Always On VPN(デバイストンネル方式)を構成してみる

はじめに

本記事は以下のMicrosoft公式ドキュメントを参考に接続構成を行った際の手順をまとめたものになります。

Always-On VPN トンネルの構成 – Azure VPN Gateway | Microsoft Docs

 

実際にやってみると、一部使用環境に合わせて設定値を変更するところなど手が止まってしまう箇所があるな~と感じたため出来るだけ詳細に操作を記載したつもりです。(切断方法など公式に記載がなかった部分についても)

接続成功後にどういう状態になるのか、どこを確認すればいいのかを含めて参考になれば幸いです。

 

 

なおこちらの手順はVPNゲートウェイを作成、ポイント対サイト接続を構成した上で、下記要件を満たしたデバイスで実行する必要がございますのでご注意ください。

  • デバイスが Windows 10 Enterprise または Educationバージョン1809以降を実行しているドメイン参加済みのコンピューターであること(※)
  • クライアント証明書がローカルコンピュータ(コンピュータアカウント)にひも付いている「証明書ストア」に格納されていること

(※)公式にはドメイン参加必須と記載がありますが、こちらは証明書がGPOによって自動配布される前提での要件かと思われます。pfxファイルから手動でインポートするといった方法でローカル証明書ストアにクライアント証明書が格納されているのであれば、ワークグループ環境でも構成可能でした。

 

 

まずポイント対サイト接続って何すればいいんだっけ?という方は こちら をご覧ください。

(特にAzure Portalから行うルート証明書公開キーのアップロードは忘れずに。中間証明書がある場合は合わせてアップロードしておくこと)

 

 

デバイストンネルを構成する

構成ファイルを作成する

1. まずVPN接続を行うクライアントPCにて、デスクトップに新しいフォルダを作成し、「VPNProfile」という名前に変更しておきます。

 

2. device.ps1ファイルの作成

2-1. 以下のURLにアクセスして「デバイストンネルの構成例 1.」からテキストをコピーし、メモ帳に貼り付けます。

https://docs.microsoft.com/ja-jp/azure/vpn-gateway/vpn-gateway-howto-always-on-device-tunnel

 

 

2-2. ファイル名を「devicecert」、拡張子を「ps1」として先ほど作成したVPNProfileフォルダに保存します。

 

3. VPNProfile.xmlファイルの作成

3-1. 以下のURLにアクセスして「デバイストンネルの構成例 2.」にあるテキストをコピーし、メモ帳に貼り付けます。

https://docs.microsoft.com/ja-jp/azure/vpn-gateway/vpn-gateway-howto-always-on-device-tunnel

 

次の赤枠の箇所を環境に合わせて編集していきます。

 

3-2. AzurePortalからVPNゲートウェイを選択し、メニュータブから「ポイント対サイトの構成」を開き「VPNクライアントのダウンロード」をクリックします。

 

3-3. ダウンロードしてきたZipフォルダを解凍し、Genericフォルダの中にある「VpnSettings.xml」を開いたら、<VpnServer></VpnServer> の間にある値をコピーして <Servers></Servers> の間にある値と置き換えます。

3-4. 次にAzurePortalからVPNゲートウェイをデプロイしている仮想ネットワークを選択し、メニュータブから「サブネット」を開いたら、接続させるサブネットのIPアドレス・プレフィックスサイズをそれぞれ<Route>タグの中に記入します。(ゲートウェイサブネットは含めなくて構いません)

例)サブネットIPv4が10.11.1.0/24の場合

<Route>

<Address>10.11.1.0</Address>

<PrefixSize>24</PrefixSize>

</Route>

 

3-5. ファイル名を「VPNProfile」、拡張子を「xml」 としてVPNProfileフォルダに保存します。

 

 

PSToolsのダウンロード

1. 以下のURLにアクセスし、「PsToolsのダウンロード」をクリックします。

https://docs.microsoft.com/ja-jp/sysinternals/downloads/psexec

 

2. ダウンロードしたZipファイルを解凍し、Cディレクトリに配置します。

 

 

 

ローカルシステムアカウントにてPowerShellの起動・プロファイル作成

1. コマンドプロンプトを「管理者として実行する」で開き、以下のコマンドを実行してPSToolsが配置されているディレクトリまで移動します。

cd C:\PSTools

 

2. 以下のコマンドを実行し、PsExecを用いてPowerShellを起動させます。

PsExec64.exe Powershell

 

3. PowerShellが起動したら以下コマンドのXXXXをデスクトップまでのパスに置き換え実行し、VPNProfileフォルダに移動します。

cd C:\XXXX\VPNProfile

 

4. 以下のコマンドを実行し「MachineCertTest」という名前のプロファイルを作成します。

.\devicecert.ps1 .\VPNProfile.xml MachineCertTest

画像のようにCreated MachineCertTest profile. Complete.と表示されたら作成成功です。

 

 

デバイストンネル方式での接続

1. Windowsキー+Rを押下し「ファイル名を指定して実行」からrasphoneと入力して「OK」を押下します。

 

2. 「MachineCertTest」を選択し、「接続」を押下します。

 

※rasphoneを実行した際に、「電話帳は空です」というポップアップが出て作成したはずのプロファイル名が表示されない場合は、端末にログインできる他のユーザーのフォルダに接続設定ファイルが保存されている可能性があります。

エクスプローラーを開き、以下のフォルダパスに拡張子がpbkのファイルが保存されていないか確認し、pbkファイルが見つかったらそちらを直接クリックしてみてください。

C:\Users\[各ユーザー]\AppData\Roaming\Microsoft\Network\Connections

 

 

3. 接続を押下した後にエラーなどが出ないようであれば一旦PCを再起動します。再起動後、下記の接続確認手順を実行してみてください。

 

(接続時にエラー633が発生する場合)

以下の公式ドキュメントの手順に沿ってポート番号を予約する必要があります。

エラー 633 モデムが既に使用されている – Windows Server | Microsoft Docs

レジストリ変更後の再起動を忘れずに行い、再度接続を試みてください。

 

 

接続確認

GUIで確認

①タスクバーから確認

画面下部にあるタスクバーのネットワークアイコンにマウスオーバーすると、プロファイル名が表示されます。

 

②ネットワークアダプターから確認

コントロールパネルを開き、ネットワークとインターネット>ネットワークと共有センター>アダプターの設定の変更(画面左側に青字で表記)と辿っていくとプロファイル名と同じアダプターが表示されています。

コマンドプロンプトで確認

コマンドプロンプトを開き、ipconfig/allを実行します。

プロファイル名と同じアダプターのところを見るとIPv4 Addressにクライアントアドレスプール内で割り当てられたIPアドレスが表示されています。

 

 

切断方法について

接続成功後に一度切断したいという場合に、「ファイルを指定して実行(Windows+R)」からrasphoneを実行してプロファイルを選択しても「切断」が表示されず、「接続」ボタンのみの表示になっていることがあります。

その場合は、デバイス マネージャーから以下の手順で操作を行います。

 

1. デバイス マネージャーを開き、ネットワークアダプターのタブを開きます。

2.WAN Miniport(IKEv2)を右クリックし、「デバイスを無効にする」を選択します。

 

無効にした後、タスクバーのアイコンなどで確認するとプロファイル名が表示されていないことがわかります。

 

 

削除方法について

ちなみに接続中は削除コマンドの実行が不可能なため、前述の切断手順を踏んでから実行する必要があります。

1.  プロファイル作成時の手順と同じ流れで、コマンドプロンプトを「管理者として実行」から開き、以下コマンドを順に実行します。

cd C:\PSTools

PsExec64.exe Powershell

 

2. 管理者でPowerShellが開いたら以下コマンドを順に実行し、ps1/xmlファイルを配置しているVPNProfileフォルダにてプロファイルの削除を行います。(削除の確認が入るので「y」を入力してください)

cd C:\XXXX\VPNProfile

Remove-VpnConnection -Name MachineCertTest

最後に接続設定が表示されないことを確認しましょう。

 

 

おわりに

いかがでしたでしょうか?

PSToolsの使用など一部慣れないところもあるかと思いますが、クライアント証明書のパスに記載のルート証明書・中間証明書がきちんとゲートウェイに登録されている状態で、手順を行っていけば基本的に成功するはずです。(ここの証明書情報が食い違っていると接続エラーになります)

 

証明書情報の確認方法がわからない!という場合はこちらも参考にしてみてください。

【Windows 10対応】Windowsにインストールされている電子証明書を確認する(GUI編):Tech TIPS – @IT (itmedia.co.jp)

 

いいね (←参考になった場合はハートマークを押して評価お願いします)
読み込み中...

注意事項・免責事項

※技術情報につきましては投稿日時点の情報となります。投稿日以降に仕様等が変更されていることがありますのでご了承ください。

※公式な技術情報の紹介の他、当社による検証結果および経験に基づく独自の見解が含まれている場合がございます。

※これらの技術情報によって被ったいかなる損害についても、当社は一切責任を負わないものといたします。十分な確認・検証の上、ご活用お願いたします。

※当サイトはマイクロソフト社によるサポートページではございません。パーソルプロセス&テクノロジー株式会社が運営しているサイトのため、マイクロソフト社によるサポートを希望される方は適切な問い合わせ先にご確認ください。
 【重要】マイクロソフト社のサポートをお求めの方は、問い合わせ窓口をご確認ください