AzureのVNETとAWSをVyOSでつなぐ

なんとなくお蔵入りしてたネタを引っ張りだしてきました。

AzureのVNETと動的ゲートウェイと、AWS上のVyOSなVPNルーターを使ってVPN接続しようというネタです。出来上がる環境はこんな感じ。

image

IPアドレスとかは例です。あと数か月以上前のネタなのでちょっと変わってる箇所あるかも(VyOSのAMIのバージョンとか)しれませんが適宜読み替えてください。それから簡易な接続なので本運用とかには使わない方がいいかもですね。なんにせよ自己責任で。

続きを読む

Azure Virtual Network Gatewayの改善

元ネタ:Azure Virtual Network Gateway Improvements

TechEd Europe 2014で仮想ネットワークゲートウェイの改善が発表されました。

  • ハイパフォーマンスなゲートウェイSKU
  • 仮想ネットワークゲートウェイに関する操作ログの保存
  • PFS(Perfect Forward Secrecy:前方秘匿性/将来に向けての機密保護)のサポート
  • 暗号化しないS2Sトンネルのサポート

ハイパフォーマンスなゲートウェイSKU

これまでのゲートウェイとの違いは以下の表のような感じです(これまでがDefault)

SKU ExpressRouteスループット S2S VPNスループット S2S最大トンネル数
Default ~ 500 Mbps ~ 80 Mbps 10
High Performance ~ 1000 Mbps ~ 200 Mbps 30

ちなみにお値段も少し違います。(1時間あたり0.49ドル) データ転送料などは同じ。

制限としては静的ルーティングゲートウェイは未サポートで、動的ルーティングゲートウェイとExpressRouteのときだけ使えます。

新規に作ることもできるし、既存のゲートウェイを変更することも可能です。

作り方

新規の時はNew-AzureVNetGatewayコマンドレット(Azure PowerShell)等で –GatewaySKU に指定するだけです。

New-AzureVNetGateway -VNetName MyAzureVNet -GatewayType DynamicRouting -GatewaySKU HighPerformance

HighPerformance か Default を指定します。

既存の変更方法

Resize-AzureVNetGateway コマンドレットで変更します。

Resize-AzureVNetGateway -VNetName MyAzureVNet -GatewaySKU HighPerformance

操作ログ

ゲートウェイの作成や削除、ExpressRouteのサーキット作成・削除・サーキットリンクの認証や作成・削除・BGPセッションの作成・削除・アップデートなどが管理ポータルの操作ログに出力されます。

PFSサポート

PFSはややこしいけど秘密鍵と公開鍵などが漏れてもセッションの機密は保たれる(セッションキーを別で生成するので安全)みたいな鍵交換の方式です。

で、この方式をサポートするので対応する機器であればより安全なセッションを張ることができるでしょうたぶん。

※IPSec(と他一部プロトコル)ぐらいしかサポートしてないので、S2S (VNET to VNET)のみサポートです

暗号化なしS2Sトンネルのサポート

S2Sの接続をする際に、暗号化せずに接続することができるようになりました。一般的にAzure上のVNET同士を接続する場合は比較的安全(盗聴される可能性が一般的なインターネット経由よりかなり低いという意味)なので、パケットの暗号化をしないことでスループットを上げることが可能です。

※On-Premiseとの接続などの場合はやめましょう

Point-To-Site VPNを自動接続させる

前回Point-To-Site VPNを手動で設定して使えるようにしましたけど、いちいち証明書選んだり面倒ですよね。何よりWindows Azure Connectで自動的に接続されてたのにそれができなくなったのは不便!ということで、今回は自動接続できるようにしたいと思います。

下準備

最初に前回の手順で接続できる状態までしておいてください。

 

証明書のインポート

証明書の選択を省くためにはローカルコンピューター上の信頼されたルート証明機関に接続用の証明書を入れておく必要があります。

MMCを起動して、スナップインの追加で証明書を選択し、ローカルコンピューターを選択します。どの証明書ストアを管理するか聞かれるのでコンピューターアカウントを選択しましょう。

信頼されたルート証明機関を選択してインポートを選び、作成したクライアント証明書とそのルート証明書の秘密鍵付き(どちらとも.pfx)をインポートします。

image

 

VPN接続の設定変更

前回作成したVPN接続のプロパティを開き、セキュリティタブのEAPプロパティを表示させます。「このコンピュータの証明書を使う」になっていると思いますが、その横の拡張だかAdvancedだかのボタンをクリックして、先ほど登録した証明書(2種類)にチェックを入れます。

image

これで設定は完了です。VPN接続を行うと証明書も聞かれずにすんなり接続が終わると思います。

 

自動接続

自動接続はちょっと面倒くさいです。とはいっても他に良い案が浮かばなかったのでしょうがなしにタスクスケジューラを使うことにします。

管理ツールのタスクスケジューラを起動して、新しいタスクを作成します。

タスクの起動タイミングはコンピューターの起動時を選択します。

image

プログラムの開始を選択します。

image

実行するプログラムは「rasdial」、引数に接続するVPN接続の名前を入れます。

image

これで一応完了。作成後、プロパティを開き実行ユーザーは設定した人に、ログオンしていなくても実行できるようにして構成をWindows 8なりWindows RTなりにしておきます。

image

条件タブで任意のネットワーク接続が使用可能な場合のみタスクを開始するようにします。

image

後の条件(AC電源使用時のみなど)は好きなように設定しておきます。

あとはリトライとかいろいろお好きなように。

設定完了後は一度実行してみて問題なくVPN接続が開始されることを確認します。あとはOS再起動して動作確認しましょう!

これでだいぶ便利になりましたね。というか標準の接続ツールより便利になったw

Azure Connect終了のお知らせ

まぁWindows Azure のPoint-To-Site VPNが来た時点でなんとなくは。

ということで長らくベータというかプレビューだったWindows Azure Connectは2013年6月30日をもって終了となります。Point-To-Site VPNを使ってねはーと

便利だったんだけどねぇ。

Manually configure Point-To-Site VPN

If you want to connect to the VPN manually, do as following:

1. Download client  VPN package from management portal site

image

2. Unpack to VPN package file.

You unpack a VPN package file as follows:

vpnpackage.exe /C /T:c:\temp\vpnpackage

3. Install *.cer file for VPN gateway in unpack folder

You should install as an administrator a *.cer file as follows:

certutil -addstore root vpngateway.cer

4. Set up a new VPN connection

image

Select a [Connect to a workplace].

image

Select a [Use my Internet connection (VPN)].

image

Enter a Azure VPN gateway FQDN in [Internet address].

image

* Your’s VPN gateway FQDN has been described in the pbk file.

image

 

5. Change the property in VPN connection

in Security Tab

image

  • [Type of VPN] … [Secure Socket Tunneling Protocol (SSTP)]
  • [ Use Extensible Authentication Protocol (EAP)] … [Microsoft: Smart Card or other certificate (encryption enable)]

in EAP property

image

[When connection:] … [Use a certificate on this computer]

  • [Verify the server’s identity by validating the certificate] … checed
  • [Trusted Root Certification Authorities] … Checked a your’s VPN gateway certificate.

 

You should turn off [Use default gateway on remote network] option in Networking tab.

image

6. Connect to VPN

image

You should choose a client certificate for Azure VPN gateway at start connect.

image

If error not occurred, congratulation! You can connect to Azure Virtual Network over VPN!