VPN Gateway の構成設定について

VPN Gateway は、仮想ネットワークとオンプレミスの場所の間でパブリック接続を使って暗号化されたトラフィックを送信する仮想ネットワーク ゲートウェイの一種です。 VPN Gateway を使用して、Azure バックボーン経由で仮想ネットワーク間にトラフィックを送信できます。

VPN ゲートウェイ接続は複数のリソースの構成に依存し、それぞれに構成可能な設定が含まれています。 この記事の各セクションでは、Resource Manager デプロイ モデルで作成された仮想ネットワークの VPN Gateway に関連するリソースと設定について説明します。 各接続ソリューションの説明とトポロジ図については、VPN Gateway の設計 記事を参照してください。

この記事の値は、VPN Gateway (-GatewayType Vpn を使用する仮想ネットワーク ゲートウェイ) に適用されます。 これらの指定された設定を使用するゲートウェイについては、次の記事を参照してください。

VPN の種類

現在、Azure では、ルート ベースの VPN ゲートウェイとポリシー ベースの VPN ゲートウェイという 2 種類のゲートウェイ VPN がサポートされています。 これらは異なる内部プラットフォーム上に基づいて構築されているため、結果として異なる仕様になります。

2023 年 10 月 1 日の時点で、Azure portal を使用してポリシー ベースの VPN ゲートウェイを作成することはできません。 すべての新しい VPN ゲートウェイは、ルート ベースとして自動的に作成されます。 ポリシー ベースのゲートウェイが既にある場合は、ゲートウェイをルート ベースにアップグレードする必要はありません。 Powershell/CLI を使用して、ポリシー ベースのゲートウェイを作成できます。

以前は、以前のゲートウェイ SKU では、ルート ベースのゲートウェイの IKEv1 はサポートされていませんでした。 現在、現在のゲートウェイ SKU のほとんどは、IKEv1 と IKEv2 の両方をサポートしています。

ゲートウェイ VPN の種類 ゲートウェイ SKU サポートされている IKE バージョン
ポリシー ベースのゲートウェイ 基本 IKEv1
ルート ベースのゲートウェイ 基本 IKEv2
ルート ベースのゲートウェイ VpnGw1, VpnGw2, VpnGw3, VpnGw4, VpnGw5 IKEv1 および IKEv2
ルート ベースのゲートウェイ VpnGw1AZ、VpnGw2AZ、VpnGw3AZ、VpnGw4AZ、VpnGw5AZ IKEv1 および IKEv2

ゲートウェイの種類

各仮想ネットワークに配置できる各種類の仮想ネットワーク ゲートウェイは 1 つに限られています。 仮想ネットワーク ゲートウェイを作成するときは、ゲートウェイの種類が構成に対して適切であることを確認する必要があります。

-GatewayType に使用できる値は次のとおりです。

  • Vpn
  • ExpressRoute

VPN Gateway では、 -GatewayTypeVpnにする必要があります。

例:

New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig -GatewayType Vpn `
-VpnType RouteBased

ゲートウェイ SKU とパフォーマンス

ゲートウェイ SKU、パフォーマンス、サポートされている機能に関する最新情報については、「ゲートウェイ SKU について」を参照してください。

接続の種類

Resource Manager デプロイ モデルの各構成では、仮想ネットワーク ゲートウェイの接続の種類を指定する必要があります。 -ConnectionType に使用できる Resource Manager PowerShell 値は次のとおりです。

  • IPsec
  • Vnet2Vnet
  • ExpressRoute
  • VPNClient

次の PowerShell の例では、接続の種類 IPsecを必要とする S2S 接続を作成しています。

New-AzVirtualNetworkGatewayConnection -Name localtovon -ResourceGroupName testrg `
-Location 'West US' -VirtualNetworkGateway1 $gateway1 -LocalNetworkGateway2 $local `
-ConnectionType IPsec -SharedKey 'abc123'

接続モード

Connection Mode プロパティは、IKEv2 接続を使用するルートベースの VPN ゲートウェイにのみ適用されます。 接続モードは、接続開始方向を定義し、初期 IKE 接続確立にのみ適用されます。 どのパーティでも、キーの更新とそれ以降のメッセージを開始できます。 InitiatorOnly は、Azure によって接続を開始する必要がある場合を意味します。 ResponderOnly は、オンプレミス デバイスによって接続を開始する必要がある場合を意味します。 既定の動作では、最初に接続した方を受け入れてダイヤルします。

ゲートウェイ サブネット

VPN Gateway を作成する前に、ゲートウェイ サブネットを作成する必要があります。 ゲートウェイ サブネットには、仮想ネットワーク ゲートウェイの VM とサービスが使用する IP アドレスが含まれます。 仮想ネットワーク ゲートウェイを作成すると、ゲートウェイ VM はゲートウェイ サブネットにデプロイされ、必要な VPN Gateway 設定で構成されます。 ゲートウェイ サブネットには、追加の VM などをデプロイしないでください。 ゲートウェイ サブネットを正常に動作させるには、"GatewaySubnet" という名前を付ける必要があります。 ゲートウェイ サブネットに "GatewaySubnet" という名前を付けることにより、これが仮想ネットワーク ゲートウェイの VM とサービスをデプロイする必要のあるサブネットであることを Azure が認識できます。

ゲートウェイ サブネットを作成するときに、サブネットに含まれる IP アドレスの数を指定します。 ゲートウェイ サブネット内の IP アドレスは、ゲートウェイ VM とゲートウェイ サービスに割り当てられます。 一部の構成では、他の構成よりも多くの IP アドレスを割り当てる必要があります。

ゲートウェイ サブネットのサイズを計画する際は、作成する構成に関するドキュメントを参照してください。 たとえば、ExpressRoute/VPN Gateway が共存する構成には、他のほとんどの構成より大規模なゲートウェイ サブネットが必要です。 /29 (Basic SKU にのみ適用) の小さいゲートウェイ サブネットを作成することもできますが、他のすべての SKU には、サイズ /27 以上 (/27、/26、/25 など) のゲートウェイ サブネットが必要です。 /27 より大きいゲートウェイ サブネットを作成して、将来の構成に対応できる十分な IP アドレスをサブネットに確保することもできます。

次の Resource Manager PowerShell の例では、GatewaySubnet という名前のゲートウェイ サブネットを示しています。 CIDR 表記で /27 を指定しています。これで既存のほとんどの構成で IP アドレスに十分対応できます。

Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27

考慮事項:

  • 0.0.0.0/0 が宛先のユーザー定義のルートと GatewaySubnet の NSG はサポートされていません。 この構成のゲートウェイの作成はブロックされます。 ゲートウェイが正常に機能するためには、管理コントローラーへのアクセスが必要です。 ゲートウェイの可用性を確保するために、GatewaySubnet で [BGP ルート伝達] を [有効] に設定する必要があります。 BGP ルート伝達が無効に設定されていると、ゲートウェイは機能しません。

  • 診断、データ パス、および制御パスは、ユーザー定義ルートがゲートウェイ サブネット範囲またはゲートウェイ パブリック IP 範囲と重複している場合に影響を受ける可能性があります。

ローカル ネットワーク ゲートウェイ

ローカル ネットワーク ゲートウェイは、仮想ネットワーク ゲートウェイとは異なります。 VPN Gateway の構成を作成する場合、通常、ローカル ネットワーク ゲートウェイはオンプレミス ネットワークとそれに対応する VPN デバイスを表します。 クラシック デプロイ モデルでは、ローカル ネットワーク ゲートウェイはローカル サイトとして参照されます。

ローカル ネットワーク ゲートウェイを構成するときは、名前、オンプレミス VPN デバイスのパブリック IP アドレスまたは完全修飾ドメイン名 (FQDN)、オンプレミスの場所に存在するアドレス プレフィックスを指定します。 Azure によって、ネットワーク トラフィックの宛先アドレスのプレフィックスが参照され、ローカル ネットワーク ゲートウェイに指定した構成が確認されて、それに応じてパケットがルーティングされます。 VPN デバイスで Border Gateway Protocol (BGP) を使用する場合、VPN デバイスの BGP ピア IP アドレスとオンプレミス ネットワークの自律システム番号 (ASN) を指定します。 また、VPN Gateway 接続を使用している VNet 間の構成に対して、ローカル ネットワーク ゲートウェイを指定します。

次の PowerShell の例では、新しいローカル ネットワーク ゲートウェイを作成します。

New-AzLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg `
-Location 'West US' -GatewayIpAddress '23.99.221.164' -AddressPrefix '10.5.51.0/24'

場合によっては、ローカル ネットワーク ゲートウェイ設定を変更する必要があります。 たとえば、アドレス範囲を追加または変更する場合や、VPN デバイスの IP アドレスが変更された場合などです。 詳細については、ローカル ネットワーク ゲートウェイの設定の変更に関するページを参照してください。

REST API、PowerShell コマンドレット、および CLI

VPN Gateway 構成に対して REST API、PowerShell コマンドレット、または Azure CLI を使用する場合のテクニカル リソースおよび具体的な構文の要件については、次のページを参照してください。

クラシック Resource Manager
PowerShell PowerShell
REST API REST API
サポートされていません Azure CLI

次のステップ

使用可能な接続構成の詳細については、「VPN Gateway について」を参照してください。