Site to Site VPNs

WhyAlwaysMe101 · May 31, 2025, 8:57pm

皆さんこんにちは

サードパーティのNVAやAzure Firewallを使っている場合、サイトツーサイトVPNはどう管理していますか？

JeroenPot · May 31, 2025, 8:57pm

Azure VPN GatewayまたはNVAです。

akindofuser · May 31, 2025, 8:57pm

「ハンドル」とは何を意味しますか？他のことと同じように設定、監視、管理します。私は60以上のS2Sを管理しており、その中にはVNGベースのものといくつかのERもあります。

Skip-2000 · May 31, 2025, 8:57pm

NVAを持っている場合、それにルーティングします。Azureファイアウォールにはサイトツーサイトの設定はありません。

mikey_rambo · May 31, 2025, 8:57pm

NVAはコストが安いS2Sです

またはAzure VNG/LNGを使用します。

Natural-Nectarine-56 · May 31, 2025, 8:57pm

Azureの仮想ゲートウェイです。昨日FortiGateで2つ作成しました。

The_RaptorCannon · May 31, 2025, 8:57pm

従来のハブ＆スポークモデルです。その他はハブに接続するスポークで、そのハブにはNVAを含む。ハブネットワーク内にAzure VPNゲートウェイを配置し、そこからS2SやエクスプレスルートVPNに接続します。私たちはAzure FirewallではなくサードパーティのNVAを使用しています。

SDWANを導入するとルート設定が非常に難しくなります。幸運を！

iowatechguy · May 31, 2025, 8:57pm

諦めました。既存のVPNで動かそうとしましたが、コンサルタントがうまくいきませんでした。Azure VPNゲートウェイも検討しましたが、私たちのユーザーが反発しました。

dinotoxic · May 31, 2025, 8:57pm

Azureのハブネットワーク内のAzure Firewallを含む仮想ゲートウェイが推奨されます。これにより、容易なアップタイムSLAと管理不要が実現します。

既にAzureにサードパーティのNVAを配置している場合は、それをそのまま使用してください（ハブネットワーク内にある前提）。耐障害性を設計する必要があります。2つのVMを展開し、IKEv2トンネルを設定します。おそらくAzureルートサーバーも必要になり、動的ルーティングやBGPが楽になります。ロードバランサも必要です。

この記事を読む: 高可用性 NVA をデプロイする - Azure Architecture Center | Microsoft Learn

isaiiah · May 31, 2025, 8:57pm

私たちはオンプレミスにFortigateファイアウォールを持ち、そのためAzureにもFortigateを展開しました。そこを通じてサイトツーサイトの設定を行い、FortiClientでP2Sも利用しています。

TheCitrixGuy · May 31, 2025, 8:57pm

VPNはどのように設定していますか？NVAで設定していますか、それともAzure VPNゲートウェイを使っていますか？

TheCitrixGuy · May 31, 2025, 8:57pm

FortiGatesとAzure VPNゲートウェイを使用していますか？

TheCitrixGuy · May 31, 2025, 8:57pm

サードパーティとAzure VPNゲートウェイの両方を持っていますか？

akindofuser · May 31, 2025, 8:57pm

VNGです。手頃なNVAを見つけられれば、そちらを使いたいのですが。無料オプションのfrrouterも選択肢に入らないです。

【追記】設定は非常に標準的なIKEv2ポリシーのルートベースモードです。PAN、Checkpoint、Fortigate、Cisco ASA、Firepowerなどと接続しています。Azure VNGのIPSEC機能は非常に信頼性があります。顧客の設定ミス以外の問題に遭遇したことはほとんどありません。

ただし、NVAが魅力的に見える理由もあります。VNGはルーターとしては使い勝手が悪いです。GREサポート無し、不安定なBGP動作（特に新しいAPIPA機能と併用時）、BGPコミュニティのサポート無し、Azure BGPに関する制限により「仮想WAN」トポロジーが必要となるなど、BGPとIGPが何十年も前に解決した用件を解決できません。ツールも貧弱で、パケットキャプチャや直接ネットワークテスト（ping、traceroute等）ができません。

NVAは、必要に応じてすべてを行えるネットワークアプライアンスですが、コストが高くつきます。

mikey_rambo · May 31, 2025, 8:57pm

はい、既存のNVAがある場合は、新しい接続を追加するだけです。

The_RaptorCannon · May 31, 2025, 8:57pm

サードパーティとエクスプレスルートVPNです。エクスプレスルートVPNはS2S VPNに切り替え可能です。ゲートウェイサブネットに両方を配置できますが、エクスプレスルートVPNは常にS2S Azure VPNより優先されます（少し前にそれを試みたとき、MSによってシャットダウンされました）。

TheCitrixGuy · May 31, 2025, 8:57pm

VPNをNVAで終了させるのは理由がありますか？

Natural-Nectarine-56 · May 31, 2025, 8:57pm

私がAZ-104を勉強していて、試験のために設定していたからですそのリンクはこちら IPsec VPN to Azure with virtual network gateway | FortiGate / FortiOS 6.2.12 | Fortinet Document Library

Dus-Dee · May 31, 2025, 8:57pm

私が疑問に思っているのは、PaloやFortigateの場合はNVAが両方を処理しますが、Azure Firewallを使う場合はVNGが必要になる理由です。Azure Firewall自体はVPNをしないからです。ExRやVPNに使用されている場合を除きます。

levelupirl · May 31, 2025, 8:57pm

AzureのPalo Altoリファレンスアーキテクチャでは、VPNはAzure VPNゲートウェイで終了します。これは、2つのファイアウォールが内部負荷分散器の背後でHAとして動作しているためです。