Mobility v12 on Azure

Mobility v12 評価版 – 設定手順ガイド（Azure）

このドキュメントについて
Mobilityを検証するためのサーバー環境をMicrosoft Azure上に構築するお客様向けに、Step by Stepで手順を解説します。この手順書の最終ゴールは、MobilityクライアントがAzure上のMobilityサーバーとVPNを確立し、クライアント端末がVPNを経由しAzureからインターネットへ通信できるところまでを作業範囲としています。

※この記事は2021年6月現在の情報で記載しています。なお、NetMotion製品以外の情報は参考としてお考え下さい。将来のAzureの仕様変更によって設定画面等が変更される場合もあります

設定の流れ

設定手順は大きく以下の４つになります。

Azureネットワークの構築
Mobilityサーバーの構築
NATの構築
Mobilityクライアントのインストール

注意点：オンプレミスとの違い

MobilityサーバーをAzure上に構築するには以下の点を注意する必要があります。

クライアント端末からのトラフィックがインターネットゲートウェイを通過してインターネットへ抜けていくには、NATインスタンスを介して通信する必要があります。これはAzureの仕様で、クライアントのVirtual IPアドレス(Azureで割り当てられていないアドレス)から発信した通信は、Azureのインターネットゲートウェイで遮断されるためです
クライアントのVirtual IPは既存の仮想ネットワークで使⽤されていないものにする
MobilityサーバーはDual NIC構成にする。さらに、Dual NIC構成⽤にスタティックルートをサーバーのOSに設定する
パブリックIPが⼆つ必要になる
クライアントのVirtual IPと通信させるためのルートテーブルを作成する

※環境によって最適な構成が異なる場合もあります。本番環境向けの構成については、NetMotion販売代理店各社までお問い合わせ下さい。

＜サンプル構成図＞

Azureネットワークの構築

仮想ネットワークとサブネットの構成

サンプル構成図に従ってネットワーク設定していきます。

以下のように仮想ネットワークとサブネットを作成します。

・IPv4アドレス空間: 　172.17.0.0/16
・subnetA :　　　　　172.17.11.0/24
・subnetB :　　　　　172.17.12.0/24

仮想マシンの作成

以下のようにWindows (Windows Server 2019 Datacenter)をsubnetAに作成します。
※動作検証⽤途のため、⼩規模な仮想マシンサイズを使⽤しています
次にsubnetBに所属するNICを作成します。作成したNICのIP転送を“有効”に設定してください
作成した仮想マシンをパブリックIPアドレスの予約をしてから停⽌させます
作成したNICを仮想マシンに接続させてから仮想マシンを起動させます
起動した仮想マシンにRDPでログインしてください
コマンドプロンプトを起動し、ipconfig /allで状態を確認してください。

内部インターフェース
NICが２枚搭載されているMobilityサーバーでは内部インターフェース(VPNトラフィックが暗号化を解かれて出⼒されるインターフェース)にDefault Gatewayが指定されている必要があります。その他のインターフェースからはDefault Gatewayの指定を外します。この例では172.17.12.4を持つNICが内部インターフェースとしています。

外部インターフェース（VPN接続を終端）
⼀⽅、インターネットからVPN接続を終端するインターフェースは172.17.11.4を持つNICになります。そのNICにDefault Gatewayが無い状態でインターネットと疎通できるようにスタティックルートを作成する必要があります。
以下のスクリーンショットのように、表⽰のDescriptionを確認してください。この例では、#2 が VPNを終端するNICで、 #3 が内部インターフェースと確認できました
コマンドプロンプトで route print と⼊⼒します

ここでは、インターフェース番号を確認します。#2 のインターフェースは4番なので、VPNを終端するNICのIF番号は4と確認できました
Windowsからインターネットへの通信がインターフェイスID 4 を使⽤するようにスタティックルートを設定します
```
route add 0.0.0.0 mask 128.0.0.0 172.17.11.1 if 4 -p

route add 128.0.0.0 mask 128.0.0.0 172.17.11.1 if 4 -p
```
それぞれのNICに対して、ipv4のプロパティで以下のようにIPアドレスを設定します
ipconfigで内部インターフェースのみにDefault Gatewayが指定されている事を確認します
次にWindowsの⽇本語化を⾏います。

設定方法

Settings->Time & Language->Date & timeからTime zoneを(UTC+09:00)Osaka, Sapporo, Tokyoに設定します

Settings->Time & Language->RegionからCountry or regionでJapanに設定します

Settings->Time & Language->LanguageからAdd a languageで⽇本語を選択してInstallします

Control Panel->Clock and Region->RegionからAdministrativeタブを選択し、Copy settingsからWelcome screen and system accountsにチェックを⼊れ、[OK] ボタンを押し [Restart now]を選択します

その後、RDPで再ログインして、コントロールパネル->時計と地域->地域 を選択してください。管理タブでシステムロケールの変更から⽇本語を選択して再起動してください
RDPで再ログインし、Mobilityサーバーのインストールを⾏います。インストーラーを仮想マシンのWindowsへコピーしてください

Mobility サーバーのインストール

インストーラーを実⾏してください。以下のウィザードが⽴ち上がりますので “⼩規模展開サーバー” を選択してください

⼩規模展開サーバーを選択すると、Mobile IQ以外の必要コンポーネントをすべて1台のサーバーにインストールするようにウィザードが起動します
Mobility Warehouseインストールウィザードが⽴ち上がりますので”次へ“を選択し、パスワード設定の画⾯まで進んでください
以下の画⾯でMobility Warehouseのパスワードを設定してください
以下の画⾯までデフォルトのままウィザードを進めてください。設定したパスワードを⼊⼒し“次へ”で進みます
ファイアウォールを無効にするにチェックが⼊ったまま“次へ”で進みます
任意のプール名を設定し“次へ”で進みます

「プール名」を設定しなくても動作検証が可能です
内部インターフェースは172.17.12.4を持つイーサネット3を選択します
以下の画⾯までデフォルト設定で進み、外部アドレスには イーサネット2のパブリックIPを設定します
“仮想IP アドレスのプールを使⽤する“を選択し[追加]ボタンをクリックします
以下のように仮想アドレスプールを設定します。ここでは172.17.10.0/24を仮想アドレスプールに使⽤します
次の画⾯ではDNSサーバーを設定します。ここではパブリックの8.8.8.8を設定します。
その次のユーザー認証ではデフォルトのNTLMを選択して[次へ] をクリックしてください
“ローカルのユーザおよびグループの編集”を選択してユーザを作成し。グループ”NetMotion Users”に追加してください。
追加したユーザーはUsersグループからは削除してください。VPNのユーザ認証でのみ使⽤します
クライアントパブリッシャーアドレスは172.17.12.4を選択。“次へ“で完了まで進みます
スタートメニューからMobilityコンソールを起動してください。Windowsサーバーの管理者ユーザ名、パスワードでログインします

評価ライセンスについて
評価ライセンスとして「100デバイス」と「Completeプラットフォーム」のライセンスが使⽤可能です。その他の評価ライセンスを取得している場合には構成->ライセンス付与 メニューでライセンスキーを追加してください

NATを構築する

サンプル構成図に従って、仮想マシンを使⽤してNATを構築していきます。この検証ではイメージ︓”CentOS 7 with support by Frontline – Gen1”を使⽤しています。
Mobilityサーバーの構築と同様に追加のNICを作成し、IP転送を有効に設定し、NICが２枚搭載されているLinux仮想マシンを作成してください

sshで作成した仮想マシンへログインし、firewalldを使⽤してNATの設定を⾏います

$sudo su –

# systemctl enable firewalld.service

# systemctl start firewalld.service

nmcli c sでeth1のNAMEを調べます

# nmcli c s

NAME UUID TYPE DEVICE

System eth0 5fb06bd0-0bb0-7ffb-45f1-d6edd65f3e03 ethernet eth0

Wired connection 1 5581ca88-a63c-3b8a-817d-2cd618ec9382 ethernet eth1

NIC eth1をinternal、デフォルトゾーンをexternalに設定します

# nmcli c mod "Wired connection 1" connection.zone internal

# firewall-cmd --set-default-zone=external

# firewall-cmd --reload

次にVPNで使⽤する仮想アドレスに対するスタティックルートを設定します

# route add -net 172.17.10.0 netmask 255.255.255.0 gw 172.17.12.1

# nmcli c e "Wired connection 1"

# set ipv4.routes 172.17.10.0/24 172.17.12.1

# print ipv4.routes

# save persistent

# quit

ルートテーブルとVPN⽤ポート開放の設定

以下のようにsubnetBに対してルートテーブルを作成します
nexthopの設定
仮想アドレス:172.17.10.0/24へはWindowsサーバーのNIC:172.17.12.4、0.0.0.0/0はNATのNIC:172.17.12.5へnexthopを指定します
以下のようにWindowsサーバー作成時に作成されたネットワークセキュリティーグループの受信セキュリティ規則にUDPポート5008を許可する規則を追加します。NetMotionクライアントからはudpの5008ポートを使⽤してVPNトンネルが作成されるためです

Mobilityクライアントのインストールと接続確認

別記事で詳しく解説しています

Mobility クライアント (Windows版) インストール方法｜ステップバイステップインストールガイド

2019.11.02

Mobility クライアントの使い方 (Windows版)

2018.01.09

Windows場合、Mobility_xg_client_xxxx.exeを実⾏すると以下のセットアップウィザードが起動します。

次へ進み、使⽤許諾契約書に同意し、インストール先フォルダーをデフォルトのままでサーバアドレスまで進みます。ここでMobilityサーバーのIPアドレスもしくはFQDNを指定します。次へ進み“インストール“をクリックし、インストールを完了してください。再起動を促されますので”はい“を選択して再起動してください
再起動後Windowsログイン時にVPNへのログオンダイアログが開きますが、“スキップ”をクリックしてください
スタートアップメニューからMobilityクライアントを起動してください。“起動時にサーバーに接続“のチェックを⼊れ、”サーバー接続しない”を選択し、”OK”を選択してください。
この設定をすると、Windowsログオン時にVPNへ接続しなくなります。
※Mobilityサーバー側で一括設定することも可能です
[接続]をクリックしてください。Mobilityへのログオン画⾯にてユーザ名/パスワード(Mobilityサーバーインストール時にWindowsサーバーのユーザとグループに追加したユーザ名/パスワード)、ドメインを<none> (未入力)として”OK”を選択します。以下のように“user01として接続済み“と表示されたらVPNが接続されています。ブラウザ等からインターネットに接続できれば成功です