オンプレミスの PC から Azure の仮想マシンに対して、Point to Site VPN の接続を試してみました。Site to Site VPN の接続に比べて、手軽に VPN を構築することができます。
仮想ネットワークの作成
管理ポータルから、仮想ネットワークを作成します。仮想ネットワークの名前と場所を指定します。以前は、アフィニティグループでしたが、ロケーションを指定する仕様に変更されました。
「 Point to Site で VPN を構成する」だけにチェックを入れます。
アドレス空間は追加せず、そのまま次へ進みます。
ゲートウェイ サブネットを追加して、完了です。
ゲートウェイの追加
作成した仮想ネットワークを見ると、ゲートウェイが作成されていないよと書いてあるので、管理ポータルの+ボタンから作成します。20分ぐらい掛かりますので、焦らずに待ちましょう。
証明書のアップロード
ゲートウェイが作成されると、ルート証明書がアップロードされていないよと書いてあるので、アップロードします。
Point to Site の VPN 接続では、証明書で認証するため、ルート証明書とクライアント証明書が必要です。自己署名の証明書でも大丈夫なので、makecert コマンドで作成します。
#makecert makecert -sky exchange -r -n "CN=vnet01-root" -pe -a sha1 -len 2048 -ss My makecert -n "CN=vnet01-client" -pe -sky exchange -m 96 -ss My -in vnet01-root -is my -a sha1
上記のコマンドで作成された証明書は、certmgr.msc を実行すると、現在のユーザーの個人の中に入っています。管理ポータルにアップロードするため、ルート証明書(vnet01-root)を秘密キーを含めずに cer ファイルとして保存します。
なお、オンプレミスの別 PC から接続する場合は、クライアント証明書(vnet01-client)のインストールが必要です。クライアント証明書は、秘密キーを含めた cer ファイルとして保存します。
クライアント VPN パッケージのインストール
管理ポータルからパッケージをダウンロードして、インストールします。
アプリがインストールされるのではなく、チャーム - 設定 - ネットワークに、仮想ネットワークが追加されます。ここから、仮想ネットワークに VPN 接続できます。
仮想マシンの作成
管理ポータルから、仮想マシンのギャラリーから Windows Server 2012 R2 を利用して作成します。作成した仮想ネットワークを選択しつつ、ウィザードの手順に従って進めます。
プライベートIPアドレスの固定
このままでも VPN 接続できるのですが、仮想マシンの再起動などでプライベートIPアドレスが変わらないように、固定しておきます。Azure PowerShell を使って、仮想マシンのプライベートIPアドレス(10.0.1.4)を固定します。
#Set-AzureStaticVNetIP $VM = Get-AzureVM -ServiceName <サービス名> -Name <VM名> Set-AzureStaticVNetIP -VM $VM -IPAddress <プライベートIPアドレス> | Update-AzureVM
結果確認
オンプレミスのPCから、Azure 仮想マシンのプライベートIPアドレス(10.0.1.4)に対して、リモートデスクトップ接続や共有フォルダへのアクセスが可能となります。
プライベートIPアドレスが固定できるようになったので、やっと安心して使えそうです。簡単な設定で VPN を構築できてしまうなんて、Azure は便利ですね。