清水理史の「イニシャルB」

Azure仮想ネットワークにS2Sでつながるルーターが欲しい！（できれば2～3万円で）

（2015/1/26 06:00）

　昨年、日本リージョンが開設され、小規模な環境でも、「そろそろ活用してみようか」という動きが見られるようになってきたMicrosoft Azure。そんなMicrosoft Azureと自社LANの間をS2S（Site to Site：サイト間）のVPNで接続するためのルーターを選んでみた。

AzureにS2Sでつなぎたい！

　もちろん、CISCOやJuniperを選べるだけの費用や技術力があれば、それがベスト。比較的リーズナブルなわりに設定例が豊富で実績もあるヤマハも良い選択だ。

　しかし、筆者のような個人事業主や4～5人前後の小規模な事務所では、通信機器に10万円はおろか、5万円を超えるような出費は、なかなか厳しい。

　構築が簡単で、運用の手間がかからず、費用もさほどかからないことを考えると、LAN内にあるサーバーの一部をMicrosoft Azureの仮想マシンに移行することは、今や十分に検討する価値があるが、その際に、どうしても避けて通れないのがインフラの問題だ。

　2013年にIaaSサービスが開始されたMicrosoft Azureでは、サインアップ後、管理ポータルから仮想マシンを作成することで、すぐにWindows Server 2012 R2やLinuxマシンを稼働させることができるようになった。

　仮想ネットワークは、この仮想マシンが展開されたAzure上のネットワークと自社に展開されているローカルネットワークとの間で、IPsec VPNを利用した安全な接続を実現する機能だ。

　LAN上の特定のクライアントから仮想マシンを利用するだけなら、PC上のVPNクライアントを使ってP2S（Point to Site）接続することもできるが、前述したようにLANで運用していたサーバーをAzure上に移行するようなケースでは、LAN上のすべてのPCから仮想マシンを利用できるようになるP2P（Point to Point）で接続しておきたいところだ。

　P2P接続が可能になれば、192.168.0.xなどのLAN側のプライベートネットワークと、Azure側の仮想ネットワークに割り当てられた10.x.x.xなどのプライベートIPアドレスのネットワークが相互に接続され、手元のPCから「\\10.0.0.4」などと指定することで、VPN接続を通して、Azure上の仮想マシンへとアクセスすることが可能になる。

　開発に利用するのか、業務に活用するのか、テスト用にするのか、その用途は自由だが、LAN上に存在するのと同じ感覚で、Azure上の仮想マシンを使えるようになるのは大きな魅力だろう。

Microsoft Azureの仮想ネットワークを利用して自宅や社内のLANを接続するとAzure上の仮想マシンにプライベートIPでアクセスできる

サポートを採るかコストを採るか

　しかしながら、このようなAzureのS2S接続を実現するには、いくつかの条件がある。1つは自社のインターネット接続環境に固定IPが必要なこと。これは、利用するISPによもよるが、個人向けでも比較的低価格なサービスやオプションが提供されているので、さほど敷居は高くない。

　問題は、冒頭で触れたルーターの問題だ。最近では、VPN接続をサポートしているブロードバンドルーターや無線LANルーターも増えつつあるが、一般向けの製品でIPsecのS2S接続に対応している製品は、ほとんど見かけない。

　では、どのようなルーターなら接続できるのかというと、マイクロソフトが動作確認済みのルーターをこちら（https://msdn.microsoft.com/ja-jp/windowsazure/dn132612.aspx）で公開している。

マイクロソフトが公開しているAzure仮想ネットワーク検証済みルーター一覧。このうち、CISCOやJuniperの製品は設定用スクリプトもダウンロード可能

　アライドテレシス、インターネットイニシアティブ、ジュニパー、日本電気（Atermシリーズではない）、パロアルトネットワークス、富士通、ヤマハと、一般ユーザーにはあまりなじみがないメーカーが並んでいる（さらにSLA対象となるルーターは米国サイトを参照のこと）。

　この中から、個人や中小のユーザーが選ぶとすれば、価格と使いやすさ、サポート内容から考えてヤマハのRTX810あたりが最有力候補となりそうだが、RTX810でも実売価格は4万円前後と少々高い。本番前のお試しやテスト目的のサーバーを展開するような用途を考えると、まずは2万円前後で導入できるのが理想だ。

　そこで、昨年末からいろいろな機器を探し、いくつか候補としてリストアップしたのが以下の製品だ。
　　　・MikroTik RouterBoard RB2011UiAS-IN（2万1600円・税込、Amazon）
　　　・Ubiquiti Networks EdgeRouter Lite（$99前後）
　　　・VyOS
　　　・SEIL/x86（864円・税込）

　前半2つはハードウェア、後半2つはソフトウェアルーターだ。折を見て、それぞれレビューの機会を設けられればと考えているが、今回、紹介するのは最初の「RB2011UiAS-IN」だ。

MikroTik RouterBoard RB2011UiAS-IN

正面

背面

上部にはタッチ式のパネルが搭載されており、各種設定やトラフィックを表示可能

　MikroTikは、ラトビアのネットワーク機器メーカーだが、国内ではシーアイオープラスが正規販売代理店となっており、Amazon.co.jpや秋葉原の店舗（ヴィゴネットラボ）などでも購入できる（参考記事：Akiba PC Hotline!「OSの変更ができるマニア向け小型ルーターが販売中、基板単体など」）。

　製品としては、より低価格なRB750（10800円・税込）も存在するが、今回はより高性能な「RB2011UiAS-IN」を選択した。主なスペックは以下の通りだ。

RB2011UiAS-IN

CPU	Atheros AR9344/600MHz
RAM	128MB
LAN	1Gbps×5、100Mbps×5、SPF×1
USB	microUSB
電源	8-28V DC
PoE	8-28V DC on Ether1
サイズ	214mm x 86mm for PCB
OS	RouterOS（Lisence L5）
使用温度	-35C to +65C
RouterOS License	L5

　RouterBoardの選定理由は2つ。1つは、動作報告がマイクロソフトのTechnet Blog「Creating a site-to-site VPN with Microsoft Azure and Mikrotik (RouterOS)」にて、Azureへの接続方法が紹介されていること。

　もう1つは、GUIによる操作がサポートされている点だ。法人向けのルーターの多くは、コマンドラインによる操作を基本とする場合が多く、RouterBoardも設定例などの多くがCLIによる方法で紹介されているが、ブラウザ（WebFig）による設定やWinboxと呼ばれるツールによる設定がサポートされている。

　中小の担当者の多くはルーターのコマンド操作に慣れていないケースも多いため、GUIでの操作が可能な点は大きな魅力と言える。

WebFigによるGUI設定をサポート

CLIでの設定も可能。慣れたユーザーはこちらの方が使いやすい

トラフィックをグラフで表示することなども可能

ルーターの勉強にもうってつけ

　実際に製品を触ってみると、なかなか魅力的だ。本体にはタッチパネルを搭載しており（感圧式で少々感度には難あり）、設定を参照したり、各ポートのトラフィックをグラフで表示したり、本体をリブートすることなどが可能となっている。

　設定の自由度も高い。5ポートのGigabitのうち標準ではEth1がWAN用として設定されているが、このあたりは自由に構成を変更可能となっており、例えばEth1とEth2をWANにしてロードバランスさせることなども可能だ。

　取りあえず、一通り、機能を使ってみようということで、自宅のインターネット接続環境を使って以下のような設定をしてみた。
　　　・Eth1経由でauひかりからインターネット接続（上位ルーター配下でNATなし）
　　　・auひかりのIPv6でインターネット接続
　　　・Eth2からPPPoEでフレッツ光ネクストに接続
　　　・USBポートからWiMAX2+用モバイルルーター（HWD14）でインターネット接続

基本的な設定はQuick Setから可能。インターネット接続やNAT、DHCPサーバーの設定なども簡単にできる

IPv6が利用可能な環境であれば、機能を有効にすることでIPv6も利用できる

5ポートあるうちのEth1とEth2をWAN用に設定。Eth1は固定IP、Eth2はPPPoEにてインターネット接続可能にした

lte1となっているのがUSBポートに接続したHWD14（WiMAX 2+用モバイルルーター）。接続すると自動的に認識される

　残念ながらロードバランスの設定にまではたどり着けておらず、フィルタリングなども標準設定のまま利用しているが、やろうと思ったことはほとんどできるうえ、大規模なネットワークで活用できるような機能もあり、非常に柔軟性の高い製品となっている。

　設定に関しては、前述したようにGUIによる設定が可能だが、ルーターの設定に慣れていないとかなり苦労する。GUIと言っても、「Interfaces」や「IP」といった項目が並び、「IP」の配下に「Address」や「IPsec」があるといったように、基本的にはCLIの作法のままGUI化されたものとなっている。

　CLIに慣れたユーザーであれば、むしろこの方がわかりやすいが、最初はIPアドレス1つ設定するにも、ヘルプ（しかも英語）を頼りに場所を探すことにもなりかねない。

GUIと言っても、IP IPsec PoliciesといったようにCLIに準拠したデザインとなっている

　その代わりというわけではないが、設定ミスでWebFigにアクセスできなくなるなんてことを繰り返していくうちに、「なるほど、この機能はこういう意味か」、「こちらもセットで設定しないとダメか」といったように、徐々に、ネットワークの作法が頭の中に入ってくる。

　コンシューマー向けの手軽なルーターを使っていると、もはやフィルタリングの設定がどうなっているのかも意識しなくなりつつあるが、ネットワークの基本や設定をきちんと勉強し直したいと考えているユーザーにはうってつけだ。

　1万円で買えるRB750でもいいので、ひとまず買って、家のルーターを置き換えてみるといったことをするだけでも、かなりの勉強になるだろう。

　なお、利用時に1つ考慮しておいたいのはパフォーマンスだ。製品のスペック情報ページ（http://routerboard.jp/rb2011.html）にて、テスト結果も公開されているが、低価格な製品となっているため、あまり高いパフォーマンスは期待できない。

　実際、RB2011UiAS-INをauひかりに接続し、Radish Networkspeed Testing（http://netspeed.studio-radish.com/）にて速度を計測してみたのか以下の結果だ。速度を重視する場合は、さらに上位のモデルを入手する必要がありそうだ。

	上り	下り
Firewall FilterRule有効	227.6	174.2
Firewall FilterRule無効	305.6	252.7
auひかりルーター直結	420.9	563.4

Azure接続へ

　では、Azureへ、と行きたいところだが、設定はかなり長くなるので、次回に送ることにする。

　基本的には、前述したTechnetの記事を参考にすれば設定可能だが、自宅側の接続環境やローカルのIPアドレスなどのパラメーターを間違えないように設定しないと、接続に失敗する。

　PPPoEの場合とそうでない場合との違いや上位ルーターが存在する場合とそうでない場合の違いもあるので、このあたりも含めて設定を紹介する予定だ。

清水理史

製品レビューなど幅広く執筆しているが、実際に大手企業でネットワーク管理者をしていたこともあり、Windowsのネットワーク全般が得意ジャンル。最新刊「できるWindows 8.1/7 XPパソコンからの乗り換え＆データ移行」ほか多数の著書がある。