見出し画像

AzureでP2S環境を構築してみた

アイシーティーリンク株式会社公式ブログ

2024年8月6日 10:40

こんにちは。アイシーティーリンクの増子です。

最近資格の勉強をしているのですが、難しい・・・。
暗記苦手なんだよなーって思いながらも頑張ってます。

今回のブログは、タイトル通りP2S環境を構築してみたので、
その手順を書いていこうと思います。
※個人で検証した手順となります。

検証した環境はこちらです。

すでにVPNGWは作成している状態で、オンプレとも接続済みです。

この構成にP2Sの環境を構築していきます。
イメージは以下です。

以下から手順を記載していきます。

①クライアントPCで管理者でPowershellを起動し、以下コマンドで自己署名ルート証明書を作成

$params = @{
Type = 'Custom'
Subject = 'CN=P2SRootCert'
KeySpec = 'Signature'
KeyExportPolicy = 'Exportable'
KeyUsage = 'CertSign'
KeyUsageProperty = 'Sign'
KeyLength = 2048
HashAlgorithm = 'sha256'
NotAfter = (Get-Date).AddMonths(24)
CertStoreLocation = 'Cert:\CurrentUser\My'
}
$cert = New-SelfSignedCertificate @params

②クライアントPCで管理者でPowershellを起動し、以下コマンドでクライアント証明書を作成
$params = @{
Type = 'Custom'
Subject = 'CN=P2SChildCert'
DnsName = 'P2SChildCert'
KeySpec = 'Signature'
KeyExportPolicy = 'Exportable'
KeyLength = 2048
HashAlgorithm = 'sha256'
NotAfter = (Get-Date).AddMonths(18)
CertStoreLocation = 'Cert:\CurrentUser\My'
Signer = $cert
TextExtension = @(
'2.5.29.37={text}1.3.6.1.5.5.7.3.2')
}
New-SelfSignedCertificate @params

③クライアントPC上で[ユーザー証明書の管理>個人>証明書]を開く

④自己署名ルート証明書を探して右クリックし、 [すべてのタスク] ->[エクスポート] をクリック

⑤[次へ]をクリック

⑥[いいえ、秘密キーをエクスポートしません] を選択して、[次へ] をクリック

⑦[エクスポートファイルの形式] ページで [Base-64 encoded X.509 (.CER)] を選んでから、[次へ] をクリック

⑧[エクスポートするファイル] で、 [参照] をクリックして証明書をエクスポートする場所を選択します。 [ファイル名] に証明書ファイルの名前を指定し、 [次へ] をクリック

⑨[完了] をクリック

⑩[OK] をクリック

⑪[Azureポータル>仮想ネットワークゲートウェイ>該当のリソース>ポイント対サイトの構成]を開き、「今すぐ構成」をクリック

⑫画像の通りに設定
　※アドレスプールは、接続元であるオンプレミスの場所、または接続先とする VNet と重複しないプライベート IP アドレス範囲を指定
　※パブリックIP アドレス名は任意です

⑬先ほどエクスポートした自己署名ルート証明書をメモ帳で開き、値をコピー

⑭[公開証明書データ] フィールドに証明書データを貼り付け、証明書に名前を付けます。

⑮「保存」をクリック

⑯[ポイント対サイトの構成] ページの上部で [VPN クライアントのダウンロード] をクリック

⑰ダウンロードしたzipをクライアント端末に持っていき、解凍

⑱「WindowsAdm64」フォルダを開き、"VpnClientSetupAmd64"をダブルクリック

⑲VPNGWが配置されているVnet名が表示されていることを確認し、「はい」をクリック

⑳クライアントPCで、[設定>ネットワークとインターネット>VPN]を開く。
VPNGWのあるネットワークの「接続」をクリック

㉑「接続」をクリック

㉒「続行」をクリック

㉓「接続済み」になっていることを確認

㉔管理者特権でのコマンドプロンプトを開いて、 ipconfig/allを実行。
受信した IP アドレスが、構成で指定したポイント対サイト VPN クライアントアドレスプール内のアドレスのいずれかであることを確認。

㉕接続確認。
以下の図の経路でRDP接続できたことを確認しました。

以上が検証時の手順となります。
検証する機会があれば、参考にしてみて下さい！

いいなと思ったら応援しよう！