sidetech

インフラエンジニアの寄り道メモ。

AzureにEdgeRouterXでS2S-VPNやっていく。

Ubiquiti EdgeRouterX Microsoft Azure

編集出来る時にドカッとアップする下手なブロガーです・・・(^^;
気分屋ということで。。。

さて、気分が乗っているときに書いてしまいましょう。
本主題は、似たような検索をすれば他の方の例が上がっていると思うのですが、少しだけ注意ポイントがあったのと、自分でもナンデ?という部分もあったので、作業メモとしてという感じです。

 

au光のBL172HVで苦労している同志 ⇒ 色んなブログに対処法あるので割愛


・AzureのvNETデザインは1つ前の記事読んで。


・Ubiquiti EdgeRouterXでVPN(L2TP)は

・Ubiquiti EdgeRouterXでL2TPでスマフォは成功したけどPCがダメな人(本記事には全く関係ないけどw)。


・ちらっと参考にしたブログ

・ちょっと読んで「ふんふんふーん、だいたいおーけー(絵しか見てない)」と思った記事。


てことで、やっていきましょう。
以下構成図です。
f:id:hunter1014:20210117224750p:plain


まずは「Azureお久しぶりっ!」だったので・・・。

f:id:hunter1014:20210117230136p:plain

素直にヘルプ見ます(^-^。

あーやっぱり久々にやると忘れていますね。そんなことしたっけ?って思いました。
おまけになんかSKU増えているし・・・。SKUの内訳もなんだったか忘れちゃったのでおさらいしておきました。

・まずはバーチャルネットワークゲートウェイから。

f:id:hunter1014:20210117230737p:plain

・サクッと設定投入。

f:id:hunter1014:20210117231322p:plain


・作成には多少時間掛かります(20分かかった)。

f:id:hunter1014:20210117231632p:plain

・こげん具合で出来上がります。
  これでAzure側に(仮想の)VPNルーターを作った感じです。

f:id:hunter1014:20210117231903p:plain

・ローカルネットワークゲートウェイを作成します。
Site-to-Site(S2)の対地となる自宅の環境設定を投入する感じです。

f:id:hunter1014:20210117232500p:plain


・以下のような感じですね。プロファイルとかオブジェクト作成みたいな感じです。

f:id:hunter1014:20210117232609p:plain


・さて、ここまできたら、「vNET10_0_GW」で「接続」から「追加」です。

f:id:hunter1014:20210117233212p:plain


・今まで、事前に仮想ネットワークゲートウェイとローカルネットワークゲートウェイを作成してきているので、それを選ぶだけですね。ここで「共有キー」きめてください。あと、私はIKEプロトコルはIKEv2にしました。

f:id:hunter1014:20210117233007p:plain

・これでVPNトンネルの情報まで出来上がりました。Azure側はこれで準備完了です。
 コマンド要らずパラメータほとんど無い状態でVPN作るのは不思議な感覚です。
 で、構成のダウンロードをしましょう。

f:id:hunter1014:20210117233712p:plain

・なななんとUbiquitiのEdgeRouterの構成がそのまま頂けそうです。私が使っているOSバージョンとは違いますが、恐らく問題ないです。今回はBGPではなくVTIで。
本当は他社の構成情報を読み取るつもりでしたが、これは楽出来ましたね。

f:id:hunter1014:20210117234000p:plain

・さてEdgeRouterXのほうの手当てをしていきます。
 GUIでと行きたいところですが、構成情報をCLIで投入していきます。

f:id:hunter1014:20210117234817p:plain

画像で張り付けてゴメンやけど、オレンジの部分は「A.A.A.A」のアドレスが書かれていた部分です。ただ、残念ながらBL172HV環境のダブルNAT環境で、DMZ機能で外部からくる全パケットをEdgeRouterXに充てているだけです。てことで、オレンジでマスクした部分はローカルアドレスに書き換えます。こうしないとEdgeRouterが、「A.A.A.A」なんてアドレスは知らんとWarningだして怒ります。
あと、au光のGIPも動的なので、本来であればDDNSとかで気を使うべきなんでしょうけど、まぁほとんどIPが変わらないらしいので、ちょっと歪な設定ですが。
本来の筋でいうと、EdgeRouter側はアグレッシブモードにするべきなんでしょうね(やりかた知らんけど)。そもそもAzure側のローカルネットワークゲートウェイの時にIP指定しちゃっているしね。これFQDNにすると本来は良いんでしょうね。
ちなみにこのEdgeRouterXのCLIコマンドと癖は一部なんとなく癖の理解は出来るのですが、一部の文法や作法の理解はせずに行っております。FOO0ってなんじゃろって感じです(^^;

・上手くトンネル張れたようです。接続済みになりましたね。

f:id:hunter1014:20210117235542p:plain

・EdgeRouter側からの確認でもトンネルがUPになっていますね。

f:id:hunter1014:20210117235753p:plain

・ルート情報も大丈夫そうです。

f:id:hunter1014:20210118000008p:plain


ということで、S2S-VPN出来ました。まだAzure側に何もないのでpingすら出来ないですが・・・。

これで衝動買いしたEdgeRouterXですが、1つの仕事をこなし始めることが出来ます。
なんだかんだで、半日は掛かっていますけど、ハマっていないのが怖いぐらいです。
実はルーティング上手くいかなかったりして・・・。(^^;
今年、なにかとFWとかRouterを扱うと何かしら問題抱えるもので・・・(苦笑

何が嬉しいかといえば、高いVPNルーターを買わずに安価にS2Sが行えたことですね。
ちょっとau光の曲者ルーターが難敵になるのではと思ったのですが。EdgeRouterもv2.0.9のバグを今の所踏んでいないようです。
ちょっとIPv6のケアを後回しにしちゃっているので、今後の課題ですが、現在Azure側でやりたいことがモリモリなので、そっちを先にやっつけます。
Azure無料期間をしゃぶりつくさねば!

ご参考にする方がいるかわかりませんが、ぜひ、テレワーク中の仕事で行き詰まっていて気分転換したい時にでもお試しくださいませ!