<p>本記事は、Microsoft Azure Tech Advent Calendar 2023<sup class="footnote-ref"><a href="#fn-5051-1" id="fnref-5051-1">[1]</a></sup> の 15 日目の記事です。</p>
<p><span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__0b1de105eb3c8" src="https://embed.zenn.studio/card#zenn-embedded__0b1de105eb3c8" data-content="https%3A%2F%2Fqiita.com%2Fadvent-calendar%2F2023%2Fmicrosoft-azure-tech" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://qiita.com/advent-calendar/2023/microsoft-azure-tech" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://qiita.com/advent-calendar/2023/microsoft-azure-tech</a></p>
<h1 id="%E3%81%AF%E3%81%98%E3%82%81%E3%81%AB">
<a class="header-anchor-link" href="#%E3%81%AF%E3%81%98%E3%82%81%E3%81%AB" aria-hidden="true"></a> はじめに</h1>
<p>Azure Route Server (ARS) を利用するシナリオとして、ExpressRoute 拠点と VPN 拠点のブランチ間接続を実現するというものがあります。ドキュメント<sup class="footnote-ref"><a href="#fn-5051-2" id="fnref-5051-2">[2]</a></sup>で示されているイメージとしてが以下画像です。これ自体は、ARS を同一 VNet にデプロイして Branch-to-branch を Enabled にするだけで実現することができます。そのブランチ間接続のデータパスは ExpressRoute Gateway と VPN Gatewayの間が直接つながるようなイメージになります。この場合では、例えばブランチ間の接続の間に Azure Firewall 等の NVA を経由させたいという状況に対応することができません。このシナリオでどのように構成すれば実現できるかを検証しました。<br>
<img src="https://res.cloudinary.com/zenn/image/fetch/s--qLvkS4y---/c_limit%2Cf_auto%2Cfl_progressive%2Cq_auto%2Cw_1200/https://storage.googleapis.com/zenn-user-upload/deployed-images/a9bd9027b95bba1eefdd37e1.png%3Fsha%3De67dc5e487a24edb9d38a8530a5b0b87875bc7d3" loading="lazy" class="md-img"></p>
<h1 id="%E3%82%A2%E3%83%BC%E3%82%AD%E3%83%86%E3%82%AF%E3%83%81%E3%83%A3">
<a class="header-anchor-link" href="#%E3%82%A2%E3%83%BC%E3%82%AD%E3%83%86%E3%82%AF%E3%83%81%E3%83%A3" aria-hidden="true"></a> アーキテクチャ</h1>
<p>最終的に疎通確認ができたアーキテクチャはこちらです(ボツになった案は Appendix として載せておきます)。ハブ VNet 上の<code>subnet-001</code>に立てた NVA から無理やりオンプレミスとブランチの経路を NEXT_HOP 属性を付与したうえで広報しようとしたのですが、それでは実現できませんでした。<br>
<img src="https://res.cloudinary.com/zenn/image/fetch/s--7uvfiD2t--/c_limit%2Cf_auto%2Cfl_progressive%2Cq_auto%2Cw_1200/https://storage.googleapis.com/zenn-user-upload/deployed-images/33d3d83162ed0bdd69008718.png%3Fsha%3Dd76b989523d17d914491e80c4b070948c8454d1b" loading="lazy" class="md-img"></p>
<h2 id="%E7%96%8E%E9%80%9A%E7%A2%BA%E8%AA%8D">
<a class="header-anchor-link" href="#%E7%96%8E%E9%80%9A%E7%A2%BA%E8%AA%8D" aria-hidden="true"></a> 疎通確認</h2>
<p>上記のようなアーキテクチャにおいて、以下のように疎通確認が取れています。オンプレミスからブランチの VM に対して疎通確認を取っています。Azure Firewall のネットワークルールでは全許可としています。traceroute の結果としても AzureFirewallSubnet を経由していることがうかがえます。</p>
<div class="code-block-container"><pre><code>$ nc -v 10.50.1.4 22
Connection to 10.50.1.4 22 port [tcp/ssh] succeeded!

$ ssh AzureAdmin@10.50.1.4
The authenticity of host '10.50.1.4 (10.50.1.4)' can't be established.
ECDSA key fingerprint is SHA256:xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Are you sure you want to continue connecting (yes/no/[fingerprint])?

$ traceroute 10.50.1.4
traceroute to 10.50.1.4 (10.50.1.4), 30 hops max, 60 byte packets
 1  10.20.10.133 (10.20.10.133)  2.637 ms  2.585 ms  2.545 ms
 2  * * *
 3  10.0.3.7 (10.0.3.7)  5.255 ms  4.781 ms  4.745 ms
 4  * * 10.50.1.4 (10.50.1.4)  309.329 ms

</code></pre></div><h1 id="%E3%82%A2%E3%83%BC%E3%82%AD%E3%83%86%E3%82%AF%E3%83%81%E3%83%A3%E4%B8%8A%E3%81%AE%E3%83%9D%E3%82%A4%E3%83%B3%E3%83%88">
<a class="header-anchor-link" href="#%E3%82%A2%E3%83%BC%E3%82%AD%E3%83%86%E3%82%AF%E3%83%81%E3%83%A3%E4%B8%8A%E3%81%AE%E3%83%9D%E3%82%A4%E3%83%B3%E3%83%88" aria-hidden="true"></a> アーキテクチャ上のポイント</h1>
<h2 id="gatewaysubnet-%E3%81%AB%E5%AF%BE%E3%81%99%E3%82%8B%E3%83%AB%E3%83%BC%E3%83%88%E3%83%86%E3%83%BC%E3%83%96%E3%83%AB%E3%81%AE%E3%82%A2%E3%82%BF%E3%83%83%E3%83%81">
<a class="header-anchor-link" href="#gatewaysubnet-%E3%81%AB%E5%AF%BE%E3%81%99%E3%82%8B%E3%83%AB%E3%83%BC%E3%83%88%E3%83%86%E3%83%BC%E3%83%96%E3%83%AB%E3%81%AE%E3%82%A2%E3%82%BF%E3%83%83%E3%83%81" aria-hidden="true"></a> GatewaySubnet に対するルートテーブルのアタッチ</h2>
<p>結局のところここが重要で、GatewaySubnet に対してオンプレミス・ブランチそれぞれの宛先に対しては Azure Firewall を経由させるという UDR を含んだルートテーブルをアタッチすることにより実現できました。ここで、慣れている方なら疑問に思うかもしれません。例えば、<code>オンプレミス -&gt; ER Gateway -&gt; Azure Firewall -&gt; VPN Gateway</code> と渡ってきたパケットがルートテーブルによって再度 Azure Firewall にループしてしまうんじゃないかという点ですね。ただこれは検証結果からもわかる通り、ループしません。これは、VPN Gateway から出ていくパケットは VPN を利用するためにカプセル化されており、宛先が UDR で記述したアドレス範囲に該当しないためです。直感に反するのでかなり混乱しました。</p>
<h2 id="%E3%83%AB%E3%83%BC%E3%83%88%E3%83%86%E3%83%BC%E3%83%96%E3%83%AB%E3%81%A7%E5%88%B6%E5%BE%A1%E3%81%99%E3%82%8B%E3%81%AA%E3%82%89-ars-%E3%81%AF%E4%B8%8D%E8%A6%81%E3%81%AA%E3%81%AE%E3%81%8B%EF%BC%9F">
<a class="header-anchor-link" href="#%E3%83%AB%E3%83%BC%E3%83%88%E3%83%86%E3%83%BC%E3%83%96%E3%83%AB%E3%81%A7%E5%88%B6%E5%BE%A1%E3%81%99%E3%82%8B%E3%81%AA%E3%82%89-ars-%E3%81%AF%E4%B8%8D%E8%A6%81%E3%81%AA%E3%81%AE%E3%81%8B%EF%BC%9F" aria-hidden="true"></a> ルートテーブルで制御するなら ARS は不要なのか？</h2>
<p>ARS においてブランチ間接続を Disabled にして確認をしたところ、疎通ができなくなりました。結果だけ見ればもちろん ARS が必要という結論になるだけなのですが、こちらの記事<sup class="footnote-ref"><a href="#fn-5051-3" id="fnref-5051-3">[3]</a></sup>で細かい解説をしてくれています。結局のところ、ExpressRoute Gateway と VPN Gateway の間で直接の経路交換がなされないため、ARS が必要です。オンプレミス側にそもそもブランチの経路が流れてこなくなります。<br>
<img src="https://res.cloudinary.com/zenn/image/fetch/s--Pz1NK8ck--/c_limit%2Cf_auto%2Cfl_progressive%2Cq_auto%2Cw_1200/https://storage.googleapis.com/zenn-user-upload/deployed-images/0908d998914700475b4dc323.png%3Fsha%3D40c59928ef5f236eff32096fdd1d106052fb8ece" loading="lazy" class="md-img"></p>
<h2 id="%E3%83%96%E3%83%A9%E3%83%B3%E3%83%81%E3%81%8C-azure-vnet-%E3%81%AE%E5%A0%B4%E5%90%88%E3%81%AF-vnet-to-vnet-%E3%81%AE-vpn-%E3%82%92%E5%88%A9%E7%94%A8%E3%81%99%E3%82%8B">
<a class="header-anchor-link" href="#%E3%83%96%E3%83%A9%E3%83%B3%E3%83%81%E3%81%8C-azure-vnet-%E3%81%AE%E5%A0%B4%E5%90%88%E3%81%AF-vnet-to-vnet-%E3%81%AE-vpn-%E3%82%92%E5%88%A9%E7%94%A8%E3%81%99%E3%82%8B" aria-hidden="true"></a> ブランチが Azure VNet の場合は VNet-to-VNet の VPN を利用する</h2>
<p>ARS を利用する際の制約として、BGP ピアとなる VPN Gateway の ASN は 65515 にする必要があります。一方で、Local Network Gateway は ASN に 65515 を設定することができないため、所謂一般的な S2S(IPsec) で VPN を張ることができません。本記事の構成としては VNet-to-VNet の VPN を利用したうえで BGP を有効化しています。</p>
<h1 id="%E3%81%BE%E3%81%A8%E3%82%81">
<a class="header-anchor-link" href="#%E3%81%BE%E3%81%A8%E3%82%81" aria-hidden="true"></a> まとめ</h1>
<ul>
<li>ARS を利用した ExpressRoute と VPN の折り返しにおいて、間に Azure Firewall を挟む構成を実現しました。</li>
<li>各種 Gateway から出るパケットのカプセル化が影響して、UDR の宛先 IP に該当しない点に起因しています。</li>
<li>この構成がサポートされるかどうかは明言できないのでご容赦ください。</li>
</ul>
<h1 id="appendix">
<a class="header-anchor-link" href="#appendix" aria-hidden="true"></a> Appendix</h1>
<p>この構成は疎通できませんでした。NVA から広報するアドレスをオンプレミスやブランチから広報されてくるものより more specific にしても失敗しました。<br>
<img src="https://res.cloudinary.com/zenn/image/fetch/s--gF3CKa-C--/c_limit%2Cf_auto%2Cfl_progressive%2Cq_auto%2Cw_1200/https://storage.googleapis.com/zenn-user-upload/deployed-images/ea5e38bfff57ecb8ddc2ed6c.png%3Fsha%3D03b72f786a9969f112483574a38cc1a6f6b9b889" loading="lazy" class="md-img"></p>
<section class="footnotes">
<span class="footnotes-title">脚注</span>
<ol class="footnotes-list">
<li id="fn-5051-1" class="footnote-item">
<p><a href="https://qiita.com/advent-calendar/2023/microsoft-azure-tech" target="_blank" rel="nofollow noopener noreferrer">https://qiita.com/advent-calendar/2023/microsoft-azure-tech</a> <a href="#fnref-5051-1" class="footnote-backref">↩︎</a></p>
</li>
<li id="fn-5051-2" class="footnote-item">
<p><a href="https://learn.microsoft.com/ja-jp/azure/route-server/expressroute-vpn-support" target="_blank" rel="nofollow noopener noreferrer">https://learn.microsoft.com/ja-jp/azure/route-server/expressroute-vpn-support</a> <a href="#fnref-5051-2" class="footnote-backref">↩︎</a></p>
</li>
<li id="fn-5051-3" class="footnote-item">
<p><a href="https://zenn.dev/skmkzyk/articles/udr-is-not-effective-for-os" target="_blank">https://zenn.dev/skmkzyk/articles/udr-is-not-effective-for-os</a> <a href="#fnref-5051-3" class="footnote-backref">↩︎</a></p>
</li>
</ol>
</section>


Azure Route Server を利用した Branch-to-branch 接続で Azure Firewall を経由させてみる

GatewaySubnet に対するルートテーブルのアタッチ

ルートテーブルで制御するなら ARS は不要なのか？

ブランチが Azure VNet の場合は VNet-to-VNet の VPN を利用する

yamapan

<p>めちゃくちゃ勉強になりました✨🤞</p>


Discussion