Azure VPNとFortigateの拠点間VPN

仮想ネットワークの作成

Azureポータルのリソースグループ画面から「+追加」ボタンをクリックします。

検索窓に「Virtual Network」と入力して検索し、「Virtual Network」をクリックします。

「作成」ボタンをクリックします。

「名前」を入力して「次:IPアドレス>」をクリックします。

「IPアドレス」欄に「10.2.0.0/16」と入力して「+サブネットの追加」ボタンをクリックします。
「サブネット名」と「サブネットアドレス範囲」に「10.2.0.0/24」と入力して「追加」ボタンをクリックします。

再度「+サブネットの追加」をクリックします。
「サブネット名」と「サブネットアドレス範囲」に「10.2.2.0/24」と入力して「追加」ボタンをクリックし、「次:セキュリティ>」をクリックします。

「次:タグ>」をクリックします。

「次:確認および作成>」をクリックします。

内容を確認の上、「作成」ボタンをクリックします。

「デプロイが完了しました」と表示されたら完了です。

仮想ネットワークゲートウェイの作成

リソースグループ画面から「+追加」ボタンをクリックします。

検索窓に「仮想ネットワーク」と入力して検索し、「仮想ネットワークゲートウェイ」をクリックします。

「作成」ボタンをクリックします。

下記の通り必要事項を入力して「次:タグ>」をクリックします。

「次:確認および作成>」をクリックします。

内容を確認の上、「作成」ボタンをクリックします。

「デプロイが完了しました」と表示されたら完了です。

ローカルネットワークゲートウェイの作成

リソースグループ画面から「+追加」ボタンをクリックします。

検索窓に「ローカルネットワーク」と入力して検索し、「ローカルゲートウェイネットワーク」をクリックします。

「作成」ボタンをクリックします。

名前:(任意)
IPアドレス:自社のWAN側パブリックIPアドレス
アドレス範囲:自社のLAN側プライベートIPアドレス
を入力して「作成」ボタンをクリックします。

接続の作成

仮想ネットワークゲートウェイ画面の左メニューより「接続」をクリックします。

「追加」ボタンをクリックします。

下記の通りに入力して「OK]ボタンをクリックします。

「〇〇〇が正常に作成されました」と表示されたら完了です。

Fortigateの設定

Fortigate管理画面の「IPsecウィザード」から、下記の画面の通りに進めます。

「アドレス」オブジェクトを作成します。

「IPv4ポリシー」を作成します。

接続確認

Fortigate管理画面の「モニタ」>「IPsecモニタ」から、該当する行がアップ(↑)になっていれば接続しています。

Azureポータルからは、仮想ネットワークゲートウェイの「接続」画面で、状態が「接続済み」になっていれば接続しています。

上手く接続できないときはこちら。
https://docs.fortinet.com/document/fortigate/6.2.3/cookbook/137844/vpn-ipsec-troubleshooting

クラウド ファイル共有サーバー(Azure Files)の構築

クラウド上で利用できる共有サーバーであるAzure Filesを構築してみます。

前提条件

  • 事業所からのみ拠点間VPNで接続(インターネットからの接続は許可しない)
  • Azure上で仮想ネットワークを構築済み
  • 事業所とAzure間は拠点間VPN接続済み

作業概要

  1. Azure Files構築
  2. オンプレDNS調整
  3. クライアントPC設定

①Azure Files構築

Azureポータルより、リソースグループを開き「+追加」ボタンをクリックします。

検索窓に「ストレージ」と入力して検索し、「ストレージアカウント – Blob、file、Table、Queue」をクリックします。

「作成」ボタンをクリックします。

ストレージアカウント名:(任意)
場所:東日本
パフォーマンス:Standard
アカウントの種類:StandardV2(汎用 v2)
レプリケーション:ローカル冗長ストレージ(LGS)
アクセス層(既定):クール

を入力して「次:ネットワーク>」をクリックします。

接続方法:プライベート エンドポイント

を選択して「+追加」をクリックします。

場所:東日本
名前:(任意)
ストレージのサブリソース:file
仮想ネットワーク:構築済みの仮想ネットワークを選択
サブネット:構築済みのサブネットを選択
プライベートDNSゾーンと統合する:はい
プライベートDNSゾーン:そのまま

を入力して「OK」ボタンをクリックします。

表示内容を確認して「次:詳細>」ボタンをクリックします。

「次:タグ>」ボタンをクリックします。

「次:確認および作成>」ボタンをクリックします。

表示内容を確認して「作成」ボタンをクリックします。

「デプロイが進行中です」と表示されて、しばらく待つとストレージアカウントの作成が完了します。

ストレージアカウント画面を開き、「ファイル共有」ボタンをクリックします。

「+ファイル共有」ボタンをクリックします。

名前:(任意)
クオータ:5120

と入力して「作成」ボタンをクリックします。

②オンプレDNS調整

接続先「storageaccount.file.core.windows.net」は、インターネットからもアクセスできるようにできるため、パブリックIPアドレスが返されますが、今回は拠点間VPNからのみアクセスを許可するため、プライベートIPアドレスでの通信になります。しかし、IPアドレスでの接続はできないため、AzureドキュメントではプライベートIPアドレスが返されるDNS転送が推奨されています。

Azure FilesのDNS転送の構成(Azureドキュメント):
https://docs.microsoft.com/ja-jp/azure/storage/files/storage-files-networking-dns

ここでは、DNS転送できる環境がなかったため、FortigateのDNS変換機能を使用しています。
具体的には「storageaccount.file.core.windows.net」のパブリックIPアドレスをプライベートIPアドレスに変換しています。

③クライアントPC設定

クライアントPCでの設定方法について、AzureドキュメントではPowerShellを使ってマウントする手法が紹介されています。

Windows で Azure ファイル共有を使用する(Azureドキュメント):
https://docs.microsoft.com/ja-jp/azure/storage/files/storage-how-to-use-files-windows

ここでは、エクスプローラーからアドレスを入力してアクセスししています。

エクスプローラーを立ち上げ、アドレス欄に「\\[ストレージアカウント名].file.core.windows.net\[ファイル共有名]」を入力して[エンター]キーをクリックします。

認証情報を求められますので、

ユーザー名:Azure\[ストレージアカウント名]
パスワード:下記場所に記載のあるパスワード

を入力します。

※パスワードの確認方法
Azureポータルの「ストレージアカウント」画面の左メニューより、設定の「アクセスキー」を開き、key1の「キー」がパスワードになります。

Azure Filesのファイル共有が使えるようになりました。