Windows Azure Virtual Network を Cisco ASA 5505 で構成する

本日はとりあえずpingが通ったところまで。フレッツの MTU 1414 の呪いがあるかどうかは今後負荷をかけつつの検証になります。悩んだポイント等をメモしておきます。

http://oakleafblog.blogspot.jp/2012/06/configuring-windows-azure-virtual.html

設定にあたっては概ねこのブログに書いてある通りなので、こいつが一番役に立つ。

  • CDROMに ASA v8.3(1) ファームウェアが入っているという情報がとても有難かった!! Azure接続向けに購入した場合は、接続を試みる前にファームウェアアップデートしましょう。
  • 物理接続、初期設定あたりは特に参照しませんでした。日本人なら putty じゃなくて TeraTerm を使うでしょう スマイル
  • (製品付属のQuick Start Guide だと、DHCPでIPが振られてブラウザアクセスできるよ、てな説明だった。しかし実際はそんなことはなく、結局シリアル経由での初期セットアップは必要だった)
  • 内側 (vlan1) のIPアドレス設定をした後は、ブラウザ経由GUI設定が楽。
  • ※注 今回は PPPoE は RTX1200 に行わせた後、グローバルIPのセグメントを作って ASA 5505 をぶら下げています。すなわち IP 8 プランでの実現であり、PPPoE を自前で行う固定 IP 1つのプランとは異なります。
  • ASA5505 に対する ping は返答がない。以前からトンネル作った場合にはよくあるケース。windows も標準状態では ping に返答しないというセキュリティ厳しくしないといけない世の中ですが致し方なし。今回は RTX1200 に ping の返事をしてもらいました。
  • そんなわけで設定は出来ていたものの ping が通らないと悩んでいた時に設定を眺めていて分からなかったのは、ルーティングの設定。 http://packetlife.net/blog/2011/jul/11/lan-lan-vpn-asa-5505/ を見て “access-list … extended permit ip …” と “crypto map … match address …” の組み合わせで実現しているということに気づきました。Cisco はアクセスリストを(名前から受ける直観に反して)色んな用途に使うので、久々に触ると混乱します。元CCNAではあるのですが、期限切れはやっぱり期限切れですね。

ところで、Azure ポータルからダウンロードしたサンプルファイル(以下に引用)は blog のものと異なっており、 ikev1 ではなく isakmp を使うようになっていました。

 

! Microsoft Corporation
! Windows Azure Virtual Network

! This configuration template applies to Cisco ASA 5500 Series Adaptive Security Appliances running ASA Software 8.3.
! It configures an IPSec VPN tunnel connecting your on-premise VPN device with the Azure gateway.

! ---------------------------------------------------------------------------------------------------------------------
! ACL and NAT rules
! 
! Proper ACL and NAT rules are needed for permitting cross-premise network traffic.
object-group network <RP_AzureNetwork>
 network-object <SP_AzureNetworkIpRange> <SP_AzureNetworkSubnetMask>
 exit
object-group network <RP_OnPremiseNework>
 network-object <SP_OnPremiseNetworkIpRange> <SP_OnPremiseNetworkSubnetMask>
 exit
access-list <RP_AccessList> extended permit ip object-group <RP_OnPremiseNework> object-group <RP_AzureNetwork>
nat (inside,outside) source static <RP_OnPremiseNework> <RP_OnPremiseNework> destination static <RP_AzureNetwork> <RP_AzureNetwork>

! ---------------------------------------------------------------------------------------------------------------------
! Internet Key Exchange (IKE) configuration
! 
! This section specifies the authentication, encryption, hashing, Diffie-Hellman, and lifetime parameters for the Phase
! 1 negotiation and the main mode security association. We have picked an arbitrary policy # "10" as an example. If
! that happens to conflict with an existing policy, you may choose to use a different policy #.
crypto isakmp enable outside
crypto isakmp policy 10
 authentication pre-share
 encryption aes
 hash sha
 group 2
 lifetime 28800
 exit

! ---------------------------------------------------------------------------------------------------------------------
! IPSec configuration
! 
! This section specifies encryption, authentication, and lifetime properties for the Phase 2 negotiation and the quick
! mode security association. 
crypto ipsec transform-set <RP_IPSecTransformSet> esp-aes esp-sha-hmac
crypto ipsec security-association lifetime seconds 3600
crypto ipsec security-association lifetime kilobytes 102400000

! ---------------------------------------------------------------------------------------------------------------------
! Crypto map configuration
!
! This section defines a crypto map that binds the cross-premise network traffic to the
! IPSec transform set and remote peer. We have picked an arbitrary ID # "10" as an example. If
! that happens to conflict with an existing crypto map, you may choose to use a different ID #.
crypto map <RP_IPSecCryptoMap> 10 match address <RP_AccessList>
crypto map <RP_IPSecCryptoMap> 10 set peer <SP_AzureGatewayIpAddress>
crypto map <RP_IPSecCryptoMap> 10 set transform-set <RP_IPSecTransformSet>
crypto map <RP_IPSecCryptoMap> interface outside

! ---------------------------------------------------------------------------------------------------------------------
! Tunnel configuration
!
! This section defines an IPSec site-to-site tunnel connecting to the Azure gateway and specifies the pre-shared key
! value used for Phase 1 authentication.  
tunnel-group <SP_AzureGatewayIpAddress> type ipsec-l2l
tunnel-group <SP_AzureGatewayIpAddress> ipsec-attributes
 pre-shared-key <SP_PresharedKey>
 exit

! ---------------------------------------------------------------------------------------------------------------------
! TCPMSS clamping
!
! Adjust the TCPMSS value properly to avoid fragmentation
sysopt connection tcpmss 1350
広告

Windows Azure Virtual Network を Cisco ASA 5505 で構成する」への1件のフィードバック

  1. […] 今までAzureから提供された設定のまま運用していたのを、FletsにあわせてMTUを調整してみた。(前回の記事: https://kamiyn.wordpress.com/2012/10/10/windows-azure-virtual-network-%E3%82%92-cisco-asa-5505-%E3%81…) […]

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中

%d人のブロガーが「いいね」をつけました。