AWSとの接続を以前紹介しましたが、テレワーク環境の整備などでアクセスが急増したのでAzureとの接続も紹介したいと思います。
AWSとFortigateの接続エントリは以下の記事です。
[nlink url=”https://www.ikura-oisii.com/?p=191″]接続における前提条件
- Fortigateの外部アドレスは固定IPが必要です。
Mainモードでの接続を想定しておりますので固定IPは必須にしております。
Fortigateの機種/ファームウェアバージョン
今回接続設定を行った機種は「Fortigate60D」です。
ファームバージョンは「v6.0.6 build0272」です。
機種が違う場合は、インターフェイスの設定を読み替えてください。
ファームバージョンが違う場合は、原則v5からは設定差異は無いと思いますが、画面が異なる場合がありますので適意読み替えてください。
接続設定の概要
AzureネットワークとFortigateの接続設定方法
設定はAzure Portal でサイト間接続を作成するを参考にしました。
Azure仮想ネットワークの作成
Azureの左ナビゲーションメニューから「仮想ネットワーク」→「追加」を選択します。
下記画像を参考にパラメータを入力します。
アドレス空間は/16を推奨です。
リソースグループの指定は新規でも既存を流用でもどちらでもOKです。
サブネットはサーバを所属させるためのサブネットですので/24でOKです。
ゲートウェイサブネットの作成
ゲートウェイサブネットを作成します。
前手順で作成した仮想ネットワーク内の「サブネット」メニューを選択して「+ゲートウェイサブネット」を選択します。
名前は固定ですので変更は不可です。
前項で作成したアドレス空間内で/27または/28で作成してください。
VPNゲートウェイの作成
続いてVPNゲートウェイを作成します。
すべてのサービスから「仮想ネットワークゲートウェイ」を選択してください。
下記画像を参考に設定をいてれてください。
SKUは要件に応じて変更しますが、大抵はBasicで問題ないはずです。
作成後、作成されたGWを選択してください。
割り当てられたパブリックIPが表示されますのでそちらをメモしてください。
Fortigateへの設定で必要となります。
ローカルネットワークゲートウェイの作成
続いてFortigate側のゲートウェイを作成します。
Fortigate側のWAN IPとローカルセグメントを入力します。
VPN接続の作成
Azure側最後の項目です。
メニューから接続の追加を選択し、以下画像を参考に設定してください。
サイト対サイトを選択してください。
事前共有キーは後ほどFortigateへも入力します。
IPsec/IKEのパラメータはAzure側で自動指定されます。
パラメータは以下公式サイトからご確認いただけます。
サイト間 VPN ゲートウェイ接続用の VPN デバイスと IPsec/IKE パラメーターについて
以上でAzure側の設定は完了です。
Fortigateの設定
参考URL:IPsec VPN to Microsoft Azure
VPN作成ウィザードでカスタムを選択します。
メモしていたAzure側の仮想ネットワークゲートウェイのパブリックIP、事前共有鍵などを入力してください。
IKEバージョンは2を指定します。
続いてPhase1のトンネル設定はAzureの指定地を入力します。
下記画像を参考に設定してください。
Phase2も同様に下記画像を参考に入力してください。
オートネゴシエーション設定をONにしておくと切断時に自動再接続が行われます。
続いてアドレスオブジェクトを作成します。
下記画像を参考に登録してください。
インターフェースは先ほど作成したトンネルインターフェースを指定してください。
続いてポリシーを作成します。
NATを無効にして作成してください。
両方向忘れず作成してください。
ルーティングも忘れず追加してください。
以上でFortigate側の設定が完了です。
接続確認はAzure側で行えます。
仮想ネットワークゲートウェイ内の「接続」メニューから確認できます。
以上でFortigateとAzureの接続設定は完了です。
手順通りにやればさっくりと接続出来ます!
AzureはWindows10の仮想マシンが作れるのでWindows10がどうしても使いたい場合は重宝しますね!
Azureも今後記事を増やしていきたいと思います。