アドバイス求む:小規模ビジネス向けAzure VPN設定 - IKEv2のルーティング問題

Site Feedback
1

みなさん、こんにちは。

友人の小さな会社のサーバーが壊れた後、クラウドへの移行を手伝っています。最大5人のユーザーがおり、そのうち2人は頻繁に在宅勤務しています。

しかし、いくつかの課題に直面しています。小規模な会社なので、Azure VPN Gateway SKUに払う予算を避けたいのです。それは月額140ドルから始まります。代わりに、基本SKUを展開し、オンプレミスのネットワークをAzureに接続しました。一部のアプリケーションはActive Directory(AD)による認証を必要とします。

最初はモバイルSSL VPNを設定しましたが、非常に遅くて使い物になりませんでした。助言を得て、IKEv2モバイルVPNにアップグレードしました。

ネットワークの詳細は以下の通りです。

Azure DC: 10.3.1.4/16

Azureサブネット: 10.3.1.0/16

ローカルネットワーク: 10.1.1.0/24

モバイルVPN SSL: 10.1.10.0/24

IKEv2モバイルVPN: 10.1.20.0/24

静的ルートをいくら設定しても、どのローカルアドレスに割り当てても正しくルーティングできません。IKEv2 VPNに接続していると、ユーザーはドメインコントローラー(DC)を見てpingできますが、AzureのDCやネットワーク、サブネットへはルーティングできません。

現在のWatchGuard(12.3.0)のバージョンでは、ルールを設定してVPNトラフィックをトンネル経由に強制することはできないようです。多分、NATを設定してユーザーが外部ネットワークにアクセスできるようにする必要があります。

これまでの唯一の解決策は、IKEv2モバイルVPNの仮想アドレスプールをローカルネットワークと一致させることでした。ただ、これによりIPアドレスの重複が生じ、将来的に重大な問題を引き起こす可能性があります。でも、これは今のところ唯一動作した方法です。

質問です:

このシナリオでIPアドレスの重複を放置しても問題ありませんか?それとも災害の元になりませんか?

他に試すべき解決策はありますか?

システムをアップグレードするための延長ライセンス投資を検討しています。とりあえずの間に、何か提案やアイデアがあれば大変ありがたいです。

事前にご協力ありがとうございます!

シャーン

2

ファイアウォールのモデルは何ですか?12.3はかなり古いです…現在は12.10.3です。ドキュメントは見ましたか?

3

最初の構成後にAzure VPNゲートウェイのサブネットに変更を加えましたか?

4

トラブルシュートのためのいくつかの質問/コメント:

  1. 12.3.0は非常に古いです。約5年前のものです。Fireboxが最新のファームウェアで動作していることを確認してください。互換性とセキュリティのためです。
  2. Firebox自体がAzureリソースにpingを送れますか?WebUI内蔵の診断ツールを使ってテストできます。
  3. #2がYesの場合、Azure側のトンネルにIKEv2仮想IPプールのルートはありますか
  4. Azureのネットワークセキュリティグループは、IKEv2仮想IPプールからのネットワークアクセスを許可していますか?
  5. それでもダメなら、トンネルインターフェースと仮想IPプールのパケットキャプチャは何を示しますか?
5

他の人と同様、あなたのファイアウォールのバージョンは少し気になります。お客様によって基本やゲートウェイスキューを使ったbovpns/bovpnvifsがいくつかあります。詳細な設定についてもう少し話せると助かります。私に直接メッセージを送ることも可能ですし、連絡先情報も送れます。

6

こんにちは!ご回答ありがとうございます。私はT35 FireBoxを使っています。ライセンスの支払いを済ませており、配送を待っています。

7

Xorosaurusさん、ご返信ありがとうございます。ライセンス待ちです。

  1. Firebox自体がAzureリソースにpingできますか?WebUIに組み込まれた診断ツールを使ってテストできます。

Firebox自体はAzure VMに到達できませんが、現在、IKEv2モバイルVPNのアドレスプールはオンプレミスのローカルネットワークと同じ10.1.1.0/24に設定されており、Azure VM10.3.1.4にpingできます。ただし、サブネットを変えるとpingできなくなります。

  1. トンネルにIKEv2の仮想プール用のルートは設定されていますか?

設定済みですが、いまだに変化はありません。

  1. AzureのNSGはIKEv2の仮想プールからのネットワークアクセスを許可していますか?

現状では許可していません。ただし、10.1.1.0にはルールがなくても動作しています。

パケットキャプチャを試みて、また連絡します。