ユーザー VPN クライアント用のグローバルおよびハブの VPN プロファイルをダウンロードする

  • [アーティクル]

Azure Virtual WAN には、ユーザー VPN クライアント用にグローバル プロファイルとハブ プロファイルの 2 種類の接続プロファイルが用意されています。 どちらの種類のプロファイルを選ぶかは、VPN クライアントを地理的に負荷分散された WAN レベルのプロファイルに接続するか (グローバル プロファイル)、VPN クライアントを特定のハブにのみ接続するように制限するか (ハブ プロファイル) によって決まります。 この記事では、両方の種類のプロファイル用の VPN クライアント構成ファイルを生成するのに役立ちます。

グローバル プロファイル

ユーザー VPN 構成に関連付けられたグローバル プロファイルは、グローバル Traffic Manager を指しています。 グローバル Traffic Manager には、そのユーザー VPN 構成を使用しているすべてのアクティブなユーザー VPN ハブが含まれます。 ただし、必要に応じてグローバル トラフィック マネージャーからハブを除外することもできます。 グローバル プロファイルに接続されたユーザーは、その地理的な場所に最も近いハブに誘導されます。 これは、複数の場所の間を頻繁に移動するユーザーがいる場合に特に便利です。

たとえば、1 つのユーザー VPN 構成を、同じ仮想 WAN の 2 つの異なるハブ (米国西部と東南アジアに 1 つ) に関連付けることができます。 ユーザーがユーザー VPN 構成に関連付けられたグローバル プロファイルに接続すると、その場所に基づいて最も近い Virtual WAN ハブに接続します。

重要

グローバル プロファイルに使用されるポイント対サイト VPN 構成が RADIUS プロトコルを使用してユーザーを認証するように構成されている場合は、その構成を使用するすべてのポイント対サイト VPN ゲートウェイで "リモート/オンプレミスの RADIUS サーバーを使用する" がオンになっていることを確認します。 さらに、この VPN 構成を使用して、すべてのポイント対サイト VPN ゲートウェイの RADIUS プロキシ IP アドレスからの認証要求を受け入れるように、RADIUS サーバーを確実に構成します。

グローバル VPN プロファイルをダウンロードする

VPN クライアント プロファイル構成ファイルを生成してダウンロードするには、次の手順のようにします。

  1. Virtual WAN に移動します。

  2. 左側のウィンドウで [ユーザー VPN 構成] を選択します。

  3. [ユーザー VPN 構成] ページには、仮想 WAN 用に作成したすべてのユーザー VPN 構成が表示されます。 [ハブ] 列には、各ユーザー VPN 構成に関連付けられているハブが表示されます。 展開してハブ名を表示するには、> をクリックします。

    Screenshot that shows hubs list expanded.

  4. 次の例では、同じユーザー VPN 構成を使用するハブを含む複数の行が示されています。 グローバル プロファイルでは、複数のハブが同じユーザー VPN 構成を使っている場合は、目的のユーザー VPN 構成を含むどのハブ行でもクリックできます。 このページから生成したプロファイル ファイルは、特定のハブではなく、ユーザー VPN 構成と一致するようになります。 VPN ユーザーの接続先を 1 つのハブのみに制限する (グローバル プロファイルを使用しない) 場合は、代わりに「ハブ プロファイル」の手順を使います。

    Screenshot that shows selections for downloading a global profile.

    この例では、Hub2 の行を選びましたが、Hub3 または Hub1 を選んでも、同じプロファイル構成ファイルが生成されます。 ただし、Hub6 の行を選んだ場合は、Hub6 で使われているユーザー VPN 構成が異なるため、異なるプロファイル構成ファイルになります。

    使用するユーザー VPN 構成を含む行をクリックします。 これにより、行全体が強調表示されます。 次に、[仮想 WAN のユーザー VPN プロファイルのダウンロード] をクリックします。

  5. [Download virtual WAN user VPN] (仮想 WAN のユーザー VPN のダウンロード) ページで、[EAPTLS] を選んでから、[プロファイルを生成してダウンロードする] をクリックします。 VPN クライアントの構成設定を含むプロファイル パッケージ (ZIP ファイル) が生成され、お使いのコンピューターにダウンロードされます。 パッケージの内容は、ハブと、選んだ構成での認証とトンネルの種類の選択によって異なります。

    Screenshot the authentication type and generate and download profile.

グローバル プロファイルからのハブを含めるまたは除外する

既定では、同じユーザー VPN 構成を使用するすべてのハブが、生成してダウンロードするグローバル VPN プロファイルに含まれます。 ただし、グローバル VPN プロファイルからハブを選んで除外できます。 そうした場合、VPN クライアントは、そのハブのゲートウェイに接続するように負荷分散されません。

  1. ハブがグローバル VPN プロファイルに含まれているかどうかを調べるには、[Virtual WAN] に移動します。

  2. [概要] ページで、[ハブ] を選択します。

  3. [ハブ] ページで、ハブをクリックします。

  4. [仮想ハブ] ページの左側のペインで、[ユーザー VPN (ポイント対サイト)] を選びます。

  5. [ユーザー VPN (ポイント対サイト)] ページの [ゲートウェイのアタッチの状態] で、このハブがグローバル VPN プロファイルに含まれているかどうかを確認します。 状態が [接続] であれば、そのハブは含まれています。 状態が [デタッチ済み] であれば、そのハブは含まれていません。

    Screenshot that shows the attachment state of a gateway.

  6. グローバル VPN プロファイルにハブを含めたり (アタッチ) プロファイルからハブを除外したり (デタッチ) するには、[グローバル プロファイルにゲートウェイを含める、または除外する] を選びます。

  7. [含める/除外する] ページで、次のいずれかを選択します。

    • Virtual WAN グローバル ユーザー VPN プロファイルからこのハブのゲートウェイを削除する場合は、[除外] をクリックします。 ハブ プロファイルを使っているユーザーは、引き続きこのハブのゲートウェイに接続できます。 このグローバル プロファイルを使っているユーザーは、このハブのゲートウェイに接続できません。

    • このハブのゲートウェイを Virtual WAN グローバル ユーザー VPN プロファイルに含める場合は、[含める] をクリックします。 このグローバル プロファイルを使っているユーザーは、このハブのゲートウェイに接続できます。

グローバル プロファイルのベスト プラクティス

複数のサーバー検証証明書を追加する

このセクションは、OpenVPN トンネルの種類と Azure VPN クライアント バージョン 2.1963.44.0 以降を使っている接続に関係します。

ハブ P2S ゲートウェイを構成すると、Azure によってゲートウェイに内部証明書が割り当てられます。 これは、認証方法として証明書認証を使用する場合に指定するルート証明書情報とは異なります。 ハブに割り当てられた内部証明書は、すべての認証の種類に使われます。 この値は、生成するプロファイル構成ファイルでは servervalidation/cert/hash と表されます。 VPN クライアントは、接続プロセスの一部としてこの値を使います。

異なる地理的リージョンに複数のハブがある場合、使われる Azure レベルのサーバー検証証明書がハブごとに異なる可能性があります。 グローバル プロファイルには、すべてのハブのサーバー検証証明書ハッシュ値が含まれています。 つまり、そのハブの証明書が何らかの理由で正常に動作していない場合でも、クライアントには他のハブに必要なサーバー検証証明書ハッシュ値があるということです。

重要

ハブに異なるサーバー ルート発行者がある場合のみ、すべてのハブの証明書ハッシュ値を使用して Azure VPN クライアントを構成する必要があります。

ベスト プラクティスとして、VPN クライアント プロファイル構成ファイルを更新して、グローバル プロファイルにアタッチされているすべてのハブの証明書ハッシュ値をそれに含めてから、更新されたファイルを使って Azure VPN クライアントを構成することをお勧めします。

  1. グローバル プロファイル ファイルを生成してダウンロードします。 テキスト エディターを使って、azurevpnconfig.xml ファイルを開きます。

  2. 次の xml の例では、各ハブのサーバー検証証明書ハッシュを含むグローバル プロファイル構成ファイルを使用して Azure VPN クライアントを構成します。

      </protocolconfig>
  <serverlist>
    <ServerEntry>
      <displayname
        i:nil="true" />
      <fqdn>wan.kycyz81dpw483xnf3fg62v24f.vpn.azure.com</fqdn>
    </ServerEntry>
  </serverlist>
  <servervalidation>
    <cert>
      <hash>A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436</hash>
      <issuer
        i:nil="true" />
    </cert>
    <cert>
      <hash>59470697201baejC4B2D7D66D40C6DD2FB19C5436</hash>
      <issuer
        i:nil="true" />
    </cert>
    <cert>
      <hash>cab20a7f63f00f2bae76202gdfe36db3a03a9cb9</hash>
      <issuer
        i:nil="true" />
    </cert>

ハブ プロファイル

指定した 1 つのハブにのみ VPN ユーザーが接続できるようにする場合は、この種類のプロファイルを使います。 ハブ レベルで生成してダウンロードするファイルには、WAN レベルのグローバル プロファイルで生成してダウンロードするファイルとは異なる設定が含まれています。

ハブ VPN プロファイルをダウンロードする

VPN クライアント プロファイル構成ファイルを生成してダウンロードするには、次の手順のようにします。

  1. 仮想ハブに移動します。

  2. 左側のウィンドウで、[ユーザー VPN (ポイント対サイト)] を選択します。

  3. [仮想ハブのユーザー VPN プロファイルのダウンロード] を選択します。

    Screenshot that shows how to download a hub profile.

  4. ダウンロード ページで、[EAPTLS] を選択し、[Generate and download profile] (プロファイルを生成してダウンロードする) を選択します。 クライアントの構成設定を含むプロファイル パッケージ (ZIP ファイル) が生成され、コンピューターにダウンロードされます。 パッケージの内容は、ハブと、構成での認証とトンネルの種類の選択によって異なります。

次の手順

ユーザー VPN の詳細については、ユーザー VPN のポイント対サイト接続の作成に関する記事を参照してください。