P2S VPN で Windows デバイスを接続する

P2S VPN で Windows デバイスを接続する

今回は P2S VPN で Windows デバイスを接続していきます。事前に VPN ゲートウェイの作成が完了していることを前提とします。

証明書の作成

自己署名ルート証明書の作成

P2S VPN の実装にはルート証明書が必要です。本番環境ではきちんとしたエンタープライズ向け証明書が推奨ですが、検証環境なので自己署名で用意します。

Windows デバイスで管理者権限で PowerShell を起動します。次のコマンドでルート証明書を作成します。コマンドが成功すると現在のユーザーの証明書ストアに”P2SRootCert”という名前のルート証明書が作成されます。

$cert = New-SelfSignedCertificate -Type Custom -KeySpec Signature `
-Subject "CN=P2SRootCert" -KeyExportPolicy Exportable `
-HashAlgorithm sha256 -KeyLength 2048 `
-CertStoreLocation "Cert:\CurrentUser\My" -KeyUsageProperty Sign -KeyUsage CertSign

クライアント証明書の作成

次は先ほどの自己署名ルート証明書で署名したクライアント証明書を作成します。このクライアント証明書は、P2S VPN 接続するデバイスに配布します。コマンドが成功すると現在のユーザーの証明書ストアに”P2SChildCert”という名前のクライアント証明書が作成されます。

New-SelfSignedCertificate -Type Custom -DnsName P2SChildCert -KeySpec Signature `
-Subject "CN=P2SChildCert" -KeyExportPolicy Exportable `
-HashAlgorithm sha256 -KeyLength 2048 `
-CertStoreLocation "Cert:\CurrentUser\My" `
-Signer $cert -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.2")

P2S VPN ゲートウェイの設定

ルート証明書のエクスポート

証明書を作成したデバイスの証明書ストアにて、自己署名ルート証明書を右クリックし、[エクスポート]をクリックします。

[証明書のエクスポートウィザード]にて、[秘密キーのエクスポート][いいえ、秘密キーをエクスポートしません]を選択し、[次へ]をクリックします。

[エクスポートファイルの作成]にて、[Base 64 encoded X.509 (.CER)]を選択し、[次へ]をクリックします。

[エクスポートするファイル]にて、保存するファイル名を指定し、[次へ]をクリックします。

[証明書のエクスポート ウィザードの完了]にて、設定内容を確認して[完了]をクリックします。

[正しくエスポートされました。]というメッセージのウィンドウで[OK]をクリックします。

エクスポートした証明書をメモ帳などで開き、中の文字列をコピーしておきます。

VPN ゲートウェイの設定

Azure ポータルにて、VPN ゲートウェイリソースを選択し、[ユーザー VPN 構成]をクリックします。パラメーターを指定し、[保存]をクリックします。

  • [アドレス プール]:P2S VPN で接続したデバイスに割り当てるアドレス範囲を指定します。
  • [ルート証明書]
    • [名前]:ルート証明書の識別名を指定します。
    • [公開証明書データ]:コピーしたルート証明書の文字列を貼り付けます。

P2S VPN 接続

VPN クライアントのダウンロード

VPN ゲートウェイの[ユーザー VPN 構成]で、[VPN クライアントのダウンロード]をクリックします。VPN クライアントの構成情報をダウンロードします。ZIP 形式のファイルがダウンロードされます。

VPN クライアントのインストール

Windows デバイスで ZIP 形式のファイルを展開し、環境にあったクライアントをインストールします。

確認ウィンドウで[はい]をクリックします。

インストールが完了したら、[設定]>[ネットワークとインターネット]>[VPN]をクリックします。

接続する VNET 名を選択し、[接続]をクリックします。

VPN の接続を行います。

初回接続時は接続マネージャーに対する管理者特権を確認されます。[続行]をクリックします。

状態が[接続済み]となっていることを確認します。

ネットワークインターフェースを確認すると、P2S VPN 用のインターフェースに IP アドレスが割り振られていることを確認します。

> ipconfig
PPP アダプター SNY-LAB-CORE-JPE-VNET:

   接続固有の DNS サフィックス . . . . .:
   IPv4 アドレス . . . . . . . . . . . .: 172.17.255.1
   サブネット マスク . . . . . . . . . .: 255.255.255.255
   デフォルト ゲートウェイ . . . . . . .: