なんとなくお蔵入りしてたネタを引っ張りだしてきました。
AzureのVNETと動的ゲートウェイと、AWS上のVyOSなVPNルーターを使ってVPN接続しようというネタです。出来上がる環境はこんな感じ。
IPアドレスとかは例です。あと数か月以上前のネタなのでちょっと変わってる箇所あるかも(VyOSのAMIのバージョンとか)しれませんが適宜読み替えてください。それから簡易な接続なので本運用とかには使わない方がいいかもですね。なんにせよ自己責任で。
VPN
Azure Virtual Network Gatewayの改善
元ネタ:Azure Virtual Network Gateway Improvements
TechEd Europe 2014で仮想ネットワークゲートウェイの改善が発表されました。
- ハイパフォーマンスなゲートウェイSKU
- 仮想ネットワークゲートウェイに関する操作ログの保存
- PFS(Perfect Forward Secrecy:前方秘匿性/将来に向けての機密保護)のサポート
- 暗号化しないS2Sトンネルのサポート
ハイパフォーマンスなゲートウェイSKU
これまでのゲートウェイとの違いは以下の表のような感じです(これまでがDefault)
| SKU | ExpressRouteスループット | S2S VPNスループット | S2S最大トンネル数 |
| Default | ~ 500 Mbps | ~ 80 Mbps | 10 |
| High Performance | ~ 1000 Mbps | ~ 200 Mbps | 30 |
ちなみにお値段も少し違います。(1時間あたり0.49ドル) データ転送料などは同じ。
制限としては静的ルーティングゲートウェイは未サポートで、動的ルーティングゲートウェイとExpressRouteのときだけ使えます。
新規に作ることもできるし、既存のゲートウェイを変更することも可能です。
作り方
新規の時はNew-AzureVNetGatewayコマンドレット(Azure PowerShell)等で –GatewaySKU に指定するだけです。
New-AzureVNetGateway -VNetName MyAzureVNet -GatewayType DynamicRouting -GatewaySKU HighPerformance
HighPerformance か Default を指定します。
既存の変更方法
Resize-AzureVNetGateway コマンドレットで変更します。
Resize-AzureVNetGateway -VNetName MyAzureVNet -GatewaySKU HighPerformance
操作ログ
ゲートウェイの作成や削除、ExpressRouteのサーキット作成・削除・サーキットリンクの認証や作成・削除・BGPセッションの作成・削除・アップデートなどが管理ポータルの操作ログに出力されます。
PFSサポート
PFSはややこしいけど秘密鍵と公開鍵などが漏れてもセッションの機密は保たれる(セッションキーを別で生成するので安全)みたいな鍵交換の方式です。
で、この方式をサポートするので対応する機器であればより安全なセッションを張ることができるでしょうたぶん。
※IPSec(と他一部プロトコル)ぐらいしかサポートしてないので、S2S (VNET to VNET)のみサポートです
暗号化なしS2Sトンネルのサポート
S2Sの接続をする際に、暗号化せずに接続することができるようになりました。一般的にAzure上のVNET同士を接続する場合は比較的安全(盗聴される可能性が一般的なインターネット経由よりかなり低いという意味)なので、パケットの暗号化をしないことでスループットを上げることが可能です。
※On-Premiseとの接続などの場合はやめましょう
Azure WebサイトのVPN接続
Point-To-Site VPNを自動接続させる
前回Point-To-Site VPNを手動で設定して使えるようにしましたけど、いちいち証明書選んだり面倒ですよね。何よりWindows Azure Connectで自動的に接続されてたのにそれができなくなったのは不便!ということで、今回は自動接続できるようにしたいと思います。
下準備
最初に前回の手順で接続できる状態までしておいてください。
証明書のインポート
証明書の選択を省くためにはローカルコンピューター上の信頼されたルート証明機関に接続用の証明書を入れておく必要があります。
MMCを起動して、スナップインの追加で証明書を選択し、ローカルコンピューターを選択します。どの証明書ストアを管理するか聞かれるのでコンピューターアカウントを選択しましょう。
信頼されたルート証明機関を選択してインポートを選び、作成したクライアント証明書とそのルート証明書の秘密鍵付き(どちらとも.pfx)をインポートします。
VPN接続の設定変更
前回作成したVPN接続のプロパティを開き、セキュリティタブのEAPプロパティを表示させます。「このコンピュータの証明書を使う」になっていると思いますが、その横の拡張だかAdvancedだかのボタンをクリックして、先ほど登録した証明書(2種類)にチェックを入れます。
これで設定は完了です。VPN接続を行うと証明書も聞かれずにすんなり接続が終わると思います。
自動接続
自動接続はちょっと面倒くさいです。とはいっても他に良い案が浮かばなかったのでしょうがなしにタスクスケジューラを使うことにします。
管理ツールのタスクスケジューラを起動して、新しいタスクを作成します。
タスクの起動タイミングはコンピューターの起動時を選択します。
プログラムの開始を選択します。
実行するプログラムは「rasdial」、引数に接続するVPN接続の名前を入れます。
これで一応完了。作成後、プロパティを開き実行ユーザーは設定した人に、ログオンしていなくても実行できるようにして構成をWindows 8なりWindows RTなりにしておきます。
条件タブで任意のネットワーク接続が使用可能な場合のみタスクを開始するようにします。
後の条件(AC電源使用時のみなど)は好きなように設定しておきます。
あとはリトライとかいろいろお好きなように。
設定完了後は一度実行してみて問題なくVPN接続が開始されることを確認します。あとはOS再起動して動作確認しましょう!
これでだいぶ便利になりましたね。というか標準の接続ツールより便利になったw
Azure Connect終了のお知らせ
まぁWindows Azure のPoint-To-Site VPNが来た時点でなんとなくは。
ということで長らくベータというかプレビューだったWindows Azure Connectは2013年6月30日をもって終了となります。Point-To-Site VPNを使ってねはーと
便利だったんだけどねぇ。
Manually configure Point-To-Site VPN
If you want to connect to the VPN manually, do as following:
1. Download client VPN package from management portal site
2. Unpack to VPN package file.
You unpack a VPN package file as follows:
vpnpackage.exe /C /T:c:\temp\vpnpackage
3. Install *.cer file for VPN gateway in unpack folder
You should install as an administrator a *.cer file as follows:
certutil -addstore root vpngateway.cer
4. Set up a new VPN connection
Select a [Connect to a workplace].
Select a [Use my Internet connection (VPN)].
Enter a Azure VPN gateway FQDN in [Internet address].
* Your’s VPN gateway FQDN has been described in the pbk file.
5. Change the property in VPN connection
in Security Tab
- [Type of VPN] … [Secure Socket Tunneling Protocol (SSTP)]
- [ Use Extensible Authentication Protocol (EAP)] … [Microsoft: Smart Card or other certificate (encryption enable)]
in EAP property
[When connection:] … [Use a certificate on this computer]
- [Verify the server’s identity by validating the certificate] … checed
- [Trusted Root Certification Authorities] … Checked a your’s VPN gateway certificate.
You should turn off [Use default gateway on remote network] option in Networking tab.
6. Connect to VPN
You should choose a client certificate for Azure VPN gateway at start connect.
If error not occurred, congratulation! You can connect to Azure Virtual Network over VPN!
Windows Azure Point-To-Site VPNをいろいろする
こないだ拡張されたWindows Azure 仮想ネットワークのPoint-To-Site VPNですが、標準で提供されている接続ツールはWin7以降のx86/x64しかサポートされていません。
でもまぁ接続ツールなくても何とかなるだろう、ということでいろいろ試してみました。
WIndows Azure 仮想ネットワークの更新&Ruby SDK
今日はAzure Global Bootcamp当日だというのに、われらがScottGuはやってくれました。Updateです。
- Windows Azure: Improvements to Virtual Networks, Virtual Machines, Cloud Services and a new Ruby SDK
今日のUpdateはこちら。
- 仮想ネットワーク
- 新しいPoint-To-Site接続(非常にクール!) ※Preview
- ソフトウェアVPNデバイスサポート
- DNS設定変更のサポート
- リモートPowerShellとLinux SSH プロビジョニング強化
- Web/Workerロールの動的リモートデスクトップ
ブチザッキ 