ポイント対サイト VPN について
ポイント対サイト (P2S) VPN ゲートウェイ接続では、個々のクライアント コンピューターから仮想ネットワークへの、セキュリティで保護された接続を作成することができます。 P2S 接続は、クライアント コンピューターから接続を開始することによって確立されます。 このソリューションは、在宅勤務者が自宅や会議室など、遠隔地から Azure VNet に接続する場合に便利です。 P2S VPN は、VNet への接続を必要とするクライアントが数台である場合に、S2S VPN の代わりに使用するソリューションとしても便利です。 この記事は、Resource Manager デプロイ モデルに適用されます。
P2S で使用されるプロトコル
ポイント対サイト VPN では、次のいずれかのプロトコルを使用できます。
SSL/TLS ベースの VPN プロトコルである OpenVPN® プロトコル。 ほとんどのファイアウォールは、TLS で使用されるアウトバウンド TCP ポート 443 を開いているため、TLS VPN ソリューションはファイアウォールを通過できます。 OpenVPN は、Android、iOS (バージョン 11.0 以上)、Windows、Linux、および Mac デバイス (macOS バージョン 10.13 以上) から接続する際に使用できます。
Secure Socket トンネリング プロトコル (SSTP)。これは、TLS ベースの独自の VPN プロトコルです。 ほとんどのファイアウォールは、TLS で使用されるアウトバウンド TCP ポート 443 を開いているため、TLS VPN ソリューションはファイアウォールを通過できます。 SSTP は、Windows デバイスでのみサポートされます。 Azure では、SSTP を備え、TLS 1.2 をサポートするすべてのバージョンの Windows (Windows 8.1 以降) がサポートされています。
IKEv2 VPN。これは、標準ベースの IPsec VPN ソリューションです。 IKEv2 VPN は、Mac デバイス (macOS バージョン 10.11 以上) から接続する際に使用できます。
Note
P2S 用 IKEv2 および OpenVPN は、Resource Manager デプロイ モデルでのみ使用できます。 これらは、クラシック デプロイ モデルでは使用できません。
P2S VPN クライアントの認証方法
Azure が P2S VPN 接続を受け入れる前に、ユーザーはまず認証を受ける必要があります。 Azure では、接続するユーザーを認証するメカニズムが 2 つ用意されています。
証明書の認証
ネイティブ Azure 証明書認証を使用する場合、デバイス上にあるクライアント証明書が、接続するユーザーの認証に使用されます。 クライアント証明書は信頼されたルート証明書から生成され、各クライアント コンピューターにインストールされます。 エンタープライズ ソリューションを使って生成されたルート証明書を使用することも、自己署名証明書を生成することもできます。
クライアント証明書の検証は、P2S VPN 接続が確立される間、VPN ゲートウェイによって実行されます。 検証にはルート証明書が必要なため、そのルート証明書を Azure にアップロードする必要があります。
Azure Active Directory 認証
Azure AD 認証では、ユーザーは Azure Active Directory 資格情報を使用して、Azure に接続できます。 ネイティブ Azure AD 認証は OpenVPN プロトコルでのみサポートされており、Azure VPN クライアントを使用する必要もあります。 サポートされているクライアント オペレーティング システムは、Windows 10 以降と macOS です。
ネイティブ Azure AD 認証を使用すると、Azure AD の条件付きアクセスと、VPN 用の Multi-Factor Authentication (MFA) 機能を利用できます。
大まかに言えば、Azure AD 認証を構成するには、次の手順を実行する必要があります。
次のいずれかのリンクを使用して、最新バージョンの Azure VPN クライアント インストール ファイルをダウンロードします。
- クライアント インストール ファイルを使用してインストールする: https://aka.ms/azvpnclientdownload。
- クライアント コンピューターにサインインしたときに直接インストールする: Microsoft Store。
Active Directory (AD) ドメイン サーバー
AD ドメイン認証では、ユーザーは組織のドメイン資格情報を使用して Azure に接続できます。 これには AD サーバーと統合する RADIUS サーバーが必要です。 また、組織は既存の RADIUS デプロイを利用することもできます。
RADIUS サーバーは、オンプレミスまたは Azure VNet にデプロイできます。 認証が行われる間、Azure VPN ゲートウェイがパススルーとして機能し、接続するデバイスと RADIUS サーバーの間で認証メッセージを転送します。 そのため、ゲートウェイが RADIUS サーバーにアクセスできることが重要です。 RADIUS サーバーがオンプレミスに存在する場合、アクセスのために、Azure からオンプレミス サイトへの VPN サイト間接続が必要になります。
また、RADIUS サーバーは、AD 証明書サービスとも統合できます。 これにより、Azure 証明書認証の代替手段として、P2S 証明書認証に RADIUS サーバーとエンタープライズ証明書デプロイを使用できます。 この利点は、ルート証明書と失効した証明書を Azure にアップロードする必要がないことです。
RADIUS サーバーは、他の外部 ID システムと統合することもできます。 これにより、多要素認証のオプションなど、P2S VPN 向けの多数の認証オプションを利用できるようになります。
クライアントの構成要件について
クライアント構成の要件は、使用する VPN クライアント、認証の種類、プロトコルによって異なります。 次の表に、使用可能なクライアントと、各構成に対応する記事を示します。
| 認証 | トンネルの種類 | HowTo 記事 |
|---|---|---|
| Azure 証明書 | IKEv2、OpenVPN、SSTP | Windows |
| Azure 証明書 | IKEv2、OpenVPN | macOS-iOS |
| Azure 証明書 | IKEv2、OpenVPN | Linux |
| Azure AD | OpenVPN (SSL) | Windows |
| Azure AD | OpenVPN (SSL) | macOS |
| RADIUS - 証明書 | - | 記事 |
| RADIUS - パスワード | - | 記事 |
| RADIUS - その他の方法 | - | 記事 |
重要
2018 年 7 月 1 日以降、Azure VPN Gateway では TLS 1.0 および 1.1 のサポートが終了します。 VPN Gateway では、TLS 1.2 のみがサポートされるようになります。 影響を受けるのはポイント対サイト接続のみであり、サイト対サイト接続には影響ありません。 Windows 10 以降のクライアント上でポイント対サイト VPN に対して TLS を使用する場合、特に何も行う必要はありません。 Windows 7 および Windows 8 クライアント上でポイント対サイト接続に対して TLS を使用する場合、更新手順については「VPN Gateway に関する FAQ」を参照してください。
P2S VPN がサポートされるゲートウェイ SKU の種類
| VPN Gateway 世代 |
SKU | S2S/VNet-to-VNet トンネル |
P2S SSTP 接続 |
P2S IKEv2/OpenVPN 接続 |
Aggregate スループット ベンチマーク |
BGP | ゾーン冗長 |
|---|---|---|---|---|---|---|---|
| Generation1 | Basic | 最大 10 | 最大 128 | サポートされていません | 100 Mbps | サポートされていません | いいえ |
| Generation1 | VpnGw1 | 最大 30 | 最大 128 | 最大 250 | 650 Mbps | サポートされています | いいえ |
| Generation1 | VpnGw2 | 最大 30 | 最大 128 | 最大 500 | 1 Gbps | サポートされています | いいえ |
| Generation1 | VpnGw3 | 最大 30 | 最大 128 | 最大 1000 | 1.25 Gbps | サポートされています | いいえ |
| Generation1 | VpnGw1AZ | 最大 30 | 最大 128 | 最大 250 | 650 Mbps | サポートされています | はい |
| Generation1 | VpnGw2AZ | 最大 30 | 最大 128 | 最大 500 | 1 Gbps | サポートされています | はい |
| Generation1 | VpnGw3AZ | 最大 30 | 最大 128 | 最大 1000 | 1.25 Gbps | サポートされています | はい |
| Generation2 | VpnGw2 | 最大 30 | 最大 128 | 最大 500 | 1.25 Gbps | サポートされています | いいえ |
| Generation2 | VpnGw3 | 最大 30 | 最大 128 | 最大 1000 | 2.5 Gbps | サポートされています | いいえ |
| Generation2 | VpnGw4 | 最大 100* | 最大 128 | 最大 5000 | 5 Gbps | サポートされています | いいえ |
| Generation2 | VpnGw5 | 最大 100* | 最大 128 | 最大 10000 | 10 Gbps | サポートされています | いいえ |
| Generation2 | VpnGw2AZ | 最大 30 | 最大 128 | 最大 500 | 1.25 Gbps | サポートされています | はい |
| Generation2 | VpnGw3AZ | 最大 30 | 最大 128 | 最大 1000 | 2.5 Gbps | サポートされています | はい |
| Generation2 | VpnGw4AZ | 最大 100* | 最大 128 | 最大 5000 | 5 Gbps | サポートされています | はい |
| Generation2 | VpnGw5AZ | 最大 100* | 最大 128 | 最大 10000 | 10 Gbps | サポートされています | はい |
(*) 100 個を超える S2S VPN トンネルが必要な場合は、Virtual WAN を使用してください。
VpnGw SKU のサイズ変更は、Basic SKU のサイズ変更を除き、同じ世代内で許可されます。 Basic SKU はレガシ SKU であり、機能に制限があります。 Basic から別の SKU に移行するには、Basic SKU VPN Gateway を削除し、必要な世代と SKU サイズの組み合わせを使用して新しいゲートウェイを作成する必要があります (レガシ SKU の操作に関する記事を参照してください)。
これらの接続の制限は別々になっています。 たとえば、VpnGw1 SKU では 128 の SSTP 接続が利用できると共に 250 の IKEv2 接続を利用できます。
料金情報については、価格に関するページをご覧ください。
SLA (サービス レベル アグリーメント) 情報は SLA のページで確認できます。
P2S 接続数が多い場合、サイト間接続に悪影響を与える可能性があります。 合計スループット ベンチマークは、サイト間接続とポイント対サイト接続の組み合わせを最大化した状態でテストしました。 1 つのポイント対サイト接続またはサイト間接続の場合、スループットが大幅に低下する場合があります。
インターネット トラフィックの状態とアプリケーションの動作に左右されるので、すべてのベンチマークが保証されるわけではないことに注意してください。
お客様が異なるアルゴリズムを使用して SKU の相対的なパフォーマンスを容易に把握できるように、サイト間接続には一般公開されている iPerf ツールと CTSTraffic ツールを使用してパフォーマンスを測定しました。 以下の表は、VpnGw SKU のパフォーマンス テストの結果を示しています。 ご覧のとおり、IPsec 暗号化と整合性の両方に GCMAES256 アルゴリズムを使用した場合に、最高のパフォーマンスが得られました。 IPsec 暗号化に AES256 を使用し、整合性に SHA256 を使用した場合は、平均的なパフォーマンスが得られました。 IPsec 暗号化に DES3 を使用し、整合性に SHA256 を使用した場合は、パフォーマンスが最も低くなりました。
VPN トンネルは VPN Gateway インスタンスに接続します。 各インスタンスのスループットは上記のスループット テーブルに記載され、そのインスタンスに接続しているすべてのトンネルで集計して使用できます。
以下の表は、異なるゲートウェイ SKU のトンネルごとに観察された帯域幅と、1 秒あたりのパケット数のスループットを示しています。 すべてのテストは、Azure 内のさまざまなリージョンにわたるゲートウェイ (エンドポイント) 間で、接続数は 100、標準の負荷条件下で実行されました。
| 世代 | SKU | Algorithms used |
観察されたトンネルごとの スループット |
観察されたトンネルごとの 1 秒あたりのパケット数 |
|---|---|---|---|---|
| Generation1 | VpnGw1 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
650 Mbps 500 Mbps 130 Mbps |
62,000 47,000 12,000 |
| Generation1 | VpnGw2 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1.2 Gbps 650 Mbps 140 Mbps |
100,000 61,000 13,000 |
| Generation1 | VpnGw3 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1.25 Gbps 700 Mbps 140 Mbps |
120,000 66,000 13,000 |
| Generation1 | VpnGw1AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
650 Mbps 500 Mbps 130 Mbps |
62,000 47,000 12,000 |
| Generation1 | VpnGw2AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1.2 Gbps 650 Mbps 140 Mbps |
110,000 61,000 13,000 |
| Generation1 | VpnGw3AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1.25 Gbps 700 Mbps 140 Mbps |
120,000 66,000 13,000 |
| Generation2 | VpnGw2 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1.25 Gbps 550 Mbps 130 Mbps |
120,000 52,000 12,000 |
| Generation2 | VpnGw3 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1.5 Gbps 700 Mbps 140 Mbps |
140,000 66,000 13,000 |
| Generation2 | VpnGw4 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
2.3 Gbps 700 Mbps 140 Mbps |
220,000 66,000 13,000 |
| Generation2 | VpnGw5 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
2.3 Gbps 700 Mbps 140 Mbps |
220,000 66,000 13,000 |
| Generation2 | VpnGw2AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1.25 Gbps 550 Mbps 130 Mbps |
120,000 52,000 12,000 |
| Generation2 | VpnGw3AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1.5 Gbps 700 Mbps 140 Mbps |
140,000 66,000 13,000 |
| Generation2 | VpnGw4AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
2.3 Gbps 700 Mbps 140 Mbps |
220,000 66,000 13,000 |
| Generation2 | VpnGw5AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
2.3 Gbps 700 Mbps 140 Mbps |
220,000 66,000 13,000 |
- ゲートウェイ SKU の推奨事項については、VPN Gateway の設定に関するページを参照してください。
Note
Basic SKU では、IKEv2 と RADIUS 認証はサポートされません。
P2S 用に VPN ゲートウェイではどの IKE/IPsec ポリシーが構成されていますか。
IKEv2
| 暗号化 | 整合性 | PRF | DH グループ |
|---|---|---|---|
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_ECP256 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA384 | SHA384 | GROUP_24 |
| AES256 | SHA384 | SHA384 | GROUP_14 |
| AES256 | SHA384 | SHA384 | GROUP_ECP384 |
| AES256 | SHA384 | SHA384 | GROUP_ECP256 |
| AES256 | SHA256 | SHA256 | GROUP_24 |
| AES256 | SHA256 | SHA256 | GROUP_14 |
| AES256 | SHA256 | SHA256 | GROUP_ECP384 |
| AES256 | SHA256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA256 | SHA256 | GROUP_2 |
IPsec
| 暗号化 | 整合性 | PFS グループ |
|---|---|---|
| GCM_AES256 | GCM_AES256 | GROUP_NONE |
| GCM_AES256 | GCM_AES256 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | GROUP_ECP256 |
| AES256 | SHA256 | GROUP_NONE |
| AES256 | SHA256 | GROUP_24 |
| AES256 | SHA256 | GROUP_14 |
| AES256 | SHA256 | GROUP_ECP384 |
| AES256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA1 | GROUP_NONE |
P2S 用に VPN ゲートウェイではどの TLS ポリシーが構成されていますか。
TLS
| ポリシー |
|---|
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 |
| TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 |
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
| TLS_RSA_WITH_AES_128_GCM_SHA256 |
| TLS_RSA_WITH_AES_256_GCM_SHA384 |
| TLS_RSA_WITH_AES_128_CBC_SHA256 |
| TLS_RSA_WITH_AES_256_CBC_SHA256 |
P2S 接続の構成方法
P2S 構成で必要な手順には、特有のものが非常に多くあります。 次の記事では、一般的な P2S 構成の手順について順を追って説明します。
P2S 接続の構成を削除するには
PowerShell または CLI を使用して、接続の構成を削除できます。 例については、「FAQ」を参照してください。
P2S ルーティングのしくみ
次の記事をご覧ください。
FAQ
認証に基づく P2S の FAQ セクションが複数あります。
次の手順
"OpenVPN" は OpenVPN Inc. の商標です。