Azure と社内ネットワークを VPN で接続すると、Virtual Machine をオンプレミスの社内サーバとほぼ同じように扱えるので便利。
今回 YAMAHA の RTX1200 で VPN を設定しようとしたら、新しいポータル上での設定情報がほとんどなく、また動的ルーティングがデフォルトになって設定時に変更できないようになっていた。
この動的ルーティングというのが曲者で、YAMAHA のサイトで紹介されている静的ルーティングを想定している方法では接続できない(たぶん)。
試行錯誤のうえ、何とか常時接続できるように。
YAMAHA 公式サイトの設定は基本的には静的ルーティングの設定なので、動的の場合はコマンドが少し違う(と思う)。
ローカル側のネットワーク:192.168.1.0/24
リモート側のネットワーク:172.16.0.0/16
tunnel select 1
description tunnel Azure_JPWEST
ipsec tunnel 1
ipsec sa policy 1 1 esp aes256-cbc sha256-hmac anti-replay-check=off
ipsec ike version 1 2
ipsec ike duration ipsec-sa 1 3600
ipsec ike encryption 1 aes256-cbc
ipsec ike group 1 modp1024
ipsec ike hash 1 sha256
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on dpd
ipsec ike local address 1 192.168.1.1
ipsec ike local name 1 (ローカルルータのグローバルIP) ipv4-addr
ipsec ike nat-traversal 1 on
ipsec ike backward-compatibility 1 2
ipsec ike pre-shared-key 1 text (Azureで設定した文字列)
ipsec ike remote address 1 (Azure側GWのパブリックIPアドレス)
ipsec ike remote name 1 (Azure側GWのパブリックIPアドレス) ipv4-addr
ip tunnel tcp mss limit 1350
tunnel enable 1
ip route 172.16.0.0/16 gateway tunnel 1
RTX1200では上記のような設定で問題なくつながっている。
(ログを見るとたまに切れて再接続しているが)
公式サイトからの変更点としては
・ ike v2 の設定を明示
・ 動的ルーティングなので local id / remote id ではなく local name / remote name で自分と相手を特定
・ キープアライブでDPDを使う
・ remote address の設定はコマンドリファレンスを見る限り不要だが残しておいても害がないのでそのままに
RTX1200 にはせっかくウェブ画面でお手軽設定ができるようになっているのに、RTX1200 で扱えるすべての暗号アルゴリズムを選択できないという中途半端仕様。
コマンド使えばよいので実害は低いけれど、つまらない混乱を招きそう。
Azureのサイトでは YAMAHA ルータの接続についての記載がないのだが、日本で DC 二つも用意して売る気マンマンなら、国内ではそこそこのシェアがあると思われる RTX シリーズについてもっと情報公開してほしいですね。
