自分でvpnゲートウェイを構築することは可能ですか？

7Geordi · June 1, 2025, 1:33am

Azure VPNゲートウェイを見ていると、小さな仮想マシンでもずっと安くできるように思えます。何か見落としていることはありますか？設定のためのガイドやハウツーを作成した人はいますか？

burlingtongolfer · June 1, 2025, 1:33am

はい、可能です。ネットワーク仮想アプライアンスやルートテーブルについて調べてみてください。

おそらく、VPNゲートウェイの内蔵提供の冗長性の要素をコスト面で見落としているのでしょう。

vonjazzy · June 1, 2025, 1:33am

このケースでは自分で構築しようとするのは控えた方がいいです。何か問題が起きたときに修正できる人は誰ですか？VPNゲートウェイはMSがサポートし、動作も保証されます。あなたやあなたの会社の時間やストレスを節約する価値はどれくらいありますか？IMOは、ストレスフリーな選択を選びましょう。すでに対処すべきことは十分にあります。

Varjohaltia · June 1, 2025, 1:33am

Azure VPNゲートウェイについて:

パッチ適用やアップグレード、ライフサイクル管理の心配がいらない。
ライセンスの心配も不要です。
高い帯域幅（数十ギガビット）までスケーリング可能。
サポートの唯一の窓口（Microsoft）。
ネイティブのロギングとメトリクス（制限付きですが）

Azure VPNゲートウェイのデメリット:

機能が制限されている。
一部の操作は影響を与える。

自分のNVAについて:

商用ファイアウォールNVAははるかに多くの機能を持っている。
商用ファイアウォールNVAはデバッグオプションもかなり優秀です。

自分のNVAの問題点:

サポートケースにはMicrosoftやベンダーが関与する必要があるかもしれません。
ライセンスの整理が必要です。
HA（冗長性）の設定は簡単ではありません。
帯域幅が一台のボックスの処理能力を超える場合のスケーリングは非常に難しいです。
アップデートやパッチ、メンテナンスに注意が必要です。
社内の専門知識が必要です。
おそらくコストも高くなる。

オープンソースなどを使って完全に構築する場合:

安価です。
独自NVAのメリットはすべて享受できます。

自分でビルドする場合の欠点:

NVAのスケーリングやHAの課題。
サポートが受けられない。
自分の知識に自信があり、大きなセキュリティホールを開けるリスクを理解している必要があります。

chandleya · June 1, 2025, 1:33am

「同じこと」をB-SerieのPFsense VMと学習によって実現可能です。

しかし、やらない方がいいです。

mezbot · June 1, 2025, 1:33am

あなたのニーズは何ですか？それが単に少数のユーザ向けのP2Sで、HAなどを気にせず管理したい場合は、安価なVPNアプライアンスやVMを簡単に導入できます。もっと大規模なものであれば、ゲートウェイを選ぶのが良いでしょう。

Ethan_Holland17 · June 1, 2025, 1:33am

AzureマーケットプレイスのOpenVPNソリューションを使用すれば、同時接続2台まで無料です。シングルVM上で動作します（VMに関するいくつかの条件があると思いますが、ほとんど覚えていません）。ホームラボに最適です。

私もAzure VPNを使って苦労した経験があります。AZ500の資格勉強中に動かしっぱなしにしてしまったこともありますが。

RedditBeaver42 · June 1, 2025, 1:33am

なぜ自分たちでクラウドを作らないのですか？

incognito5343 · June 1, 2025, 1:33am

VMを導入してpfsenseを動かすことも可能です。顧客がSophosゲートウェイをインストールしてVPNを使っている例も見ましたが、主な目的ではありませんでした。

rswwalker · June 1, 2025, 1:34am

次のアプローチを実行し、wireguardからikev2やl2tpまで拡張できます:

ただし、最終的なコストはAzure VNet Gatewayより大きくなく、これらのVMのメンテナンスも必要になります。これもコストがかかる要素です。

Anonymous · June 1, 2025, 1:34am

そしてこれは、小さなVMでもはるかに安くできるように思えます。

実際にはそうではありません。Azure VPNゲートウェイはHA構成になっており、市販のアプライアンスや適当なVMを使っても技術的にはこれが可能ですが、それはHAや本当のIaaSにはなりません。HAを実現するには非同期ルートが必要ですが、これは古い手法です。なぜクラウドを使ったのですか？AzureのネットワークコンポーネントをFortigateやPaloに置き換えるのは1対1ではなく、多くのクラウドのメリットを失います。私は物理データセンターネットワークエンジニアだった経験からこういうことを言います。クラウドにネットワーク機器をリフトアンドシフトするのは嫌いです。

ollivierre · June 1, 2025, 1:34am

Opensense + wire guardやTailscaleで十分です。

Anonymous · June 1, 2025, 1:34am

私たちはMerakiのアプライアンスを使用しています。ldapsをローカルオフィスと行うのにも便利です。

Ethan_Holland17 · June 1, 2025, 1:34am

AzureマーケットプレイスでOpenVPNをクリックすると、VMの種類とサイズを選択でき、その後自動的にセットアップされます。

kiddj1 · June 1, 2025, 1:34am

この議論はいつも仕事で繰り返され、結局のところ

Microsoftが提供するソリューションを選べばコストが高くなりストレスも少なくなる

自分たちで構築すればストレスが増え、エンジニアリング時間も長くなり、ダウンタイムも多くなる

うまくいった例もありますが、コスト差を考えると、より簡単な選択をしたいです。

TheDroolingFool · June 1, 2025, 1:34am

MSサポートに関わるのは「ストレスフリーな選択」とは呼べません。個人的には、特に最近、サポートの質がひどく落ちていると感じます。

エージェントが頻繁に呼び出しや画面共有を要求し、メールで十分な情報提供をしているのに、数日後に会話をしても何を聞けばいいかわからない状態にされる。
結構な時間を無駄にしてしまう。
製品や問題を理解しておらず、Googleから情報を読み上げて誤魔化す。
犬の鳴き声や騒音の中、在宅勤務のように見えるスタッフ。
スレについてエスカレーションしても返答までに長い時間がかかる。
8週間も続いているMicrosoft 365の簡単な問題のチケットが未解決のまま。

誰がMicrosoftサポートを統括しているのか、特に外注チームは本当にひどいです。