Soracom

Users

ドキュメント

SORACOM Door と Azure VPN gateway を使用して Azure と VPN 接続する

SORACOM Door (以下、Door) を利用すると、SORACOM とサイト間 VPN 接続をできます。

ここでは、SORACOM Door を利用して、Microsoft Azure (以下、Azure) から VPN 接続する方法を紹介します。

azure-vpn-gateway azure-vpn-gateway

操作を始める前に準備が必要です (クリックして確認してください)

(1) SORACOM のアカウントを作成して IoT SIM を申し込む / デバイスを購入する

デバイスと、そのデバイスで利用できる IoT SIM を用意します。

SORACOM アカウントの作成方法、IoT SIM の申し込み方法、およびデバイスの購入方法について詳しくは、SORACOM の利用を始める を参照してください。

(2) Azure のアカウントを用意する

Azure のアカウントを用意してください。

準備完了

ステップ 1: Azure Virtual Network / Azure VPN Gateway および仮想マシンを作成する

Azure Virtual Network を作成する

作成した Azure Virtual Network (仮想ネットワーク) を作成します。

既存の Azure Virtual Network の要件

お客様が作成した既存の Virtual Network を利用する場合、その CIDR (IP アドレス空間) は以下の範囲内である必要があります (一部を除き、RFC 1918 の "Private Address Space" に準拠します)。

  • 10.0.0.0/8 (日本カバレッジでは 10.21.0.0/16 のアドレス空間を除く)
  • 172.16.0.0/12
  • 192.168.0.0/16
  1. Microsoft Azure Portal にログインし、[仮想ネットワーク] を選択します。

  2. [+作成] をクリックします。

    azure-vpn-gateway azure-vpn-gateway

  3. 以下の項目を設定します。

    項目説明
    [リソースグループ]任意のリソースグループを選択もしくは新規作成します。
    [名前]仮想ネットワークの名前です。任意の名前を入力します。
    [地域]仮想ネットワークを作成するリージョンを選択します。この例では Japan East を選択します。

    azure-vpn-gateway azure-vpn-gateway

  4. [次: IP アドレス >] をクリックします。

  5. [IPv4 アドレス空間] に、仮想ネットワークの IP アドレス空間を指定します (例: 10.0.0.0/16)。

  6. サブネット名 default をクリックし、サブネットの設定をします。

    項目説明
    [サブネット名]サブネット名を入力します。default がデフォルトのサブネット名です。
    [サブネット アドレス範囲]サブネットの IP アドレス範囲を指定します。この例では 10.0.0.0/24 としています。

    azure-vpn-gateway azure-vpn-gateway

  7. [保存][確認および作成] の順にクリックします。

  8. [作成] をクリックします。

    azure-vpn-gateway azure-vpn-gateway

    Azure Virtual Network が作成されます。

Azure VPN Gateway を作成する

作成した Azure Virtual Network に Azure VPN Gateway (仮想ネットワークゲートウェイ) を作成します。

  1. Microsoft Azure Portal にログインし、[仮想ネットワークゲートウェイ] を選択します。

  2. [+作成] をクリックします。

    azure-vpn-gateway azure-vpn-gateway

  3. 以下の項目を設定します。

    項目説明
    [名前]仮想ネットワークゲートウェイの名前。任意の名前を入力しますします。
    [地域]仮想ネットワークゲートウェイを作成するリージョンを選択します。この例では Japan East を選択します。
    [ゲートウェイの種類]VPN を選択します。
    [SKU]VpnGw1 を選択します。
    [世代]Generation1 を選択します。
    [仮想ネットワーク]Azure Virtual Network を作成する で作成した仮想ネットワークを選択します。
    [ゲートウェイ サブネットのアドレス範囲]仮想ネットワークゲートウェイが作成されるゲートウェイサブネットのアドレス範囲を指定します。Azure Virtual Network を作成する で作成した仮想ネットワークの IP アドレス範囲内で指定します。この例では 10.0.1.0/24 としています。
    [パブリック IP アドレスの種類]Standard を選択します。
    [パブリック IP アドレス]新規作成 を選択します。
    [パブリック IP アドレス名]パブリック IP アドレスの名前です。任意の名前を入力します。

    azure-vpn-gateway azure-vpn-gateway

  4. [確認および作成] をクリックします。

  5. [作成] をクリックします。

    azure-vpn-gateway azure-vpn-gateway

    Azure VPN Gateway が作成されます。

仮想マシンを作成する

作成した Azure Virtual Network 内に仮想マシンを作成します。(今回は、SORACOM Door を経由して閉域網で接続するデバイスは、この仮想マシンにアクセスします。)

  1. Microsoft Azure Portal にログインし、[Virtual Machines] を選択します。

  2. [作成][Azure 仮想マシン] の順にクリックします。

    azure-vpn-gateway azure-vpn-gateway

  3. 以下の項目を設定します。

    項目説明
    [リソースグループ]Azure Virtual Network を作成する で指定したリソースグループを指定します。
    [仮想マシン名]作成する仮想マシンの名前。任意の名前を入力します。
    [地域]仮想マシンを作成するリージョンを選択します。この例では (Asia Pacific) Japan East を選択します。
    [イメージ]Ubuntu 20.04 LTS - x64 Gen2 を選択します。
    [サイズ]Standard_B1s を選択します。
    [認証の種類]SSH 公開キー を選択します。
    [SSH 公開キーのソース]SSH 公開キーを新規で生成する場合は 新しいキーの組を生成 を選択します。既存のキーの組があれば Azure に格納されている既存のキーを使用する を選択し、既存のキーを選択します。公開鍵を直接入力する場合は 既存の公開キー を選択します。ここでは、新しいキーの組を生成 を選択します。
    [キーの組名][SSH 公開キーのソース]新しいキーの組を生成 を選択したときは、新たに生成するキーの組名 (任意) を入力します。
    [パブリック受信ポート]「なし」を選択します。

    azure-vpn-gateway azure-vpn-gateway

    azure-vpn-gateway azure-vpn-gateway

  4. [次: ディスク>][次: ネットワーク>] の順にクリックします。

    [ディスク] タブでは何も設定しません。

  5. 以下の項目を設定します。

    項目説明
    [仮想ネットワーク]Azure Virtual Network を作成する で作成した仮想ネットワークを選択します。
    [サブネット]Azure Virtual Network を作成する で作成したサブネットを選択します。
    [VM が削除されたときにパブリック IP と NIC を削除する]チェックを入れます。

    azure-vpn-gateway azure-vpn-gateway

  6. [確認および作成] をクリックします。

  7. [作成] をクリックします。

    azure-vpn-gateway azure-vpn-gateway

    新しいキーの組を生成する場合、秘密鍵のダウンロードが求められます。

  8. [秘密キーのダウンロードとリソースの作成] をクリックします。

    azure-vpn-gateway azure-vpn-gateway

ステップ 2: VPG を作成する

SORACOM Door を利用するには、VPG Type-F (閉域網接続可能) を作成します。

azure-vpn-gateway azure-vpn-gateway

VPG を作成する手順について詳しくは、VPG を作成する を参照してください。なお、「VPG を追加」画面では、以下のように設定します。

項目説明
[名前]任意の名前を入力します。
[タイプ]「Type-F (閉域網接続可能)」を選択します。
[インターネットゲートウェイ]ON にします。
[ランデブーポイント] (*1)グローバルカバレッジでは、VPG の作成時に ランデブーポイント を「東京 (日本)」、「フランクフルト (ドイツ)」、「オレゴン (アメリカ)」から選択できます。(*2)
  • (*1) 日本カバレッジの VPG のランデブーポイントは、「東京 (日本)」に固定されているため、[ランデブーポイント] は表示されません。
  • (*2) グローバルカバレッジの IoT SIM やバーチャル SIM/Subscriber が VPG に所属している場合は、データ通信ができるエリア (国と地域) は、VPG のランデブーポイント、IoT SIM のサブスクリプション、IoT SIM を利用するデバイスの所在地によって、制限される場合があります。詳しくは、IoT SIM やバーチャル SIM/Subscriber が VPG に所属している場合 を参照してください。

ステップ 3: SORACOM Door の利用を申請する

  1. 以下のボタンをクリックして、 SORACOM Door 利用申請画面を表示します。

    SORACOM Door 利用申請

  2. 画面に従い必要事項を入力し申請します。以下の項目の入力がありますので、下記内容を記載します。

    項目説明
    [VPG Type-F の VPG ID]

    ステップ 2: VPG を作成する で作成した VPG ID。VPG ID は SORACOM ユーザーコンソールの VPG 一覧から確認できます。

    VPG 一覧を開く

    こちらのボタンからは日本カバレッジの VPG 一覧が表示されます。カバレッジの切り替え方法は こちら をご確認ください。

    azure-vpn-gateway azure-vpn-gateway

    [ご利用予定の VPN ゲートウェイ機器のベンダ名および型番]Azure VPN Gateway と入力します。
    [ご利用になる VPN ゲートウェイ機器に設定するグローバルIPアドレス(静的)]

    Azure VPN Gateway を作成する で作成した仮想ネットワークゲートウェイのパブリック IP アドレスを入力します。

    パブリック IP アドレスは以下の手順で確認できます。

    1. Microsoft Azure Portal にログインし、[仮想ネットワークゲートウェイ] を選択します。

    2. Azure VPN Gateway を作成する で作成した仮想ネットワークゲートウェイをクリックします。

    3. [概要] をクリックして、[パブリック IP アドレス] に表示されるパブリック IP アドレスを確認します。

    azure-vpn-gateway azure-vpn-gateway

    数営業日後を目途に VPN 接続のための情報が添付されたメールが送付されてきます。添付の情報には IPsec トンネル設定のための情報が 2 つ含まれます。

ステップ 4: Azure VPN Gateway を設定する

Azure VPN Gateway に 2 つの接続を追加し、 VPG と IPsec で VPN 接続します。

ローカルネットワークゲートウェイを作成する

  1. Microsoft Azure Portal にログインし、[ローカルネットワークゲートウェイ] を選択します。

  2. [+作成] をクリックします。

  3. 以下の項目を設定します。

    項目説明
    [リソースグループ]Azure Virtual Network を作成する で指定したリソースグループを指定します。
    [地域]ローカルネットワークゲートウェイを作成するリージョンを選択します。この例では Japan East を選択します。
    [名前]ローカルネットワークゲートウェイの名前です。任意の名前を入力します。
    [エンドポイント]IP アドレス を選択します。
    [IP アドレス]

    接続先となる VPG 側のグローバル IP アドレスを入力します。送付されたメールに添付のファイルの各 IPsec トンネル設定情報 #3: Tunnel Interface Configuration の項に記載されている Virtual Private Gateway の IP アドレスです。

    Outside IP Addresses:
      - Customer Gateway        : XX.XX.XX.XX
      - Virtual Private Gateway : XX.XX.XX.XX
    
    [アドレス空間]

    ステップ 2: VPG を作成する で作成した VPG のアドレス空間を指定します。 VPG のアドレス空間は、VPG の[デバイス LAN 設定][VPG の Gate Peer 一覧] で確認できる 2 つのトンネル接続用 IP アドレスが含まれるプレフィックス /27 の IP アドレス空間です。

    azure-vpn-gateway azure-vpn-gateway

    azure-vpn-gateway azure-vpn-gateway

  4. [確認および作成] をクリックします。

  5. [作成] をクリックします。

    azure-vpn-gateway azure-vpn-gateway

  6. もう 1 つの IPsec の情報をもとに手順 1 ~ 4 を実施し接続を追加します。

接続を追加する

  1. Microsoft Azure Portal にログインし、[仮想ネットワークゲートウェイ] を選択します。

  2. Azure VPN Gateway を作成する で作成した仮想ネットワークゲートウェイをクリックします。

  3. [接続][+追加] の順にクリックします。

    azure-vpn-gateway azure-vpn-gateway

  4. 以下の項目を設定します。

    項目説明
    [名前]接続の名前です。任意の名前を入力します。
    [接続の種類]サイト対サイト (IPsec) を選択します。
    [ローカルゲートウェイ][ローカルゲートウェイを選択する] をクリックし、ローカルネットワークゲートウェイを作成する で作成したローカルネットワークゲートウェイを選択します。
    [共有キー (PSK)]

    共有キーを入力します。共有キーは送付されたメールに添付のファイルの各 IPsec トンネル設定情報 #1: Internet Key Exchange Configuration の項の Pre-Shared Key に記載されています。

    - IKE version              : IKEv2
    - Authentication Method    : Pre-Shared Key
    - Pre-Shared Key           : <共有キー>
    - Authentication Algorithm : sha1
    - Encryption Algorithm     : aes-128-cbc
    - Lifetime                 : 28800 seconds
    - Phase 1 Negotiation Mode : main
    - Diffie-Hellman           : Group 2
    
    [IKE プロトコル]IKEv2 を選択します。

    azure-vpn-gateway azure-vpn-gateway

  5. [OK] をクリックします。

  6. もう 1 つの IPsec の情報をもとに手順 1 ~ 5 を実施し接続を追加します。

    追加した 2 つの接続の [状態] に、接続済み と表示されれば VPN 接続の成功です。

    azure-vpn-gateway azure-vpn-gateway

ステップ 5: IoT SIM が利用する VPG を切り替える

IoT SIM が、ステップ 2: VPG を作成する で作成した VPG を利用するように設定し、セッションを再確立します。詳しくは、IoT SIM が利用する VPG を切り替える を参照してください。

ステップ 6: 閉域網で接続する

VPG を使用するグループに所属する IoT SIM を利用するデバイスから、仮想マシンを作成する で作成した Amazon VPC 内の EC2 インスタンスにアクセスします。

  1. Microsoft Azure Portal にログインし、[Virtual Machines] を選択します。

  2. 仮想マシンを作成する で作成した仮想マシンをクリックします。

  3. [t] でプライベート IP アドレスを確認します。

    azure-vpn-gateway azure-vpn-gateway

  4. IoT SIM を利用するデバイスから、プライベート IP アドレスを利用してアクセスできることを確認します。

    以下は ping でアクセスする例です。

    $ ping 10.0.0.XXX -c 4
    
    64 bytes from 10.0.0.XXX : icmp_seq=1 ttl=63 time=22.2 ms
    64 bytes from 10.0.0.XXX : icmp_seq=2 ttl=63 time=16.9 ms
    64 bytes from 10.0.0.XXX : icmp_seq=3 ttl=63 time=18.3 ms
    64 bytes from 10.0.0.XXX : icmp_seq=4 ttl=63 time=18.1 ms
    

(参考) Door の利用を終了する

Door を用いた VPN 接続が不要になった場合は、ステップ 2: VPG を作成する で作成した VPG の利用を終了 / 削除してください。詳しくは、VPG の利用を終了する / 削除する を参照してください。