サイト間 VPN と VNet 間のカスタム IPsec/IKE 接続ポリシーを構成する: Azure portal

  • [アーティクル]

この記事では、Azure portal を使用して、VPN Gateway のサイト間 VPN または VNet 間接続の IPsec/IKE ポリシーを構成する手順について説明します。 以降のセクションで、IPsec/IKE ポリシーを作成して構成し、ポリシーを新規または既存の接続に適用する方法について説明します。

ワークフロー

この記事の手順に従うと、次の図に示すように、IPsec/IKE ポリシーを設定して構成できます。

VNet 間およびサイト間の VPN ゲートウェイの両方の IPsec/IKE ポリシーを示す図。

  1. 仮想ネットワークと VPN ゲートウェイを作成します。
  2. クロスプレミス接続用のローカル ネットワーク ゲートウェイ、または VNet 間接続用の別の仮想ネットワークとゲートウェイを作成します。
  3. 接続 (IPsec または VNet2VNet) を作成します。
  4. 接続リソースの IPsec/IKE ポリシーを構成、更新、または削除します。

ポリシー パラメーター

IPsec/IKE 標準プロトコルは、幅広い暗号アルゴリズムをさまざまな組み合わせでサポートしています。 これが、クロスプレミスと VNet 間の接続を確保して、コンプライアンスまたはセキュリティの要件を満たすためにどのように役立つかについては、「暗号化要件と Azure VPN Gateway について」を参照してください。 次の考慮事項に注意してください。

  • IPsec/IKE ポリシーは、次のゲートウェイ SKU でのみ機能します。
    • VpnGw1 から 5 および VpnGw1AZ から 5AZ
    • Standard および HighPerformance
  • ある特定の接続に対して指定できるポリシーの組み合わせは 1 つだけです。
  • IKE (メイン モード) と IPsec (クイック モード) の両方について、すべてのアルゴリズムとパラメーターを指定する必要があります。 ポリシーを部分的に指定することはできません。
  • オンプレミスの VPN デバイスでポリシーがサポートされることを、VPN デバイス ベンダーの仕様で確認してください。 ポリシーに対応していない場合、サイト間接続や VNet 間接続を確立できません。

暗号アルゴリズムとキーの強度

次の表は、サポートされている構成可能な暗号アルゴリズムとキーの強度を一覧にしたものです。

IPsec/IKEv2 [オプション]
IKEv2 暗号化 GCMAES256、GCMAES128、AES256、AES192、AES128
IKEv2 整合性 SHA384、SHA256、SHA1、MD5
DH グループ DHGroup24、ECP384、ECP256、DHGroup14、DHGroup2048、DHGroup2、DHGroup1、なし
IPsec 暗号化 GCMAES256、GCMAES192、GCMAES128、AES256、AES192、AES128、DES3、DES、なし
IPsec 整合性 GCMAES256、GCMAES192、GCMAES128、SHA256、SHA1、MD5
PFS グループ PFS24、ECP384、ECP256、PFS2048、PFS2、PFS1、なし
QM SA の有効期間 (オプション: 指定されていない場合、既定値が使用されます)
秒 (整数: 最小 300/既定値 27,000 秒)
キロバイト数 (整数: 最小 1024/既定値 102,400,000 キロバイト)
トラフィック セレクター UsePolicyBasedTrafficSelectors** ($True/$False; Optional、指定されていない場合、既定値は $False)
DPD タイムアウト 秒 (整数: 最小 9、最大 3600、既定値 45 秒)

  • ご使用のオンプレミス VPN デバイスの構成は、Azure IPsec/IKE ポリシーで指定した次のアルゴリズムおよびパラメーターと一致している (または含んでいる) 必要があります。

    • IKE 暗号化アルゴリズム (メイン モード/フェーズ 1)
    • IKE 整合性アルゴリズム (メイン モード/フェーズ 1)
    • DH グループ (メイン モード/フェーズ 1)
    • IPsec 暗号化アルゴリズム (クイック モード/フェーズ 2)
    • IPsec 整合性アルゴリズム (クイック モード/フェーズ 2)
    • PFS グループ (クイック モード/フェーズ 2)
    • トラフィック セレクター (UsePolicyBasedTrafficSelectors が使用される場合)
    • SA の有効期間はローカルの指定のみであり、一致している必要はありません。

  • IPsec 暗号化アルゴリズム用として GCMAES を使用する場合は、IPsec 整合性のため、同じ GCMAES アルゴリズムとキーの長さを選択する必要があります。たとえば、両方に GCMAES128 を使用します。

  • アルゴリズムとキーテーブルで次のようにします。

    • IKE はメイン モードまたはフェーズ 1 に対応します。
    • IPsec はクイック モードまたはフェーズ 2 に対応しています。
    • DH グループは、メイン モードまたはフェーズ 1 で使用される Diffie-Hellman グループを指定します。
    • PFS グループは、クイック モードまたはフェーズ 2 で使用される Diffie-Hellman グループを指定しました。

  • IKE メイン モード SA の有効期間は、Azure VPN ゲートウェイで 28,800 秒に固定します。

  • 'UsePolicyBasedTrafficSelectors' は、省略可能な接続に関するパラメーターです。 接続の UsePolicyBasedTrafficSelectors を $True に設定すると、Azure VPN ゲートウェイは、オンプレミスのポリシーベースの VPN ファイアウォールに接続するように構成されます。 PolicyBasedTrafficSelectors を有効にする場合は、オンプレミス ネットワーク (ローカル ネットワーク ゲートウェイ) プレフィックスと Azure Virtual Network プレフィックスのすべての組み合わせに対応するトラフィック セレクターが VPN デバイスに定義されている必要があります (any-to-any は不可)。 Azure VPN Gateway では、Azure VPN Gateway に構成されている内容に関係なく、リモート VPN Gateway によって提案されたトラフィック セレクターが受け入れられます。

    たとえば、オンプレミス ネットワークのプレフィックスが 10.1.0.0/16 と 10.2.0.0/16 で、仮想ネットワークのプレフィックスが 192.168.0.0/16 と 172.16.0.0/16 である場合、次のトラフィック セレクターを指定する必要があります。

    • 10.1.0.0/16 <====> 192.168.0.0/16
    • 10.1.0.0/16 <====> 172.16.0.0/16
    • 10.2.0.0/16 <====> 192.168.0.0/16
    • 10.2.0.0/16 <====> 172.16.0.0/16

    ポリシー ベースのトラフィック セレクターの詳細については、複数のオンプレミスのポリシー ベース VPN デバイスへの接続に関する記事を参照してください。

  • DPD タイムアウト - Azure VPN ゲートウェイでは、既定値は 45 秒です。 タイムアウトを短い期間に設定すると、IKE によるキー更新がより積極的になり、場合によっては接続が切断されているように見えます。 これは、オンプレミスの場所が VPN ゲートウェイが存在する Azure リージョンから離れている場合や、物理的なリンク条件によってパケット損失が発生する可能性がある場合には望ましくないことがあります。 一般的な推奨事項は、30 から 45 秒間のタイムアウトを設定することです。

Note

IKEv2 整合性は、整合性と PRF (擬似ランダム関数) の両方に使用されます。  指定された IKEv2 暗号化アルゴリズムが GCM* の場合、IKEv2 整合性で渡される値は PRF でのみ使用され、暗黙的に IKEv2 整合性を GCM* に設定します。 それ以外のすべてのケースでは、IKEv2 整合性で渡される値が IKEv2 整合性と PRF の両方に使用されます。

Diffie-Hellman グループ

以下の表は、カスタム ポリシーでサポートされている、対応する Diffie-Hellman グループを示したものです。

Diffie-Hellman グループ DHGroup PFSGroup キーの長さ
1 DHGroup1 PFS1 768 ビット MODP
2 DHGroup2 PFS2 1024 ビット MODP
14 DHGroup14
DHGroup2048		 PFS2048 2048 ビット MODP
19 ECP256 ECP256 256 ビット ECP
20 ECP384 ECP384 384 ビット ECP
24 DHGroup24 PFS24 2048 ビット MODP

詳細については、RFC3526 および RFC5114 を参照してください。

カスタム ポリシーでサイト間接続を作成する

このセクションでは、IPsec/IKE ポリシーを使用してサイト間 VPN 接続を作成する手順について説明します。 以下の手順で、次の図に示す接続を作成します。 この図のオンプレミス サイトは、Site6 を表しています。

図は、カスタム ポリシーを使用したサイト間 VPN ゲートウェイ接続を示しています。

手順 1: TestVNet1 用の仮想ネットワーク、VPN ゲートウェイ、ローカル ネットワーク ゲートウェイを作成する

次のリソースを作成します。 手順については、サイト間 VPN 接続の作成に関するページを参照してください。

  1. 次の値を使用して、仮想ネットワーク TestVNet1 を作成します。

    • [リソース グループ]: TestRG1
    • 名前: TestVNet1
    • [リージョン]: (米国) 米国東部
    • IPv4 アドレス空間: 10.1.0.0/16
    • サブネット 1 名: FrontEnd
    • サブネット 1 アドレス範囲: 10.1.0.0/24
    • サブネット2 名: BackEnd
    • サブネット 2 アドレス範囲: 10.1.1.0/24

  2. 次の値を使用して、仮想ネットワーク ゲートウェイ VNet1GW を作成します。

    • [名前]: VNet1GW
    • リージョン: 米国東部
    • [ゲートウェイの種類] : VPN
    • VPN の種類: ルート ベース
    • SKU: VpnGw2
    • 世代: 第 2 世代
    • 仮想ネットワーク: VNet1
    • ゲートウェイ サブネットのアドレス範囲: 10.1.255.0/27
    • パブリック IP アドレスの種類: Basic または Standard
    • [パブリック IP アドレス] : 新規作成
    • パブリック IP アドレス名:VNet1GWpip
    • アクティブ/アクティブ モードの有効化: 無効
    • BGP の構成: 無効

手順 2: ローカル ネットワーク ゲートウェイと接続リソースを構成する

  1. 次の値を使用して、ローカル ネットワーク ゲートウェイ リソース Site6 を作成します。

    • 名前: Site6
    • [リソース グループ]: TestRG1
    • [場所]: 米国東部
    • ローカル ゲートウェイの IP アドレス: 5.4.3.2 (値の例のみ - オンプレミス デバイスの IP アドレスを使用)
    • アドレス空間: 10.61.0.0/16、10.62.0.0/16 (値の例のみ)

  2. 仮想ネットワーク ゲートウェイから、次の値を使用して、ローカル ネットワーク ゲートウェイに接続を追加します。

    • 接続名: VNet1toSite6
    • 接続の種類: IPsec
    • [ローカル ネットワーク ゲートウェイ]: Site6
    • 共有キー: abc123 (値の例 - 使用されるオンプレミス デバイス キーと一致する必要があります)
    • IKE プロトコル: IKEv2

手順 3: サイト間 VPN 接続でカスタムの IPsec/IKE ポリシーを構成する

次のアルゴリズムとパラメーターを使用して、カスタムの IPsec/IKE ポリシーを構成します。

  • IKE フェーズ 1: AES256、SHA384、DHGroup24
  • IKE フェーズ 2(IPsec): AES256、SHA256、PFS なし
  • IPsec SA の有効期間 (KB): 102400000
  • IPsec SA の有効期間 (秒): 30000
  • DPD タイムアウト: 45 秒

  1. 作成した接続リソースVNet1toSite6 に移動します。 [構成] ページを開きます。 [カスタム] の IPsec/IKE ポリシーを選択してすべての構成オプションを表示します。 次のスクリーンショットは一覧に基づいた構成を示しています。

    Site 6 の接続構成を示すスクリーンショット。

    IPsec に GCMAES を使用する場合、IPsec 暗号化と整合性の両方で同じ GCMAES アルゴリズムとキーの長さを使用する必要があります。 たとえば、次のスクリーンショットでは、IPsec 暗号化と IPsec 整合性の両方に GCMAES128 を指定しています。

    IPsec の GCMAES を示すスクリーンショット。

  2. Azure VPN Gateway がポリシー ベースのオンプレミス VPN デバイスに接続できるようにするには、[ポリシー ベースのトラフィック セレクターを使用する] オプションで [有効化] を選択できます。

  3. すべてのオプションを選択したら、 [保存] を選択して、接続リソースの変更をコミットします。 ポリシーは約 1 分で適用されます。

    重要

    • 接続に IPsec/IKE ポリシーを指定すると、Azure VPN ゲートウェイは、その特定の接続に対して指定された暗号アルゴリズムとキーの強度を使用する IPsec/IKE 提案のみを送受信します。 接続するオンプレミスの VPN デバイスが、ポリシーの完全な組み合わせを使用するか受け入れることを確認する必要があります。それ以外の場合、S2S VPN トンネルは確立されません。

    • [ポリシー ベースのトラフィック セレクター][DPD タイムアウト] のオプションは、カスタムの IPsec/IKE ポリシーを使用せず、[既定] のポリシーを使用して指定できます。

カスタム ポリシーを使用して VNet 間接続を作成する

IPsec/IKE ポリシーを使用した VNet 間接続の作成手順は、サイト間 VPN 接続の作成手順に似ています。 「サイト間 VPN 接続を作成する」の前のセクションを完了することで、TestVNet1 と VPN Gateway を作成して構成する必要があります。

図は、TestVNet1 と TestVNet2 の VNet 間ポリシー図を示しています。

手順 1: TestVNet2 用の仮想ネットワーク、VPN ゲートウェイ、ローカル ネットワーク ゲートウェイを作成する

VNet 間接続の作成に関する記事の手順を使用して、TestVNet2 を作成し、TestVNet1 へのVNet 間接続を作成します。

値の例:

仮想ネットワーク: TestVNet2

  • リソース グループ: TestRG2
  • 名前: TestVNet2
  • リージョン: (米国) 米国西部
  • IPv4 アドレス空間:: 10.2.0.0/16
  • サブネット 1 名: FrontEnd
  • サブネット 1 アドレス範囲: 10.2.0.0/24
  • サブネット2 名: BackEnd
  • サブネット 2 アドレス範囲: 10.2.1.0/24

VPN Gateway: VNet2GW

  • 名前: VNet2GW
  • リージョン: 米国西部
  • ゲートウェイの種類: VPN
  • VPN の種類: ルート ベース
  • SKU: VpnGw2
  • 世代: 第 2 世代
  • 仮想ネットワーク: TestVNet2
  • ゲートウェイ サブネットのアドレス範囲:10.2.255.0/27
  • パブリック IP アドレスの種類: Basic または Standard
  • [パブリック IP アドレス] : 新規作成
  • パブリック IP アドレス名: VNet2GWpip
  • アクティブ/アクティブ モードの有効化: 無効
  • BGP の構成: 無効

手順 2: VNet 間接続を構成する

  1. VNet1GW ゲートウェイから、VNet2GW への VNet 間接続を VNet1toVNet2 という名前で追加します。

  2. 次に、VNet2GW から、VNet1GW への VNet 間接続を VNet2toVNet1 という名前で追加します。

  3. 接続を追加すると、次のスクリーンショットに示す VNet 間接続が VNet2GW リソースに表示されます。

    VNet 接続ページを示すスクリーンショット。

手順 3: VNet1toVNet2 でカスタムの IPsec/IKE ポリシーを構成する

  1. VNet1toVNet2 接続リソースから [構成] ページに移動します。

  2. [IPsec / IKE ポリシー][カスタム] を選択すると、カスタムのポリシー オプションが表示されます。 キーの長さが一致する暗号アルゴリズムを選択します。 このポリシーは、VNet1toSite6 接続用に作成した以前のポリシーと一致する必要はありません。

    値の例:

    • IKE フェーズ 1: AES128、SHA1、DHGroup14
    • IKE フェーズ 2 (IPsec): GCMAES128、GCMAES128、PFS2048
    • IPsec SA の有効期間 (KB): 102400000
    • IPsec SA の有効期間 (秒): 14400
    • DPD タイムアウト: 45 秒

  3. ページの上部にある [保存] を選び、接続リソースにポリシーの変更を適用します。

手順 4: VNet2toVNet1 でカスタムの IPsec/IKE ポリシーを構成する

  1. 同じポリシーを VNet2toVNet1 接続の VNet2toVNet1 に適用します。 そうしないと、ポリシーの不一致により IPsec/IKE VPN トンネルが接続されません。

    重要

    接続に IPsec/IKE ポリシーを指定すると、Azure VPN ゲートウェイは、その特定の接続に対して指定された暗号アルゴリズムとキーの強度を使用する IPsec/IKE 提案のみを送受信します。 両方の接続の IPsec ポリシーが同じであることを確認してください。それ以外の場合、VNet 間の接続は確立されません。

  2. これらの手順を完了すると、数分で接続が確立され、次のネットワーク トポロジが設定されます。

    図は、VNet 間および S2S VPN の IPsec/IKE ポリシーを示しています。

接続からカスタム ポリシーを削除する

  1. 接続からカスタム ポリシーを削除するには、接続リソースに移動します。
  2. [構成] ページで IPsec/IKE ポリシーを [カスタム] から [既定] に変更します。 これにより、この接続で以前に指定したすべてのカスタム ポリシーが削除され、接続に既定の IPsec/IKE 設定が復元されます。
  3. [保存] を選択すると、カスタム ポリシーが削除され、接続の既定の IPsec/IKE 設定が復元されます。

IPsec/IKE ポリシーに関する FAQ

よく寄せられる質問を表示するには、VPN Gateway FAQ の IPsec/IKE ポリシー セクションに移動してください。

次のステップ

ポリシー ベースのトラフィック セレクターの詳細については、複数のオンプレミスのポリシー ベース VPN デバイスへの接続に関する記事を参照してください。