FortigateとAzureネットワークとVPN(IPsec)で接続する

AWSとの接続を以前紹介しましたが、テレワーク環境の整備などでアクセスが急増したのでAzureとの接続も紹介したいと思います。

AWSとFortigateの接続エントリは以下の記事です。

[nlink url=”https://www.ikura-oisii.com/?p=191″]

接続における前提条件

  • Fortigateの外部アドレスは固定IPが必要です。

Mainモードでの接続を想定しておりますので固定IPは必須にしております。

Fortigateの機種/ファームウェアバージョン

今回接続設定を行った機種は「Fortigate60D」です。
ファームバージョンは「v6.0.6 build0272」です。

機種が違う場合は、インターフェイスの設定を読み替えてください。
ファームバージョンが違う場合は、原則v5からは設定差異は無いと思いますが、画面が異なる場合がありますので適意読み替えてください。

接続設定の概要

手順1
仮想ネットワークの作成
接続を行うAzureのネットワークを作成します。
手順2
ゲートウェイサブネットの作成
/27か/28でゲートウェイのサブネットを作成。
手順3
VPNゲートウェイの作成
IPsec接続用のゲートウェイを作成します。
手順4
Fortigate側のゲートウェイを作成。
手順5
VPN接続の作成
IPsec接続の定義を設定していきます。
手順6
Fortigateの設定
VPN設定、ルーティング、ポリシーなど設定して接続を行います。

AzureネットワークとFortigateの接続設定方法

設定はAzure Portal でサイト間接続を作成するを参考にしました。

Azure仮想ネットワークの作成

Azureの左ナビゲーションメニューから「仮想ネットワーク」→「追加」を選択します。

下記画像を参考にパラメータを入力します。
アドレス空間は/16を推奨です。
リソースグループの指定は新規でも既存を流用でもどちらでもOKです。
サブネットはサーバを所属させるためのサブネットですので/24でOKです。

ゲートウェイサブネットの作成

ゲートウェイサブネットを作成します。
前手順で作成した仮想ネットワーク内の「サブネット」メニューを選択して「+ゲートウェイサブネット」を選択します。

名前は固定ですので変更は不可です。
前項で作成したアドレス空間内で/27または/28で作成してください。

VPNゲートウェイの作成

続いてVPNゲートウェイを作成します。
すべてのサービスから「仮想ネットワークゲートウェイ」を選択してください。

下記画像を参考に設定をいてれてください。
SKUは要件に応じて変更しますが、大抵はBasicで問題ないはずです。

作成後、作成されたGWを選択してください。

割り当てられたパブリックIPが表示されますのでそちらをメモしてください。
Fortigateへの設定で必要となります。

ローカルネットワークゲートウェイの作成

続いてFortigate側のゲートウェイを作成します。
Fortigate側のWAN IPとローカルセグメントを入力します。

VPN接続の作成

Azure側最後の項目です。
メニューから接続の追加を選択し、以下画像を参考に設定してください。
サイト対サイトを選択してください。
事前共有キーは後ほどFortigateへも入力します。

IPsec/IKEのパラメータはAzure側で自動指定されます。
パラメータは以下公式サイトからご確認いただけます。

サイト間 VPN ゲートウェイ接続用の VPN デバイスと IPsec/IKE パラメーターについて

以上でAzure側の設定は完了です。

Fortigateの設定

参考URL:IPsec VPN to Microsoft Azure

VPN作成ウィザードでカスタムを選択します。

メモしていたAzure側の仮想ネットワークゲートウェイのパブリックIP、事前共有鍵などを入力してください。
IKEバージョンは2を指定します。

続いてPhase1のトンネル設定はAzureの指定地を入力します。
下記画像を参考に設定してください。

Phase2も同様に下記画像を参考に入力してください。
オートネゴシエーション設定をONにしておくと切断時に自動再接続が行われます。

続いてアドレスオブジェクトを作成します。
下記画像を参考に登録してください。
インターフェースは先ほど作成したトンネルインターフェースを指定してください。

続いてポリシーを作成します。
NATを無効にして作成してください。

両方向忘れず作成してください。

ルーティングも忘れず追加してください。

以上でFortigate側の設定が完了です。

接続確認はAzure側で行えます。
仮想ネットワークゲートウェイ内の「接続」メニューから確認できます。

以上でFortigateとAzureの接続設定は完了です。
手順通りにやればさっくりと接続出来ます!
AzureはWindows10の仮想マシンが作れるのでWindows10がどうしても使いたい場合は重宝しますね!
Azureも今後記事を増やしていきたいと思います。

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です