こないだ拡張されたWindows Azure 仮想ネットワークのPoint-To-Site VPNですが、標準で提供されている接続ツールはWin7以降のx86/x64しかサポートされていません。

でもまぁ接続ツールなくても何とかなるだろう、ということでいろいろ試してみました。

とりあえず正常な状態を見てみる

標準の接続ツールをインストールすると、作成した仮想ネットワーク名のVPNコネクションが増えています。

こいつのプロパティみても大した情報は得られません。

さてさて、どうしましょうか。とりあえずPoint-To-Site VPNでクライアント証明書をアップロードしたということ＋プロパティがSSTP（※同じタイミングでSSTP対応したしね）ということで、SSTPを使って証明書認証なVPN接続を作ればよさそうです。

※事前にクライアント証明書を手順に従ってインストールしておいてくださいね

VPN接続を作る

普通に作っていきましょう。

さて、ここでこまった。接続先がわかりません。IPアドレスは管理ポータル見れば載っていますが、もちろん逆引きしてもわかりません。（※結論から言うと、IPアドレスで接続しようとすると接続時に証明書のCNと違う接続先ということで怒られて接続できません）

1． 推測する

管理ポータルの仮想ネットワークIDがそれっぽいので、生成することができそうです。

azuregateway-<仮想ネットワークのID>-0.cloudapp.net

まぁ末尾のゼロが気になるけど。

2． 接続プロファイルの中身をごにょごにょする

本命はこちら。後で書きますが、VPNゲートウェイ側の証明書（.cer）が結局必要になるのでプロファイルをごにょごにょする必要があります。

管理ポータルからどちらでもいいので、接続プロファイルをダウンロードし、ダウンロードしたEXEに /C /T:展開先フォルダ 引数を付けて展開します。

出来上がったファイルの ＜仮想ネットワーク名＞.pbk をメモ帳などで開いて最後のほうに接続先があるのでそれをコピペしましょう。

※余計なDLLを使わないように.infを編集してインストールすれば終わりとか言わない。

さて、少し戻ってVPN接続のウィザードはこれでいったん完了です。

あ、ついでに後で利用するので同じく展開されたフォルダに含まれる証明書（*.cerファイル）を管理者権限で以下のコマンドを実行して証明書ストアに追加しておきましょう。

certutil -addstore root <*.cerへのパス>

VPN接続のプロパティを変更する

主に変更するのはセキュリティタブです。

VPNの種類はSSTPに、認証は「スマートカードまたはその他の証明書（暗号化は有効）」を選択します。

EAPのプロパティでコンピュータの証明書を使うのとVPNゲートウェイの証明書を使用するようにします。

あとはこのまま接続するとデフォルトゲートウェイがVPN接続のほうになっちゃうのでTCP/IPの詳細設定で「リモートネットワークでデフォルトゲートウェイを使う」のチェックを外しておきます。

一応、最低限の設定はこれで終わりです。実際に接続してみましょう。

接続開始時に証明書を聞いてくるので、登録したクライアント証明書を選択します。

エラーがなく接続されればOKです。やったね！

まとめ

ざっくりいうと

• VPNゲートウェイの証明書をインストールする
• SSTPで証明書を使うようにVPN接続を構成する

の2点でOKです。簡単ですね。証明書の入手にWindowsマシンが必要なのでウザイですが。。でもWindows以外でもいけそうですね。誰かチャレンジしてみてください。

※ぶっちゃけ接続プロファイルに含まれるVPNゲートウェイの証明書とクライアント側の秘密鍵付き証明書があれば接続するだけの情報は得られちゃうので、鍵の管理はちゃんとしましょう！