複数の認証の種類を使用して VNet へのポイント対サイト VPN 接続を構成する: Azure portal

  • [アーティクル]

この記事では、Windows、Linux、または macOS が実行されている個々のクライアントを Azure VNet に安全に接続する方法を紹介します。 ポイント対サイト VPN 接続は、自宅や会議室でのテレワークなど、リモートの場所から VNet に接続する場合に便利です。 VNet への接続を必要とするクライアントがごく少ない場合は、サイト対サイト VPN の代わりに P2S を使用することもできます。 ポイント対サイト接続に、VPN デバイスや公開 IP アドレスは必要ありません。 P2S により、SSTP (Secure Socket トンネリング プロトコル) または IKEv2 経由の VPN 接続が作成されます。 ポイント対サイト VPN の詳細については、「ポイント対サイト VPN について」を参照してください。

Connect from a computer to an Azure VNet - point-to-site connection diagram

ポイント対サイト VPN の詳細については、「ポイント対サイト VPN について」を参照してください。 Azure PowerShell を使用してこの構成を作成するには、Azure PowerShell を使用したポイント対サイト VPN の構成に関する記事を参照してください。

前提条件

Azure サブスクリプションを持っていることを確認します。 Azure サブスクリプションをまだお持ちでない場合は、MSDN サブスクライバーの特典を有効にするか、無料アカウントにサインアップしてください。

同じ VPN ゲートウェイ上で複数の認証の種類を使用することは、OpenVPN トンネルの種類でのみサポートされています。

値の例

次の値を使用して、テスト環境を作成できます。また、この値を参考にしながら、この記事の例を確認していくこともできます。

  • VNet 名: VNet1
  • アドレス空間: 10.1.0.0/16
    この例では、1 つのアドレス空間のみを使用します。 VNet には、複数のアドレス空間を使用することができます。
  • サブネット名: FrontEnd
  • サブネットのアドレス範囲: 10.1.0.0/24
  • サブスクリプション: サブスクリプションが複数ある場合は、適切なサブスクリプションを使用していることを確認します。
  • [リソース グループ]: TestRG1
  • [場所]: 米国東部
  • GatewaySubnet: 10.1.255.0/27
  • SKU: VpnGw2
  • 世代: 第 2 世代
  • ゲートウェイの種類: VPN
  • VPN の種類: ルート ベース
  • パブリック IP アドレス名: VNet1GWpip
  • [接続の種類] : ポイント対サイト
  • クライアント アドレス プール: 172.16.201.0/24
    このポイント対サイト接続を利用して VNet に接続する VPN クライアントは、クライアント アドレス プールから IP アドレスを受け取ります。

仮想ネットワークの作成

最初に Azure サブスクリプションを持っていることを確認します。 Azure サブスクリプションをまだお持ちでない場合は、MSDN サブスクライバーの特典を有効にするか、無料アカウントにサインアップしてください。

Note

クロスプレミス アーキテクチャの一部として仮想ネットワークを使う場合は、必ずオンプレミスのネットワーク管理者と調整を行って、この仮想ネットワーク専用に使用できる IP アドレスの範囲を見つけます。 VPN 接続の両側に重複するアドレス範囲が存在する場合、予期しない方法でトラフィックがルーティングされます。 また、この仮想ネットワークを別の仮想ネットワークに接続する場合、アドレス空間を別の仮想ネットワークと重複させることはできません。 この点を踏まえてネットワーク構成を計画してください。

  1. Azure portal にサインインします。

  2. ポータル ページの上部にある [リソース、サービス、ドキュメントの検索 (G+/)] に「仮想ネットワーク」と入力します。 Marketplace の検索結果から [仮想ネットワーク] を選び、[仮想ネットワーク] ページを開きます。

  3. [仮想ネットワーク] ページの [作成] を選び、[仮想ネットワークの作成] ページを開きます。

  4. [基本] タブの [プロジェクトの詳細][インスタンスの詳細] に仮想ネットワークの設定を構成します。 入力した値が検証された場合は、緑色のチェック マークが表示されます。 この例に示されている値は、必要な設定に従って調整できます。

    Screenshot that shows the Basics tab.

    • サブスクリプション:一覧表示されているサブスクリプションが正しいことを確認します。 ドロップダウン ボックスを使ってサブスクリプションを変更できます。
    • リソース グループ: 既存のリソース グループを選ぶか、[新規作成] を選んで新しく作成します。 リソース グループの詳細については、「Azure Resource Manager の概要」を参照してください。
    • Name:仮想ネットワークの名前を入力します。
    • リージョン: 仮想ネットワークの場所を選びます。 この場所の設定によって、この仮想ネットワークにデプロイしたリソースの配置先が決まります。

  5. [次へ] または [セキュリティ] を選んで、[セキュリティ] タブに移動します。この演習では、このページのすべてのサービスについて既定値のままにします。

  6. [IP アドレス] を選んで、[IP アドレス] タブに移動します。[IP アドレス] タブで設定を構成します。

    • IPv4 アドレス空間: 既定では、アドレス空間が自動的に作成されます。 アドレス空間を選択して、独自の値が反映されるように調整できます。 別のアドレス空間を追加し、自動的に作成された既定値を削除することもできます。 たとえば、開始アドレスを 10.1.0.0 に指定し、アドレス空間のサイズを /16 に指定します。 次に [追加] を選んでそのアドレス空間を追加します。

    • + サブネットの追加: 既定のアドレス空間を使用すると、既定のサブネットが自動的に作成されます。 アドレス空間を変更する場合は、そのアドレス空間内に新しいサブネットを追加します。 [+ サブネットの追加] を選択して、 [サブネットの追加] ウィンドウを開きます。 次の設定を構成し、ページの下部にある [追加] を選んで値を追加します。

      • サブネット名: たとえば FrontEnd です。
      • [サブネットのアドレス範囲] : このサブネットのアドレス範囲です。 たとえば、10.1.0.0/24 です。

  7. [IP アドレス] ページを確認し、不要なアドレス空間またはサブネットを削除します。

  8. [確認と作成] を選択して、仮想ネットワークの設定を検証します。

  9. 設定が検証されたら、[作成] を選んで仮想ネットワークを作成します。

仮想ネットワーク ゲートウェイ

この手順では、VNet の仮想ネットワーク ゲートウェイを作成します。 選択したゲートウェイ SKU によっては、ゲートウェイの作成に 45 分以上かかる場合も少なくありません。

Note

Basic ゲートウェイ SKU では、OpenVPN トンネルの種類はサポートされていません。

仮想ネットワーク ゲートウェイには、GatewaySubnet という特定のサブネットが必要です。 ゲートウェイ サブネットは、仮想ネットワークの IP アドレス範囲の一部であり、仮想ネットワーク ゲートウェイのリソースとサービスが使う IP アドレスが含まれています。

ゲートウェイ サブネットを作成するときに、サブネットに含まれる IP アドレスの数を指定します。 必要な IP アドレスの数は、作成する VPN ゲートウェイの構成によって異なります。 一部の構成では、他の構成よりも多くの IP アドレスを割り当てる必要があります。 ゲートウェイ サブネットには、/27 以上 (/26、/25 など) を指定することをお勧めします。

アドレス空間がサブネットと重複していることを示すエラーや、ご使用の仮想ネットワークのアドレス空間内にサブネットが存在しないことを示すエラーが表示された場合は、仮想ネットワークのアドレス範囲をチェックしてください。 仮想ネットワーク用に作成したアドレス範囲から、十分な IP アドレスを確保できない場合があります。 たとえば、既定のサブネットがアドレス範囲全体にわたる場合、新たに別のサブネットを作成するだけの IP アドレスは残っていません。 既存のアドレス空間内のサブネットを調整して IP アドレスを解放するか、または別のアドレス範囲を指定して、そこにゲートウェイ サブネットを作成してください。

  1. [リソース、サービス、ドキュメントの検索 (G+/)] に「仮想ネットワーク ゲートウェイ」と入力します。 Marketplace の検索結果で [仮想ネットワーク ゲートウェイ] を見つけて選び、[仮想ネットワーク ゲートウェイの作成] ページを開きます。

    Screenshot that shows the Search field.

  2. [基本] タブで、 [プロジェクトの詳細][インスタンスの詳細] の各値を入力します。

    Screenshot that shows the Instance fields.

    • サブスクリプション: 使うサブスクリプションをドロップダウン リストから選びます。

    • リソース グループ: この設定は、このページで仮想ネットワークを選ぶと自動入力されます。

    • Name:ゲートウェイに名前を付けます。 ゲートウェイの名前付けは、ゲートウェイ サブネットの名前付けと同じではありません。 作成するゲートウェイ オブジェクトの名前です。

    • リージョン: このリソースを作成するリージョンを選択します。 ゲートウェイのリージョンは、仮想ネットワークと同じである必要があります。

    • ゲートウェイの種類: [VPN] を選択します。 VPN Gateway では、仮想ネットワーク ゲートウェイの種類として VPN を使用します。

    • SKU: 使う機能をサポートするゲートウェイ SKU をドロップダウン リストから選びます。 ゲートウェイ SKU を参照してください。 ポータルのドロップダウン リストで使用できる SKU は、選んだ VPN type によって変わります。 Basic SKU は、Azure CLI または PowerShell を使用してのみ構成できます。 Azure portal で Basic SKU を構成することはできません。

    • 世代: 使用する世代を選択します。 Generation2 SKU を使用することをお勧めします。 詳細については、「ゲートウェイの SKU」を参照してください。

    • 仮想ネットワーク: ドロップダウン リストから、このゲートウェイの追加先の仮想ネットワークを選びます。 ゲートウェイを作成する仮想ネットワークが表示されない場合は、前の設定で正しいサブスクリプションとリージョンを選んでいることを確認します。

    • ゲートウェイ サブネットのアドレス範囲またはサブネット: VPN ゲートウェイを作成するには、ゲートウェイ サブネットが必要です。

      現時点でこのフィールドの動作はいくつかあり、仮想ネットワークのアドレス空間と、仮想ネットワークに GatewaySubnet というサブネットが既に作成されているかどうかに応じて変わります。

      ゲートウェイ サブネットがない場合、"かつ" このページに作成するオプションが表示されない場合は、仮想ネットワークに戻ってゲートウェイ サブネットを作成します。 次に、このページに戻って、VPN ゲートウェイを構成します。

  1. [パブリック IP アドレス] の値を指定します。 これらの設定では、VPN ゲートウェイに関連付けられるパブリック IP アドレス オブジェクトを指定します。 パブリック IP アドレスは、VPN ゲートウェイの作成時に、このオブジェクトに割り当てられます。 プライマリ パブリック IP アドレスが変わるのは、ゲートウェイが削除され、再度作成されたときのみです。 VPN ゲートウェイのサイズ変更、リセット、その他の内部メンテナンス/アップグレードでは、IP アドレスは変わりません。

    Screenshot that shows the Public IP address field.

    • パブリック IP アドレスの種類: この演習では、アドレスの種類を選択するオプションがある場合は、[標準] を選択します。
    • パブリック IP アドレス : [新規作成] を選択しておいてください。
    • パブリック IP アドレス名: このテキスト ボックスに、パブリック IP アドレス インスタンスの名前を入力します。
    • パブリック IP アドレス SKU: 設定が自動的に選択されます。
    • 割り当て: 通常、割り当ては自動的に選択され、[動的] または [静的] のいずれかになります。
    • [アクティブ/アクティブ モードの有効化]: [無効] を選びます。 アクティブ/アクティブ ゲートウェイ構成を作成する場合にのみ、この設定を有効にします。
    • [BGP の構成]: 構成で特に必要ない限り、[無効] を選びます。 この設定が必要である場合、既定の ASN は 65515 です。ただし、この値は変わる場合があります。

  2. [確認と作成] を選択して検証を実行します。

  3. 検証に合格したら、[作成] を選んで VPN ゲートウェイをデプロイします。

デプロイの状態は、ゲートウェイの [概要] ページで確認できます。 ゲートウェイの作成とデプロイが完了するまでに 45 分以上かかることがよくあります。 ゲートウェイの作成後は、ポータルの仮想ネットワークを調べることで、ゲートウェイに割り当てられている IP アドレスを確認できます。 ゲートウェイは、接続されたデバイスとして表示されます。

重要

ゲートウェイ サブネットを使う場合は、ゲートウェイ サブネットにネットワーク セキュリティ グループ (NSG) を関連付けないようにしてください。 ネットワーク セキュリティ グループをこのサブネットに関連付けると、仮想ネットワーク ゲートウェイ (VPN と ExpressRoute ゲートウェイ) が想定どおりに機能しなくなる可能性があります。 ネットワーク セキュリティ グループの詳細については、ネットワーク セキュリティ グループの概要に関するページを参照してください。

クライアント アドレス プール

クライアント アドレス プールとは、指定するプライベート IP アドレスの範囲です。 ポイント対サイト VPN 経由で接続するクライアントは、この範囲内の IP アドレスを動的に受け取ります。 接続元であるオンプレミスの場所、または接続先とする VNet と重複しないプライベート IP アドレス範囲を使用してください。 複数のプロトコルを構成するとき、SSTP がプロトコルの 1 つの場合、構成後のアドレス プールは構成されるプロトコル間で均等に分割されます。

  1. 仮想ネットワーク ゲートウェイが作成されたら、[仮想ネットワーク ゲートウェイ] ページの [設定] セクションに移動します。 [設定] で、 [ポイント対サイト構成] を選択します。 [今すぐ構成] を選択して、構成ページを開きます。

    Screenshot of point-to-site configuration page.

  2. [ポイント対サイトの構成] ページでは、さまざまな設定を構成できます。 [アドレス プール] ボックスに、使用するプライベート IP アドレス範囲を追加します。 VPN クライアントには、指定した範囲から動的に IP アドレスが割り当てられます。 最小のサブネット マスクは、アクティブ/パッシブ構成の場合は 29 ビット、アクティブ/アクティブ構成の場合は 28 ビットです。

    Screenshot of client address pool.

  3. 次のセクションに進み、認証とトンネルの種類を構成します。

認証とトンネルの種類

このセクションでは、認証の種類とトンネルの種類を構成します。 [ポイント対サイトの構成] ページで、トンネルの種類認証の種類も表示されない場合、お使いのゲートウェイで使用されているのは Basic SKU です。 Basic SKU では、IKEv2 と RADIUS 認証はサポートされません。 これらの設定を使用する場合は、ゲートウェイを削除し、別のゲートウェイ SKU を使って再作成する必要があります。

重要

Azure portal は、Azure Active Directory フィールドを Entra に更新中です。 Microsoft Entra ID が参照されていて、ポータルにこれらの値がまだ表示されていない場合は、Azure Active Directory の値を選択できます。

Screenshot of authentication types and tunnel type.

トンネルの種類

[ポイント対サイトの構成] ページで、目的の種類を選択します。 オプションは次のとおりです。

  • OpenVPN (SSL)
  • SSTP (SSL)
  • IKEv2
  • IKEv2 と OpenVPN (SSL)
  • IKEv2 と SSTP (SSL)

認証の種類

[認証の種類] で、目的の種類を選択します。 オプションは次のとおりです。

  • Azure 証明書
  • RADIUS
  • Microsoft Entra ID

選択したトンネルの種類と互換性のある認証メカニズムをチェックするには、次の表を参照してください。

トンネルの種類 認証メカニズム
OpenVPN Microsoft Entra ID、Radius 認証、Azure 証明書のサブセット
SSTP Radius 認証/Azure 証明書
IKEv2 Radius 認証/Azure 証明書
IKEv2 と OpenVPN Radius 認証/Azure 証明書/Microsoft Entra ID と Radius 認証/Microsoft Entra ID と Azure 証明書
IKEv2 と SSTP Radius 認証/Azure 証明書

Note

トンネルの種類が "IKEv2 と OpenVPN" で、選択した認証メカニズム "Microsoft Entra ID and Radius" または "Microsoft Entra ID and Azure Certificate" の場合、Microsoft Entra ID は、IKEv2 でサポートされていないため、OpenVPN でのみ機能します

選択した認証の種類に応じて、入力する必要があるさまざまな構成設定フィールドが表示されます。 必要な情報を入力し、ページの上部にある [保存] を選択して、すべての構成設定を保存してください。

認証の詳細については、以下を参照してください。

VPN クライアント構成パッケージ

VPN クライアントをクライアント構成設定で構成する必要があります。 VPN クライアント構成パッケージには、P2S 接続を使って VNet に接続するために VPN クライアントを構成する設定が記載されたファイルが含まれています。

VPN クライアント構成ファイルを生成してインストールする手順については、構成に関連する以下の記事を参照してください。

認証 トンネルの種類 構成ファイルを生成する VPN クライアントを構成する
Azure 証明書 IKEv2、SSTP Windows ネイティブ VPN クライアント
Azure 証明書 OpenVPN Windows - OpenVPN クライアント
- Azure VPN クライアント
Azure 証明書 IKEv2、OpenVPN macOS-iOS macOS-iOS
Azure 証明書 IKEv2、OpenVPN Linux Linux
Microsoft Entra ID OpenVPN (SSL) Windows Windows
Microsoft Entra ID OpenVPN (SSL) macOS macOS
RADIUS - 証明書 - 記事 記事
RADIUS - パスワード - 記事 記事
RADIUS - その他の方法 - 記事 記事

ポイント対サイトに関する FAQ

ポイント対サイトの FAQ 情報については、VPN Gateway FAQ のポイント対サイトのセクションを参照してください。

次のステップ

接続が完成したら、仮想ネットワークに仮想マシンを追加することができます。 詳細については、Virtual Machines に関するページを参照してください。 ネットワークと仮想マシンの詳細については、「Azure と Linux の VM ネットワークの概要」を参照してください。

P2S のトラブルシューティング情報については、Azure ポイント対サイト接続のトラブルシューティングに関するページを参照してください。