Azure Virtual Networkを使うためだけにJuniper SSG-5-SH-BTを購入してみた

Microsoft Azure Virtual Network、ご存じですか？
Microsoft Azure Virtual Networkは、IPsecを用いたサイト間接続が可能なVPNサービスです。
VPN接続後、オンプレミスからAzureのサービス（例えば、仮想マシン）が利用可能となります。
昨年購入したヤマハ製ルーター「RTX1100」を使ってIPSec VPN接続がしたいところでしたが、（残念ながら）仕様により断念せざるを得ませんでした。
そこで、Azure Virtual Networkと接続するためだけにJuniper SSG-5-SH-BTを購入。
今回は、なぜJuniper SSG-5-SH-BTを購入したのか？購入する際に注意すべき点などをメモします。

Juniper SSG-5-SH-BTとは

• Juniper製ネットワーク装置（Firewall+VPN）
• NetScreenのセキュリティ技術やScreenOSがベース
• 小～中規模を対象としたUTM
• ファイアーウォールの性能は160Mbps、IPSec VPNは40Mbps
• LANポートが10/100Base TX 7ポート
• ISND BRI S/Tが1ポート
• コンソールが1ポート
• MTBFは40.5年

スペックの詳細は下記URLから確認できます。

https://www.juniper.net/jp/jp/products-services/security/ssg-series/ssg5/

なぜJuniper製SSGシリーズを購入したのか？

理由は4つあります。

1. JuniperはAzure Virtual Networkが利用できるVPNデバイス ベンダーである
   「仮想ネットワークに使用する VPN デバイスについて」に掲載されているVPNデバイス ベンダーの一つがJuniperです。
   また、検証されたデバイス シリーズの一つに今回購入したSSGシリーズがあります。
2. IKEv2対応である
   Azure Virtual Network を利用するには、IKEv2に対応したVPN装置が必要です。
   （ScreenOS 6.2のドキュメントが見つかりませんが）ScreenOS 6.3.0r17のドキュメントを見ると6.3.0からIKEv2に対応しています。
3. SSG用構成スクリプト ファイルが用意されている
   「仮想ネットワークに使用する VPN デバイスについて」に掲載されていますが、、AzureにはVPNデバイス構成スクリプトが用意されています。
   Azure ポータル サイトからJuniper SSGシリーズ(ScreenOS 6.2)用構成スクリプトをダウンロードでき、設定内容を少し編集するだけでAzure Virtual Networkのゲートウェイと接続できます。
4. 中古品が安い！
   個人とはいえ趣味の一環ですから、あまりお金はかけられません。
   SSG-5シリーズは中古品だと約6～7千円なため、気軽に購入できます。

どこでSSG-5-SH-BTを購入したのか？

オークションを含め様々なサイトを調べた限り、SSG-5-SH-BTの中古品の相場は約6～7千円である事がわかりました。

その中から「ヴォゴネットラボ」さんから購入。

【中古】SSG-5 (SSG-5-SH-BT) - VigonetLabs

購入時のSSG-5-SH-BTのファームウェア（ScreenOS）は6.3.0r17（最新の一つ前）でした。
外装の使用感はありましたが、性能の問題は全く感じられません。
※個人的には、当たりを引いたと思っています。

結局、Azure Virtual Networkは利用できたのか？

はい、できました。

注意点

いくら中古品が安いVPNデバイスとはいえ、Azure Virtual Networkが利用できなくては意味がありません。
購入前に知っておきたい注意点が1つあります。

ScreenOSのバージョンは「6.2以上である」事

「仮想ネットワークに使用する VPN デバイスについて」においても説明されていますが、Juniper SSGシリーズの場合はScreenOS 6.2以上が必要です。
幸いなことに私が購入したSSG-5-SH-BTはScreenOS 6.3.0r17でしたので、問題なくAzure Virtual Networkが利用できました。
可能か分かりませんが、購入先に対しScreenOSのバージョン確認が出来れば嬉しいですね。

Juniper SSGシリーズに関するドキュメントとWebサイト/ブログ記事

購入後は設定が当然必要です。
初めて設定される方は下記ドキュメントを読んでみるとよいでしょう。

• http://www.juniper.net/jp/jp/local/pdf/others/fsssg5-jp.pdf
  Juniperが用意している「はじめてのSSG5」というタイトルのPDFです。
  まずはこのPDFを読みましょう。
• SRXシリーズ Microsoft Windows Azure Virtual NetworkとのSite-to-Site VPN接続構成ガイド（PDF）
  少し古い内容ですが、概要がつかめますので是非読んでほしいです。
• ScreenOS Release 6.3.0 Software Documentation for SSG, ISG, and NetScreen Series
  ScreenOS 6.3.0のリリース ノートが確認できます。
• http://www.harumaki.net/2014/04/28/juniper_screenos_firmware_update/
  ファームウェアの更新手順が丁寧に説明されています。
• http://www.infraeye.com/study/studyz1.html
  Juniper SSGシリーズの設定方法はこのサイトが一番詳しいかも。