1. はじめに
企業向け VPN アクセス・ルーター アライドテレシス AR415S/AR550S/AR560S/AR570S を Azure Virtual Network (以後 Azure 仮想ネットワーク) の IPsec ゲートウェイと IPsec 接続する設定例です。以降の記述は AR560S を前提として説明いたします。
本接続設定例について
2014 年 4 月 3 日現在の仕様に基づいて記載していますので、今後の仕様変更によって、画面変更や VPN 接続できない可能性もあります。
Microsoft Azure について
Microsoft Azure はオープンで柔軟なクラウド プラットフォームです。このプラットフォームを利用すると、Microsoft が管理するデータセンターのグローバル ネットワーク上で、アプリケーションを簡単に作成、デプロイ、管理できます。アプリケーションの作成には、任意の言語、ツール、またはフレームワークを使用できます。パブリック クラウド アプリケーションを既存の IT 環境と統合することもできます。
Microsoft Azure 仮想ネットワークについて
Azure 仮想ネットワークは、豊富な Microsoft Azure 提供サービスの中の 1 つで、Microsoft Azure 内部に仮想の L2 イーサネットを構築し、任意の IP アドレス範囲のローカル ネットワーク構成を可能にします。
また、IPsec ゲートウェイを追加し、オンプレミス ネットワークと相互接続する事で、あたかも Microsoft Azure を自社のネットワークの一部として利用する事ができます。
Azure 仮想ネットワークの詳しい詳細は以下の URL を参照してください。
ネットワーク構成について
本設定例におけるネットワーク構成は、以下の 図 1/表 1/表 2 の通りです。
.png)
図 1
オンプレミス側ネットワーク
| 構成 |
説明 |
|
接続メディア
|
ADSL/FTTH など |
|
接続プロトコル
|
PPPoE |
|
WAN
|
1 個 (/32) 固定のグローバル アドレス |
|
LAN
|
192.168.1.254/24 |
<div style="margin: 5px auto; width:500px; font-size:90%">
<strong>表 1</strong>
</div>
<p style="margin-bottom:15px">AR560S は PPPoE でプロバイダーに常時接続を行い、インターネット接続と IPsec 接続を同時に動作させています。プロバイダーからは固定のグローバル IP アドレス (1 個) が提供されています。</p>
<h4>Microsoft Azure 側ネットワーク</h4>
<p>Azure 仮想ネットワークは 172.16.0.0/16 のアドレス空間の中に、以下に示すサブネットが 3 つ存在します。</p>
<table style=" margin: 10px auto; width:500px; font-size:9pt; border-collapse:collapse;">
<tr style="background: #48719a; color:#FFF; font-weight:bold;">
<td style="border: 1px solid #333; padding: 5px;width:35% ">サブネット名</td>
<td style="border: 1px solid #333; padding: 5px; width:65%">アドレス範囲</td>
</tr>
<tr>
<td style="border: 1px solid #333; padding: 5px; ">
<strong>Gateway subnet</strong>
</td>
<td style="border: 1px solid #333; padding: 5px; ">172.16.0.0/30</td>
</tr>
<tr>
<td style="border: 1px solid #333; padding: 5px; ">
<strong>Subnet-1</strong>
</td>
<td style="border: 1px solid #333; padding: 5px; ">172.16.1.0/24</td>
</tr>
<tr>
<td style="border: 1px solid #333; padding: 5px;">
<strong>Subnet-2</strong>
</td>
<td style="border: 1px solid #333; padding: 5px;">172.16.2.0/24</td>
</tr>
</table>
<div style="margin: 5px auto; width:500px; font-size:90%">
<strong>表 2</strong>
</div>
<p>Gateway subnet は IPsec ゲートウェイを担当する仮想マシン専用のサブネットです。それ以外の任意のインスタンスを追加する事はできません。</p>
<p>Subnet-1/Subnet-2 には、任意の仮想マシン インスタンスや任意のアプリケーション サービスを追加します。サービス単位でサブネットを追加し、管理することが可能です。オンプレミスはこれらのサブネットと IPsec トンネル越しに通信します。</p>
<p>
<img alt="" src="https://msdn.microsoft.com/ja-jp/hh670631.top(ja-jp,MSDN.10).gif" title="" xmlns="http://www.w3.org/1999/xhtml" />ページのトップへ</p>
<hr />
</div>
<div class="MainColumn">
<h2 id="idx02" style="margin: 0 0 10px; font-size: 13pt; font-family:Meiryo, Verdana, Arial, Helvetica, sans-serif;">2. Microsoft Azure での作業</h2>
<p>Microsoft Azure サブスクリプションの申し込みは終わっている事を前提としています。申し込みなどの詳細に関しては、<a runat="server" href="https://msdn.microsoft.com/ja-jp/ee943806.aspx#02">「Microsoft Azure の Web サイト および Microsoft Azure ポータルでサブスクリプション購入の確認」</a>を参照してください。</p>
<p style="margin-bottom:0px">作業は以下の手順で行います。</p>
<ol style="margin-top:0px;">
<li>仮想ネットワークの作成</li>
<li>仮想ネットワークにサブネットを追加</li>
<li>ローカル ネットワークの作成</li>
<li>ゲートウェイ サブネットの追加</li>
<li>ゲートウェイの作成</li>
</ol>
<h3 style="margin: 0 0 10px; border-left: 3px solid #4e81d4; padding-left: 5px; font-size: 12pt; font-family:Meiryo, Verdana, Arial, Helvetica, sans-serif;">仮想ネットワークの作成</h3>
<div style="margin:10px auto; width: 567px;">
<img alt="仮想ネットワークの作成画面" height="288" src="https://msdn.microsoft.com/ja-jp/jj945300.img02(ja-jp,MSDN.10).gif" width="450" />
</div>
<p style="margin-bottom:0px">Microsoft Azure に仮想ネットワークの作成を行います。ここでは一旦、簡易作成を行い、後に詳細を変更してカスタマイズする事にします。</p>
<ol style="margin-top:0px; margin-bottom:5px">
<li>
<a runat="server" target="_blank" href="https://windows.azure.com/">Microsoft Azure マネジメント ポータル</a>にログインします。</li>
<li>画面の左下角の [新規] をクリックします。</li>
<li>[ネットワーク]、[仮想ネットワーク] と辿り、[簡易作成] をクリックします。</li>
<li>以下の表 3 を参考に、必要項目を入力します。</li>
<li>入力後、画面右下 [仮想ネットワークを作成する] の右側のチェック ボタンをクリックします。</li>
</ol>
<table id="t03" style="margin: 0px auto 10px; width:500px; font-size:9pt; border-collapse:collapse;">
<tr>
<td colspan="2" style="padding: 5px;font-weight:bold; ">仮想ネットワーク - 簡易作成</td>
</tr>
<tr>
<td style="border: 1px solid #333; padding: 5px;background: #48719a; color:#FFF; font-weight:bold; width:45%">名前</td>
<td style="border: 1px solid #333; padding: 5px;width:55%">company</td>
</tr>
<tr>
<td style="border: 1px solid #333; padding: 5px;background: #48719a; color:#FFF; ">
<strong>アドレス空間</strong>
</td>
<td style="border: 1px solid #333; padding: 5px">172.16.---.---</td>
</tr>
<tr>
<td style="border: 1px solid #333; padding: 5px;background: #48719a; color:#FFF; ">
<strong>最大 VM 数</strong>
</td>
<td style="border: 1px solid #333; padding: 5px;">65536 (CIDR/16)</td>
</tr>
<tr>
<td style="border: 1px solid #333; padding: 5px;background: #48719a; color:#FFF; ">
<strong>アフィニティ グループ作成/地域</strong>
</td>
<td style="border: 1px solid #333; padding: 5px;">日本 (東) または日本 (西)</td>
</tr>
<tr>
<td style="border: 1px solid #333; padding: 5px;background: #48719a; color:#FFF; ">
<strong>既存 DNS への接続</strong>
</td>
<td style="border: 1px solid #333; padding: 5px;">なし</td>
</tr>
</table>
<div style="margin: 5px auto 15px; width:500px; font-size:90%">
<strong>表 3</strong>
</div>
<h3 style="margin: 0 0 10px; border-left: 3px solid #4e81d4; padding-left: 5px; font-size: 12pt; font-family:Meiryo, Verdana, Arial, Helvetica, sans-serif;">仮想ネットワークにサブネットを追加</h3>
<div style="margin:10px auto; width: 567px; ">
<img alt="仮想ネットワークにサブネットを追加画面" height="309" src="https://msdn.microsoft.com/ja-jp/jj945300.img03(ja-jp,MSDN.10).gif" width="450" />
</div>
<p style="margin-bottom:0px">作成直後のサブネットは 172.16.0.0/16 のサブネットがデフォルトで 1 つ定義されています。これを表 4 の 2 つのサブネット範囲に修正します。</p>
<ol style="margin-top:0px">
<li>左の一覧から [ネットワーク] をクリックし、作成した [ネットワークの名前] をクリックします。(ここでは、company がネットワークの名前です。)</li>
<li>ダッシュボードが表示されましたら、画面上部から [構成] をクリックします。</li>
<li>表 4 を参考に、アドレス空間に Subnet-1 と Subnet-2 サブネットを作成します。</li>
<li>画面下部の保存ボタンをクリックし、構成変更を反映します。</li>
</ol>
<table id="t04" style="margin: 10px auto; width:500px; font-size:9pt; border-collapse:collapse;">
<tr style="background: #48719a; color:#FFF; font-weight:bold;">
<td align="center" style="border: 1px solid #333; padding: 5px;">サブネット名</td>
<td align="center" style="border: 1px solid #333; padding: 5px;">アドレス範囲</td>
</tr>
<tr>
<td style="border: 1px solid #333; padding: 5px;">
<strong>Subnet-1</strong>
</td>
<td style="border: 1px solid #333; padding: 5px;">172.16.1.0/24</td>
</tr>
<tr>
<td style="border: 1px solid #333; padding: 5px; height: 23px;">
<strong>Subnet-2</strong>
</td>
<td style="border: 1px solid #333; padding: 5px; height: 23px;">172.16.2.0/24</td>
</tr>
</table>
<div style="margin: 5px auto 15px; width:500px; font-size:90%">
<strong>表 4</strong>
</div>
<h3 style="margin: 0 0 10px; border-left: 3px solid #4e81d4; padding-left: 5px; font-size: 12pt; font-family:Meiryo, Verdana, Arial, Helvetica, sans-serif;">ローカル ネットワークの作成</h3>
<div style="margin:10px auto; width: 567px;">
<img alt="ローカル ネットワークの詳細を指定する" height="284" src="https://msdn.microsoft.com/ja-jp/jj945300.img04(ja-jp,MSDN.10).gif" width="400" />
</div>
<div style="margin:10px auto; width: 567px;">
<img alt="アドレス空間を指定します" height="288" src="https://msdn.microsoft.com/ja-jp/jj945300.img05(ja-jp,MSDN.10).gif" width="400" />
</div>
<p>ローカル ネットワークの定義を追加します、ここではローカル側を OnPremises という名称で定義します。</p>
<ol style="margin-top:0px; margin-bottom:5px">
<li>画面の左下角の [新規] をクリックします。</li>
<li>[ネットワーク サービス]、[仮想ネットワーク] と辿り、[ローカル ネットワークの追加] をクリックします。</li>
<li>表 5 を参考に「ローカル ネットワーク詳細を指定する」ダイアログに、[名前] と [VPN デバイスの IP アドレス] を入力後、ダイアログ右下の右矢印ボタンをクリックします。</li>
<li>表 5 を参考に AR560S の LAN 側サブネットを CIDR 形式で入力します。<br />入力後はダイアログ右下のチェック ボタンをクリック します。</li>
</ol>
<table id="t05" style="margin: 0px auto 10px; width:500px; font-size:9pt; border-collapse:collapse;">
<tbody>
<tr>
<td colspan="2" style="padding: 5px;font-weight:bold; ">ローカル ネットワーク</td>
</tr>
<tr>
<td style="border: 1px solid #333; padding: 5px;background: #48719a; color:#FFF; font-weight:bold; width:45%">名前</td>
<td style="border: 1px solid #333; padding: 5px;width:55%">OnPremises</td>
</tr>
<tr>
<td style="border: 1px solid #333; padding: 5px;background: #48719a; color:#FFF; ">
<strong>VPN デバイスの IP アドレス</strong>
</td>
<td style="border: 1px solid #333; padding: 5px">AR560S のグローバル IP アドレス</td>
</tr>
<tr>
<td style="border: 1px solid #333; padding: 5px;background: #48719a; color:#FFF; ">
<strong>アドレス空間</strong>
</td>
<td style="border: 1px solid #333; padding: 5px;">192.168.1.0/24</td>
</tr>
</tbody>
</table>
<div style="margin: 5px auto 15px; width:500px; font-size:90%">
<strong>表 5</strong>
</div>
<h3 style="margin: 0 0 10px; border-left: 3px solid #4e81d4; padding-left: 5px; font-size: 12pt; font-family:Meiryo, Verdana, Arial, Helvetica, sans-serif;">ゲートウェイ サブネットの追加</h3>
<div style="margin:10px auto; width: 567px;">
<img alt="ゲートウェイ サブネットの追加画面" src="https://msdn.microsoft.com/ja-jp/jj945300.img06(ja-jp,MSDN.10).gif" title="ゲートウェイ サブネットの追加画面" />
</div>
<p style="margin-bottom:0px">仮想ネットワークにローカル ネットワークを指定し、IPsec ゲートウェイ インスタンス専用のゲートウェイ サブネットを追加します。</p>
<ol style="margin-top:0px;margin-bottom:5px">
<li>左の一覧から [ネットワーク] をクリックし、作成したネットワークの名前をクリックします。(ここでは、company がネットワークの名前です。)</li>
<li>画面上部から構成をクリックします。</li>
<li>[接続] から [ローカル ネットワークに接続する] をチェックします。</li>
<li>ローカル ネットワークは、事前に定義した [OnPremises] を選択します。</li>
<li>ゲートウェイ サブネットを入力します。</li>
<li>画面下部の [保存] ボタンをクリックし、構成変更を反映します。</li>
</ol>
<table id="t06" style="margin: 0px auto 10px; width:500px; font-size:9pt; border-collapse:collapse;">
<tbody>
<tr>
<td colspan="2" style="padding: 5px;font-weight:bold; ">ローカル ネットワーク接続</td>
</tr>
<tr>
<td style="border: 1px solid #333; padding: 5px;background: #48719a; color:#FFF; font-weight:bold; width:45%">接続</td>
<td style="border: 1px solid #333; padding: 5px;">[ローカル ネットワークに接続する] にチェック</td>
</tr>
<tr>
<td style="border: 1px solid #333; padding: 5px;background: #48719a; color:#FFF; ">
<strong>ローカル ネットワーク</strong>
</td>
<td style="border: 1px solid #333; padding: 5px; height: 23px;">OnPremises</td>
</tr>
<tr>
<td style="border: 1px solid #333; padding: 5px;background: #48719a; color:#FFF; ">
<strong>ゲートウェイ サブネット</strong>
</td>
<td style="border: 1px solid #333; padding: 5px; height: 23px;">172.16.0.0</td>
</tr>
<tr>
<td style="border: 1px solid #333; padding: 5px;background: #48719a; color:#FFF; ">
<strong>CIDR (アドレス数)</strong>
</td>
<td style="border: 1px solid #333; padding: 5px; height: 23px;">/29 (3)</td>
</tr>
</tbody>
</table>
<div style="margin: 5px auto 15px; width:500px; font-size:90%">
<strong>表 6</strong>
</div>
<h3 style="margin: 0 0 10px; border-left: 3px solid #4e81d4; padding-left: 5px; font-size: 12pt; font-family:Meiryo, Verdana, Arial, Helvetica, sans-serif;">ゲートウェイの作成</h3>
<div style="margin:10px auto; width: 567px;">
<img alt="ゲートウェイの作成画面" src="https://msdn.microsoft.com/ja-jp/jj945300.img07(ja-jp,MSDN.10).gif" title="ゲートウェイの作成画面" />
</div>
<p style="margin-bottom:0px">仮想ネットワークに IPsec ゲートウェイを追加します。</p>
<ol style="margin-top:0px;margin-bottom:15px">
<li>左の一覧から [ネットワーク] をクリックし、作成した [ネットワークの名前] に続き [ダッシュボード] をクリックします。(ここでは、company がネットワークの名前です。)</li>
<li>画面下部の [ゲートウェイの作成] に続き [静的ルーティング] をクリックし、ゲートウェイ作成を開始します。</li>
<li>作成完了まで 10 分ほどかかりますので、しばらくお待ちください。</li>
</ol>
<p>
<img alt="" src="https://msdn.microsoft.com/ja-jp/hh670631.top(ja-jp,MSDN.10).gif" title="" xmlns="http://www.w3.org/1999/xhtml" />ページのトップへ</p>
<hr />
</div>
<div class="MainColumn">
<h2 id="idx03" style="margin: 0 0 10px; font-size: 13pt; font-family:Meiryo, Verdana, Arial, Helvetica, sans-serif;">3. AR560S の設定</h2>
<p style="margin-bottom:0px">作業は以下の手順で行います。</p>
<ol style="margin-top:0px;">
<li>Microsoft Azure のゲートウェイ IP アドレスの確認</li>
<li>共有鍵の取得</li>
<li>AR560S の設定</li>
<li>IPsec 接続確認</li>
</ol>
<h3 style="margin: 0 0 10px; border-left: 3px solid #4e81d4; padding-left: 5px; font-size: 12pt; font-family:Meiryo, Verdana, Arial, Helvetica, sans-serif;">Microsoft Azure のゲートウェイ IP アドレスの確認</h3>
<div style="margin:10px auto; width: 567px;">
<img alt="Microsoft Azure のゲートウェイ IP アドレスの確認画面" height="318" src="https://msdn.microsoft.com/ja-jp/jj945300.img08(ja-jp,MSDN.10).gif" width="500" />
</div>
<p style="margin-bottom:0px">Microsoft Azure に作成したゲートウェイ IP アドレスを確認します。</p>
<ol style="margin-top:0px">
<li>
<a runat="server" target="_blank" href="https://windows.azure.com/">Microsoft Azure マネジメント ポータル</a>にログインします。</li>
<li>左の一覧から [ネットワーク] をクリックし、作成した [ネットワークの名前] をクリックします。(ここでは company がネットワークの名前です。)</li>
<li>ダッシュボードが表示されたら、ゲートウェイ アドレスが記載されていますので、メモなどに控えます。</li>
</ol>
<h3 style="margin: 0 0 10px; border-left: 3px solid #4e81d4; padding-left: 5px; font-size: 12pt; font-family:Meiryo, Verdana, Arial, Helvetica, sans-serif;">共有鍵の取得</h3>
<p>IPsec ゲートウェイに接続するための共有鍵を取得します。</p>
<div style="margin:10px auto; width: 567px;">
<img alt="共有鍵の取得" height="279" src="https://msdn.microsoft.com/ja-jp/jj945300.img09(ja-jp,MSDN.10).gif" width="400" />
</div>
<ol style="margin-top:0px">
<li>
<a runat="server" target="_blank" href="https://windows.azure.com/">Microsoft Azure マネジメント ポータル</a>にログインします。</li>
<li>左の一覧から [ネットワーク] をクリックし、作成した [ネットワークの名前] をクリックします。(ここでは company がネットワークの名前です。)</li>
<li>[ダッシュボード] を選択後、画面下部の [キーの管理] をクリックします。共有鍵が表示されますので、メモなどに控えます。控え終えたら、ダイアログ右下のチェック ボタンをクリックします。</li>
</ol>
<h3 style="margin: 0 0 10px; border-left: 3px solid #4e81d4; padding-left: 5px; font-size: 12pt; font-family:Meiryo, Verdana, Arial, Helvetica, sans-serif;">AR560S の設定</h3>
<p>本設定例では以下のパラメータを使用します。</p>
<div style="margin:10px auto; width: 567px;">
<table id="t05" style="margin: 10px auto; width:500px; font-size:9pt; border-collapse:collapse;">
<tr>
<td style="border: 1px solid #333; padding: 5px; font-weight:bold; background-color: #EFF3F7;width:45%">WAN 側物理インターフェース</td>
<td style="border: 1px solid #333; padding: 5px;">eth0</td>
</tr>
<tr>
<td style="border: 1px solid #333; padding: 5px; font-weight:bold; background-color: #EFF3F7;width:45%" valign="top">WAN 側 (pppoe)<br />グローバル IP アドレス</td>
<td style="border: 1px solid #333; padding: 5px;">xx.xx.xx.xx/32 (ISP から割当)</td>
</tr>
<tr>
<td style="border: 1px solid #333; padding: 5px; font-weight:bold; background-color: #EFF3F7;width:45%" valign="top">Microsoft Azure の<br />ゲートウェイ IP アドレス</td>
<td style="border: 1px solid #333; padding: 5px;">yy.yy.yy.yy (<a runat="server" target="_blank" href="https://windows.azure.com/">Microsoft Azure マネジメント ポータル</a>「Microsoft Azure のゲートウェイ IP アドレス確認」で入手した IP アドレス)</td>
</tr>
<tr>
<td style="border: 1px solid #333; padding: 5px; font-weight:bold; background-color: #EFF3F7;width:45%">IKE フェーズ 1 の認証方式</td>
<td style="border: 1px solid #333; padding: 5px;">事前共有鍵 (pre-shared key)</td>
</tr>
<tr>
<td style="border: 1px solid #333; padding: 5px; font-weight:bold; background-color: #EFF3F7;width:45%" valign="top">事前共有鍵 (pre-shared key)</td>
<td style="border: 1px solid #333; padding: 5px;">
<a runat="server" target="_blank" href="https://windows.azure.com/">Microsoft Azure マネジメント ポータル</a>「共有鍵の取得」で入手した文字列</td>
</tr>
<tr>
<td style="border: 1px solid #333; padding: 5px; font-weight:bold; background-color: #EFF3F7;width:45%">Oakley グループ</td>
<td style="border: 1px solid #333; padding: 5px;">2</td>
</tr>
<tr>
<td style="border: 1px solid #333; padding: 5px; font-weight:bold; background-color: #EFF3F7;width:45%">ISAKMP メッセージの暗号化方式</td>
<td style="border: 1px solid #333; padding: 5px;">AES128</td>
</tr>
<tr>
<td style="border: 1px solid #333; padding: 5px; font-weight:bold; background-color: #EFF3F7;width:45%">ISAKMP メッセージの認証方式</td>
<td style="border: 1px solid #333; padding: 5px;">SHA1</td>
</tr>
<tr>
<td style="border: 1px solid #333; padding: 5px; font-weight:bold; background-color: #EFF3F7;width:45%">ISAKMP SA の有効期限 (時間)</td>
<td style="border: 1px solid #333; padding: 5px;">28800 秒 (8 時間)</td>
</tr>
<tr>
<td style="border: 1px solid #333; padding: 5px; font-weight:bold; background-color: #EFF3F7;width:45%">NAT-Traversal のネゴシエーション</td>
<td style="border: 1px solid #333; padding: 5px;">行う</td>
</tr>
</table>
<div style="margin: 5px auto 15px; width:500px; font-size:90%">
<strong>表 7 IKE フェーズ 1 (ISAKMP SA のネゴシエーション)</strong>
</div>
</div>
<div style="margin:10px auto; width: 567px;">
<table id="t05" style="margin: 10px auto; width:500px; font-size:9pt; border-collapse:collapse;">
<tr>
<td style="border: 1px solid #333; padding: 5px; font-weight:bold; background-color: #EFF3F7;width:45%">SA モード</td>
<td style="border: 1px solid #333; padding: 5px;">トンネルモード</td>
</tr>
<tr>
<td style="border: 1px solid #333; padding: 5px; font-weight:bold; background-color: #EFF3F7;width:45%">セキュリティ プロトコル</td>
<td style="border: 1px solid #333; padding: 5px;">ESP (暗号化 + 認証)</td>
</tr>
<tr>
<td style="border: 1px solid #333; padding: 5px; font-weight:bold; background-color: #EFF3F7;width:45%">暗号化方式</td>
<td style="border: 1px solid #333; padding: 5px;">AES128</td>
</tr>
<tr>
<td style="border: 1px solid #333; padding: 5px; font-weight:bold; background-color: #EFF3F7;width:45%">認証方式</td>
<td style="border: 1px solid #333; padding: 5px;">SHA1</td>
</tr>
<tr>
<td style="border: 1px solid #333; padding: 5px; font-weight:bold; background-color: #EFF3F7;width:45%">IPsec SA の有効期限 (時間)</td>
<td style="border: 1px solid #333; padding: 5px;">3600 秒 (1 時間)</td>
</tr>
<tr>
<td rowspan="2" style="border: 1px solid #333; padding: 5px; font-weight:bold; background-color: #EFF3F7;" valign="top">トンネリング対象 IP アドレス</td>
<td style="border: 1px solid #333; padding: 5px;">192.168.1.0/24 ←→ 172.16.0.0/16</td>
</tr>
<tr>
<td style="border: 1px solid #333; padding: 5px;">xx.xx.xx.xx (AR560S)</td>
</tr>
<tr>
<td style="border: 1px solid #333; padding: 5px; font-weight:bold; background-color: #EFF3F7;width:45%" valign="top">トンネリング終端アドレス</td>
<td style="border: 1px solid #333; padding: 5px;">yy.yy.yy.yy (<a runat="server" target="_blank" href="https://windows.azure.com/">Microsoft Azure マネジメント ポータル</a>「Microsoft Azure のゲートウェイ IP アドレス確認」で入手した IP アドレス)</td>
</tr>
<tr>
<td style="border: 1px solid #333; padding: 5px; font-weight:bold; background-color: #EFF3F7;">インターネットとの平文通信</td>
<td style="border: 1px solid #333; padding: 5px; height: 35px;">行う</td>
</tr>
</table>
<div style="margin: 5px auto 15px; width:500px; font-size:90%">
<strong>表 8 IKE フェーズ 2 (IPsec SA のネゴシエーション)</strong>
</div>
</div>
<p style="margin-bottom:3px">工場出荷時設定のユーザー名とパスワードは以下の通りです。</p>
<ul style="margin-top:0px; padding:0 0 10px 20px">
<li>ユーザー名: manager</li>
<li>パスワード: friend</li>
</ul>
<h3 style="margin: 0 0 2px; border-left: 3px solid #4e81d4; padding-left: 5px; font-size: 12pt; font-family:Meiryo, Verdana, Arial, Helvetica, sans-serif;">IP アドレスおよび Security Officer レベル ユーザーの作成</h3>
<ol style="margin-top:0px">
<li style="margin-bottom:10px">IP モジュールを有効にします。 <div style="font-weight:bold; margin:5px 10px 10px 10px">ENABLE IP ↓</div></li>
<li style="margin-bottom:10px">セキュリティ モードで各種設定を行うことのできる Security Officer レベルのユーザー「secoff」を作成します。パスワードは「secoff」とします。 <div style="font-weight:bold; margin:5px 10px 10px 10px">ADD USER=secoff PASSWORD=secoff PRIVILEGE=SECURITYOFFICER ↓</div></li>
</ol>
<h3 style="margin: 0 0 2px; border-left: 3px solid #4e81d4; padding-left: 5px; font-size: 12pt; font-family:Meiryo, Verdana, Arial, Helvetica, sans-serif;">WAN 側インターフェースおよびスタティック ルートの設定</h3>
<ol style="margin-top:0px">
<li style="margin-bottom:10px">WAN 側 Ethernet インターフェース (eth0) 上に PPP インターフェースを作成します。<br />「OVER=eth0-XXXX」の「XXXX」の部分には、ISP から通知された PPPoE の「サービス名」を記述します。ISP から指定がない場合は、どのサービス名タグでも受け入れられるよう、「ANY」を設定します。 <div style="font-weight:bold; margin:5px 10px 10px 10px">CREATE PPP=0 OVER=eth0-ANY ↓</div></li>
<li style="margin-bottom:10px">ISP から通知された PPP ユーザー名とパスワードを指定します。Microsoft Azure 仮想ネットワークと接続する際には、MSS サイズを設定します。また、ISDN 向けの機能である BAP はオフにします。 <div style="font-weight:bold; margin:5px 10px 10px 10px;">SET PPP=0 BAP=OFF USERNAME="PPPユーザー名" PASSWORD="PPPパスワード" MSSHEADER=94 ↓</div></li>
<li style="margin-bottom:10px">LQR はオフにし、代わりに LCP Echo パケットを使って PPP リンクの状態を監視するようにします。 <div style="font-weight:bold; margin:5px 10px 10px 10px">SET PPP=0 OVER=ETH0-ANY LQR=OFF ECHO=10 ↓</div></li>
<li style="margin-bottom:10px">LAN 側 (vlan1) インターフェースに IP アドレスを設定します。 <div style="font-weight:bold; margin:5px 10px 10px 10px">ADD IP INT=vlan1 IP=192.168.1.254 ↓</div></li>
<li style="margin-bottom:10px">WAN 側 (ppp0) インターフェースに ISP から割り当てられたグローバル IP アドレス (この例では、xx.xx.xx.xx) を設定します。 <div style="font-weight:bold; margin:5px 10px 10px 10px">ADD IP INT=ppp0 IP=xx.xx.xx.xx MASK=255.255.255.255 ↓</div></li>
<li style="margin-bottom:10px">デフォルト ルートを設定します。 <div style="font-weight:bold; margin:5px 10px 10px 10px">ADD IP ROU=0.0.0.0 MASK=0.0.0.0 INT=ppp0 NEXT=0.0.0.0 ↓</div></li>
</ol>
<h3 style="margin: 0 0 2px; border-left: 3px solid #4e81d4; padding-left: 5px; font-size: 12pt; font-family:Meiryo, Verdana, Arial, Helvetica, sans-serif;">ファイアウォールの設定</h3>
<ol style="margin-top:0px">
<li style="margin-bottom:10px">ファイアウォール機能を有効にします。 <div style="font-weight:bold; margin:5px 10px 10px 10px">ENABLE FIREWALL ↓</div></li>
<li style="margin-bottom:10px">ファイアウォールの動作を規定するファイアウォール ポリシーを作成します。 <div style="font-weight:bold; margin:5px 10px 10px 10px">CREATE FIREWALL POLICY="net" ↓</div></li>
<li style="margin-bottom:10px">ルーターの ident プロキシー機能を無効にし、外部のメール (SMTP) サーバーなどからの ident 要求に対して、ただちに TCP RST を返すよう設定します。 <div style="font-weight:bold; margin:5px 10px 10px 10px">DISABLE FIREWALL POLICY="net" IDENTPROXY ↓</div></li>
<li style="margin-bottom:10px">ICMP パケットは Ping (Echo/Echo Reply) と到達不可能 (Unreachable) のみ双方向で許可します。 <div style="font-weight:bold; margin:5px 10px 10px 10px">ENABLE FIREWALL POLICY="net" ICMP_F=UNRE,PING ↓</div></li>
<li style="margin-bottom:10px">ファイアウォール ポリシーの適用対象となるインターフェースを指定します。 <ul><li>LAN 側インターフェース (vlan1) を PRIVATE (内部) に設定します。 <div style="font-weight:bold; margin:5px 10px 5px 10px">ADD FIREWALL POLICY="net" INT=vlan1 TYPE=PRIVATE ↓</div></li><li>WAN 側インターフェース (ppp0) を PUBLIC (外部) に設定します。 <div style="font-weight:bold; margin:5px 10px 10px 10px">ADD FIREWALL POLICY="net" INT=ppp0 TYPE=PUBLIC ↓</div></li></ul></li>
<li style="margin-bottom:10px">LAN 側ネットワークに接続されているすべてのコンピューターが ENAT 機能を使用できるよう設定します。グローバル アドレスには、ppp0 の IP アドレスを使用します。 <div style="font-weight:bold; margin:5px 10px 10px 10px">ADD FIREWALL POLICY="net" NAT=ENHANCED INT=vlan1 GBLINT=ppp0 ↓</div></li>
<li style="margin-bottom:10px">Azure 仮想ネットワークから受信した IKE パケット (UDP500 番) がファイアウォールを通過できるように設定します。 <div style="font-weight:bold; margin:5px 10px 10px 10px">ADD FIREWALL POLI=”net” RU=1 AC=ALLO INT=ppp0 PROT=UDP PO=500 IP=xx.xx.xx.xx GBLIP=xx.xx.xx.xx GBLP=500 ↓</div></li>
<li style="margin-bottom:10px">Microsoft Azure 仮想ネットワークとの通信 (192.168.1.0/24 → 172.16.0.0/16) を NAT の対象から除外するよう設定します。 <div style="font-weight:bold; margin:5px 10px 10px 10px">ADD FIREWALL POLI="net" RU=3 AC=NON INT=vlan1 PROT=ALL IP=192.168.1.1-192.168.1.254 ↓</div><div style="font-weight:bold; margin:5px 10px 10px 10px">SET FIREWALL POLI="net" RU=3 REM=172.16.0.1-172.16.255.254 ↓</div></li>
<li style="margin-bottom:10px">基本ルールのままでは IPsec パケットまで遮断されてしまうので、これらのパケットを通過させるためのルールを設定します。「ENCAP=IPSEC」は、IPsec パケットからオリジナルのパケットを取り出したあとでこのルールを適用することを示します。よって、以下のコマンドは、「取り出したパケットの終点が 192.168.11 ~ 192.168.1.254、つまり、ローカル側 LAN ならば NAT の対象外とする」の意味になります。<br /><div style="font-weight:bold; margin:5px 10px 10px 10px">ADD FIREWALL POLI="net" RU=4 AC=NON INT=ppp0 PROT=ALL IP=192.168.1.1-192.168.1.254 ENC=IPS ↓</div></li>
</ol>
<h3 style="margin: 0 0 2px; border-left: 3px solid #4e81d4; padding-left: 5px; font-size: 12pt; font-family:Meiryo, Verdana, Arial, Helvetica, sans-serif;">IPsec の設定</h3>
<ol style="margin-top:0px">
<li style="margin-bottom:10px">ISAKMP 用の事前共有鍵 (pre-shared key) を作成します。ここでは鍵番号を「1」とし、鍵の値は <a runat="server" target="_blank" href="https://windows.azure.com/">Microsoft Azure マネジメント ポータル</a>「共有鍵の取得」で入手した文字列を指定します。 <div style="font-weight:bold; margin:5px 10px 10px 10px">CREATE ENCO KEY=1 TYPE=GENERAL VALUE="「共有鍵の取得」で入手した文字列" ↓</div><table cellpadding="3" cellspacing="0" class="grid" style="border-collapse: collapse; boder:solid 1px; margin:15px 0 15px 10px;" width="95%"><tbody><tr align="left" bgcolor="#CCCCCC" valign="middle"><td><img alt="Note" src="https://msdn.microsoft.com/ja-jp/jj983748.note(ja-jp,MSDN.10).gif" title="" /><strong>Note:</strong></td></tr><tr align="left" valign="middle"><td>CREATE ENCO KEY コマンドは、コンソール上でログインしている場合のみ有効なコマンドです。そのため、EDIT コマンド (内蔵スクリーン エディター) などで設定スクリプト ファイル (.CFG) にこのコマンドを記述しても無効になりますのでご注意ください。</td></tr></tbody></table>
Microsoft Azure のゲートウェイ IP アドレス (この例では、yy.yy.yy.yy) からの IKE ネゴシエーション要求を受け入れる ISAKMP ポリシー「i_A」を作成します。
ISAKMP メッセージの暗号化には「AES128」、Phase1 のライフ タイムは 28800 秒 (8 時間) Oakley グループは「2」を使用し、Microsoft Azure 仮想ネットワークとの認証には前の手順で作成した事前共有鍵 (鍵番号「1」) を使います。
さらに、NAT-Traversal を有効にします。
CREATE ISAKMP POL="i_A" PE=yy.yy.yy.yy ENC=AES128 KEY=1 NATT=TRUE ↓
SET ISAKMP POL="i_A" EXPIRYS=28800 GRO=2 ↓
SET ISAKMP POL="i_A" SENDD=TRUE SENDN=TRUE ↓
IPsec 通信の仕様を定義する SA スペック「1」を作成します。鍵管理方式「ISAKMP」、プロトコル「ESP」、暗号化方式 「AES128bit」、認証方式「SHA」に設定します。 CREATE IPSEC SAS=1 KEY=ISAKMP PROT=ESP ENC=AES128 HASHA=SHA ↓
SA スペック「1」だけからなる SA バンドル スペック「1」を作成します。鍵管理方式は「ISAKMP」、Microsoft Azure 仮想ネットワークとの接続で使用する Phase2 のライフ タイムは 3600 秒 (1 時間) を指定します。 CREATE IPSEC BUND=1 KEY=ISAKMP STRING="1" EXPIRYS=3600 ↓
IKE パケット (UDP500 番) を素通しさせる IPsec ポリシー「isa」を作成します。 CREATE IPSEC POLICY=isa INT=ppp0 ACTION=PERMIT LPORT=500 TRANSPORT=UDP ↓
Azure 仮想ネットワークとの IPsec 通信に使用する IPsec ポリシー「vpn_A」を PPP インターフェース「0」に対して作成します。鍵管理方式には「ISAKMP」を、PEER には Azure 仮想ネットワークのゲートウェイ IP アドレス (この例では、yy.yy.yy.yy) を、BUNDLE には SA バンドル スペック「1」を指定します。 CREATE IPSEC POL="vpn_A" INT=PPP0 AC=IPSEC KEY=ISAKMP BUND=1 PEER=yy.yy.yy.yy ↓
Azure 仮想ネットワークと実際に IPsec 通信を行う IP アドレスの範囲を指定します。コマンドが長くなるため、できるだけ省略形を用いてください。 SET IPSEC POL="vpn_A" LAD=192.168.1.0 LMA=255.255.255.0 RAD=172.16.0.0 RMA=255.255.0.0 ↓
インターネットへの平文通信を許可する IPsec ポリシー「inet」を PPP インターフェース「0」に対して作成します。 CREATE IPSEC POL="inet" INT=ppp0 AC=PERMIT ↓
.gif) Note: |
| インターネットにもアクセスしたい場合は、必ず最後の IPsec ポリシーですべてのパケットを通過させる設定を行ってください。いずれの IPsec ポリシーにもマッチしなかったトラフィックはデフォルトで破棄されてしまうため、上記の設定がないと Azure 仮想ネットワーク以外との通信ができなくなります。 |
IPsec モジュールを有効にします。 ENABLE IPSEC ↓
ISAKMP モジュールを有効にします。 ENABLE ISAKMP ↓
Microsoft Azure 側 仮想ネットワーク空間のいずれかの IP アドレスに対し、ping ポーリングの設定をします。 add ping poll=1 ip=172.16.zz.zz sipa=192.168.1.254 ↓
enable ping poll=1
| Note: |
| Microsoft Azure との VPN 接続において、無通信状態が 5 分間継続すると Azure 側から VPN 接続が切断されます。AR560S から Microsoft Azure の仮想ネットワーク空間へ継続的に ping を打つ設定を行うことにより、切断を回避します。 |
Security Officer レベルのユーザーでログインしなおします。 LOGIN secoff ↓
動作モードをセキュリティ モードに切り替えます。 ENABLE SYSTEM SECURITY_MODE ↓
| Note: |
| セキュリティ モードを使用しないと IPsec 機能で用いる共有鍵がルーターの再起動時に消去されます。 |
設定は以上です。設定内容をファイルに保存し、SET CONFIG コマンドで起動時設定ファイルに指定します。
CREATE CONFIG=router.cfg ↓
SET CONFIG=router.cfg ↓
※以下メッセージが表示されたら「y」を入力します。 Warning: Config file MUST add a user with SECURITY OFFICER privilege
Do you wish to proceed with setting config?(y/n) y ↓
IPsec 接続の確認
AR560S をインターネットに接続したら、5 分ほど待ってから IPsec の確立状態を確認します。
Azure 仮想ネットワークと IPsec が確立していれば、AR560S の「show isakmp sa」、「show ipsec sa」コマンドでは以下のように SA が表示されます。
SecOff > show isakmp sa
Expiry Limits - hard/soft/used
SA Id PeerAddress EncA. HashA. Bytes Seconds
-----------------------------------------------------------------------------
1 yy.yy.yy.yy AES SHA -/-/- 28800/25194/519
SecOff > show ipsec sa
SA Id Policy Bundle State Protocol OutSPI InSPI
-----------------------------------------------------------------------------
0 vpn_A 1 Valid ESP 62963557 4260650853
完成したコンフィグレーション
# 使用機器:CentreCOM AR560S
# FirmVer:2.9.2-0.9
#
# AR560SのWAN側グローバルIPxx.xx.xx.xx
# Microsoft AzureのゲートウェイIPアドレス yy.yy.yy.yy
# ※で始まる行は、コンソールから入力しないと意味を持たないコマンドです
# User configuration
set user securedelay=3600
set user=manager pass=3af00c6cad11f7ab5db4467b66ce503eff priv=manager lo=yes
set user=manager telnet=yes desc="Manager Account"
add user=secoff pass=secoff priv=securityOfficer lo=yes
set user=secoff telnet=no netmask=255.255.255.255
# PPP configuration
create ppp=0 over=eth0-ANY
set ppp=0 bap=off username="PPPユーザー名" password="PPPパスワード" mssheader=94
set ppp=0 over=eth0-ANY lqr=off echo=10
# IP configuration
enable ip
add ip int=vlan1 ip=192.168.1.254
add ip int=ppp0 ip=xx.xx.xx.xx mask=255.255.255.255
add ip rou=0.0.0.0 mask=0.0.0.0 int=ppp0 next=0.0.0.0
# Firewall configuration
enable firewall
create firewall policy="net"
disable firewall policy="net" identproxy
enable firewall policy="net" icmp_f=unre,ping
add firewall policy="net" int=vlan1 type=private
add firewall policy="net" int=ppp0 type=public
add firewall poli="net" nat=enhanced int=vlan1 gblin=ppp0
add firewall poli="net" ru=1 ac=allo int=ppp0 prot=udp po=500 ip=xx.xx.xx.xx gblip=xx.xx.xx.xx gblp=500
add firewall poli="net" ru=4ac=non int=ppp0 prot=ALL ip=192.168.1.1-192.168.1.254 enc=ips
add firewall poli="net" ru=3 ac=non int=vlan1 prot=ALL ip=192.168.1.1-192.168.1.254
set firewall poli="net" ru=3 rem=172.16.0.1-172.16.255.254
※ CREATE ENCO KEY=1 TYPE=GENERAL VALUE="「共有鍵の取得」で入手した文字列"
# Ping configuration
add ping poll=1 ip=172.16.zz.zz sipa=192.168.1.254
enable ping poll=1
# IPSEC configuration
create ipsec sas=1 key=isakmp prot=esp enc=aes128 hasha=sha
create ipsec bund=1 key=isakmp string="1" expirys=3600
create ipsec pol="isa" int=ppp0 ac=permit
set ipsec pol="isa" lp=500 tra=UDP
create ipsec pol="vpn_A" int=ppp0 ac=ipsec key=isakmp bund=1 peer=yy.yy.yy.yy
set ipsec pol="vpn_A" lad=192.168.1.0 lma=255.255.255.0 rad=172.16.0.0 rma=255.255.0.0
create ipsec pol="inet" int=ppp0 ac=permit
enable ipsec
# ISAKMP configuration
create isakmp pol="i_A" pe=yy.yy.yy.yy enc=aes128 key=1 natt=true
set isakmp pol="i_A" expirys=28800 gro=2
set isakmp pol="i_A" sendd=true sendn=true
enable isakmp
※ LOGIN secoff
※ ENABLE SYSTEM SECURITY_MODE
.gif)
ページのトップへ
このドキュメントについて
このドキュメントは、日本マイクロソフト株式会社、アライドテレシス株式会社、株式会社pnopの 3 社の協力によって、公式に提供されているリファレンス機器と同等の動作が可能である事を検証しております。
.png "PDF File")
ダウンロード (PDF、754 KB (もはや利用できます))