複数の Azure 仮想ネットワークをセットアップして相互に接続し、複数のオンプレミス VPN ルーターがそれらの仮想ネットワークに接続できるようにしたいと考えています。以下は、ネットワークをセットアップする方法の計画です。
データセンター仮想ネットワーク: 172.16.250.0/24 アドレス空間 172.16.250.0/25 サブネット 1 172.16.250.128/29 ゲートウェイ -> ポイントツーサイト接続: 10.0.253.0/24 -> サイトツーサイト接続: データセンター ローカル ネットワーク: 10.0.250.0/24
本社仮想ネットワーク: 172.16.0.0/24 アドレス空間 172.16.0.0/25 サブネット 1 172.16.0.128/29 ゲートウェイ -> サイト間接続: 本社 ローカル ネットワーク: 10.0.0.0/24
リージョン1仮想ネットワーク: 172.16.1.0/24 アドレス空間 172.16.1.0/25 サブネット 1 172.16.1.128/29 ゲートウェイ -> サイト間接続: リージョン 1 ローカル ネットワーク: 10.0.1.0/24
これで、データセンター、本社、地域の仮想ネットワークを接続します。次に、オンプレミスの VPN ルーターを本社と地域の仮想ネットワークに接続する必要があります。1) VN を相互に通信させる方法と、2) Cisco 881 ルーターがあり、Azure の次の構成を使用する方法を教えてください。
! Microsoft Corporation
! Windows Azure Virtual Network
! This configuration template applies to Cisco ISR 2900 Series Integrated Services Routers running IOS 15.1.
! It configures an IPSec VPN tunnel connecting your on-premise VPN device with the Azure gateway.
! ---------------------------------------------------------------------------------------------------------------------
! ACL rules
!
! Proper ACL rules are needed for permitting cross-premise network traffic.
! You should also allow inbound UDP/ESP traffic for the interface which will be used for the IPSec tunnel.
access-list 101 permit ip 10.0.0.0 0.0.0.255 172.16.0.0 0.0.0.255
! ---------------------------------------------------------------------------------------------------------------------
! Internet Key Exchange (IKE) configuration
!
! This section specifies the authentication, encryption, hashing, and Diffie-Hellman group parameters for the Phase
! 1 negotiation and the main mode security association.
crypto ikev2 proposal azure-proposal
encryption aes-cbc-256 aes-cbc-128 3des
integrity sha1
group 2
exit
crypto ikev2 policy azure-policy
proposal azure-proposal
exit
crypto ikev2 keyring azure-keyring
peer 104.215.95.202
address 104.215.95.202
pre-shared-key
exit
exit
crypto ikev2 profile azure-profile
match address local interface
match identity remote address 104.215.95.202 255.255.255.255
authentication remote pre-share
authentication local pre-share
keyring azure-keyring
exit
! ---------------------------------------------------------------------------------------------------------------------
! IPSec configuration
!
! This section specifies encryption, authentication, tunnel mode properties for the Phase 2 negotiation
crypto ipsec transform-set azure-ipsec-proposal-set esp-aes 256 esp-sha-hmac
mode tunnel
exit
! ---------------------------------------------------------------------------------------------------------------------
! Crypto map configuration
!
! This section defines a crypto profile that binds the cross-premise network traffic to the IPSec transform
! set and remote peer. We also bind the IPSec policy to the virtual tunnel interface, through which
! cross-premise traffic will be transmitted. We have picked an arbitrary tunnel id "1" as an example. If
! that happens to conflict with an existing virtual tunnel interface, you may choose to use a different id.
crypto ipsec profile vti
set transform-set azure-ipsec-proposal-set
set ikev2-profile azure-profile
exit
int tunnel 1
ip address 169.254.0.1 255.255.255.0
ip tcp adjust-mss 1350
tunnel source
tunnel mode ipsec ipv4
tunnel destination 104.215.95.202
tunnel protection ipsec profile vti
exit
ip route 172.16.0.0 255.255.255.0 tunnel 1
オンプレミス VPN を機能させるために、このテンプレートに追加または削除する必要がある構成はありますか?
ご協力いただきありがとうございます!
答え1
VN同士が会話するにはどうすればいいですか
VNet 間 VPN トンネルを作成する必要があります。これは、次の手順で実行できます。
- Azure ポータルで、必要なすべての VNet を作成し、VNet にサブネットと LAN 内の対応するローカル ネットワークを追加します。
- 動的ルーティング VPN を使用して VNet のゲートウェイを作成します。静的ルーティング VPN は機能しません。
- 最初に VPN ゲートウェイを相互に接続し、次に LAN を接続すると、必要に応じてトラブルシューティング プロセスが容易になります。
これらすべてはここに非常によく文書化されています: Azure ポータルで VNet 間接続を構成するそしてここでも VNet 間: 異なるリージョン間で Azure の仮想ネットワークを接続する
オンプレミス VPN を機能させるために、このテンプレートに追加または削除する必要がある構成はありますか?
幸運なことに、お使いのデバイスは動的ルーティングを使用した Azure サイト間 VPN でサポートされているので、LAN を Azure に正常に接続できるようにするには、このページの詳細を確認することをお勧めします。サイト間仮想ネットワーク接続用のVPNデバイスについて
残念ながら、私は Cisco ルーターの専門家ではないので、投稿された構成を確認することはできませんが、Azure を VPN デバイスに接続するための一般的なガイドラインを提供することでお手伝いできます。
- 上記の手順を使用して VNet をセットアップすると、Azure はダウンロードしてローカル VPN デバイスをセットアップするために使用できるスクリプトを作成します。
- Cisco の VPN ダイナミック トンネルを作成するためのマニュアルをお読みください。http://www.cisco.com/c/en/us/support/docs/security-vpn/ipsec-negotiation-ike-protocols/46242-lan-to-lan-vpn-client.html
- Cisco の Azure VPN サンプルをご覧ください。https://msdn.microsoft.com/library/azure/dn133800.aspx?f=255&MSPPError=-2147217396#BKMK_ISRDynamic
これらがお役に立てば幸いです。そうでない場合は、Cisco でより経験を積んだ他の誰かが、この問題を解決するお手伝いをしてくれるはずです。
答え2
はい、少し進歩しました。オンプレミスの機器を Azure に接続し、Azure 内の仮想ネットワークも相互に接続しましたが、VM を 1 つの VNet に配置し、別の VM を別の VNet に配置すると、VNet 間で ping を実行できません。また、オンプレミスのデバイスから Azure VNet 内の何も ping できません。
それで、これが現在の設定方法です。
仮想ネットワーク
VNet データセンター: 172.16.250.0/24
- ローカル ネットワーク: LNet-本社 (10.0.0.0/24)、LNet-リージョン 1 (10.0.1.0/24)
VNet 本社: 172.16.0.0/24
- ローカル ネットワーク: LNet-Headquarters (10.0.0.0/24)、LNet-int-Headquarters (10.0.250.0/24、10.0.1.0/24)
VNet リージョン 1: 172.16.1.0/24
- ローカル ネットワーク: LNet-Region1 (10.0.1.0/24)、LNet-int-Region1 (10.0.250.0/24、10.0.0.0/24)
VNet-Headquarters に VM が 1 台、VNet-DataCenter に VM が 1 台ありますが、どちらのマシンにも ping できません。
以下の記事を参考にさせていただきました。 Azure 仮想ネットワーク間のルーティングを構成する方法は?
どのような助けでも大歓迎です!
答え3
さて、ネットワーク全体を再構築し、2 つの VN 内に 2 つの VM を再度配置しましたが、ローカル ゲートウェイも含めて何も ping できません。これがセットアップです。
3 つの VN を作成しました:
- VNet 1 - 10.0.250.0/24
- VNet2 - 10.0.0.0/24
- VNet 3 - 10.0.1.0/24
4 つの LN を作成しました:
- Lネット1 - 10.0.0.0/24
- LNet2 - 10.0.1.0/24
- LNet 3 - 10.0.250.0/24、10.0.1.0/24
- LNet 4 - 10.0.250.0/24、10.0.0.0/24
VNet 1 には 2 つの LN (LNet 1 と LNet 2) が接続されて
います。VNet 2 には 1 つの LN (LNet 3)
が接続されています。VNet 3 には 1 つの LN (LNet 4) が接続されています。
VNet 1 には IP 10.0.250.4 の VM があります。VNet
2 には IP 10.0.0.4 の VM があります。
どちらの VM からも他の VM に ping できないため、10.0.0.4 は 10.0.250.4 に ping できず、その逆も同様です。
ありがとう!!
答え4
Azure の VM への ping は Windows ファイアウォール レベルでブロックされます。テスト中は各 VM のファイアウォールをオフにしてください。成功したら、ICMP を許可するように構成できます。または、代わりに RDP を使用して接続を確認します (有効になっていると仮定)。