OSSのIPsec VPN「libreswan」でオンプレミスとクラウドのハイブリッド構成を実現する!(2/2)

こんにちは。技術部の髙岡です。

前回のブログで、Azure VPN Gatewayとlibreswanを使ったIPSec VPN構成の内、Azure VPN Gatewayの構築部分を説明しました。

構成図

今回は、オンプレ側のLinuxをVPNルータに仕立て上げるlibreswanの構築と、Azure側のサーバとの間での疎通確認を説明します。

オンプレ側の作業

libreswanの導入と設定

インストールはこれだけです。

プライベートキーや証明書が入っているNSSデータベースを初期化します。

全般的な設定をします。
ipsec.confはデフォルトのままでいいのですが、ログの出力先をわかりやすくするために10行目に「logfile=/var/log/pluto.log」を追記しました。

IKEの事前共有キーとして、Azure VPN Gawewayで指定した共有キーと同じ文字列を指定します。
設定ファイル名は適当でいいので、わかりやすい名前をつけてください。
但し、「/etc/ipsec.secrets」ファイルに「include /etc/ipsec.d/*.secrets」にインクルードすると書いてあるので、末尾に.secretsをつけます。

詳細を設定します。
上記同様、設定ファイル名は適当でいいので、わかりやすい名前をつけてください。
但し、「/etc/ipsec.conf」ファイルに「include /etc/ipsec.d/*.conf」にインクルードすると書いてあるので、末尾に.confをつけます。
left〜、right〜というパラメータがありますが、オンプレ側とAzure側のどちらかをleft〜、right〜に決めてもらえれば大丈夫です。
今回は、left〜(左)をオンプレ側、right〜(右)をAzure側にしてみました。

サービスを起動して、設定をチェックします。

上記で[OK]以外となった箇所に関するカーネルパラメータを修正します。

再びチェックします。全部OKとなりました。

ルーティングの設定

デフォルトルートが外向けのNICでない場合は、Azure側のローカルネットワーク「192.168.250.0/24 」に向けたスタティックルートを追加します。

オンプレ側サーバの導入

オンプレ側サーバを、以下の設定で構築します。
IPアドレス:192.168.56.2
デフォルルート:192.168.56.101(libreswanを導入したサーバ)

その他、特に注意事項もありませんので、詳細を割愛します。

疎通確認

オンプレ側のサーバ -> Azure側サーバへのpingを打ってみます。

libreswanを入れたオンプレ側のLinuxをVPNルータで、中継しているパケット送受信状況をtcpdumpで確認してみました。
192.168.56.102(オンプレ側のサーバのローカルIP)->192.168.250.4(Azure側のサーバのローカルIP)へ、ICMP eho requestに対するreplyが返ってきていることがわかります。
ローカルのIP同士で疎通が通っていることもわかります。

同じように、Azure側のサーバのパケット送受信の状況を、tcpdumpで確認してみました。
192.168.56.102(オンプレ側のサーバのローカルIP)->192.168.250.4(Azure側のサーバのローカルIP)へ、ICMP eho requestに対するreplyが返ってきていることがわかります。





ご覧いただきありがとうございます。
ブログの最新情報はSNSでも発信しております。
ぜひTwitterのフォロー&Facebookページにいいねをお願い致します!



>> 雑誌等の執筆依頼を受付しております。
   ご希望の方はお気軽にお問い合わせください!


ご覧いただきありがとうございます! この投稿はお役に立ちましたか?

役に立った 役に立たなかった

0人がこの投稿は役に立ったと言っています。

コメント投稿

メールアドレスは表示されません。


*