Azure サイト間 VPN 接続におけるトラブルシューティングの傾向

Azure のサイト間接続に VPN トンネルを使用している場合に、「接続できない」または「接続できているように見えるが、不安定」といったお問い合わせをいただくことがあります。私たちサポートチームにいただくお問い合わせの内容から、以下に傾向を整理してみました。もしも同様の症状に直面された場合に、ご参考になれば幸いです。 注意:インターネット VPN の性質上、設定の適合性や Azure 側の障害の有無如何によらず、経路上の状況によっては予期しない瞬断や性能の低下が発生する可能性があります。より安定した接続性能を必要とするシステムでは、ExpressRoute のご利用もご検討ください。また記載の内容は本稿作成時点の情報を基準としております。将来的に予告なく変更される可能性もありますことをご容赦ください。 1.VPN デバイス側の IPSec 設定パラメーターが、Azure が想定している値と一致していない。 「Azure 管理ポータル上のサイト間接続の状態が、接続と切断を繰り返す」といった状況の場合、VPNデバイスの設定パラメーターに問題がある場合がございます。 Azure とサイト間接続を構成する VPN デバイスの要件については、以下の技術情報をご参照ください。 https://azure.microsoft.com/ja-jp/documentation/articles/vpn-gateway-about-vpn-devices/ 特に過去のお問い合わせでは、以下のような点が原因となっていた傾向がございます。 ポリシーベースVPN(静的ルーティングゲートウェイに対応)とルートベースVPN (動的ルーティングゲートウェイに対応) の選択が、実際のAzure ゲートウェイの動作モードと一致していない。 SA Lifetime の数値が一致していない。 なお、誠に恐れ入りますが、公開済みのテンプレート以外には、個々の VPNデバイスの設定方法については弊社サポートの範囲外となります。VPN デバイスの設定方法については、各デバイスの供給元にご照会いただきますようお願いいたします。 2.オンプレミス側からAzure 仮想ネットワークまでの経路が循環している 「Azure 管理ポータル上はサイト間接続が行えているのに、仮想ネットワーク上の仮想マシンと全く通信ができない」といった場合、オンプレミス側のルーターの経路設定が循環している可能性があります。オンプレミス側の端末より、仮想ネットワーク上の仮想マシンに対し、tracert や Ping を実行することで状況を切り分けることが可能です。 Windows OS に同梱されている ping コマンドの場合、以下のように「TTL が 期限切れになりました」といったメッセージが表示されます。 10.0.0.2 からの応答: 転送中に TTL が期限切れになりました。  3. MTU の問題 「Ping は疎通するのに、VPN…

0

VNET to VNET で、複数の Microsoft Azure 仮想ネットワーク間を接続する

こんにちは。ネットワークサポート担当の比留間 友一です。 夏です。クラウドが熱いです。私たちのサポートチームでも、弊社で公開している Microsoft Azure の仮想マシンや仮想ネットワークについてのお問い合わせを担当させていただいております。Azure のお問い合わせをいただいた際に、「あれ?どこかで見かけたヤツが出てきたな?」と思われるお客様もいらっしゃるかもしれませんが、どうぞ今後ともよろしくお願いいたします。 さて、本日のお題は、Azure 仮想ネットワークにおける VNET to VNET (VNET間の接続) です。 VNET to VNET とは? Azure の仮想ネットワークの機能のリリース以来、「仮想ネットワーク同士を接続する方法はないのか?」というお問い合わせをしばしばいただいておりました。このご要望にお応えする形で2014 年 5月のアップデートにて追加されたのが、「仮想ネットワーク同士をサイト間 VPN で接続する方法」、つまり VNET to VNET です。同時期のアップデートにて、一つの仮想ネットワークから複数のネットワークに VPN 接続を行うことができる、Multi Site VPN も追加されております。 設定方法は? 注意:以降の記載は、2014 年 7 月現在の Microsoft Azure の仕様に基づいて作成されております。将来的に予告なく変更される場合がございますので、予めご承知おきください。 今回の記事では、以下のようなシナリオを考えてみます。 東日本リージョンに構築された、既存の Azure 仮想ネットワーク VNET-JAPAN (172.17.0.0/16) 既存の社内ローカルネットワーク OnPremise (192.168.180.0/24) VNET-JAPAN と社内ネットワーク OnPremise は、既にサイト間 VPN 接続の設定がなされている。(ただし、ゲートウェイが動的ルーティングモードであるものとします。動的ゲートウェイが作成されていないと、VNET-JAPAN…

0