今日、ゴルフの練習しに打ちっぱなしに行ってきたのですが、久しぶりに『生命の危機』というものを感じました。

2枠後方が若者だったのですが、どうもスイングを見ていると初心者っぽい。ドライバーがんがん振り回しているわけです。

まぁまぁ、ありがちな光景だったのですが、自分もクラブ構えて打とうとした瞬間、背後で『ガンッ!』という打撃音とともに、さらに自分の後方で『ゴンッ!』と硬いものが跳ね返る音、次の瞬間、背後に何かが通り過ぎる気配と同時に、視界には転がっていくゴルフボール。

まさかと思って振り返ると、若者がドライバー振り切ったポーズでこっち見てました……。どーもドライバーでテンプラして天井に当たり、それが運悪く右後方に跳ね返って壁→自分の背後を通過、という流れっぽく。

いや、運が悪ければ当たってましたね……。くわばらくわばら。テンプラには気を付けよう!

というわけ(?)で、『生きてるよ☆』ってことでその3でございます。

前回まででNetwork ServiceとしてのWNV Gatewayの実装が完了したので、今回は仮想ネットワークにWNV Gatewayを登録する作業になります。

まず事前準備として2つの作業を行います。

まず最初は物理ネットワーク用の論理ネットワークとして作成した『Public Network』にIPプールを作成します。作成方法は割愛。

このプールに割り当てられたIPアドレスが、WNV GatewayでNATを設定した場合(設定自体は後述します)に、NAT用のIPアドレスとして割り当てられます。結構重要です。

wnvgateway_27

次に仮想ネットワークであるVMサブネットを作成します。こちらも作成方h(ry

wnvgateway_28

で、ここからが実際の登録作業になります。

作成したVMネットワーク(今回は『Blue Corp Network』)のプロパティーを開きます。

wnvgateway_29

『Connectivity』のタブを開くと、Network Service展開前は↓のような「Network Serviceがないよ!」という画面が表示されていたのですが……

wnvgateway_30

↓な感じで設定可能になります。まぁ、あいも変わらず未翻訳ですねぇ。

wnvgateway_31

というわけで、実際に設定してみるのですが、大きく分けて3つの設定があります。

1)『Connect to another network through a VPN tunnel』

他のNetworkとVPN接続するか、という設定ですね。これを有効にするとWNV Gateway上でVPN Endpointが形成され、IPSecによるVPN接続が可能になります。

追加設定として『Enable Border Gateway Protocol(BGP)』という設定が可能になります。

これは、ルーティングプロトコルのひとつであるBGPをVPN Tunnelを経由して対向のBGP RouterとPeerを張って動的ルーティング(ダイナミックルーティング)を実施できるようになるオプションです。

ちなみに、何回かチャレンジしていますが、いまだに設定方法がわかりません(マテ)<BGP over IPSec

成功したらBlogに書きます。

2)『Connect directly to an additional logical network』

論理ネットワークと直接接続するか、という設定です。ここでいう『論理ネットワーク』はVMM用語としての『論理ネットワーク』でして、論理ネットワークとしてWNV Gatewayで設定したネットワークなので、いわゆる物理ネットワークですな(ややこしい)。

で、接続方法として『Direct routing(直接ルーティング)』と『Network address translation(NAT)』の二者択一の選択になります。

『Direct routing(直接ルーティング)』は仮想ネットワークのアドレスをそのまま使用して通信を行う方式です。WNV Gatewayは単なるRouterとして稼働する事になります(あとNVGREの終端も兼ねますが)。

『Network address translation(NAT)』はその名の通り、WNV GatewayがNAT Routerとして稼働する為、仮想ネットワークのIP アドレスは隠蔽されて外部(物理ネットワーク)と通信する事になります。アドレスのバッティングが想定される場合にはこちらの接続になると思います。

3)『Gateway Device』

WNV Gatewayは複数設定可能なので、どのWNV Gateway VMを使用するか、を設定します。

下の方にちょっと書かれていますが(重要な事なんですけどね)、1 WNV Gateway VMあたり、50の仮想ネットワークと200のVPNトンネルを張る事ができまして、1つのWNV Gateway VMで複数のテナントをisorateされた状態で抱えることができる、まさにMulti-TenantなGatewayとして構成する事ができます。

が、数の制限もある事から、複数のWNV Gatewayのどれを使うか、という設定をする必要がある、という事です。

ここで重要なポイントが『VPNと論理ネットワークの接続設定が排他ではない』という事。つまり『特定のNetwork宛の通信はVPN経由で、それ以外の通信は論理ネットワークへRouting』という設定が可能、という事です。詳しくは後述します。

ここでは『VPN有効/BGP無効/NAT接続あり』の設定をします。ですんで↓のような感じですね。

wnvgateway_32

ここでもう一つ重要な事。ここで『OK』をクリックしないでください』。OKをクリックせずに、『VPN Connections』タブをクリックしてください

『VPN Connections』タブをクリックすると、VPN接続のための諸設定を行う画面に遷移します。

『Subnet』の欄には、WNV Gatewayの仮想ネットワーク側のNICに設定したサブネット、つまり『10.254.254.0/29』を入力します。WNV Gateway VMを作成した際に、10.254.254.2/29以外を設定した場合には、その設定したネットワーク設定に従ってサブネットを入力してください。

入力したら『追加』ボタンをクリックします。

wnvgateway_33

『追加』ボタンが何を追加するかというと、VPN接続対向先やVPNの先のネットワークを追加する事になります。

この設定は接続対地ごとに設定していきます(VPN Endpointごとといった方が分かり易い人も?)。

まず最初の設定『VPN connection』では、VPN接続対向のアドレス(VPNの接続先)を指定します。

『名前』は識別子ですので適当に、『VPN endpoint』はVPN接続先のアドレスを入力します。

『Bandwidth』はおそらくVPN接続時のQoS(帯域制御)設定かと思われますが、テストしてません。そのうちにテストします。

で、↓のように設定したら『Authentication』をクリックします。

wnvgateway_34

『Authentication』ではVPNの接続認証設定を行います。

一般的なVPN機器での認証方法で一番お手軽なのは『事前共有鍵(Pre-Shared Key)』設定かと思います(証明書認証とかの方が強度は高いかも知れませんが、あくまでお手軽第一で)。

このWNV GatewayでもPre-Shared KeyでのVPN設定が可能です。『Authentication using the following credentials』を選択して『参照』をクリックします。

wnvgateway_35

Pre-Shared Keyを実行アカウントとして指定するので、まず実行アカウントを作成します。

『実行アカウントの作成』をクリックします。

wnvgateway_36

実行アカウントの作成画面になります。ここで重要なのは『パスワード』。パスワードをPre-Shared keyとして使用する事になりますが、ユーザー名その他は一切無視されます。設定するPre-Shared keyをパスワードとして設定し、『OK』をクリックします。

wnvgateway_37

で、出来上がった実行アカウントを選択して↓のようになります。続いて『Routes』をクリックします。

wnvgateway_38

『Routes』では、VPN経由で接続するNetworkをSubnet単位で指定します。

『add』をクリックすると、Subnetを入力する欄が追加されますので、VPNの先に存在するCIDR形式でsubnetを入力します。入力が完了したら最後の『Advanced』をクリックします。

wnvgateway_39

『Advanced』では、実際のIPSecの諸定義を行います。

いわゆるPhase-1認証/暗号化、Phase-2認証/暗号化の設定になるのですが……。素直にPhase-1とか書いてください……。

とりあえず今回は対向をRRAS Serverで実装しますので、『Use default connection setting』で問題ないです。VPN機器(FortigateとかASAとか)と接続する際はちょっと変更が必要になりますけどね。

wnvgateway_40

設定が完了したら『Network Address translation(NAT)』タブをクリックします。

このタブでは、外部Networkと通信する際に行うNAT処理を定義します。

NAT Addressはあらかじめ作っておいた『論理ネットワークのIPプール』を選択します。

『Specify network address translation(NAT) rules:』というのが何かというと、いわゆるDest NAT設定でして、Port Fowarding設定という感じです。

面倒なので、今回は設定しません(マテ)。従って、デフォルトのままでOKです。

wnvgateway_41

最後に『アクセス』タブを開いて、なにもせずに『OK』をクリックして作業完了です。

wnvgateway_42

ジョブの実行状況を確認すると、計4つのジョブが実行されています。

wnvgateway_43

実際にWNV Gatewayとして指定したWNV Gateway VMにサインインして『route print』なぞ叩いてみると……

wnvgateway_44

こんな感じで『Blue Corp Network』のSubnetがStatic Routeとして自動的に追加されています。Routing先はお約束なホストアドレス『1』なNVGREの仮想G/Wですね。

この状態で、既に仮想Network上のVMから外部通信(Internet通信等々)ができるようになっているはずなので、実際にWindows Update等々を実施してみてください。

では、次回はVPN接続の確認、というか、対向のRRAS Serverの設定を行います。