Azure内でIPsecクライアントVPNサーバーを実行する

Question

現在、Azure内でクライアントVPNサーバーを実行するためのオプションを検討しています。ポイントツーサイトVPN機能を調べましたが、本格的なクライアントVPNソリューションというよりは、管理者がダイヤルインする方法のようです。

残りのオプションの1つは、AzureVM内でクライアントVPNサーバーを実行することです。クライアントVPNオプションの多くは、何らかの方法でIPsecを使用します。これは、動作にTCP/UDP（ESP/AH）以外のIPプロトコルを使用します。私の知る限り、Azureは仮想マシンへのTCP/UDP以外のトラフィックを許可していません。エンドポイントベースのACLでは、TCPまたはUDP）のみを選択できます。ソリューションを提供できることを期待してネットワークセキュリティグループ（NSG）を調査していますが、TCPのみも提供しています。 ACL内のプロトコルオプションとして「、「UDP」、または「*」。これにより、Azure内でIPsecサーバーを実行することはできないと思います。これは正しいですか、それとも私が見つけたことがないオプションがありますか？明らかに、TCP/UDPのみを必要とするオプションがあります（Microsoft SSTPが思い浮かびます）が、特にIPPEの問題についてですか？

副次的な質問として、Azure内でホストされているリソースにクライアントVPNを提供することに関して、人々は他にどのようなソリューションを決定しましたか？

Massimo · Accepted Answer

正解です。Azure仮想マシンへの接続はTCPとUDP接続のみが許可されています。また、「ポート範囲全体ではなく、単一のポートしか開くことができない」など、厳しく制限されているため、動的プロトコルの使用が事実上禁止されています。

インスタンスレベルのパブリックIP を使用すると、後者の制限を回避できます。これにより、allallポートからVM（ただし、必ずファイアウォールをオンにしてください！）;ただし、これでもTCPおよびUDPトラフィックのみが許可されます。

クライアントVPN接続で（現時点で）サポートされている唯一のオプションは、Azureの組み込みクライアントVPNサービスを使用することです。これは、各クライアントにクライアント証明書を取得できる限り、正常に機能します。

また、あなたが言ったように、別のオプションは、IPSecの代わりにVPNサーバーにHTTPSトンネリングを使用することかもしれません。 HTTPS VPN（WindowsのSSTPを含む）はTCPポート443で実行されるため、実際にはAzure VMで機能する可能性があります。ただし、Azure VMでVPNサーバーを実行する場合は、明示的にサポートされていないことを実行しようとするとAzure VMが実際にはうまく機能しないため、あらゆる種類のネットワークの問題が発生する可能性があります特にネットワーキングが関係している場合。