自由気ままに書いちゃおう

好きなことをつらつらと・・・

トップ > Azure■VPN > 【Azure】VPN接続(ローカルネットワークゲートウェイ)について

【Azure】VPN接続(ローカルネットワークゲートウェイ)について

Azure■VPN

今回はAzureのVPN接続についてです。

■はじめに

AzureでVPNを調べる際、以下の用語が出てきます。

・Azure VPN Gateway
・仮想ネットワークゲートウェイ(VPN)
・VPNゲートウェイ

これらは同じことを意味しています。

■Azure VPN Gateway

AzureのVnet(仮想ネットワーク)とVPN接続するために利用するAzureの機能の一つです。
AzureのVnetとオンプレミスを接続することもできますし、
Vnet同士を接続することもできます。

VPNを利用するときには多くはインターネット回線を利用します。
ExpressRouteの場合には接続プロバイダを利用した専用線を利用します。

※ExpressRouteを利用してVPN接続を構築することもありますが、ここでは割愛。。。

■VPNの接続形態について

別記事で取り上げております。

www.guri2o1667.work

 

P2S、S2Sが代表的な接続形態です。
簡単にですが両者の説明を下記いたします。

■Point-to-Site(P2S)

クライアント端末からVPN接続でAzureのVnetへ接続する形態です。
特徴は、
・仮想ネットワークゲートウェイ(VPN)へ接続するための固定IPは不要
・VPNルータ不要
・Azure VPN Gatewayのルート証明書が必要
・クライアント証明書をクライアント端末に導入必須
です。

P2S VPN と証明書認証を使用して VNet に接続する: ポータル - Azure VPN Gateway | Microsoft Docs

Azure ポイント対サイト VPN 接続について - Azure VPN Gateway | Microsoft Docs

■Site-to-Site(S2S)

S2Sも大別すると更に2つの形態に細分化されます。

① オンプレミス環境とAzureVnetをVPN接続する(サイト間をVPNトンネルでつなぐ)形態

② AzureVnet間でのVPN接続

特徴は、
・固定IPが必要
・VPNルータが必要 ※①のみ
・ローカルネットワークゲートウェイが必要 ※後述
です。

以降では、S2S(サイト間接続:オンプレ-Azure間接続)についてです。
P2SおよびVnet間接続については本記事では取り扱いません。

■サイト間接続(AzureVnetとオンプレミス間接続)の流れ

チュートリアル - オンプレミス ネットワークを仮想ネットワークに接続する: Azure portal - Azure VPN Gateway | Microsoft Docs


以下の流れでAzure側の設定を行います。

1.Azure仮想ネットワークの作成
2.仮想ネットワークゲートウェイ(VPN)の作成
3.ローカルネットワークゲートウェイの作成

Azure側の設定が完了次第、オンプレミス側のVPNデバイスの設定が必要になりますが、本記事では取り扱いません。。。

■1.Azure仮想ネットワークの作成

割愛します。。。

■2.仮想ネットワークゲートウェイ(VPN)の作成

別記事で取り上げている通り、仮想ネットワークゲートウェイ作成時にVPNを選択することで作成することができます。

f:id:guri2o1667:20210913140628p:plain

f:id:guri2o1667:20210913140639p:plain

■VPNの種類について

仮想ネットワークゲートウェイ(VPN)を作成する際の設定項目の一つです。

f:id:guri2o1667:20210913140742p:plain

オンプレミスのポリシー ベースの複数の VPN デバイスに VPN ゲートウェイを接続する - Azure VPN Gateway | Microsoft Docs

f:id:guri2o1667:20210913140813p:plain

■SKUと世代について

仮想ネットワークゲートウェイにてVPNを選択すると、SKUには以下の選択肢が設定可能です。

f:id:guri2o1667:20210913141037p:plain


また、世代は以下の通りです。

f:id:guri2o1667:20210913141113p:plain


SKUと世代の組み合わせにより、ワークロード、スループット、機能、SLAの種類、

暗号化アルゴリズムが異なります。

Azure VPN Gateway について | Microsoft Docs

 

■3.ローカルネットワークゲートウェイの作成

ローカルネットワークゲートウェイは、
「仮想ネットワークに接続するオンプレミスの場所(サイト)を表すもの」です。
もう少しかみ砕くと、オンプレミス側のVPN情報(IPアドレス等)を設定します

チュートリアル - オンプレミス ネットワークを仮想ネットワークに接続する: Azure portal - Azure VPN Gateway | Microsoft Docs


わかりにくいので、まずは設定画面を載せます。

f:id:guri2o1667:20210913142209p:plain

■エンドポイント

オンプレミス側のVPNデバイスの種類を選択します。
IPアドレスかFQDNを選択することができます。
IPアドレスを選択する場合には、静的なグローバルIPアドレスが必要です。
そのため、オンプレミス側で事前にVPNデバイスに設定可能な静的IPアドレスが準備できていることが前提となります。

■IPアドレス or FQDN

エンドポイントでどちらを選択するかによって、設定項目が変わります。
エンドポイントにIPアドレスを指定した場合には、オンプレミス側の静的グローバルIPアドレスを指定します。
f:id:guri2o1667:20210913142921p:plain

エンドポイントにFQDNを指定した場合には、オンプレミス側のVPNルータに紐づいているFQDNを入力します。

f:id:guri2o1667:20210913142940p:plain

■アドレス空間

間違いやすいですが、ここで入力するアドレス空間は、
オンプレミス側のプライベートIPアドレスの空間です。
複数のプライベートIPアドレス空間(ネットワーク)がある場合は、複数指定することができます。

AzureVnetにて、ここで入力したIPアドレス空間の通信が発生した場合、
前述で指定したオンプレミス側のVPNデバイスを示すIPアドレスもしくはFQDNに対してパケットがルーティングされます。

■BGP設定の構成

デフォルトではオフになっています。
オンにすると、以下の設定項目が出現します。

f:id:guri2o1667:20210913143317p:plain

f:id:guri2o1667:20210913143335p:plain


ここまでAzure側の設定は完了です。

以上です。

guri2o1667