Compnet

仕事とか遊びとか、日々折々

2017-07-19(水)

続々:YAMAHA RTX で Azure と VPN 接続する

Posted by Nakane, R. in technical   

半年ほど前に、YAMAHA RTX ルーターで Azure と VPN 接続をするための設定に関する記事を公開し、それに関する追加の検証結果を数日前に公開しました。 これらの記事では、RTX ルーターと Azure の仮想ネットワーク ゲートウェイとで IPsec の VPN トンネルを確立するための RTX ルーターの設定を紹介しています。 半年ほど前の記事では、RTX 側からの SA の更新 (再作成) の失敗により、VPN トンネルを通じた通信ができなくなる現象に対する回避策を紹介しています。 また数日前の記事では、SA の有効期間を Azure 側の値に揃えることで、特別な回避策が不要になる旨の検証結果を紹介しました。

これで一区切りと思ったのですが、改めて数日前の記事に挙げた RTX ルーターの設定を眺めていたら、IKE SA の有効期間が RTX の初期値と同じことに気づきました。 そうであれば、IKE SA を明示的に設定しなくても大丈夫ではないかと、再び検証します。

Read more...


2017-07-15(土)

続:YAMAHA RTX で Azure と VPN 接続する

Posted by Nakane, R. in technical   

Note

本記事には後日改めて検証した記事があります。

半年ほど前に本ブログで、YAMAHA RTX ルーターで Azure と VPN 接続をするための設定に関する記事を公開しました。 そこでは、RTX ルーターと Azure の仮想ネットワーク ゲートウェイとで IPsec の VPN トンネルを確立するための RTX ルーターの設定を紹介しています。 また、RTX 側からの SA の更新 (再作成) の失敗により、VPN トンネルを通じた通信ができなくなる現象に対する回避策を紹介しました。

最近になって、とある方々とのやりとりの中で以下のようなご指摘を頂戴しました。

SA のライフタイムは IKEv2 ではネゴシエーションされないので、たとえば RTX 側がデフォルトの 28800 秒の場合だと、recv (Azure -> RTX) 方向の鍵は RTX が 28800 にセットしても、Azure 側が 27000 秒なので、先に更新がかかり問題なく使えるけれど、send (RTX -> Azure) 方向の鍵は、Azure 側で 27000 秒で無効になってしまうので、Azure 側で復号できなくなりトンネルが落ちるのでしょう。

一言でいえば、Azure の SA の有効期間よりも RTX の SA の有効期間が短くなるようにすれば、VPN トンネルを強制的に切断・再接続しなくてもつながり続けている。 という指摘です。

百聞は一見にしかずということで、早速試してみます。

Read more...


2017-01-16(月)

YAMAHA RTX で Azure と VPN 接続する

Posted by Nakane, R. in technical   

Note

本記事には後日改めて検証した記事があります。

インターネット接続や拠点間を繋ぐ VPN 接続などで利用するブロードバンド ルーターとして、大抵の場合、筆者は YAMAHA RTX シリーズを提案しています。 廉価な割に高い性能と壊れにくさがあり、更に古い機種にまでファームウェアを無償で提供していただけたり、ユーザー同士の活発な交流の場の存在など、総合的な安心感がその理由です。 無線 LAN アクセスポイントや L2 スイッチのラインナップも少しずつですが充実しつつあり、中小企業向けのネットワーク機器の全てを YAMAHA 製品だけで提案できるようになるのもそんなに遠い時期では無いのでは、と考えたりするくらいです。

とまあ、ヤマハ サウンドネットワーク事業部の太鼓持ちはこれくらいにして、本題の YAMAHA RTX シリーズで Microsoft Azure の仮想ネットワーク ゲートウェイへの接続を試みた結果を、ここに記録しておきます。

Read more...