VPN ゲートウェイのサイト間接続を追加または削除する

  • [アーティクル]

この記事は、VPN ゲートウェイのサイト間 (S2S) 接続を追加または削除する場合に役立ちます。 既にサイト間接続、ポイント対サイト接続、または VNet 間接続のある VPN ゲートウェイにサイト間接続を追加することもできます。 接続を追加する際には、制限があります。 構成を始める前に、この記事の「前提条件」セクションで確認してください。

複数サイトとのクロスプレミスのサイト間 VPN Gateway 接続の図。

ExpressRoute/サイト間共存接続

  • この記事の手順を使用して、既存の ExpressRoute/サイト間共存接続に新しい VPN 接続を追加できます。
  • この記事の手順を使用して、新しい ExpressRoute/サイト間共存接続を構成することはできません。 新しい共存接続を作成するには、ExpressRoute/S2S 共存接続に関する記事を参照してください。

前提条件

次の項目についてご確認ください。

  • 新しい ExpressRoute と VPN Gateway サイト間の共存接続を構成するのではない。
  • 既存の接続のある Resource Manager デプロイ モデルを使用して作成した仮想ネットワークがある。
  • 仮想ネットワークの仮想ネットワーク ゲートウェイが RouteBased である。 VPN ゲートウェイがポリシーベースの場合は、仮想ネットワーク ゲートウェイを削除して、ルートベースとして新しい VPN ゲートウェイを作成する必要があります。
  • この仮想ネットワークが接続する仮想ネットワークのアドレスの範囲がいずれも重複していない。
  • 互換性のある VPN デバイスがあり、デバイスを構成できる人員がいる。 「 VPN デバイスについて」を参照してください。 VPN デバイスの構成に詳しくない場合や、オンプレミス ネットワーク構成の IP アドレス範囲を把握していない場合は、詳細な情報を把握している担当者と協力して作業を行ってください。
  • VPN デバイスの外部接続用パブリック IP アドレスがある。

ローカル ネットワーク ゲートウェイの作成

接続先のブランチか場所を表すローカル ネットワーク ゲートウェイを作成します。

ローカル ネットワーク ゲートウェイは、ルーティング目的でオンプレミスの場所 (サイト) を表す、特定のオブジェクトです。 サイトに Azure が参照できる名前を付け、接続を作成するオンプレミス VPN デバイスの IP アドレスを指定します。 また、VPN ゲートウェイを介して VPN デバイスにルーティングされる IP アドレスのプレフィックスも指定します。 指定するアドレスのプレフィックスは、オンプレミス ネットワークのプレフィックスです。 オンプレミスのネットワークが変更された場合、または VPN デバイスのパブリック IP アドレスを変更する必要がある場合、これらの値を後で簡単に更新できます。

この例では、次の値を使用して、ローカル ネットワーク ゲートウェイを作成します。

  • [名前]: Site1
  • [リソース グループ]: TestRG1
  • [場所] :米国東部

  1. Azure portal で、[ソース、サービス、ドキュメントの検索 (G+/)] に「ローカル ネットワーク ゲートウェイ」と入力します。 検索結果の [Marketplace] の下にある [ローカル ネットワーク ゲートウェイ] を見つけて選択し、[ローカル ネットワーク ゲートウェイの作成] ページを開きます。

  2. [ローカル ネットワーク ゲートウェイの作成] ページの [基本] タブで、ローカル ネットワーク ゲートウェイの値を指定します。

    IP アドレスを使用したローカル ネットワーク ゲートウェイの作成を示すスクリーンショット。

    • サブスクリプション:正しいサブスクリプションが表示されていることを確認します。
    • [リソース グループ]: 使用するリソース グループを選択します。 新しいリソース グループを作成することも、作成済みのリソース グループを選択することもできます。
    • リージョン: このオブジェクトを作成するリージョンを選択します。 仮想ネットワークが存在する場所と同じ場所を選択できますが、必ずしもそうする必要はありません。
    • [名前]: ローカル ネットワーク ゲートウェイ オブジェクトの名前を指定します。
    • [エンドポイント]: オンプレミス VPN デバイスのエンドポイントの種類として、[IP アドレス]または [FQDN] (完全修飾ドメイン名) を選びます。
      • [IP アドレス]: インターネット サービス プロバイダー (ISP) から割り当てられた VPN デバイスの静的パブリック IP アドレスがある場合は、IP アドレス オプションを選択します。 例に示されているように IP アドレスを入力します。 このアドレスは、Azure VPN Gateway の接続先となる VPN デバイスのパブリック IP アドレスです。 この時点で IP アドレスを持っていない場合は、例に示されている値を使用できます。 後で、この手順に戻り、プレースホルダーの IP アドレスを VPN デバイスのパブリック IP アドレスに置き換える必要があります。 そうしなければ、Azure は接続できません。
      • [FQDN]: 一定期間が過ぎると変わる可能性がある動的パブリック IP アドレス (多くの場合、ISP によって決定されます) の場合は、動的 DNS サービスで DNS 定数名を使用して、VPN デバイスの現在のパブリック IP アドレスを指定することができます。 Azure VPN ゲートウェイは、FQDN を解決して接続先のパブリック IP アドレスを決定します。
    • [アドレス空間] は、このローカル ネットワークが表すネットワークのアドレス範囲を指します。 複数のアドレス領域の範囲を追加することができます。 ここで指定した範囲が、接続先となる他のネットワークの範囲と重複しないようにしてください。 指定したアドレス範囲が、Azure によってオンプレミスの VPN デバイスの IP アドレスにルーティングされます。 "オンプレミスのサイトに接続する場合、例に示されている値を使用せず、ここで独自の値を使用します"。

    Note

    • Azure VPN Gateway では、FQDN ごとに 1 つの IPv4 アドレスのみがサポートされます。 ドメイン名が複数の IP アドレスに解決される場合、VPN Gateway では DNS サーバーから最初に返された IP アドレスが使用されます。 不確実性を解消するために、FQDN を常に単一の IPv4 アドレスに解決することをお勧めします。 IPv6 はサポートされていません。
    • VPN Gateway には、5 分おきに更新される DNS キャッシュがあります。 ゲートウェイによって FQDN の解決が試行されるのは、切断されたトンネルの場合のみです。 ゲートウェイをリセットすると、FQDN 解決もトリガーされます。
    • Azure VPN Gateway では、異なる FQDN を持つ異なるローカル ネットワーク ゲートウェイへの複数の接続がサポートされていますが、すべての FQDN は異なる IP アドレスに解決する必要があります。

  3. [詳細設定] タブでは、必要に応じて BGP 設定を構成できます。

  4. 値の指定が完了したら、ページの下部にある [確認と作成] を選択して、ページを検証します。

  5. [作成] を選択して、ローカル ネットワーク ゲートウェイ オブジェクトを作成します。

VPN デバイスの構成

オンプレミス ネットワークとのサイト間接続には VPN デバイスが必要です。 この手順では、VPN デバイスを構成します。 VPN デバイスを構成する場合は、次の値が必要です。

  • 共有キー。 これは、サイト間 VPN 接続を作成するときに指定するのと同じ共有キーです。 ここで紹介している例では、基本的な共有キーを使用しています。 実際には、もっと複雑なキーを生成して使用することをお勧めします。
  • 仮想ネットワーク ゲートウェイのパブリック IP アドレス。 パブリック IP アドレスは、Azure Portal、PowerShell、または CLI を使用して確認できます。 Azure portal を使用して VPN ゲートウェイのパブリック IP アドレスを調べるには、[仮想ネットワーク ゲートウェイ] に移動し、該当するゲートウェイの名前を選択します。

ご利用の VPN デバイスによっては、VPN デバイス構成スクリプトをダウンロードできる場合があります。 詳細については、VPN デバイス構成スクリプトのダウンロードに関するページを参照してください。

構成の詳細については、次のリンクを参照してください。

接続の構成

仮想ネットワーク ゲートウェイとオンプレミス VPN デバイスとの間にサイト間 VPN 接続を作成します。

次の値を使用して接続を作成します。

  • ローカル ネットワーク ゲートウェイ名: Site1
  • 接続名: VNet1toSite1
  • 共有キー: この例では、abc123 を使用します。 ただし、お使いの VPN ハードウェアと互換性があれば何を使用してもかまいません。 重要なことは、接続の両側で値が一致していることです。

  1. 仮想ネットワークに移動します。 仮想ネットワーク ページの左側にある [接続されているデバイス] を選択します。 お使いの VPN ゲートウェイを見つけ、選択して開きます。

  2. ゲートウェイのページで、 [接続] を選択します。

  3. [接続] ページの上部で、[+ 追加] を選択して [接続の作成] ページを開きます。

    [基本] ページを示すスクリーンショット。

  4. [接続の作成] ページの [基本] タブで、接続の値を構成します。

    • [プロジェクトの詳細] では、サブスクリプションと、リソースが配置されているリソース グループを選択します。

    • [インスタンスの詳細] で、次の設定を構成します。

      • [接続の種類] : [サイト対サイト (IPsec)] を選択します。
      • [名前]: 接続に名前を付けます。
      • 地域: この接続のリージョンを選択します。

  5. [設定] タブを選択して、次の値を構成します。

    [設定] ページを示すスクリーンショット。

    • [仮想ネットワーク ゲートウェイ]: ドロップダウン リストから仮想ネットワーク ゲートウェイを選びます。
    • [ローカル ネットワーク ゲートウェイ]: ドロップダウン リストからローカル ネットワーク ゲートウェイを選びます。
    • [共有キー]: この値は、ローカル環境のオンプレミス VPN デバイスに使っている値と一致している必要があります。
    • [IKE プロトコル]: [IKEv2] を選びます。
    • [Azure プライベート IP アドレスを使用する]: オンにしないでください。
    • [BGP を有効にする]: オンにしないでください。
    • [FastPath]: オンにしないでください。
    • [IPsec/IKE ポリシー]:[既定] を選びます。
    • [ポリシー ベースのトラフィック セレクターを使用する]: [無効] を選びます。
    • [DPD タイムアウト (秒)]: [45] を選びます。
    • [接続モード]: [既定] を選択します。 この設定は、接続を開始できるゲートウェイを指定するために使われます。 詳細については、VPN Gateway 設定に関するページの「接続モード」 を参照してください。

  6. [NAT 規則の関連付け] では、[イングレス][エグレス] の両方を 0 が選択されたままにします。

  7. [確認および作成] を選択して接続設定を検証します。

  8. [作成] を選択して接続を作成します。

  9. デプロイが完了したら、仮想ネットワーク ゲートウェイの [接続] ページで接続を表示できます。 状態は、[不明] から [接続中] に変わり、その後 [成功] に変わります。

VPN 接続の表示と確認

Azure portal で、接続に移動することで、VPN ゲートウェイの接続の状態を確認できます。 次の手順は、接続に移動して確認する 1 つの方法を示しています。

  1. Azure portal メニューで、[すべてのリソース] を選択するか、任意のページから [すべてのリソース] を検索して選択します。
  2. お使いの仮想ネットワーク ゲートウェイを選択します。
  3. 仮想ネットワーク ゲートウェイのペインで、[接続] を選択します。 各接続の状態が確認できます。
  4. 確認する接続の名前を選択すると、[要点] が開きます。 [要点] ペインで、接続に関する詳細情報を確認できます。 接続に成功すると、状態が [成功][接続済み] になります。

接続の削除

  1. ポータルで、VPN ゲートウェイの [接続] ページに移動します。
  2. 削除したい接続をクリックします。 接続のページが表示されます。
  3. [削除] をクリックして、接続を削除します。

次のステップ

サイト間 VPN ゲートウェイ構成の詳細については、「チュートリアル: Azure portal でサイト間 VPN 接続を作成する」を参照してください。