次の方法で共有


Fortigate による VNet 間接続

この記事では、同じ環境内の 2 つの仮想ネットワーク間の接続を作成する方法について説明します。 接続を設定しながら、Azure Stack Hub での VPN ゲートウェイのしくみを学習します。 Fortinet FortiGate を使用して、同じ Azure Stack Hub 環境内で 2 つの VNET を接続します。 この手順では、各 VNET で FortiGate NVA (ネットワーク仮想アプライアンス) を使用して、2 つの VNET をそれぞれ別個のリソース グループ内にデプロイします。 また、2 つの VNET 間に IPSec VPN を設定するために必要な変更についても詳しく説明します。 VNET のデプロイごとに、この記事の手順を繰り返します。

前提条件

  • このソリューションで求められるコンピューティング要件、ネットワーク要件、リソース要件をデプロイするために必要とされる空き容量を持つシステムへのアクセス。

  • Azure Stack Hub Marketplace にダウンロードされ、発行されているネットワーク仮想アプライアンス (NVA) ソリューション。 NVA は、境界ネットワークから他のネットワークまたはサブネットへのネットワーク トラフィックのフローを制御します。 この手順では、「Fortinet FortiGate の次世代ファイアウォールの単一の VM ソリューション」を使用します。

  • FortiGate NVA をアクティブにするための、2 つ以上の有効な FortiGate ライセンス ファイル。 これらのライセンスを取得する方法については、Fortinet ドキュメント ライブラリの「ライセンスの登録とダウンロード」の記事を参照してください。

    この手順では、「単一の FortiGate-VM デプロイ」を使用します。 FortiGate NVA を Azure Stack Hub VNET に接続する手順については、オンプレミス ネットワーク内で確認できます。

    アクティブ/パッシブ (HA) 設定で FortiGate ソリューションをデプロイする方法の詳細については、Fortinet ドキュメント ライブラリの「Azure 上の FortiGate-VM の HA」の記事を参照してください。

展開のパラメーター

次の表には、これらのデプロイで使用されているパラメーターが参照用にまとめられています。

デプロイ 1: Forti1

FortiGate のインスタンス名 Forti1
BYOL ライセンス/バージョン 6.0.3
FortiGate の管理ユーザー名 fortiadmin
リソース グループ名 forti1-rg1
仮想ネットワーク名 forti1vnet1
VNET のアドレス空間 172.16.0.0/16*
パブリック VNET サブネット名 forti1-PublicFacingSubnet
パブリック VNET アドレス プレフィックス 172.16.0.0/24*
VNET 内部サブネット名 forti1-InsideSubnet
VNET 内部サブネット プレフィックス 172.16.1.0/24*
FortiGate NVA の VM サイズ 標準 F2s_v2
パブリック IP アドレス名 forti1-publicip1
パブリック IP アドレスの種類 静的

デプロイ 2: Forti2

FortiGate のインスタンス名 Forti2
BYOL ライセンス/バージョン 6.0.3
FortiGate の管理ユーザー名 fortiadmin
リソース グループ名 forti2-rg1
仮想ネットワーク名 forti2vnet1
VNET のアドレス空間 172.17.0.0/16*
パブリック VNET サブネット名 forti2-PublicFacingSubnet
パブリック VNET アドレス プレフィックス 172.17.0.0/24*
VNET 内部サブネット名 Forti2-InsideSubnet
VNET 内部サブネット プレフィックス 172.17.1.0/24*
FortiGate NVA の VM サイズ 標準 F2s_v2
パブリック IP アドレス名 Forti2-publicip1
パブリック IP アドレスの種類 静的

Note

* 上記が何らかの形 (いずれかの Azure Stack Hub の VIP プールなど) でオンプレミス ネットワーク環境と重複する場合は、別のセットのアドレス空間とサブネット プレフィックスを選択してください。 また、アドレス範囲が互いに重複していないことを確認してください。

FortiGate NGFW をデプロイする

  1. Azure Stack Hub ユーザー ポータルを開きます。

  2. [リソースの作成] を選択し、FortiGate を検索します。

    検索結果の一覧に、

  3. [FortiGate NGFW] を選択し、[作成] を選択します。

  4. デプロイで使用されるパラメーター」の表にあるパラメーターを使用して、[基本] を入力します。

    [基本] 画面に、リストおよびテキスト ボックスで選択および入力したデプロイ パラメーターの値が表示されています。

  5. [OK] を選択します。

  6. デプロイで使用されるパラメーター」の表を使用して、仮想ネットワーク、サブネット、VM サイズの詳細を指定します。

    警告

    オンプレミス ネットワークが IP 範囲 172.16.0.0/16 とオーバーラップする場合は、別のネットワーク範囲とサブネットを選択して設定する必要があります。 「デプロイで使用されるパラメーター」の表にあるものとは別の名前や範囲を使用する場合は、オンプレミス ネットワークと競合しないパラメーターを使用してください。 VNET 内の VNET IP 範囲やサブネットの範囲を設定するときは注意してください。 その範囲がオンプレミス ネットワークに存在する IP 範囲とオーバーラップすることは望ましくありません。

  7. [OK] を選択します。

  8. Fortigate NVA のパブリック IP を次のように構成します。

    [IP 割り当て] ダイアログ ボックスで、[パブリック IP アドレス名] に値 forti1-publicip1 が表示され、[パブリック IP アドレスの種類] に値 [静的] が表示されています。

  9. [OK] を選択します。 [OK] を選択します。

  10. [作成] を選択します

デプロイには約 10 分かかります。

各 VNET のルート (UDR) を構成する

forti1-rg1 と forti2-rg1 の両方のデプロイで、次の手順を実行します。

  1. Azure Stack Hub ユーザー ポータルを開きます。

  2. [リソース グループ] を選択します。 フィルターに「forti1-rg1」と入力し、forti1-rg1 リソース グループをダブルクリックします。

    forti1-rg1 リソース グループに対して 10 個のリソースが一覧表示されています。

  3. forti1-forti1-InsideSubnet-routes-xxxx リソースを選択します。

  4. [設定] で、[ルート] を選択します。

    [設定] ダイアログ ボックスで [ルート] ボタンが選択されています。

  5. [to-Internet]\(インターネットへ\) ルートを削除します。

    [インターネットへのルート] が一覧表示されている唯一のルートであり、選択されています。削除ボタンがあります。

  6. [はい] を選択します。

  7. [追加] を選択して、新しいルートを追加します。

  8. ルートに to-onprem という名前を付けます。

  9. VPN が接続されるオンプレミス ネットワークのネットワーク範囲を定義する、IP ネットワーク範囲を入力します。

  10. [次ホップの種類] として [仮想アプライアンス] を選択し、172.16.1.4 とします。 別の IP 範囲を使用している場合は、その IP 範囲を使用します。

    [ルートの追加] ダイアログ ボックスに、テキスト ボックスで選択および入力した 4 つの値が表示されています。

  11. [保存] を選択します。

各 FortiGate NVA をアクティブにするには、Fortinet が提供する有効なライセンス ファイルが必要です。 各 NVA がアクティブになるまで、NVA は機能しません。 ライセンス ファイルを取得する方法と NVA をアクティブにする手順については、Fortinet ドキュメント ライブラリの「ライセンスの登録とダウンロード」の記事を参照してください。

2 つのライセンス ファイル (NVA ごとに 1 つ) を取得する必要があります。

2 つの NVA 間に IPSec VPN を作成する

NVA がアクティブになったら、次の手順に従って、2 つの NVA 間に IPSec VPN を作成します。

forti1 NVA と forti2 NVA の両方について、次の手順に従います。

  1. fortiX VM の概要ページに移動して、割り当てられたパブリック IP アドレスを取得します。

    forti1 仮想マシンの [概要] ページには、[リソース グループ] や [状態] などの forti1 の値が表示されています。

  2. 割り当てられた IP アドレスをコピーし、ブラウザーを開いてアドレス バーにそのアドレスを貼り付けます。 セキュリティ証明書が信頼されていないという警告がブラウザーに表示される場合があります。 そのまま続行します。

  3. デプロイ中に指定した FortiGate の管理ユーザー名とパスワードを入力します。

    [ログイン] ダイアログ ボックスには、ユーザーとパスワード用のテキスト ボックスと [ログイン] ボタンがあります。

  4. [System]\(システム\)>[Firmware]\(ファームウェア\) を選択します。

  5. 最新のファームウェアを示すボックスを選択します (例: FortiOS v6.2.0 build0866)。

    [ファームウェア] ダイアログ ボックスには、ファームウェア識別子

  6. [Backup config and upgrade]\(コンフィグをバックアップしてアップグレード\)>[Continue]\(続行\) を選択します。

  7. NVA でファームウェアが最新のビルドに更新され、再起動されます。 このプロセスには約 5 分かかります。 FortiGate Web コンソールにもう一度ログインします。

  8. [VPN]>[IPSec Wizard]\(IPSec ウィザード\) をクリックします。

  9. VPN の名前を入力します。たとえば、[VPN Creation Wizard]\(VPN 作成ウィザード\) で「conn1」と入力します。

  10. [This site is behind NAT]\(このサイトは NAT の背後にある\) を選択します。

    VPN 作成ウィザードのスクリーンショットには、最初の手順である VPN セットアップが表示されています。[テンプレートの種類] には [サイト間]、リモート デバイスの種類には

  11. [次へ] を選択します。

  12. 接続先となるオンプレミスの VPN デバイスのリモート IP アドレスを入力します。

  13. [Outgoing Interface]\(送信インターフェイス\) として [port1] を選択します。

  14. [Pre-shared Key]\(事前共有キー\) を選択し、事前共有キーを入力 (および記録) します。

    Note

    このキーは、オンプレミスの VPN デバイスで接続を設定するために必要であるため、"正確に" 一致する必要があります。

    [VPN Creation Wizard]\(VPN 作成ウィザード\) のスクリーンショットは、2 番目の手順である [Authentication]\(認証\) を示し、選択した値が強調表示されています。

  15. [次へ] を選択します。

  16. [Local Interface]\(ローカル インターフェイス\) として [port2] を選択します。

  17. 次のローカル サブネットの範囲を入力します。

    • forti1: 172.16.0.0/16
    • forti2: 172.17.0.0/16

    別の IP 範囲を使用している場合は、その IP 範囲を使用します。

  18. オンプレミスの VPN デバイスを介して接続する、オンプレミス ネットワークを表す適切なリモート サブネットを入力します。

    • forti1: 172.16.0.0/16
    • forti2: 172.17.0.0/16

    別の IP 範囲を使用している場合は、その IP 範囲を使用します。

    VPN 作成ウィザードのスクリーンショットには、3 番目の手順であるポリシーとルーティングが表示されています。選択した値と入力された値が表示されます。

  19. [作成] を選択します

  20. [Network]\(ネットワーク\)>[Interfaces]\(インターフェイス\) を選択します。

    インターフェイスの一覧には、ポート 1 (構成済み) とポート 2 (未構成) の 2 つのインターフェイスが表示されます。インターフェイスを作成、編集、削除するためのボタンがあります。

  21. [port2] をダブルクリックします。

  22. [Role]\(ロール\) の一覧から [LAN] を、アドレス指定モードとして [DHCP] を選択します。

  23. [OK] を選択します。

他の NVA に対して同じ手順を繰り返します。

すべてのフェーズ 2 セレクターを表示する

"両方" の NVA で上記が完了したら、次のようにします。

  1. forti2 の FortiGate Web コンソールで、[Monitor]\(モニター\)>[IPsec Monitor]\(IPsec モニター\) を選択します。

    VPN 接続 conn1 のモニターが一覧表示されます。対応するフェーズ 2 セレクターと同様に、ダウン状態として表示されます。

  2. conn1 を強調表示し、[Bring Up]\(表示\)>[All Phase 2 Selectors]\(すべてのフェーズ 2 セレクター\) を選択します。

    モニターとフェーズ 2 セレクターは両方とも稼働中として表示されています。

接続のテストと検証

これで、FortiGate NVA を介して各 VNET 間をルーティングできるようになりました。 接続を検証するには、各 VNET の InsideSubnet に Azure Stack Hub VM を作成します。 Azure Stack Hub VM の作成は、ポータル、Azure CLI、または PowerShell を使用して行うことができます。 VM を作成する際は、次の手順に従います。

  • Azure Stack Hub VM は、各 VNET の InsideSubnet に配置されます。

  • VM の作成時には、NSG は適用しません (ポータルから VM を作成する場合は、既定で追加される NSG を削除してください)。

  • 接続をテストするために使用する通信が VM のファイアウォール規則によって許可されていることを確認します。 テスト目的の場合は、可能な限り、OS 内でファイアウォールを完全に無効にすることをお勧めします。

次のステップ

Azure Stack Hub ネットワークの違いと考慮事項
Fortinet FortiGate を使用して Azure Stack Hub にネットワーク ソリューションを提供する