Microsoft AzureとYAMAHA RTX810でVPN(IPsec IKEv2)接続する
Microsoft Azureの仮想ネットワークとYAMAHA RTX810でサイト対サイトVPN(IPsec IKEv2)を構築してみたテスト
結果
この手順通りにやったら成功しました
AzureとYAMAHAルーターのサイト対サイトVPNの構築できた!
— ケイタ (@fmty) 2019年4月27日
やったー! pic.twitter.com/8jdZw5l6Kr
接続エラーがでた
再構築中に接続できないエラーになった。
仮想ネットワーク ゲートウェイのリセットを試しても解決しなかったので、VPN のトラブルシューティングを実行してみた。 (仮想ネットワーク ゲートウェイ->サポート + トラブルシューティング)
リソース:仮想ネットワーク ゲートウェイ ■状態 概要:Your VPN connectivity is impacted because the S2S VPN tunnels are disconnected 詳細:The S2S VPN tunnels could not connect because of IKE or connectivity issues ■アクション Check health of each individual connection to get more details. Contact support If your VPN gateway isn't up and running by the expected resolution time, contact support. リソース:接続 ■状態 概要:The VPN connection can’t be established due to pre-shared keys mismatch 詳細:If the pre-shared keys do not match, the IKE authentication will fail and the VPN connection cannot establish ■アクション Verify the pre-shared Verify the pre-shared keys are the same on both on premises VPN device and Azure VPN gateway. 詳細情報. Contact support If you are experiencing problems you believe are caused by Azure, contact support.
とりあえずpre-shared keys mismatchとあるので、事前共有キーを確認してみたが当然のことながら一致してる。 何度かAzure側を再構築してみるものの解決しない。
ルーター側のコマンドが間違えていた模様。
以下はYAMAHAのサイトのサンプルコマンドの抜粋。基本はこの通りに入力するんだけど、手元の環境だとtunnelがすでに1と2を使っているのでtunnel 3として打ちかえていく必要があった。いくつかのコマンドで設定をミスってた。
ちゃんとコマンド確認して打ち直して解決。よかった。
tunnel select 1 ipsec tunnel 1 ipsec sa policy 1 1 esp aes256-cbc sha256-hmac anti-replay-check=off ipsec ike version 1 2 ipsec ike duration child-sa 1 27000 ipsec ike duration ike-sa 1 28800 ipsec ike group 1 modp1024 ipsec ike keepalive log 1 off ipsec ike keepalive use 1 on rfc4306 ipsec ike local address 1 192.168.100.1 ipsec ike local name 1 (ルーターの固定グローバルIPアドレス) ipv4-addr ipsec ike nat-traversal 1 on ipsec ike message-id-control 1 on ipsec ike child-exchange type 1 2 ipsec ike pre-shared-key 1 text (事前共有鍵) ipsec ike remote address 1 (Microsoft AzureのゲートウェイIPアドレス) ipsec ike remote name 1 (Microsoft AzureのゲートウェイIPアドレス) ipv4-addr ipsec ike negotiation receive 1 off ip tunnel tcp mss limit auto tunnel enable 1 ipsec auto refresh on
コスト(追記)
技術的な検証だけでなく、必ずコスト面も意識しておきたい
| リソース | コスト | 備考 |
|---|---|---|
| VPN Gateway(BASIC) | ~¥2,943.36/月 | S2S:MAX10、P2S:MAX30 |
| VPN Gateway(VpnGw1) | ~¥15,534.40/月 | IKEv2ならこちら。S2S:MAX30、P2S:MAX250。BASIC以上の接続数は追加料金 |
| ローカル ネットワーク ゲートウェイ | なし | |
| パブリック IP アドレス(動的) | ¥0.4032/時間 | 月額 300円 |
| 仮想ネットワーク | ¥1.12/GB | 送受信それぞれに発生 |
| 帯域(5 GB - 10 TB/月) | ¥13.44/GB | 受信のみ課金(最初の5G無償)、Azureへの送信:無料 |
- https://azure.microsoft.com/ja-jp/pricing/details/vpn-gateway/
- https://azure.microsoft.com/ja-jp/pricing/details/ip-addresses/
- https://azure.microsoft.com/ja-jp/pricing/details/virtual-network/
- https://azure.microsoft.com/ja-jp/pricing/details/bandwidth/
予算を考えるとIKEv1の方がいいかもしれない。
SLA(追記の追記)
コストだけでなくSLAも意識する必要があることに気付いた(遅い
| リソース | SLA | 備考 |
|---|---|---|
| VPN Gateway(BASIC) | 99.9% | |
| VPN Gateway(Standard以上) | 99.95% | |
| ローカル ネットワーク ゲートウェイ | なし | 情報なし |
| パブリック IP アドレス | なし | 情報なし |
| 仮想ネットワーク | なし | 情報なし |
| 帯域(5 GB - 10 TB/月) | なし | 情報なし |
