピュータ名: 10.10.10.4

ユーザー名: vm010-004\snoro

AzureVPN0210

以下のようにVPNからもアクセスできました。

AzureVPN0220

2日後の料金の実測

なんとプライベートクラウドで、自前でやるとすぐに数十万かかちゃいますよね!!

2日ちょういで277円です!!

  • ゲートウェイ時間 – 仮想ネットワーク
    • 54.33 時間 ¥277
  • データ転送量 – 受信 (GB) – ゾーン 1
    • 5Gまで無料なので ¥0

AzureVPN0230

2日後の接続状況

リモートデスクトップでつないでも問題ない。

Azure上で確認していても以下のように問題ない。

AzureVPN0240

Yamaha RTXで確認してもOKそう。

※syslogはとってないけど。

EXRT02:> show status tunnel 71
TUNNEL[71]: 
説明: 
  インタフェースの種類: IPsec
  トンネルインタフェースは接続されています
  開始: 2014/04/24 11:32:54
  通信時間: 4分42秒
  受信: (IPv4) 25325 パケット [5778070 オクテット]
        (IPv6) 0 パケット [0 オクテット]
  送信: (IPv4) 27218 パケット [14029516 オクテット]
        (IPv6) 0 パケット [0 オクテット]
EXRT02:> show ipsec sa 
Total: isakmp:1 send:1 recv:9

sa   sgw isakmp connection   dir  life[s] remote-id
-----------------------------------------------------------------------------
1     71   -    isakmp       -    22711   138.91.5.74
2     71   1    tun[071]esp  send 3302    138.91.5.74
3     71   1    tun[071]esp  recv 882     138.91.5.74
4     71   1    tun[071]esp  recv 3302    138.91.5.74
5     71   1    tun[071]esp  recv 579     138.91.5.74
6     71   1    tun[071]esp  recv 2398    138.91.5.74
8     71   1    tun[071]esp  recv 1186    138.91.5.74
9     71   1    tun[071]esp  recv 1489    138.91.5.74
10    71   1    tun[071]esp  recv 2095    138.91.5.74
13    71   1    tun[071]esp  recv 276     138.91.5.74
14    71   1    tun[071]esp  recv 1792    138.91.5.74

VPNの課金について

以下のように切断状態では課金されます。(IPアドレスが割り当てられた状態)

ゲートウェイを削除すれば、課金されない状態になります。

AzureVPN0240

感想

とても簡単にVPNはれました!!!Yamaha RTX ルータと Microsoft Azure(MS Cloud)は安い,簡単、セキュアで素晴らしい!!

参考文献

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です