[TIPS]Windows AzureにPoint to Site(P2S) VPN接続してみた

 2014.03.20  リアルテックジャパン

2014/9/24 追記

S2S(Site to Site) 接続については下記を参照下さい。

ゼロから始める Azure -自社サイト間VPN(S2S)接続 

先月、Windows Azureの日本リージョンが開設されました。
これでようやく、遅延をあまり気にすることなくWindows Azureを利用することができそうです。
また、東日本と西日本の2か所のリージョンがありますので、
大阪に拠点があるお客様も遅延が少ない環境でクラウドを利用できます。

さて、クラウドを利用するにあたって、やっぱり気になるのがネットワークセキュリティです。

AWSだと、Virtual Private GatewayにVPN接続しますが、
その場合は拠点間VPN接続しかできません。
しかし、Windows Azureの仮想ネットワークゲートウェイは、
拠点間接続はもちろん、Point to Site VPN(PCからのリモートアクセス)にも対応しています。

というわけで、今回はPoint to Site VPN接続の流れをご紹介します。

まずは、Windows Azure側に仮想ネットワークをカスタム作成します。

zazure01.png

リージョンは東日本を選び、アフィニティグループを作成します。

zazure02.png

ここで、ポイント対サイトVPNの構成にチェックを入れます。

zazure03.png

仮想ネットワークのアドレス空間を定義します。これで、仮想ネットワークの作成は完了です。

zazure04.png

次に、仮想ネットワークにゲートウェイを作成します。
仮想ネットワークのダッシュボードの下の"ゲートウェイの作成"を押します。

zazure05.png

ゲートウェイの作成が開始すると、このような状態になります。

zazure06.png

しばらくすると、ゲートウェイ作成が完了します。
クライアントのところに、"ルート証明書がアップロードされていません。"と出ていますので、
これからルート証明書のアップロードをします。

zazure07.png

まずはルート証明書を作成します。
Preview版では、自己署名ルート証明書のみがサポートされていますので、
今回は、自分のPCでルート証明書を作成します。
まずは、Windows SDKをPCにダウンロード&インストールします。
※インストールの流れは、はNextボタンを押していくだけなので、ここでは省略します。

zazure08.png

SAPデータコピーツール Data Sync Manager
SAPユーザー必見!テスト・トレーニング・データ移行時に機密データを守る方法は?

Windows SDKのインストールが完了したら、Windows SDK Command Promptを管理者として実行します。

ptsvpn_020.JPG

まずはルート証明書を作成します。RTJTestRootCAのところは、任意の名前を指定します。

zazure09.png

次に、クライアント証明書を作成します。

zazure10.png

certmgr.mscを実行します。
上で作成した証明書は、個人の中に入っています。
まずは、ルート証明書をエクスポートします。秘密キーはエクスポートしないで、.cerとして保存します。

zazure11.png

エクスポートしたルート証明書をWindows Azureにアップロードします。
仮想ネットワークの証明書の管理画面で、アップロードのリンクをクリックします。

zazure12.png

エクスポートしたルート証明書を選択して、完了をクリックします。

zazure13.png

ルート証明書の状態が、"作成済み"になっていればOKです。

zazure14.png

次に、クライアント証明書をエクスポートします。
エクスポートする際に、秘密キーを一緒にエクスポートして.pfxファイルとして保存します。

zazure15.png

エクスポートしたクライアント証明書を、リモートアクセスするPCに配布し、
ダブルクリックしてインポートします。

zazure16.png

インポートする際、エクスポートした秘密キーを入力します。あとはデフォルトのまま"次へ"でOKです。

ptsvpn_060.JPG

最後に、VPN接続設定をWindows Azureの管理画面からダウンロードし、保存します。

zazure17.png

ダウンロードした.exeファイルを実行します。確認の画面が出ますので、"はい"を押します。

ptsvpn_067.JPG

VPNクライアントの設定が完了したら、タスクバー右下にあるVPN接続一覧に、今回設定した名前があります。
接続ボタンを押します。

zazure18.jpg

VPNクライアントが起動しますので、接続を押します。

ptsvpn_076.JPG

続行を押します。

ptsvpn_077.JPG

ここで、先ほどインポートしたクライアント証明書を選択し、OKを押します。

zazure22.jpg

 

Windows Azureに接続できました!!

zazure19.jpg

Windows Azureの管理画面からも見てみましょう。
クライアントのところに、接続数"1"と表示されています。
画面下のリソースのところに、この仮想ネットワークにある仮想マシンが表示されています。
この仮想マシンにリモートデスクトップできるかどうか見てみましょう。

zazure20.png

ちゃんとプライベートIPアドレスでリモートデスクトップ接続できました!!
(画面が真っ暗ですみません…)

result_001.JPG

せっかくなので、パケットキャプチャしてみました。
SSTPでVPN接続しているので、やりとりするパケットはすべてTLS(tcp443番)です。
TLS通信は、ほぼすべてのお客様の環境で通信許可されていると思いますので、
ファイアウォールの設定変更も必要ありません。
またSSTPは、NATやProxyが間にあっても問題なく通信できますので、
ほとんどの環境で簡単にVPN接続できます。

zazure21.png

以上、Windows AzureとのPoint to Site VPN接続の流れをご紹介しました。

Windows Azureにリモートアクセスする際の参考になれば幸いです。


RECENT POST「技術情報」の最新記事


技術情報

SAP導入を成功させるポイントはこれだ

技術情報

SAPのパフォーマンスに問題が出てきたら?その分析のポイント

技術情報

SAP Business Process Automation(SAP BPA)とは?

技術情報

【祝SAP Tech JAM】NUTANIX環境の実機が見られます!

[TIPS]Windows AzureにPoint to Site(P2S) VPN接続してみた
New Call-to-action

RECENT POST 最新記事

RANKING人気記事ランキング

ブログ購読のお申込み