ポイント対サイトの VPN クライアントを構成する: RADIUS - パスワード認証

仮想ネットワークにポイント対サイト (P2S) 接続するには、接続元のクライアント デバイスを構成する必要があります。 Windows、macOS、Linux のクライアント デバイスから P2S VPN 接続を作成できます。 この記事は、ユーザー名とパスワードによる RADIUS 認証の VPN クライアント構成を作成してインストールするのに役立ちます。

RADIUS 認証を使用する場合、複数の認証手順があります (証明書認証、パスワード認証、その他の認証方法およびプロトコル)。 VPN クライアント構成は、認証の種類ごとに異なります。 VPN クライアントを構成するには、必要な設定を含むクライアント構成ファイルを使用します。

Note

2018 年 7 月 1 日以降、Azure VPN Gateway では TLS 1.0 および 1.1 のサポートが終了します。 VPN Gateway では、TLS 1.2 のみがサポートされるようになります。 影響を受けるのはポイント対サイト接続のみであり、サイト対サイト接続には影響ありません。 Windows 10 以降のクライアント上でポイント対サイト VPN に対して TLS を使用する場合、特に何も行う必要はありません。 Windows 7 および Windows 8 クライアント上でポイント対サイト接続に対して TLS を使用する場合、更新手順については「VPN Gateway に関する FAQ」を参照してください。

ワークフロー

P2S RADIUS 認証の構成ワークフローは次のとおりです。

1. P2S 接続用に Azure VPN ゲートウェイを設定する。
2. RADIUS サーバーを認証用に設定する。
3. 選択した認証オプションの VPN クライアント構成を取得し、それを使用して VPN クライアントを設定する (この記事)。
4. P2S 構成を完了し、接続する。

重要

VPN プロトコルの種類や認証の種類など、VPN クライアント構成プロファイルの生成後にポイント対サイト VPN 構成に変更があった場合は、新しい VPN クライアント構成を生成してユーザー デバイスにインストールする必要があります。

ユーザー名/パスワード認証を構成して、Active Directory を使用するか、または使用しないようにできます。 いずれかのシナリオで、接続するすべてのユーザーに、RADIUS を使用して認証できるユーザー名とパスワードの資格情報があることを確認します。

ユーザー名/パスワード認証を構成する場合、EAP-MSCHAPv2 のユーザー名/パスワード認証プロトコルの構成のみを作成できます。 コマンドでは、-AuthenticationMethod は EapMSChapv2 です。

VPN クライアント構成ファイルの生成

Azure portal または Azure PowerShell を使用して VPN クライアント構成ファイルを生成することができます。

Azure portal

1. 仮想ネットワーク ゲートウェイに移動します。
2. [ポイント対サイトの構成] をクリックします。
3. [VPN クライアントのダウンロード] をクリックします。
4. クライアントを選択し、要求された情報をすべて入力します。
5. [ダウンロード] をクリックして .zip ファイルを生成します。
6. .zip ファイルが (通常であれば [ダウンロード] フォルダーに) ダウンロードされます。

Azure PowerShell

ユーザー名/パスワード認証で使用する VPN クライアント構成ファイルを生成します。 VPN クライアント構成ファイルの生成には、次のコマンドを使用します。

New-AzVpnClientConfiguration -ResourceGroupName "TestRG" -Name "VNet1GW" -AuthenticationMethod "EapMSChapv2"

コマンドを実行すると、リンクが返されます。 このリンクをコピーして Web ブラウザーに貼り付け、VpnClientConfiguration.zip をダウンロードします。 そのファイルを解凍して、次のフォルダーを表示します。

• WindowsAmd64 および WindowsX86: これらのフォルダーにはそれぞれ、Windows の 64 ビットと 32 ビットのインストーラー パッケージが含まれています。
• Generic: このフォルダーには、独自の VPN クライアント構成を作成するのに使用する、全般的な情報が含まれています。 このフォルダーは、ユーザー名/パスワード認証の構成には不要です。
• Mac: 仮想ネットワーク ゲートウェイの作成時に IKEv2 を構成した場合は、mobileconfig ファイルを含む Mac という名前のフォルダーが表示されます。 このファイルを使用して、Mac クライアントを構成します。

クライアント構成ファイルを既に作成してある場合は、Get-AzVpnClientConfiguration コマンドレットを使用して取得できます。 ただし、VPN プロトコルの種類や認証の種類など、P2S VPN 構成に変更を加える場合、構成は自動的に更新されません。 New-AzVpnClientConfiguration コマンドレットを実行して、新しい構成のダウンロードを作成する必要があります。

以前に生成されたクライアント構成ファイルを取得するには、次のコマンドを使用します。

Get-AzVpnClientConfiguration -ResourceGroupName "TestRG" -Name "VNet1GW"

Windows VPN クライアント

バージョンがクライアントのアーキテクチャと一致する限り、各 Windows クライアント コンピューターで同じ VPN クライアント構成パッケージを使用できます。 サポートされているクライアント オペレーティング システムの一覧については、FAQ を参照してください。

証明書認証用にネイティブ Windows VPN クライアントを構成するには、次の手順を実行してください。

1. Windows コンピューターのアーキテクチャに対応する VPN クライアント構成ファイルを選択します。 64 ビットのプロセッサ アーキテクチャの場合は、VpnClientSetupAmd64 インストーラー パッケージを選択します。 32 ビットのプロセッサ アーキテクチャの場合は、VpnClientSetupX86 インストーラー パッケージを選択します。

2. パッケージをインストールするには、ダブルクリックします。 SmartScreen ポップアップが表示されたら、 [詳細]>[実行] の順に選択します。

3. クライアント コンピューターで [ネットワークの設定] に移動し、 [VPN] を選択します。 VPN 接続により、その接続先の仮想ネットワークの名前が表示されます。

Mac (macOS) VPN クライアント

1. VpnClientSetup mobileconfig ファイルを選択し、各ユーザーに送信します。 電子メールや別の方法を使用できます。

2. Mac で mobileconfig ファイルを探します。

   

3. オプションの手順 - カスタム DNS を指定する場合は、mobileconfig ファイルに次の行を追加します。

    <key>DNS</key>
    <dict>
      <key>ServerAddresses</key>
        <array>
            <string>10.0.0.132</string>
        </array>
      <key>SupplementalMatchDomains</key>
        <array>
            <string>TestDomain.com</string>
        </array>
    </dict> 
   

4. プロファイルをダブルクリックしてインストールし、 [続ける] を選択します。 プロファイル名は、仮想ネットワークの名前と同じです。

   

5. [続ける] を選択してプロファイルの送信者を信頼し、インストールを続行します。

   

6. プロファイルのインストール中に、VPN 認証用のユーザー名とパスワードを指定できます。 この情報の入力は必須ではありません。 指定した場合は、その情報が保存され、接続の開始時に自動的に使用されます。 [インストール] を選択して続行します。

   

7. コンピューターにプロファイルをインストールするために必要な特権のユーザー名とパスワードを入力します。 [OK] を選択します。

   

8. プロファイルのインストールが完了すると、 [プロファイル] ダイアログ ボックスに表示されます。 このダイアログ ボックスは、後で [システム環境設定] から開くこともできます。

   

9. VPN 接続にアクセスするには、 [システム環境設定] から [ネットワーク] ダイアログ ボックスを開きます。

   

10. VPN 接続は、IkeV2-VPN として表示されます。 この名前は、mobileconfig ファイルを更新することで変更できます。

    

11. [認証設定] を選択します。 一覧で [ユーザー名] を選択し、資格情報を入力します。 以前に資格情報を入力した場合は、一覧で [ユーザー名] が自動的に選択され、ユーザー名とパスワードがあらかじめ入力されています。 [OK] を選択して設定を保存します。

    

12. [ネットワーク] ダイアログ ボックスに戻り、 [適用] を選択して、変更を保存します。 接続を開始するには、 [接続] を選択します。

Linux VPN クライアント - strongSwan

次の手順は、Ubuntu 17.0.4 上で strongSwan 5.5.1 を使用して作成されました。 実際の画面は、使用している Linux と strongSwan のバージョンによって異なる場合があります。

1. [ターミナル] を起動し、例のコマンドを実行して strongSwan とその Network Manager をインストールします。 libcharon-extra-plugins に関連するエラーが発生する場合、これを strongswan-plugin-eap-mschapv2 に置き換えます。

   sudo apt-get install strongswan libcharon-extra-plugins moreutils iptables-persistent network-manager-strongswan
   

2. ネットワーク マネージャー アイコン (上矢印/下矢印) を選択して、 [接続の編集] を選択します。

   

3. [追加] ボタンを選択して、新しい接続を作成します。

   

4. ドロップダウン メニューから [IPsec/IKEv2 (strongswan)] を選択して、 [作成] を選択します。 この手順で使用する接続の名前を変更できます。

   

5. ダウンロード クライアント構成ファイルの Generic フォルダーから VpnSettings.xml ファイルを開きます。 VpnServer というタグを探して、その azuregateway で始まり .cloudapp.net で終わる名前をコピーします。

   

6. この名前を、 [ゲートウェイ] セクションの、新しい VPN 接続の [アドレス] フィールドに貼り付けます。 次に、 [証明書] フィールドの最後のフォルダー アイコンを選択して、Generic フォルダーに移動し、VpnServerRoot ファイルを選択します。

7. 接続の [クライアント] セクションで、 [認証] に対して [EAP] を選び、ユーザー名とパスワードを入力します。 この情報を保存するには、右側のロック アイコンを選択する必要がある場合があります。 次に、 [保存] を選択します。

   

8. ネットワーク マネージャー アイコン (上矢印/下矢印) を選択して、 [VPN 接続] にマウス ポインターを合わせます。 作成した VPN 接続が表示されます。 接続を開始するには、これを選択します。

   

Azure 仮想マシンに関する追加手順

Linux を実行する Azure 仮想マシンでプロシージャを実行している場合は、実行する追加の手順があります。

1. /etc/netplan/50-cloud-init.yaml ファイルを編集して、インターフェイスの次のパラメーターを含めます

   renderer: NetworkManager
   

2. ファイルを編集した後、次の 2 つのコマンドを実行して、新しい構成を読み込みます

   sudo netplan generate
   

   sudo netplan apply
   

3. 仮想マシンを停止して開始するか、再デプロイします。

次のステップ

P2S 構成を完了するための記事に戻ります。

P2S のトラブルシューティング情報については、Azure ポイント対サイト接続のトラブルシューティングに関するページを参照してください。