none
ネットワークセキュリティグループについて RRS feed

  • 質問

  • 現在、Azureをテストで検証しています。

    Azure上に立てたサーバーに対して、RDP接続できるようにネットワークセキュリティグループを設定しているのですが、この設定を、自社グローバルIPからの接続のみに限定させることができるのかを検証しています。

    リファレンスなどを参照し、ネットワークセキュリティグループのソースIPに、自社グローバルIPを設定したのですが、完全にRDP接続できない状態になってしまいます。ソースを〝Any〟に変更すると、接続できます。

    設定方法がおかしいのでしょうか?ご教授お願いします。
    ソースには、xxx.xxx.xxx.xxx/32の形式で設定しています。



    • 編集済み q-s-1101 2020年5月26日 4:07
    2020年5月26日 4:02

すべての返信

  • 設定は間違っていないと思います。 考えられる要因としては、設定しているグローバルIP(CIDR)が間違っているのかもしれません。

    例えば、Azure 管理ポータルからストレージアカウント - ファイアウォールと仮想ネットワーク から、接続元のクライアントIPアドレスを確認することができるため、認識されているIPアドレスと同じアドレスになっているかを確認されてみると良いかもしれません。

    2020年5月27日 12:42
  • ご回答いただきありがとうございます。

    回答中でご教授いただいた、ストレージアカウント - ファイアウォールと仮想ネットワークで、選択されたネットワークのオプションボタンをクリックして、クライアントIPアドレスを確認しました。

    そのIPアドレスとは、間違いなく同じアドレスをしています。

    2020年5月27日 23:50
  • NSG (ネットワーク セキュリティ グループ) は仮想NIC とサブネットの両方で構成できますが、両方とも許可の設定がされていますか?


    Hebikuzure aka Murachi Akira

    2020年5月28日 0:40
  • 仮想サーバー作成時に、自動で作成されるNSG(これが仮想NICに設定されるという事であってますか?)を、サブネットのdefaultに関連づけて構成しています。

    なので、仮想NICと、サブネットの両方で許可されていると認識しているのですが、この認識に誤りがあるのでしょうか?


    • 編集済み q-s-1101 2020年5月28日 1:13
    2020年5月28日 1:12
  • Azure ポータルで当該仮想マシンが接続されている仮想ネットワークのブレードを開き、[サブネット] を選択して仮想マシンが接続されているサブネットを開くと、そのサブネットに関連付けられている NSG が分かります。

    書かれている手順であれば、通常はサブネットの NSG は「なし」になるので、実際「なし」であれば原因は別の所でしょう。


    Hebikuzure aka Murachi Akira

    2020年5月28日 1:38
  • ご指摘の箇所を確認しましたが、サブネットに関連付けられているNSGは、仮想NICに関連付けられているNSGと同じものが表示されています。

    という事は、原因は分からずという事ですね。

    最終的には、VPN Gatewayを利用し、パブリックIPは使用しない環境を構築しようと考えているので、実際はできなくて問題はないのですが、テストで接続できなかったので質問させていただきました。

    ご対応ありがとうございました。

    後、この質問とは別なのですが、現在、AzureをVisualStudioサブスクリプションで運用しているのですが、これを従量課金制にアップグレードした場合は、12ヵ月無料は適用されるのでしょうか?

    • 編集済み q-s-1101 2020年5月28日 2:52
    2020年5月28日 2:46
  • 念のための確認ですが、設定されているNSGは以下のような設定になっていますかね。

    ルール:受信ポートの規則
    ソース : IP Addresses
    ソース IP アドレス/CIDR 範囲 : xxx.xxx.xxx.xxx/32
    ソース ポート範囲 : *
    宛先 : Any
    宛先ポート範囲 : 3389
    プロトコル : TCP
    アクション : 許可

    現在、12ヵ月無料のベネフィットを受けている場合は、アップグレードしてもそのまま使用できるかと思います。

    Azure 無料アカウント FAQ
    https://azure.microsoft.com/ja-jp/free/free-account-faq/


    2020年5月28日 3:03
  • サブスクリプションについてのご回答、ありがとうございます。

    RDPの受信セキュリティの規則ですが、
    宛先だけが、Anyではなく、Virtual Networkになっています。それ以外は、上記の設定内容とまったく同じです。


    2020年5月28日 3:37
  • Azure ポータルで(どれでも良いので)ストレージアカウント(たぶん診断用ストレージや CloudShell 用ストレージのストレージアカウントがあるはずなので、それで OK)を選択してブレードを開き、「ファイアウォールと仮想ネットワーク」を選択して「許可するアクセス元」を「選択されたネットワーク」にします。

    すると「ファイアウォール」の項目に「クライアント IP アドレス ('XXX.XXX.XXX.XXX') の追加」と表示されます。この XXX.XXX.XXX.XXX が現在ポータルにアクセスしている IP アドレスです。

    これで設定している IP アドレスが正しいか確認してみてください。


    Hebikuzure aka Murachi Akira


    2020年5月28日 4:15
  • 確認してみましたが、表示されているIPであってます。

    そのIPアドレスを使用して、xxxx.xxx.xxx.xxx/32でソースIPアドレス/CIDR範囲に設定してます。

    2020年5月28日 4:25
  • ちょっと難しいですね。NSG でログが取れるので、それを採取してみてみるとか。

    Hebikuzure aka Murachi Akira

    2020年5月28日 4:42
  • 不思議な現象ですね。 やはり設定としては問題ないと思います。 そうなると、やはり 「ソース IP アドレス/CIDR 範囲 : xxx.xxx.xxx.xxx/32」 の設定に依存してそうなのですが、IPの指定もあっているのですよね。

    今後、VPN Gateway 経由で Site to Site VPN などを構成されるのであれば、プライベート IP アドレス を指定することになると思いますので、パブリック IP アドレスによる許可設定を入れる必要がないというのはご認識の通りだと思います。

    興味があれば、NSG フローログを採取することで、どのIPアドレスから3389で接続が行われているなどの詳細な情報など、RDPが失敗している要因を確認することができるため、確認されると良いかと思います。

    2020年5月28日 5:06
  • いろいろと教えていただきありがとうございました。

    NSGフローログについては、余裕があれば、確認してみようと思います。

    2020年5月28日 5:20
  • 貴社ネットワークの動作として、HTTP/HTTPS でインターネットにアクセスする際の送信元グローバル IP アドレスと これら以外の通信でインターネットにアクセス際の送信元グローバル IP アドレスが違うのかもしれません。

    NSG の送信元 IP アドレスを ANY にした状態で サーバに RDP 接続したうえで、コマンドプロンプトで netstat -an | find "3389" を実行ください。そして、表示されるグローバル IP アドレスが NSG で登録しようとしているものと一致しているかご確認いただけますか。もし異なるようであれば、コマンドの結果に表示されたグローバル IP アドレスを NSG に追加してください。

    2020年6月4日 15:40