SSTP から OpenVPN プロトコルまたは IKEv2 に移行する
ポイント対サイト (P2S) VPN ゲートウェイ接続を利用すると、個々のクライアント コンピューターから仮想ネットワークに対してセキュリティで保護された接続を確立できるようになります。 P2S 接続は、クライアント コンピューターから接続を開始することによって確立されます。 この記事は、Resource Manager デプロイ モデルに適用され、OpenVPN プロトコルまたは IKEv2 に移行することによって、SSTP の 128 というコンカレント接続制限を克服する方法について説明します。
P2S で使用されるプロトコル
ポイント対サイト VPN では、次のいずれかのプロトコルを使用できます。
SSL/TLS ベースの VPN プロトコルである OpenVPN® プロトコル。 SSL VPN ソリューションはファイアウォールを通過できます。これは、ほとんどのファイアウォールで開かれている TCP ポート 443 アウトバウンドが SSL で使用されるためです。 OpenVPN は、Android、iOS (バージョン 11.0 以上)、Windows、Linux、および Mac デバイス (macOS バージョン 10.13 以上) から接続する際に使用できます。
Secure Socket トンネリング プロトコル (SSTP) 。これは、SSL ベースの独自の VPN プロトコルです。 SSL VPN ソリューションはファイアウォールを通過できます。これは、ほとんどのファイアウォールで開かれている TCP ポート 443 アウトバウンドが SSL で使用されるためです。 SSTP は、Windows デバイスでのみサポートされます。 Azure では、SSTP を備えたすべてのバージョンの Windows (Windows 7 以降) がサポートされています。 SSTP は、ゲートウェイ SKU に関係なく、最大 128 のコンカレント接続をサポートします。
IKEv2 VPN。これは、標準ベースの IPsec VPN ソリューションです。 IKEv2 VPN は、Mac デバイス (macOS バージョン 10.11 以上) から接続する際に使用できます。
Note
P2S 用 IKEv2 および OpenVPN は、Resource Manager デプロイ モデルでのみ使用できます。 これらは、クラシック デプロイ モデルでは使用できません。 Basic ゲートウェイ SKU は、IKEv2 と OpenVPN プロトコルをサポートしていません。 Basic SKU を使っている場合は、運用 SKU 仮想ネットワーク ゲートウェイを削除して再作成する必要があります。
SSTP から IKEv2 または OpenVPN に移行する
VPN ゲートウェイへの 128 を超える P2S 同時接続のサポートが必要なのに、SSTP を使っている場合があります。 このような場合は、IKEv2 または OpenVPN プロトコルに移行する必要があります。
オプション 1 - ゲートウェイで SSTP だけでなく IKEv2 を追加する
これが最も簡単なオプションです。 SSTP と IKEv2 は同じゲートウェイ上に共存できるため、コンカレント接続の数を増やすことができます。 既存のゲートウェイで IKEv2 を有効にし、クライアントを再ダウンロードするだけです。
既存の SSTP VPN ゲートウェイに IKEv2 を追加しても、既存のクライアントには影響しません。また、IKEv2 を小さなバッチで使用するように構成したり、新しいクライアントで IKEv2 を使用するように構成したりすることができます。 Windows クライアントが SSTP と IKEv2 の両方用に構成されている場合は、まず IKEV2 を使用して接続が試行され、それが失敗した場合は SSTP にフォールバックします。
IKEv2 は標準以外の UDP ポートを使用するので、ユーザーのファイアウォールでこれらのポートがブロックされないようにする必要があります。 使用されるポートは、UDP 500 および 4500 です。
既存のゲートウェイに IKEv2 を追加するには、portal の [Virtual Network ゲートウェイ] の下にある [ポイント対サイトの構成] タブに移動し、ドロップダウン ボックスから [IKEv2 と SSTP (SSL)] を選択します。
Note
ゲートウェイで SSTP と IKEv2 の両方が有効になっている場合、ポイント対サイト アドレス プールは 2 つの間で静的に分割されるため、異なるプロトコルを使用するクライアントには、どちらかのサブ範囲から IP アドレスが割り当てられます。 アドレス範囲が /24 より大きい場合でも、SSTP クライアントの最大量は常に 128 であり、その結果として IKEv2 クライアントで使用できるアドレスの量が大きくなることに注意してください。 それより小さい範囲の場合、プールは均等に二分割されます。 ゲートウェイで使用されるトラフィック セレクターには、ポイント対サイト アドレス範囲 CIDR ではなく、2 つのサブ範囲 CIDR が含まれている場合があります。
オプション 2 - SSTP を削除し、ゲートウェイで OpenVPN を有効にする
SSTP と OpenVPN は両方とも TLS ベースのプロトコルであるため、同じゲートウェイ上に共存することはできません。 SSTP から OpenVPN に移行する場合は、ゲートウェイで SSTP を無効にし、OpenVPN を有効にする必要があります。 この操作を行うと、クライアントで新しいプロファイルが構成されるまで、既存のクライアントが VPN ゲートウェイへの接続を失います。
必要に応じて、IKEv2 と共に OpenVPN を有効にすることができます。 OpenVPN は TLS ベースで、標準の TCP 443 ポートを使用します。 OpenVPN に切り替えるには、portal の [Virtual Network ゲートウェイ] の下にある [ポイント対サイトの構成] タブに移動し、ドロップダウン ボックスから [OpenVPN (SSL)] または [IKEv2 と SSTP (SSL)] を選択します。
ゲートウェイが構成されると、既存のクライアントは、OpenVPN クライアントを展開および構成するまで接続できなくなります。
Windows 10 以降を使用している場合は、Azure VPN クライアントを使用することもできます。
よく寄せられる質問
クライアントの構成要件について
Note
Windows クライアントの場合、クライアント デバイスから Azure に VPN 接続を開始するには、クライアント デバイスで管理権限が必要です。
ユーザーは、P2S 用の Windows デバイスと Mac デバイスでネイティブ VPN クライアントを使用します。 これらのネイティブ クライアントが Azure に接続するために必要な設定が含まれた VPN クライアント構成 zip ファイルは、Azure に用意されています。
- Windows デバイスの場合、VPN クライアント構成は、ユーザーがデバイスにインストールするインストーラー パッケージで構成されています。
- Mac デバイスの場合、これは、ユーザーがデバイスにインストールする mobileconfig ファイルで構成されています。
zip ファイルでは、Azure 側のいくつかの重要な設定の値も指定されており、この値を使用することで、これらのデバイス用に独自のプロファイルを作成できます。 このような値には、VPN ゲートウェイ アドレス、構成されたトンネルの種類、ルート、ゲートウェイ検証用のルート証明書などがあります。
Note
2018 年 7 月 1 日以降、Azure VPN Gateway では TLS 1.0 および 1.1 のサポートが終了します。 VPN Gateway では、TLS 1.2 のみがサポートされるようになります。 影響を受けるのはポイント対サイト接続のみであり、サイト対サイト接続には影響ありません。 Windows 10 以降のクライアント上でポイント対サイト VPN に対して TLS を使用する場合、特に何も行う必要はありません。 Windows 7 および Windows 8 クライアント上でポイント対サイト接続に対して TLS を使用する場合、更新手順については「VPN Gateway に関する FAQ」を参照してください。
P2S VPN がサポートされるゲートウェイ SKU の種類
次の表に、トンネル、接続、スループット別のゲートウェイ SKU を示します。 このテーブルに関するその他のテーブルと詳細については、VPN Gateway の設定に関する記事のゲートウェイ SKU セクションを参照してください。
| VPN Gateway 世代 |
SKU | S2S/VNet-to-VNet トンネル |
P2S SSTP 接続 |
P2S IKEv2/OpenVPN 接続 |
Aggregate スループット ベンチマーク |
BGP | ゾーン冗長 | Virtual Network でサポートされている VM の数 |
|---|---|---|---|---|---|---|---|---|
| Generation1 | Basic | 最大 10 | 最大 128 | サポートされていません | 100 Mbps | サポートされていません | いいえ | 200 |
| Generation1 | VpnGw1 | 最大 30 | 最大 128 | 最大 250 | 650 Mbps | サポートされています | いいえ | 450 |
| Generation1 | VpnGw2 | 最大 30 | 最大 128 | 最大 500 | 1 Gbps | サポートされています | いいえ | 1300 |
| Generation1 | VpnGw3 | 最大 30 | 最大 128 | 最大 1000 | 1.25 Gbps | サポートされています | いいえ | 4000 |
| Generation1 | VpnGw1AZ | 最大 30 | 最大 128 | 最大 250 | 650 Mbps | サポートされています | はい | 1000 |
| Generation1 | VpnGw2AZ | 最大 30 | 最大 128 | 最大 500 | 1 Gbps | サポートされています | はい | 2,000 |
| Generation1 | VpnGw3AZ | 最大 30 | 最大 128 | 最大 1000 | 1.25 Gbps | サポートされています | はい | 5000 |
| Generation2 | VpnGw2 | 最大 30 | 最大 128 | 最大 500 | 1.25 Gbps | サポートされています | いいえ | 685 |
| Generation2 | VpnGw3 | 最大 30 | 最大 128 | 最大 1000 | 2.5 Gbps | サポートされています | いいえ | 2240 |
| Generation2 | VpnGw4 | 最大 100* | 最大 128 | 最大 5000 | 5 Gbps | サポートされています | いいえ | 5300 |
| Generation2 | VpnGw5 | 最大 100* | 最大 128 | 最大 10000 | 10 Gbps | サポートされています | いいえ | 6700 |
| Generation2 | VpnGw2AZ | 最大 30 | 最大 128 | 最大 500 | 1.25 Gbps | サポートされています | はい | 2,000 |
| Generation2 | VpnGw3AZ | 最大 30 | 最大 128 | 最大 1000 | 2.5 Gbps | サポートされています | はい | 3300 |
| Generation2 | VpnGw4AZ | 最大 100* | 最大 128 | 最大 5000 | 5 Gbps | サポートされています | はい | 4400 |
| Generation2 | VpnGw5AZ | 最大 100* | 最大 128 | 最大 10000 | 10 Gbps | サポートされています | はい | 9000 |
Note
Basic SKU には制限があり、IKEv2 または RADIUS 認証はサポートされていません。 詳細については、 VPN Gateway の設定 に関する記事を参照してください。
P2S 用に VPN ゲートウェイではどの IKE/IPsec ポリシーが構成されていますか。
IKEv2
| 暗号化 | 整合性 | PRF | DH グループ |
|---|---|---|---|
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_ECP256 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA384 | SHA384 | GROUP_24 |
| AES256 | SHA384 | SHA384 | GROUP_14 |
| AES256 | SHA384 | SHA384 | GROUP_ECP384 |
| AES256 | SHA384 | SHA384 | GROUP_ECP256 |
| AES256 | SHA256 | SHA256 | GROUP_24 |
| AES256 | SHA256 | SHA256 | GROUP_14 |
| AES256 | SHA256 | SHA256 | GROUP_ECP384 |
| AES256 | SHA256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA256 | SHA256 | GROUP_2 |
IPsec
| 暗号化 | 整合性 | PFS グループ |
|---|---|---|
| GCM_AES256 | GCM_AES256 | GROUP_NONE |
| GCM_AES256 | GCM_AES256 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | GROUP_ECP256 |
| AES256 | SHA256 | GROUP_NONE |
| AES256 | SHA256 | GROUP_24 |
| AES256 | SHA256 | GROUP_14 |
| AES256 | SHA256 | GROUP_ECP384 |
| AES256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA1 | GROUP_NONE |
P2S 用に VPN ゲートウェイではどの TLS ポリシーが構成されていますか。
TLS
| ポリシー |
|---|
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 |
| TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 |
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
| TLS_RSA_WITH_AES_128_GCM_SHA256 |
| TLS_RSA_WITH_AES_256_GCM_SHA384 |
| TLS_RSA_WITH_AES_128_CBC_SHA256 |
| TLS_RSA_WITH_AES_256_CBC_SHA256 |
P2S 接続の構成方法
P2S 構成で必要な手順には、特有のものが非常に多くあります。 次の記事では、P2S 構成の詳細な手順と、VPN クライアント デバイスの構成方法のリンクをご紹介します。
次のステップ
"OpenVPN" は OpenVPN Inc. の商標です。