sidetech

インフラエンジニアの寄り道メモ。

仕様を少し読んでAzure virtual WANに接続挑戦(成功?)

今日の今日ですが・・・ハッとおもったページを参考に組み直したら・・・

f:id:hunter1014:20210120095528p:plain

繋がったっぽいですね。接続済みなのにグレーの(?)が出ています。
これは、恐らくAzure virtual WAN HUBのAPIあたりに状態通知をしていないからではないかなと勝手に推測しております。

f:id:hunter1014:20210120121006p:plain

方肺状態ですけどね。ちゃんとupしましたね。

f:id:hunter1014:20210120095659p:plain


EdgeRouterの方でのvpnステータスは、
$show vpn log
$show vpn ipsec sa
$show vpn ipsec status
$show vpn ipsec state
ここら辺のコマンドを打ちながら状態を確認。

Azure側のステータスはちょっと遅い反応でした。最初はEdgeRouterはupしているのにAzure側は未接続が続きましたので・・・。

さて、ここまできましたが、どうやらRouteTablesに着手しないと駄目なようです。

斜め読みしかしていませんが、以前のRouteTablesの仕様と変わったんだとか。なので、Azure virtual WAN以前のRouteTablesが仕様対応していないらしく、入れ替えが必要なんだよと、どこかのブログで読みました。

てことで、VPNトンネルが張れただけなので、まだ成功とはいえないですね。
BGPもやっていないし、方肺ですからね。ほんとに触り検証レベルですが。

 

簡単にEdgeRouter側のConfigを晒すと

#set vpn ipsec esp-group FOO1 compression disable
#set vpn ipsec esp-group FOO1 lifetime 3600
#set vpn ipsec esp-group FOO1 mode tunnel
#set vpn ipsec esp-group FOO1 pfs disable
#set vpn ipsec esp-group FOO1 proposal 1 encryption aes256
#set vpn ipsec esp-group FOO1 proposal 1 hash sha1

#set vpn ipsec ike-group FOO1 ikev2-reauth no
#set vpn ipsec ike-group FOO1 key-exchange ikev2
#set vpn ipsec ike-group FOO1 lifetime 28800
#set vpn ipsec ike-group FOO1 proposal 1 dh-group 2
#set vpn ipsec ike-group FOO1 proposal 1 encryption aes256
#set vpn ipsec ike-group FOO1 proposal 1 hash sha1

よくあるパラメータで行けました。
下手に弄ってしまったのがよくなかった・・・。

#set vpn ipsec site-to-site peer XXX.XXX.XXX.XXX connection-type respond
ちなみに私の環境はダブルRouterなので、イニシエーターモードではなく、レスポンスモードです(昔はメインモード・アグレッシブモードって言わなかったっけ?)。


ということで、「お試し程度であれば」IKEv2が組めるVPNルーターであればなんとかなる・・・という感じですかね。
本設は、しっかりサポートされたパートナー(ベンダー)機器で行ってください。

恐らくはRe-keyのタイミングでトンネルが落ちるんじゃないかなぁとw

 

私は、設計する場合の考慮点(仕様・制限)の確認のために仮組を試みて楽しんでいるだけですので・・・。