2014/9/24 追記
S2S(Site to Site) 接続については下記を参照下さい。
ゼロから始める Azure -自社サイト間VPN(S2S)接続
先月、Windows Azureの日本リージョンが開設されました。
これでようやく、遅延をあまり気にすることなくWindows Azureを利用することができそうです。
また、東日本と西日本の2か所のリージョンがありますので、
大阪に拠点があるお客様も遅延が少ない環境でクラウドを利用できます。
さて、クラウドを利用するにあたって、やっぱり気になるのがネットワークセキュリティです。
AWSだと、Virtual Private GatewayにVPN接続しますが、
その場合は拠点間VPN接続しかできません。
しかし、Windows Azureの仮想ネットワークゲートウェイは、
拠点間接続はもちろん、Point to Site VPN(PCからのリモートアクセス)にも対応しています。
というわけで、今回はPoint to Site VPN接続の流れをご紹介します。
まずは、Windows Azure側に仮想ネットワークをカスタム作成します。
![[TIPS]Windows AzureにPoint to Site(P2S) VPN接続してみた 1](https://www.realtech.jp/hubfs/Imported_Blog_Media/zazure01.png)
リージョンは東日本を選び、アフィニティグループを作成します。
![[TIPS]Windows AzureにPoint to Site(P2S) VPN接続してみた 2](https://www.realtech.jp/hubfs/Imported_Blog_Media/zazure02.png)
ここで、ポイント対サイトVPNの構成にチェックを入れます。
![[TIPS]Windows AzureにPoint to Site(P2S) VPN接続してみた 3](https://www.realtech.jp/hubfs/Imported_Blog_Media/zazure03.png)
仮想ネットワークのアドレス空間を定義します。これで、仮想ネットワークの作成は完了です。
![[TIPS]Windows AzureにPoint to Site(P2S) VPN接続してみた 4](https://www.realtech.jp/hubfs/Imported_Blog_Media/zazure04.png)
次に、仮想ネットワークにゲートウェイを作成します。
仮想ネットワークのダッシュボードの下の"ゲートウェイの作成"を押します。
![[TIPS]Windows AzureにPoint to Site(P2S) VPN接続してみた 5](https://www.realtech.jp/hubfs/Imported_Blog_Media/zazure05.png)
ゲートウェイの作成が開始すると、このような状態になります。
![[TIPS]Windows AzureにPoint to Site(P2S) VPN接続してみた 6](https://www.realtech.jp/hubfs/Imported_Blog_Media/zazure06.png)
しばらくすると、ゲートウェイ作成が完了します。
クライアントのところに、"ルート証明書がアップロードされていません。"と出ていますので、
これからルート証明書のアップロードをします。
![[TIPS]Windows AzureにPoint to Site(P2S) VPN接続してみた 7](https://www.realtech.jp/hubfs/Imported_Blog_Media/zazure07.png)
まずはルート証明書を作成します。
Preview版では、自己署名ルート証明書のみがサポートされていますので、
今回は、自分のPCでルート証明書を作成します。
まずは、Windows SDKをPCにダウンロード&インストールします。
※インストールの流れは、はNextボタンを押していくだけなので、ここでは省略します。
![[TIPS]Windows AzureにPoint to Site(P2S) VPN接続してみた 8](https://www.realtech.jp/hubfs/Imported_Blog_Media/zazure08.png)
Windows SDKのインストールが完了したら、Windows SDK Command Promptを管理者として実行します。
![[TIPS]Windows AzureにPoint to Site(P2S) VPN接続してみた 9](http://153.150.77.81/blog/images/ptsvpn_020.JPG)
まずはルート証明書を作成します。RTJTestRootCAのところは、任意の名前を指定します。
![[TIPS]Windows AzureにPoint to Site(P2S) VPN接続してみた 10](https://www.realtech.jp/hubfs/Imported_Blog_Media/zazure09.png)
次に、クライアント証明書を作成します。
![[TIPS]Windows AzureにPoint to Site(P2S) VPN接続してみた 11](https://www.realtech.jp/hubfs/Imported_Blog_Media/zazure10.png)
certmgr.mscを実行します。
上で作成した証明書は、個人の中に入っています。
まずは、ルート証明書をエクスポートします。秘密キーはエクスポートしないで、.cerとして保存します。
![[TIPS]Windows AzureにPoint to Site(P2S) VPN接続してみた 12](https://www.realtech.jp/hubfs/Imported_Blog_Media/zazure11.png)
エクスポートしたルート証明書をWindows Azureにアップロードします。
仮想ネットワークの証明書の管理画面で、アップロードのリンクをクリックします。
![[TIPS]Windows AzureにPoint to Site(P2S) VPN接続してみた 13](https://www.realtech.jp/hubfs/Imported_Blog_Media/zazure12.png)
エクスポートしたルート証明書を選択して、完了をクリックします。
![[TIPS]Windows AzureにPoint to Site(P2S) VPN接続してみた 14](https://www.realtech.jp/hubfs/Imported_Blog_Media/zazure13.png)
ルート証明書の状態が、"作成済み"になっていればOKです。
![[TIPS]Windows AzureにPoint to Site(P2S) VPN接続してみた 15](https://www.realtech.jp/hubfs/Imported_Blog_Media/zazure14.png)
次に、クライアント証明書をエクスポートします。
エクスポートする際に、秘密キーを一緒にエクスポートして.pfxファイルとして保存します。
![[TIPS]Windows AzureにPoint to Site(P2S) VPN接続してみた 16](https://www.realtech.jp/hubfs/Imported_Blog_Media/zazure15.png)
エクスポートしたクライアント証明書を、リモートアクセスするPCに配布し、
ダブルクリックしてインポートします。
![[TIPS]Windows AzureにPoint to Site(P2S) VPN接続してみた 17](https://www.realtech.jp/hubfs/Imported_Blog_Media/zazure16.png){kind=small}
インポートする際、エクスポートした秘密キーを入力します。あとはデフォルトのまま"次へ"でOKです。
![[TIPS]Windows AzureにPoint to Site(P2S) VPN接続してみた 18](http://153.150.77.81/blog/images/ptsvpn_060.JPG)
最後に、VPN接続設定をWindows Azureの管理画面からダウンロードし、保存します。
![[TIPS]Windows AzureにPoint to Site(P2S) VPN接続してみた 19](https://www.realtech.jp/hubfs/Imported_Blog_Media/zazure17.png)
ダウンロードした.exeファイルを実行します。確認の画面が出ますので、"はい"を押します。
![[TIPS]Windows AzureにPoint to Site(P2S) VPN接続してみた 20](http://153.150.77.81/blog/images/ptsvpn_067.JPG)
VPNクライアントの設定が完了したら、タスクバー右下にあるVPN接続一覧に、今回設定した名前があります。
接続ボタンを押します。
![[TIPS]Windows AzureにPoint to Site(P2S) VPN接続してみた 21](https://www.realtech.jp/hubfs/Imported_Blog_Media/zazure18.jpg)
VPNクライアントが起動しますので、接続を押します。
![[TIPS]Windows AzureにPoint to Site(P2S) VPN接続してみた 22](http://153.150.77.81/blog/images/ptsvpn_076.JPG)
続行を押します。
![[TIPS]Windows AzureにPoint to Site(P2S) VPN接続してみた 23](http://153.150.77.81/blog/images/ptsvpn_077.JPG)
ここで、先ほどインポートしたクライアント証明書を選択し、OKを押します。
![[TIPS]Windows AzureにPoint to Site(P2S) VPN接続してみた 24](https://www.realtech.jp/hubfs/Imported_Blog_Media/zazure22.jpg)
Windows Azureに接続できました!!
![[TIPS]Windows AzureにPoint to Site(P2S) VPN接続してみた 25](https://www.realtech.jp/hubfs/Imported_Blog_Media/zazure19.jpg)
Windows Azureの管理画面からも見てみましょう。
クライアントのところに、接続数"1"と表示されています。
画面下のリソースのところに、この仮想ネットワークにある仮想マシンが表示されています。
この仮想マシンにリモートデスクトップできるかどうか見てみましょう。
![[TIPS]Windows AzureにPoint to Site(P2S) VPN接続してみた 26](https://www.realtech.jp/hubfs/Imported_Blog_Media/zazure20.png)
ちゃんとプライベートIPアドレスでリモートデスクトップ接続できました!!
(画面が真っ暗ですみません…)
![[TIPS]Windows AzureにPoint to Site(P2S) VPN接続してみた 27](http://153.150.77.81/blog/images/result_001.JPG)
せっかくなので、パケットキャプチャしてみました。
SSTPでVPN接続しているので、やりとりするパケットはすべてTLS(tcp443番)です。
TLS通信は、ほぼすべてのお客様の環境で通信許可されていると思いますので、
ファイアウォールの設定変更も必要ありません。
またSSTPは、NATやProxyが間にあっても問題なく通信できますので、
ほとんどの環境で簡単にVPN接続できます。
![[TIPS]Windows AzureにPoint to Site(P2S) VPN接続してみた 28](https://www.realtech.jp/hubfs/Imported_Blog_Media/zazure21.png)
以上、Windows AzureとのPoint to Site VPN接続の流れをご紹介しました。
Windows Azureにリモートアクセスする際の参考になれば幸いです。
