VPN Gateway に関する FAQ

  • [アーティクル]

仮想ネットワークへの接続

仮想ネットワークは異なる Azure リージョン間でも接続できますか。

はい。 リージョンにより制限されることはありません。 特定の仮想ネットワークから、同一リージョン内の別の仮想ネットワーク、または別の Azure リージョンに存在する別の仮想ネットワークに接続できます。

異なるサブスクリプションの仮想ネットワークに接続することはできますか。

はい。

VPN Gateway を構成するときに、自分の VNet にプライベート DNS サーバーを指定できますか。

仮想ネットワークの作成時に DNS サーバーを指定した場合、VPN Gateway では指定した DNS サーバーが使用されます。 DNS サーバーを指定する場合は、DNS サーバーが Azure に必要なドメイン名を解決できることを確認してください。

1 つの仮想ネットワークから複数のサイトに接続できますか。

Windows PowerShell および Azure REST API を使用して複数のサイトに接続することができます。 詳細については、「 マルチサイトと VNet 間接続 」の FAQ を参照してください。

VPN Gateway をアクティブ/アクティブとして設定する場合、追加のコストがかかりますか。

いいえ。 ただし、追加のパブリック IP のコストは、状況に応じて課金されます。 IP アドレスの価格に関するページを参照してください。

クロスプレミス接続にはどのようなオプションがありますか。

次のクロスオンプレミス仮想ネットワーク ゲートウェイ接続がサポートされています:

  • サイト間接続: IPsec (IKE v1 および IKE v2) 経由での VPN 接続。 この種類の接続には、VPN デバイスまたは RRAS が必要です。 詳細については、サイト間接続に関する記事を参照してください。
  • ポイント対サイト接続: SSTP (Secure Socket トンネリング プロトコル) 経由での VPN 接続または IKE v2。 この接続では、VPN デバイスは不要です。 詳細については、ポイント対サイト接続に関する記事を参照してください。
  • VNet 間接続: この種類の接続は、サイト間構成の場合と同じです。 VNet 間接続では IPsec (IKE v1 および IKE v2) 経由で VPN 接続を確立します。 VPN デバイスは不要です。 詳細については、VNet 間接続に関するページを参照してください。
  • ExpressRoute:ExpressRoute 接続は、パブリックなインターネットを経由した VPN 接続ではなく、WAN から Azure へのプライベート接続です。 詳細については、「ExpressRoute の技術概要」および「ExpressRoute の FAQ」をご覧ください。

VPN Gateway の接続の詳細については、「VPN Gateway について」をご覧ください。

サイト間接続とポイント対サイト接続の違いを教えてください。

サイト間 (IPsec/IKE VPN トンネル) 構成は、オンプレミスの場所と Azure の間で行われます。 つまり、ルーティングとアクセス許可の構成に従って、オンプレミスの場所に存在する任意のコンピューターと仮想ネットワーク内に存在する任意の仮想マシンやロール インスタンスを接続できます。 このオプションはクロスプレミス接続として常に使用可能で、ハイブリッド構成にも適しています。 この種類の接続は IPsec VPN アプライアンス (ハードウェア デバイスまたはソフト アプライアンス) に依存します。このアプライアンスは、ネットワークの境界にデプロイされる必要があります。 この種類の接続を作成するには、外部に公開された IPv4 アドレスが必要です。

ポイント対サイト (VPN over SSTP) 構成では、任意の場所に存在する 1 台のコンピューターから仮想ネットワーク内に存在する任意のデバイスに接続できます。 この接続では、Windows に組み込み済みの VPN クライアントを使用します。 ポイント対サイト構成の一部として、証明書および VPN クライアント構成パッケージをインストールします。これには、コンピューターが仮想ネットワーク内の任意の仮想マシンまたはロール インスタンスに接続できるようにする設定が含まれています。 これは仮想ネットワークに接続する場合には適していますが、オンプレミスに存在している場合は適していません。 また、このオプションは VPN ハードウェアにアクセスできない場合や外部に公開された IPv4 アドレスが存在しない場合にも便利ですが、このどちらでもサイト間接続が必須となります。

VPN の種類がルート ベースのゲートウェイを使用してサイト間接続を作成すれば、サイト間接続とポイント対サイト接続の両方を同時に使用するように仮想ネットワークを構成できます。 VPN の種類がルート ベースのゲートウェイは、クラシック デプロイ モデルでは動的ゲートウェイと呼ばれます。

プライバシー

VPN サービスによって顧客データは保存または処理されますか?

いいえ。

仮想ネットワーク ゲートウェイ

VPN Gateway は仮想ネットワーク ゲートウェイですか。

VPN ゲートウェイは仮想ネットワーク ゲートウェイの一種です。 VPN Gateway は、仮想ネットワークとオンプレミスの場所の間でパブリック接続を使って暗号化されたトラフィックを送信します。 仮想ネットワーク間のトラフィックの送信に VPN Gateway を使うこともできます。 VPN Gateway を作成するときは、GatewayType に値 'Vpn' を使用します。 詳細については、「VPN Gateway の設定について」をご覧ください。

ポリシーベースとルートベースの VPN の種類を指定できないのはなぜですか?

2023 年 10 月 1 日の時点で、Azure portal を使用してポリシー ベースの VPN ゲートウェイを作成することはできません。 すべての新しい VPN ゲートウェイは、ルート ベースとして自動的に作成されます。 ポリシー ベースのゲートウェイが既にある場合は、ゲートウェイをルート ベースにアップグレードする必要はありません。 Powershell/CLI を使用して、ポリシー ベースのゲートウェイを作成できます。

以前は、以前のゲートウェイ SKU では、ルート ベースのゲートウェイの IKEv1 はサポートされていませんでした。 現在、現在のゲートウェイ SKU のほとんどは、IKEv1 と IKEv2 の両方をサポートしています。

ゲートウェイ VPN の種類 ゲートウェイ SKU サポートされている IKE バージョン
ポリシー ベースのゲートウェイ 基本 IKEv1
ルート ベースのゲートウェイ 基本 IKEv2
ルート ベースのゲートウェイ VpnGw1, VpnGw2, VpnGw3, VpnGw4, VpnGw5 IKEv1 および IKEv2
ルート ベースのゲートウェイ VpnGw1AZ、VpnGw2AZ、VpnGw3AZ、VpnGw4AZ、VpnGw5AZ IKEv1 および IKEv2

ポリシー ベースの VPN Gateway をルート ベースに更新できますか。

いいえ。 ゲートウェイの種類は、ポリシー ベースからルート ベースに変更することも、ルート ベースからポリシー ベースに変更することもできません。 ゲートウェイの種類を変更するには、ゲートウェイを削除してから再作成する必要があります。 このプロセスには約 60 分かかります。 新しいゲートウェイを作成するときに、元のゲートウェイの IP アドレスを保持することはできません。

  1. ゲートウェイに関連付けられているすべての接続を削除してください。

  2. ゲートウェイを削除するには、次のいずれかの記事を利用します。

  3. 目的のゲートウェイの種類を使用して新しいゲートウェイを作成してから、VPN の設定を行います。 手順については、サイト間のチュートリアルに関する記事を参照してください。

独自のポリシー ベースのトラフィック セレクターを指定できますか?

はい。トラフィック セレクターは、New-AzIpsecTrafficSelectorPolicy PowerShell コマンドを使用して、接続の trafficSelectorPolicies 属性で定義できます。 指定したトラフィック セレクターを有効にする場合は、ポリシー ベースのトラフィック セレクターを使用するオプションが有効になっている必要があります。

カスタム構成のトラフィック セレクターは、Azure VPN Gateway が接続を開始する場合にのみ提案されます。 VPN ゲートウェイでは、リモート ゲートウェイ (オンプレミス VPN デバイス) によって提案されたすべてのトラフィック セレクターが受け入れられます。 この動作は、すべての接続モード (既定、InitiatorOnly、ResponderOnly) で同じです。

'GatewaySubnet' は必要ですか。

はい。 ゲートウェイ サブネットには、仮想ネットワーク ゲートウェイ サービスが使用する IP アドレスが含まれます。 仮想ネットワーク ゲートウェイを構成するには、仮想ネットワークのゲートウェイ サブネットを作成する必要があります。 すべてのゲートウェイ サブネットを正常に動作させるには、'GatewaySubnet' という名前を付ける必要があります。 ゲートウェイ サブネットに他の名前を付けないでください。 また、ゲートウェイ サブネットには VM などをデプロイしないでください。

ゲートウェイ サブネットを作成するときに、サブネットに含まれる IP アドレスの数を指定します。 ゲートウェイ サブネット内の IP アドレスは、ゲートウェイ サービスに割り当てられます。 一部の構成では、他の構成よりも多くの IP アドレスをゲートウェイ サービスに割り当てる必要があります。 ゲートウェイ サブネットには、将来の拡大や新しい接続構成の追加に対応できる十分な IP アドレスが含まれるようにしてください。 そのため、/29 のような小さいゲートウェイ サブネットを作成できますが、/27 以上 (/27、/26、/25 など) のゲートウェイ サブネットを作成することをお勧めします。 作成する構成の要件を調べて、ゲートウェイ サブネットがその要件を満たしていることを確認してください。

ゲートウェイ サブネットに仮想マシンやロール インスタンスをデプロイできますか。

いいえ。

ゲートウェイを作成する前に VPN Gateway の IP アドレスを取得できますか。

Azure の Standard SKU のパブリック IP リソースでは、静的な割り当て方法を使用する必要があります。 そのため、使用する Standard SKU のパブリック IP リソースを作成するとすぐに、VPN Gateway 用のパブリック IP アドレスが作成されます。

VPN ゲートウェイに静的なパブリック IP アドレスを指定することはできますか?

Standard SKU のパブリック IP リソースでは、静的な割り当て方法を使用します。 今後、新しい VPN ゲートウェイを作成するときは、Standard SKU のパブリック IP アドレスを使用する必要があります。 これは、Basic SKU を除くすべてのゲートウェイ SKU に適用されます。 Basic ゲートウェイ SKU では現在、Basic SKU のパブリック IP アドレスのみがサポートされています。 Basic ゲートウェイ SKU の Standard SKU パブリック IP アドレスのサポートが間もなく追加される予定です。

ゾーン冗長および非ゾーン ゲートウェイ (名前に AZ が入って "いない" ゲートウェイ SKU) の場合、動的 IP アドレスの割り当てがサポートされますが、段階的に廃止されます。動的 IP アドレスを使用する場合、その IP アドレスは VPN ゲートウェイに割り当てられた後も変更されません。 VPN Gateway の IP アドレスが変更されるのは、ゲートウェイが削除されてから、再度作成された場合だけです。 VPN Gateway のパブリック IP アドレスは、VPN Gateway のサイズ変更、リセット、またはその他の内部メンテナンスまたはアップグレードを完了しても変更されません。

パブリック IP アドレス Basic SKU の廃止は VPN ゲートウェイにどのような影響を与えますか?

Basic SKU パブリック IP アドレスを利用するデプロイ済み VPN ゲートウェイの継続的な操作を確実に行うために、アクションを実行しています。 Basic SKU パブリック IP アドレスを持つ VPN ゲートウェイが既にある場合は、何の操作も行う必要はありません。

ただし、Basic SKU のパブリック IP アドレスは段階的に廃止されることに注意してください。今後、新しい VPN ゲートウェイを作成するときは、Standard SKU のパブリック IP を使用する必要があります。 Basic SKU パブリック IP アドレスの廃止の詳細については、 こちらを参照してください。

VPN トンネルの認証を取得する方法を教えてください。

Azure の VPN では PSK (事前共有キー) の認証を使用します。 事前共有キー (PSK) は VPN トンネルを作成したときに生成されます。 自分で使用するために自動生成した PSK は、PowerShell コマンドレットまたは REST API の Set Pre-Shared Key を使用して変更できます。

ポリシー ベース (静的ルーティング) ゲートウェイ VPN を構成する際に Set Pre-Shared Key API を使用できますか。

はい。Set Pre-Shared Key API および PowerShell コマンドレットは、Azure のポリシー ベース (静的ルーティング) VPN とルート ベース (動的ルーティング) VPN のどちらを構成する場合にも使用できます。

ほかの認証オプションを使用することはできますか

事前共有キー (PSK) による認証のみに制限されています。

VPN Gateway を通過するトラフィックの種類は、どのようにすれば指定できますか。

Resource Manager デプロイ モデル

  • PowerShell: "AddressPrefix" を使用してローカル ネットワーク ゲートウェイのトラフィックを指定します。
  • Azure Portal: ローカル ネットワーク ゲートウェイ、[構成]、[アドレス空間] の順に移動します。

クラシック デプロイ モデル

  • Azure Portal: クラシック仮想ネットワーク、[VPN 接続]、[サイト対サイト VPN 接続]、ローカル サイト名、[ローカル サイト]、[クライアント アドレス空間] の順に移動します。

VPN 接続で NAT-T を使用できますか。

はい。NAT トラバーサル (NAT-T) がサポートされています。 Azure VPN Gateway によって、NAT に類似する機能が、内部パケットで IPsec トンネルに対して実行されることはありません。 この構成では、オンプレミスのデバイスによって IPsec トンネルが開始されるようにします。

Azure で自社の VPN サーバーをセットアップし、オンプレミス ネットワークへの接続に使用することはできますか。

はい。Azure Marketplace から、または自社の VPN ルーターを作成して、自社の VPN Gateway やサーバーを Azure 内にデプロイできます。 仮想ネットワーク内でユーザー定義ルートを構成して、オンプレミス ネットワークと仮想ネットワークのサブネットの間でトラフィックが適切にルーティングされるようにする必要があります。

仮想ネットワーク ゲートウェイで特定のポートが開かれているのはなぜですか。

Azure インフラストラクチャの通信に必要です。 これらは、Azure の証明書によって保護 (ロック ダウン) されます。 対象のゲートウェイの顧客を含め、適切な証明書を持たない外部エンティティは、これらのエンドポイントに影響を与えることはできません。

仮想ネットワーク ゲートウェイは基本的に、1 枚の NIC が顧客のプライベート ネットワークに接続され、1 枚の NIC がパブリック ネットワークに面しているマルチホーム デバイスです。 Azure インフラストラクチャのエンティティは、コンプライアンス上の理由から顧客のプライベート ネットワークに接続できないため、インフラストラクチャの通信用にパブリック エンドポイントを使用する必要があります。 パブリック エンドポイントは、Azure のセキュリティ監査によって定期的にスキャンされます。

ポータルで Basic ゲートウェイ SKU を使用して VPN ゲートウェイを作成できますか?

不正解です。 Basic SKU はポータルでは使用できません。 Azure CLI または PowerShell を使用して、Basic SKU VPN ゲートウェイを作成できます。

ゲートウェイの種類、要件、スループットに関する情報はどこで確認できますか?

次の記事をご覧ください。

レガシ SKU の SKU 廃止

Standard SKU と High Performance SKU は、2025 年 9 月 30 日に非推奨になります。 こちらのお知らせを参照してください。 製品チームは、2024 年 11 月 30 日までに、これらの SKU の移行パスを利用できるようにします。 詳しくは、「VPN Gateway レガシ SKU」をご覧ください。 現時点では、実行する必要があるアクションはありません

2023 年 11 月 30 日の廃止のお知らせの後に、新しい Standard または High Performance の SKU を作成できますか?

その必要はありません。 2023 年 12 月 1 日から、Standard または High Performance の SKU を使用して新しいゲートウェイを作成することはできません。 VpnGw1 と VpnGw2 を使用して、Standard と High Performance の SKU と同じ価格で新しいゲートウェイを作成できます。これは、価格ページにそれぞれ記載されています。

Standard/High Performance SKU で既存のゲートウェイがサポートされるのはいつまでですか?

Standard または High Performance の SKU を使用するすべての既存のゲートウェイは、2025 年 9 月 30 日までサポートされます。

Standard または High Performance のゲートウェイ SKU を今すぐ移行する必要がありますか?

いいえ。今必要なアクションはありません。 2024 年 12 月から SKU を移行できるようになります。 移行手順に関する詳細なドキュメントを含むお知らせをお送りします。

どの SKU にゲートウェイを移行できますか?

ゲートウェイ SKU の移行が可能になると、SKU は次のように移行できます。

  • Standard -> VpnGw1
  • High Performance -> VpnGw2

AZ SKU に移行する場合はどうすればよいですか?

レガシ SKU を AZ SKU に移行することはできません。 ただし、2025 年 9 月 30 日以降も Standard または High Performance SKU を使用しているすべてのゲートウェイは、自動的に移行され、次の SKU にアップグレードされることに注意してください。

  • Standard -> VpnGw1AZ
  • High Performance -> VpnGw2AZ

この戦略を使用して、SKU を自動的に移行し、AZ SKU にアップグレードすることができます。 その後、必要に応じて、その SKU ファミリ内で SKU をサイズ変更できます。 AZ SKU の価格については、価格に関するページを参照してください。 SKU 別のスループット情報については、「ゲートウェイ SKU について」を参照してください。

移行後にゲートウェイの価格に違いはありますか?

2025 年 9 月 30 日までに SKU を移行する場合、価格に違いはありません。 VpnGw1 と VpnGw2 の SKU はそれぞれ、Standard と High Performance の SKU と同じ価格で提供されます。 その日付までに移行しない場合、SKU は自動的に移行され、AZ SKU にアップグレードされます。 その場合、価格に違いがあります。

この移行によるゲートウェイのパフォーマンスへの影響はありますか?

はい。VpnGw1 と VpnGw2 を使用すると、パフォーマンスが向上します。 現在、650 Mbps の VpnGw1 は 6.5 倍、1 Gbps の VpnGw2 は 5 倍のパフォーマンス向上を実現しており、それぞれ従来の Standard および High Performance ゲートウェイと同じ価格です。 SKU のスループットの詳細については、「ゲートウェイ SKU について」を参照してください。

2025 年 9 月 30 日までに SKU を移行しない場合はどうなりますか?

引き続き Standard または High Performance SKU を使用しているすべてのゲートウェイは、自動的に移行され、次の AZ SKU にアップグレードされます。

  • Standard -> VpnGw1AZ
  • High Performance -> VpnGw2AZ

最終的なお知らせは、ゲートウェイの移行を開始する前に送信されます。

VPN Gateway Basic SKU も廃止されますか?

いいえ、VPN Gateway Basic SKU は廃止されません。 PowerShell または CLI 経由で、Basic ゲートウェイ SKU を使用して VPN ゲートウェイを作成できます。 現在、VPN Gateway Basic ゲートウェイ SKU では、Basic SKU パブリック IP アドレス リソースのみがサポートされています (廃止予定の)。 Microsoft は、Standard SKU パブリック IP アドレス リソースの VPN Gateway Basic ゲートウェイ SKU へのサポートの追加に取り組んでいます。

サイト間接続と VPN デバイス

VPN デバイスを選択する場合の考慮事項について教えてください。

Microsoft では、デバイス ベンダーと協力して複数の標準的なサイト間 VPN デバイスを検証しました。 互換性が確認されている VPN デバイス、それに対応する構成の手順またはサンプル、デバイスの仕様の一覧は VPN デバイスに関する記事で確認できます。 互換性が確認されているデバイス ファミリに属するすべてのデバイスも仮想ネットワークで動作します。 VPN デバイスを構成するには、デバイスの構成サンプル、または適切なデバイス ファミリに対応するリンクを参照してください。

VPN デバイスの構成設定はどこにありますか。

VPN デバイス構成スクリプトをダウンロードするには

ご利用の VPN デバイスによっては、VPN デバイス構成スクリプトをダウンロードできる場合があります。 詳細については、VPN デバイス構成スクリプトのダウンロードに関するページを参照してください。

その他の構成情報については、次のリンクを参照してください

VPN デバイス構成サンプルは、どのように編集すればよいですか。

デバイス構成サンプルの編集については、サンプルの編集に関するセクションを参照してください。

IPsec および IKE パラメーターはどこにありますか。

IPsec/IKE のパラメーターについては、パラメーターに関するセクションを参照してください。

トラフィックがアイドル状態のときにポリシー ベースの VPN トンネルがダウンするのはなぜですか。

これは、ポリシー ベースの (静的ルーティングとも呼ばれる) VPN Gateway の予期される動作です。 トンネル経由のトラフィックが 5 分以上アイドル状態になると、トンネルは破棄されます。 どちらかの方向のトラフィック フローが開始されると、トンネルはすぐに再び確立されます。

ソフトウェア VPN を使用して Azure に接続することはできますか。

サイト間クロスプレミス構成には、Windows Server 2012 ルーティングとリモート アクセス (RRAS) サーバーがサポートされています。

その他のソフトウェア VPN ソリューションについては、業界標準の IPsec の実装に準拠していれば Microsoft のゲートウェイで動作します。 構成とサポートの手順については、ソフトウェアのベンダーにお問い合わせください。

サイト間接続がアクティブなサイトにあるとき、ポイント対サイトを利用して VPN Gateway に接続できますか。

はい。ただし、ポイント対サイト クライアントのパブリック IP アドレスと、サイト間 VPN デバイスで使用されるパブリック IP アドレスが異なる必要があります。同じ場合、ポイント対サイト接続は機能しません。 IKEv2 によるポイント対サイト接続は、同じ Azure VPN Gateway でサイト間 VPN 接続が構成されている同じパブリック IP アドレスから開始できません。

ポイント対サイト - 証明書認証

このセクションは、Resource Manager デプロイ モデルに適用されます。

ポイント対サイト構成でいくつの VPN クライアント エンドポイントを使用できますか。

それは、ゲートウェイ SKU によって異なります。 サポートされる接続の数の詳細については、「ゲートウェイの SKU」を参照してください。

ポイント対サイト接続で使用できるクライアント オペレーティング システムを教えてください。

次のクライアント オペレーティング システムがサポートされています。

  • Windows Server 2008 R2 (64 ビットのみ)
  • Windows 8.1 (32 ビットと 64 ビット)
  • Windows Server 2012 (64 ビットのみ)
  • Windows Server 2012 R2 (64 ビットのみ)
  • Windows Server 2016 (64 ビットのみ)
  • Windows Server 2019 (64 ビットのみ)
  • Windows Server 2022 (64 ビットのみ)
  • Windows 10
  • Windows 11
  • macOS バージョン 10.11 以上
  • Linux (StrongSwan)
  • iOS

プロキシとファイアウォールを経由してポイント対サイト機能を使用できますか。

Azure では、次の 3 種類のポイント対サイト VPN オプションをサポートしています。

  • Secure Socket Tunneling Protocol (SSTP)。 SSTP は、ほとんどのファイアウォールが 443 SSL で使用される送信 TCP ポートを開いているためにファイアウォールを通過できる、Microsoft 独自の SSL ベースのソリューションです。

  • OpenVPN。 OpenVPN は、ほとんどのファイアウォールが 443 SSL で使用される送信 TCP ポートを開いているためにファイアウォールを通過できる、SSL ベースのソリューションです。

  • IKEv2 VPN。 IKEv2 VPN は、送信 UDP ポート 500 と 4500 および IP プロトコル番号 50 を使用する標準ベースの IPsec VPN ソリューションです。 ファイアウォールでここに挙げたポートが必ずしも開いているとは限りません。このため、IKEv2 VPN ではプロキシとファイアウォールを通過できないことがあります。

ポイント対サイト接続用に構成したクライアント コンピューターを再起動すると VPN は自動的に再接続されますか。

自動再接続は、使用されているクライアントの機能です。 Windows では、Always On VPN クライアント機能を構成することで、自動再接続がサポートされています。

ポイント対サイトでは VPN クライアントの DDNS はサポートされていますか。

現在、DDNS はポイント対サイト VPN でサポートされていません。

サイト間接続およびポイント対サイト接続の構成は、同一仮想ネットワークに共存させることはできますか。

はい。 Resource Manager デプロイ モデルの場合には、ゲートウェイにルートベースの VPN が必要になります。 クラシック デプロイ モデルの場合は、動的ゲートウェイが必要です。 静的ルーティング VPN Gateway と、ポリシーベースの VPN Gateway では、ポイント対サイト接続はサポートされません。

ポイント対サイト接続のクライアントを同時に複数の仮想ネットワーク ゲートウェイに接続するように構成することはできますか。

使用される VPN クライアント ソフトウェアによっては、接続先の仮想ネットワークにおいて、それらの間で、または接続元のクライアントのネットワークとの間で、競合するアドレス空間がない場合、複数の Virtual Network ゲートウェイに接続できることがあります。 Azure VPN クライアントでは多くの VPN 接続がサポートされていますが、一度に接続できる接続は 1 つだけです。

ポイント対サイト クライアントを、複数の仮想ネットワークに同時に接続するように設定できますか。

はい。他の VNet とピアリングされている VNet にデプロイされている仮想ネットワーク ゲートウェイへのポイント対サイト クライアント接続は、ピアリングされた他の VNet にアクセスできる可能性があります。 ピアリングされた VNet が UseRemoteGateway または AllowGatewayTransit 機能を使用している場合、ポイント対サイト クライアントは、ピアリングされた VNet に接続できます。 詳細については、ポイント対サイト ルーティングに関する記事を参照してください。

サイト間接続またはポイント対サイト接続ではどの程度のスループットが得られますか。

VPN トンネルのスループットを正確に一定レベルに維持することは困難です。 IPsec と SSTP は、VPN プロトコルの中でも暗号化処理の負荷が高いものです。 また、スループットはオンプレミスとインターネットの間の待機時間や帯域幅によっても制限されます。 IKEv2 ポイント対サイト VPN 接続のみを使用する VPN Gateway では、期待できるスループットの総量がゲートウェイの SKU に応じて変わります。 スループットの詳細については、「ゲートウェイの SKU」を参照してください。

SSTP や IKEv2 をサポートしているポイント対サイト接続では、ソフトウェア VPN クライアントを使用できますか。

いいえ。 SSTP については Windows のネイティブ VPN クライアント、IKEv2 については Mac のネイティブ VPN クライアントのみ使用できます。 ただし、すべてのプラットフォーム上で OpenVPN クライアントを使用して、OpenVPN プロトコル経由で接続できます。 サポートされているクライアント オペレーティング システムの一覧を参照してください。

ポイント対サイト接続の認証の種類は変更できますか。

はい。 ポータルで、[VPN ゲートウェイ] -> [ポイント対サイトの構成] ページに移動します。 [認証の種類] で、使用する認証の種類を選択します。 認証の種類を変更した後、新しい VPN クライアント構成プロファイルが生成され、ダウンロードされて、各 VPN クライアントに適用されるまで、現在のクライアントが接続できない場合があることに注意してください。

Azure は、Windows で IKEv2 VPN をサポートしていますか。

IKEv2 は、Windows 10 および Windows Server 2016 でサポートされています。 ただし、特定の OS バージョンで IKEv2 を使用するには、更新プログラムをインストールして、ローカルでレジストリ キーの値を設定する必要があります。 Windows 10 以前の OS バージョンはサポートされておらず、それらのバージョンで使用できるのは SSTP または OpenVPN® プロトコルのみです。

注意

Windows 10 バージョン 1709 および Windows Server 2016 バージョン 1607 よりも新しい Windows OS ビルドでは、これらの手順は不要です。

Windows 10 または Windows Server 2016 を IKEv2 用に準備するには:

  1. OS のバージョンに基づいて更新プログラムをインストールします。

    OS バージョン Date 数/リンク
    Windows Server 2016
    Windows 10 バージョン 1607    		 2018 年 1 月 17 日 KB4057142
    Windows 10 バージョン 1703 2018 年 1 月 17 日 KB4057144
    Windows 10 バージョン 1709 2018 年 3 月 22 日 KB4089848

  2. レジストリ キーの値を設定します。 レジストリの "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload" REG_DWORD キーを作成するか、または 1 に設定します。

ポイント対サイト接続の IKEv2 トラフィック セレクターの制限は何ですか。

Windows 10 バージョン 2004 (2021 年 9 月リリース) では、トラフィック セレクターの制限が 255 に増えています。 これより前のバージョンの Windows では、トラフィック セレクターの制限は 25 です。

Windows のトラフィック セレクターの制限は、仮想ネットワーク内のアドレス空間の最大数と、ローカル ネットワーク、VNet 間接続、およびゲートウェイに接続されているピアリングされた VNet の最大合計を決定します。 Windows ベースのポイント対サイト クライアントは、この制限を超えた場合、IKEv2 経由で接続に失敗します。

P2S VPN 接続に対して SSTP と IKEv2 の両方を構成した場合、何が起こりますか。

Windows デバイスと Mac デバイスが混在する環境で SSTP と IKEv2 の両方を構成すると、Windows VPN クライアントは必ず最初に IKEv2 トンネルを試行します。ただし、IKEv2 接続が成功しなかった場合 SSTP にフォールバックします。 MacOSX は IKEv2 経由のみで接続します。

ゲートウェイで SSTP と IKEv2 の両方が有効になっている場合、ポイント対サイト アドレス プールは 2 つの間で静的に分割されるため、異なるプロトコルを使用するクライアントには、どちらかのサブ範囲から IP アドレスが割り当てられます。 アドレス範囲が /24 より大きい場合でも、SSTP クライアントの最大量は常に 128 であり、その結果として IKEv2 クライアントで使用できるアドレスの量が大きくなることに注意してください。 それより小さい範囲の場合、プールは均等に二分割されます。 ゲートウェイで使用されるトラフィック セレクターには、ポイント対サイト アドレス範囲 CIDR ではなく、2 つのサブ範囲 CIDR が含まれている場合があります。

Windows と Mac 以外に、Azure が P2S VPN 向けにサポートしている他のプラットフォームはありますか。

Azure では、P2S VPN 向けに Windows、Mac、および Linux がサポートされています。

Azure VPN Gateway を既にデプロイしています。 ここで RADIUS または IKEv2 VPN または両方を有効にできますか。

はい。使用しているゲートウェイ SKU で RADIUS または IKEv2 (あるいはその両方) がサポートされている場合は、PowerShell または Azure portal を使用して既にデプロイしたゲートウェイでこれらの機能を有効にすることができます。 Basic SKU では RADIUS も IKEv2 もサポートされていません。

P2S 接続の構成を削除するにはどうすればよいですか。

P2S 構成は、次のコマンドを使って Azure CLI と PowerShell を使用して削除できます。

Azure PowerShell

$gw=Get-AzVirtualNetworkGateway -name <gateway-name>`  
$gw.VPNClientConfiguration = $null`  
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw`

Azure CLI

az network vnet-gateway update --name <gateway-name> --resource-group <resource-group name> --remove "vpnClientConfiguration"

証明書認証を使用した接続時、証明書が一致しないと表示された場合、どうすればよいでしょうか。

手動でプロファイルを作成するとき、[証明書を検証してサーバーの ID を検証する] チェック ボックスをオフにするか、証明書と共にサーバーの FQDN を追加します。 これを行うには、コマンド プロンプトから rasphone を実行し、ドロップ ダウン リストからプロファイルを選択します。

一般に、サーバー ID の検証は回避しないようお勧めします。ただし、Azure 証明書認証では、VPN トンネリング プロトコル (IKEv2 または SSTP) と EAP プロトコルとで同じ証明書がサーバー検証に使用されます。 サーバー証明書と FQDN は VPN トンネリング プロトコルによって既に検証済みであるため、EAP で再度検証する必要はありません。

ポイント対サイト認証

内部 PKI ルート CA を使用して、ポイント対サイト接続用に証明書を生成できますか?

はい。 以前は、自己署名ルート証明書のみを使用できました。 現在も 20 ルート証明書までアップロードできます。

Azure Key Vault の証明書を使用できますか?

いいえ。

証明書の作成にどのようなツールを使用できますか。

エンタープライズ PKI ソリューション (内部 PKI)、Azure PowerShell、MakeCert、OpenSSL を使用できます。

証明書の設定およびパラメーターに関する指示はありますか。

  • 内部 PKI/エンタープライズ PKI ソリューション:証明書を生成する手順を参照してください。

  • Azure PowerShell: 手順については、Azure PowerShell の記事を参照してください。

  • MakeCert: 手順については、MakeCert の記事を参照してください。

  • OpenSSL:

    • 証明書をエクスポートするときは、ルート証明書を Base64 に変換してください。

    • クライアント証明書の場合:

      • 秘密キーを作成する際は、長さを 4096 として指定します。
      • 証明書を作成する際は、 -extensions パラメーターに usr_cert を指定します。

ポイント対サイト - RADIUS 認証

このセクションは、Resource Manager デプロイ モデルに適用されます。

ポイント対サイト構成でいくつの VPN クライアント エンドポイントを使用できますか。

それは、ゲートウェイ SKU によって異なります。 サポートされる接続の数の詳細については、「ゲートウェイの SKU」を参照してください。

ポイント対サイト接続で使用できるクライアント オペレーティング システムを教えてください。

次のクライアント オペレーティング システムがサポートされています。

  • Windows Server 2008 R2 (64 ビットのみ)
  • Windows 8.1 (32 ビットと 64 ビット)
  • Windows Server 2012 (64 ビットのみ)
  • Windows Server 2012 R2 (64 ビットのみ)
  • Windows Server 2016 (64 ビットのみ)
  • Windows Server 2019 (64 ビットのみ)
  • Windows Server 2022 (64 ビットのみ)
  • Windows 10
  • Windows 11
  • macOS バージョン 10.11 以上
  • Linux (StrongSwan)
  • iOS

プロキシとファイアウォールを経由してポイント対サイト機能を使用できますか。

Azure では、次の 3 種類のポイント対サイト VPN オプションをサポートしています。

  • Secure Socket Tunneling Protocol (SSTP)。 SSTP は、ほとんどのファイアウォールが 443 SSL で使用される送信 TCP ポートを開いているためにファイアウォールを通過できる、Microsoft 独自の SSL ベースのソリューションです。

  • OpenVPN。 OpenVPN は、ほとんどのファイアウォールが 443 SSL で使用される送信 TCP ポートを開いているためにファイアウォールを通過できる、SSL ベースのソリューションです。

  • IKEv2 VPN。 IKEv2 VPN は、送信 UDP ポート 500 と 4500 および IP プロトコル番号 50 を使用する標準ベースの IPsec VPN ソリューションです。 ファイアウォールでここに挙げたポートが必ずしも開いているとは限りません。このため、IKEv2 VPN ではプロキシとファイアウォールを通過できないことがあります。

ポイント対サイト接続用に構成したクライアント コンピューターを再起動すると VPN は自動的に再接続されますか。

自動再接続は、使用されているクライアントの機能です。 Windows では、Always On VPN クライアント機能を構成することで、自動再接続がサポートされています。

ポイント対サイトでは VPN クライアントの DDNS はサポートされていますか。

現在、DDNS はポイント対サイト VPN でサポートされていません。

サイト間接続およびポイント対サイト接続の構成は、同一仮想ネットワークに共存させることはできますか。

はい。 Resource Manager デプロイ モデルの場合には、ゲートウェイにルートベースの VPN が必要になります。 クラシック デプロイ モデルの場合は、動的ゲートウェイが必要です。 静的ルーティング VPN Gateway と、ポリシーベースの VPN Gateway では、ポイント対サイト接続はサポートされません。

ポイント対サイト接続のクライアントを同時に複数の仮想ネットワーク ゲートウェイに接続するように構成することはできますか。

使用される VPN クライアント ソフトウェアによっては、接続先の仮想ネットワークにおいて、それらの間で、または接続元のクライアントのネットワークとの間で、競合するアドレス空間がない場合、複数の Virtual Network ゲートウェイに接続できることがあります。 Azure VPN クライアントでは多くの VPN 接続がサポートされていますが、一度に接続できる接続は 1 つだけです。

ポイント対サイト クライアントを、複数の仮想ネットワークに同時に接続するように設定できますか。

はい。他の VNet とピアリングされている VNet にデプロイされている仮想ネットワーク ゲートウェイへのポイント対サイト クライアント接続は、ピアリングされた他の VNet にアクセスできる可能性があります。 ピアリングされた VNet が UseRemoteGateway または AllowGatewayTransit 機能を使用している場合、ポイント対サイト クライアントは、ピアリングされた VNet に接続できます。 詳細については、ポイント対サイト ルーティングに関する記事を参照してください。

サイト間接続またはポイント対サイト接続ではどの程度のスループットが得られますか。

VPN トンネルのスループットを正確に一定レベルに維持することは困難です。 IPsec と SSTP は、VPN プロトコルの中でも暗号化処理の負荷が高いものです。 また、スループットはオンプレミスとインターネットの間の待機時間や帯域幅によっても制限されます。 IKEv2 ポイント対サイト VPN 接続のみを使用する VPN Gateway では、期待できるスループットの総量がゲートウェイの SKU に応じて変わります。 スループットの詳細については、「ゲートウェイの SKU」を参照してください。

SSTP や IKEv2 をサポートしているポイント対サイト接続では、ソフトウェア VPN クライアントを使用できますか。

いいえ。 SSTP については Windows のネイティブ VPN クライアント、IKEv2 については Mac のネイティブ VPN クライアントのみ使用できます。 ただし、すべてのプラットフォーム上で OpenVPN クライアントを使用して、OpenVPN プロトコル経由で接続できます。 サポートされているクライアント オペレーティング システムの一覧を参照してください。

ポイント対サイト接続の認証の種類は変更できますか。

はい。 ポータルで、[VPN ゲートウェイ] -> [ポイント対サイトの構成] ページに移動します。 [認証の種類] で、使用する認証の種類を選択します。 認証の種類を変更した後、新しい VPN クライアント構成プロファイルが生成され、ダウンロードされて、各 VPN クライアントに適用されるまで、現在のクライアントが接続できない場合があることに注意してください。

Azure は、Windows で IKEv2 VPN をサポートしていますか。

IKEv2 は、Windows 10 および Windows Server 2016 でサポートされています。 ただし、特定の OS バージョンで IKEv2 を使用するには、更新プログラムをインストールして、ローカルでレジストリ キーの値を設定する必要があります。 Windows 10 以前の OS バージョンはサポートされておらず、それらのバージョンで使用できるのは SSTP または OpenVPN® プロトコルのみです。

注意

Windows 10 バージョン 1709 および Windows Server 2016 バージョン 1607 よりも新しい Windows OS ビルドでは、これらの手順は不要です。

Windows 10 または Windows Server 2016 を IKEv2 用に準備するには:

  1. OS のバージョンに基づいて更新プログラムをインストールします。

    OS バージョン Date 数/リンク
    Windows Server 2016
    Windows 10 バージョン 1607    		 2018 年 1 月 17 日 KB4057142
    Windows 10 バージョン 1703 2018 年 1 月 17 日 KB4057144
    Windows 10 バージョン 1709 2018 年 3 月 22 日 KB4089848

  2. レジストリ キーの値を設定します。 レジストリの "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload" REG_DWORD キーを作成するか、または 1 に設定します。

ポイント対サイト接続の IKEv2 トラフィック セレクターの制限は何ですか。

Windows 10 バージョン 2004 (2021 年 9 月リリース) では、トラフィック セレクターの制限が 255 に増えています。 これより前のバージョンの Windows では、トラフィック セレクターの制限は 25 です。

Windows のトラフィック セレクターの制限は、仮想ネットワーク内のアドレス空間の最大数と、ローカル ネットワーク、VNet 間接続、およびゲートウェイに接続されているピアリングされた VNet の最大合計を決定します。 Windows ベースのポイント対サイト クライアントは、この制限を超えた場合、IKEv2 経由で接続に失敗します。

P2S VPN 接続に対して SSTP と IKEv2 の両方を構成した場合、何が起こりますか。

Windows デバイスと Mac デバイスが混在する環境で SSTP と IKEv2 の両方を構成すると、Windows VPN クライアントは必ず最初に IKEv2 トンネルを試行します。ただし、IKEv2 接続が成功しなかった場合 SSTP にフォールバックします。 MacOSX は IKEv2 経由のみで接続します。

ゲートウェイで SSTP と IKEv2 の両方が有効になっている場合、ポイント対サイト アドレス プールは 2 つの間で静的に分割されるため、異なるプロトコルを使用するクライアントには、どちらかのサブ範囲から IP アドレスが割り当てられます。 アドレス範囲が /24 より大きい場合でも、SSTP クライアントの最大量は常に 128 であり、その結果として IKEv2 クライアントで使用できるアドレスの量が大きくなることに注意してください。 それより小さい範囲の場合、プールは均等に二分割されます。 ゲートウェイで使用されるトラフィック セレクターには、ポイント対サイト アドレス範囲 CIDR ではなく、2 つのサブ範囲 CIDR が含まれている場合があります。

Windows と Mac 以外に、Azure が P2S VPN 向けにサポートしている他のプラットフォームはありますか。

Azure では、P2S VPN 向けに Windows、Mac、および Linux がサポートされています。

Azure VPN Gateway を既にデプロイしています。 ここで RADIUS または IKEv2 VPN または両方を有効にできますか。

はい。使用しているゲートウェイ SKU で RADIUS または IKEv2 (あるいはその両方) がサポートされている場合は、PowerShell または Azure portal を使用して既にデプロイしたゲートウェイでこれらの機能を有効にすることができます。 Basic SKU では RADIUS も IKEv2 もサポートされていません。

P2S 接続の構成を削除するにはどうすればよいですか。

P2S 構成は、次のコマンドを使って Azure CLI と PowerShell を使用して削除できます。

Azure PowerShell

$gw=Get-AzVirtualNetworkGateway -name <gateway-name>`  
$gw.VPNClientConfiguration = $null`  
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw`

Azure CLI

az network vnet-gateway update --name <gateway-name> --resource-group <resource-group name> --remove "vpnClientConfiguration"

RADIUS 認証はすべての Azure VPN Gateway SKU でサポートされていますか。

RADIUS 認証は、Basic SKU を除くすべての SKU でサポートされます。

従来の SKU の場合、Standard と High Performance の SKU で RADIUS 認証をサポートしています。 Basic Gateway SKU ではサポートされていません。

クラシック デプロイ モデルでは RADIUS 認証がサポートされていますか。

いいえ。 クラシック デプロイ モデルでは、RADIUS 認証がサポートされていません。

RADIUS サーバーに送信される RADIUS 要求のタイムアウト期間はどのくらいですか。

RADIUS 要求は 30 秒後にタイムアウトになるように設定されています。 ユーザー定義のタイムアウト値は現在、サポートされていません。

サードパーティ製の RADIUS サーバーはサポートされていますか。

はい。サードパーティ製の RADIUS サーバーはサポートされています。

Azure ゲートウェイがオンプレミスの RADIUS サーバーに到達するための接続の要件は何ですか。

オンプレミスのサイトに対するサイト間 VPN 接続が必要です (適切なルートが構成されている必要があります)。

ExpressRoute 接続を使って (Azure VPN Gateway から) オンプレミスの RADIUS サーバーに対するトラフィックをルーティングすることはできますか。

いいえ。 そのようなトラフィックは、サイト間接続でのみルーティングできます。

RADIUS 認証でサポートされる SSTP 接続の数に変更はありますか。 サポートされる SSTP 接続と IKEv2 接続の最大数はそれぞれどのくらいですか。

RADIUS 認証を使用するゲートウェイでサポートされる SSTP 接続の最大数には変更ありません。 SSTP に対しては 128 のままですが、IKEv2 のゲートウェイ SKU によって異なります。 サポートされる接続の数の詳細については、「ゲートウェイの SKU」を参照してください。

RADIUS サーバーを使った証明書認証と Azure ネイティブ証明書認証を使った証明書認証 (信頼された証明書を Azure にアップロードする) の違いは何ですか。

RADIUS による証明書認証では、認証要求が実際に証明書の検証処理を担当する RADIUS サーバーに転送されます。 このオプションは、RADIUS を使用する証明書認証インフラストラクチャが既にあり、それを統合したい場合に有用です。

証明書認証に Azure を使用する場合には、Azure VPN Gateway が証明書の検証を担当します。 ユーザーの側では、ゲートウェイに証明書の公開キーをアップロードする必要があります。 このほか、接続を許可してはならない失効した証明書の一覧を指定することもできます。

RADIUS 認証は、IKEv2 と SSTP VPN の両方で機能しますか。

はい、RADIUS 認証は、IKEv2 と SSTP VPN の両方でサポートされています。

RADIUS 認証は、OpenVPN クライアントで機能しますか。

OpenVPN プロトコルでは、RADIUS 認証はサポートされていません。

VNet 間接続とマルチサイト接続

VNet 間接続の FAQ は VPN ゲートウェイ接続が対象となります。 VNet ピアリングについては、「仮想ネットワーク ピアリング」を参照してください。

Azure では VNet 間のトラフィックに対して料金が発生しますか。

VPN ゲートウェイ接続を使用している場合は、同じリージョン内の VNet 間トラフィックは双方向で無料です。 リージョンを越えて送信される VNet 間エグレス トラフィックには、ソース リージョンに基づき、アウトバウンド VNet 内データ転送料金が課せられます。 詳細については、VPN Gateway の価格に関するページを参照してください。 VPN ゲートウェイではなく VNet ピアリングを使用して VNet を接続している場合は、Virtual Network の価格に関するページを参照してください。

VNet 間のトラフィックは、インターネット経由で送信されますか。

いいえ。 VNet 間のトラフィックは、インターネットではなく Microsoft Azure のバックボーンを経由して送信されます。

Microsoft Entra テナント間で VNet 間接続を確立できますか?

はい、Azure VPN ゲートウェイを使用する VNet 間接続は、Microsoft Entra テナント間で動作します。

VNet 間のトラフィックはセキュリティで保護されていますか。

はい、IPsec/IKE 暗号化で保護されます。

VNet 同士を接続するには VPN デバイスが必要ですか。

いいえ。 複数の Azure 仮想ネットワークを接続するときに、VPN デバイスは必要ありません (クロスプレミス接続が必要な場合を除く)。

VNet は同じリージョンに属している必要がありますか。

いいえ。 仮想ネットワークが属している Azure リージョン (場所) は異なっていてもかまいません。

VNet が同じサブスクリプションに存在しない場合、サブスクリプションが同じ Active Directory テナントに関連付けられている必要がありますか。

いいえ。

別々の Azure インスタンスに存在する仮想ネットワークを VNet 間接続で接続することはできますか。

いいえ。 VNet 間接続でサポートされるのは、同じ Azure インスタンス内の仮想ネットワークの接続だけです。 たとえば、グローバル Azure と中国/ドイツ/米国政府の Azure インスタンスとの間で接続を作成することはできません。 これらのシナリオについては、サイト間 VPN 接続の使用をご検討ください。

VNet 間接続はマルチサイト接続と併用できますか。

はい。 仮想ネットワーク接続は、マルチサイト VPN と同時に使用することができます。

1 つの仮想ネットワークから接続できるオンプレミス サイトと仮想ネットワークの数を教えてください。

ゲートウェイの要件」の表を参照してください。

VNet 間接続を使用して VNet の外部の VM やクラウド サービスを接続することはできますか。

いいえ。 VNet 間接続によって仮想ネットワークを接続できます。 仮想ネットワーク内に存在しない仮想マシンやクラウド サービスを接続することはできません。

クラウド サービスや負荷分散エンドポイントは複数の VNet にまたがることができますか。

いいえ。 クラウド サービスや負荷分散エンドポイントは、仮にそれらが相互に接続されていたとしても、仮想ネットワークの境界を越えることはできません。

VNet 間接続やマルチサイト接続にポリシー ベースの VPN の種類を使用することはできますか。

いいえ。 VNet 間接続とマルチサイト接続には、VPN の種類がルート ベース (以前は "動的ルーティング" と呼ばれていました) である Azure VPN Gateway が必要です。

VPN の種類がルート ベースの VNet を VPN の種類がポリシー ベースの VNet に接続できますか。

いいえ、両方の仮想ネットワークでルート ベース (以前は "動的ルーティング" と呼ばれていました) の VPN を使用している必要があります。

VPN トンネルは帯域幅を共有しますか。

はい。 仮想ネットワークのすべての VPN トンネルは、Azure VPN ゲートウェイ上の使用可能な帯域幅を共有し、Azure 内の同じ VPN ゲートウェイ アップタイム SLA を共有します。

冗長トンネルはサポートされますか。

1 つの仮想ネットワーク ゲートウェイがアクティブ/アクティブ構成になっている場合、仮想ネットワークのペア間の冗長トンネルがサポートされます。

VNet 間接続の構成で、重複するアドレス空間を使用できますか。

いいえ。 重複する IP アドレス範囲は使用できません。

接続されている仮想ネットワークとオンプレミスのローカル サイトで、重複するアドレス空間を使用できますか。

いいえ。 重複する IP アドレス範囲は使用できません。

サイト間 VPN 接続と ExpressRoute の間のルーティングを有効にするにはどうすればいいですか。

ExpressRoute に接続されているブランチと、サイト間 VPN 接続に接続されているブランチとの間のルーティングを有効にするには、Azure Route Server をセットアップする必要があります。

オンプレミス サイトや別の仮想ネットワークに向けてトラフィックを通過させるときに、Azure VPN Gateway を使用できますか。

Resource Manager デプロイ モデル
はい。 詳細については、「BGP」セクションを参照してください。

クラシック デプロイ モデル
クラシック デプロイ モデルを使用して Azure VPN Gateway 経由でトラフィックを通過させることは可能です。この場合、ネットワーク構成ファイル内の静的に定義されたアドレス空間が使用されます。 BGP はまだ、クラシック デプロイ モデルを使用した Azure Virtual Networks と VPN Gateway ではサポートされていません。 BGP が使用できない場合、手動で通過アドレス空間を定義すると非常にエラーが発生しやすいため、これは推奨していません。

Azure では、同一仮想ネットワークのすべての VPN 接続に対して同一の IPsec/IKE 事前共有キーが生成されるのですか。

いいえ、既定では、Azure は異なる VPN 接続に対してそれぞれ異なる事前共有キーを生成します。 ただし、Set VPN Gateway Key REST API または PowerShell コマンドレットを使用すると、お好みのキー値を設定することができます。 キーには、スペース、ハイフン (-) またはチルダ (~) を除く、印刷可能な ASCII 文字のみを含める必要があります。

1 つの仮想ネットワークよりも多くのサイト間 VPN を確立した方がより広い帯域幅を得られるのでしょうか。

いいえ、ポイント対サイト VPN を含むすべての VPN トンネルは、同一の Azure VPN Gateway とそこで利用可能な帯域幅を共有します。

仮想ネットワークとオンプレミス サイトの間に、マルチサイト VPN を使用して複数のトンネルを構成できますか。

はい。ただし、両方のトンネルの BGP を同じ場所に構成する必要があります。

Azure VPN Gateway では、AS パス プリペンドが優先され、これがオンプレミス サイトへの複数の接続間でのルーティング決定に影響しますか。

はい。Azure VPN Gateway では、BGP が有効になっているとき、ルーティングの決定を支援するために AS パス プリペンドが優先されます。 BGP パスの選択では、より短い AS パスが優先されます。

新しい VPN VirtualNetworkGateway 接続を作成するときに RoutingWeight プロパティを使用できますか?

いいえ。このような設定は ExpressRoute ゲートウェイ接続用に予約されています。 複数の接続間のルーティングの決定に影響を与える場合は、AS パス プリペンドを使用する必要があります。

仮想ネットワークを持つポイント対サイト VPN を複数の VPN トンネルで使用できますか。

はい、ポイント対サイト (P2S) VPN は複数のオンプレミス サイトおよび他の仮想ネットワークに接続されている VPN Gateway で使用できます。

IPsec VPN を使用している仮想ネットワークを自社の ExpressRoute 回線に接続できますか。

はい、これはサポートされています。 詳細については、共存する ExpressRoute とサイト間 VPN の接続の構成に関する記事を参照してください。

IPsec/IKE ポリシー

カスタム IPsec/IKE ポリシーはすべての Azure VPN Gateway SKU でサポートされていますか。

カスタム IPsec/IKE ポリシーは、Basic SKU を除くすべての Azure SKU でサポートされています。

1 つの接続に対してポリシーはいくつ指定できますか。

ある特定の接続に対して指定できるポリシーの組み合わせは 1 つだけです。

接続に対してポリシーを部分的に指定することはできますか (IKE アルゴリズムのみ指定し、IPsec は指定しないなど)。

いいえ。IKE (メイン モード) と IPsec (クイック モード) の両方について、すべてのアルゴリズムとパラメーターを指定する必要があります。 ポリシーを部分的に指定することはできません。

カスタム ポリシーでサポートされるアルゴリズムとキーの強度を教えてください。

次の表は、構成可能なサポートされている暗号アルゴリズムとキーの強度を一覧にしたものです。 各フィールドについて、オプションを 1 つ選択する必要があります。

IPsec/IKEv2 [オプション]
IKEv2 暗号化 GCMAES256、GCMAES128、AES256、AES192、AES128
IKEv2 整合性 SHA384、SHA256、SHA1、MD5
DH グループ DHGroup24、ECP384、ECP256、DHGroup14、DHGroup2048、DHGroup2、DHGroup1、なし
IPsec 暗号化 GCMAES256、GCMAES192、GCMAES128、AES256、AES192、AES128、DES3、DES、なし
IPsec 整合性 GCMAES256、GCMAES192、GCMAES128、SHA256、SHA1、MD5
PFS グループ PFS24、ECP384、ECP256、PFS2048、PFS2、PFS1、なし
QM SA の有効期間 (オプション: 指定されていない場合、既定値が使用されます)
秒 (整数: 最小 300/既定値 27,000 秒)
キロバイト数 (整数: 最小 1024/既定値 102,400,000 キロバイト)
トラフィック セレクター UsePolicyBasedTrafficSelectors** ($True/$False; Optional、指定されていない場合、既定値は $False)
DPD タイムアウト 秒 (整数: 最小 9、最大 3600、既定値 45 秒)

  • ご使用のオンプレミス VPN デバイスの構成は、Azure IPsec/IKE ポリシーで指定した次のアルゴリズムおよびパラメーターと一致している (または含んでいる) 必要があります。

    • IKE 暗号化アルゴリズム (メイン モード/フェーズ 1)
    • IKE 整合性アルゴリズム (メイン モード/フェーズ 1)
    • DH グループ (メイン モード/フェーズ 1)
    • IPsec 暗号化アルゴリズム (クイック モード/フェーズ 2)
    • IPsec 整合性アルゴリズム (クイック モード/フェーズ 2)
    • PFS グループ (クイック モード/フェーズ 2)
    • トラフィック セレクター (UsePolicyBasedTrafficSelectors が使用される場合)
    • SA の有効期間はローカルの指定のみであり、一致している必要はありません。

  • IPsec 暗号化アルゴリズム用として GCMAES を使用する場合は、IPsec 整合性のため、同じ GCMAES アルゴリズムとキーの長さを選択する必要があります。たとえば、両方に GCMAES128 を使用します。

  • アルゴリズムとキーテーブルで次のようにします。

    • IKE はメイン モードまたはフェーズ 1 に対応します。
    • IPsec はクイック モードまたはフェーズ 2 に対応しています。
    • DH グループは、メイン モードまたはフェーズ 1 で使用される Diffie-Hellman グループを指定します。
    • PFS グループは、クイック モードまたはフェーズ 2 で使用される Diffie-Hellman グループを指定しました。

  • IKE メイン モード SA の有効期間は、Azure VPN ゲートウェイで 28,800 秒に固定します。

  • 'UsePolicyBasedTrafficSelectors' は、省略可能な接続に関するパラメーターです。 接続の UsePolicyBasedTrafficSelectors を $True に設定すると、Azure VPN ゲートウェイは、オンプレミスのポリシーベースの VPN ファイアウォールに接続するように構成されます。 PolicyBasedTrafficSelectors を有効にする場合は、オンプレミス ネットワーク (ローカル ネットワーク ゲートウェイ) プレフィックスと Azure Virtual Network プレフィックスのすべての組み合わせに対応するトラフィック セレクターが VPN デバイスに定義されている必要があります (any-to-any は不可)。 Azure VPN Gateway では、Azure VPN Gateway に構成されている内容に関係なく、リモート VPN Gateway によって提案されたトラフィック セレクターが受け入れられます。

    たとえば、オンプレミス ネットワークのプレフィックスが 10.1.0.0/16 と 10.2.0.0/16 で、仮想ネットワークのプレフィックスが 192.168.0.0/16 と 172.16.0.0/16 である場合、次のトラフィック セレクターを指定する必要があります。

    • 10.1.0.0/16 <====> 192.168.0.0/16
    • 10.1.0.0/16 <====> 172.16.0.0/16
    • 10.2.0.0/16 <====> 192.168.0.0/16
    • 10.2.0.0/16 <====> 172.16.0.0/16

    ポリシー ベースのトラフィック セレクターの詳細については、複数のオンプレミスのポリシー ベース VPN デバイスへの接続に関する記事を参照してください。

  • DPD タイムアウト - Azure VPN ゲートウェイでは、既定値は 45 秒です。 タイムアウトを短い期間に設定すると、IKE によるキー更新がより積極的になり、場合によっては接続が切断されているように見えます。 これは、オンプレミスの場所が VPN ゲートウェイが存在する Azure リージョンから離れている場合や、物理的なリンク条件によってパケット損失が発生する可能性がある場合には望ましくないことがあります。 一般的な推奨事項は、30 から 45 秒間のタイムアウトを設定することです。

詳細については、複数のオンプレミスのポリシーベース VPN デバイスへの接続に関する記事を参照してください。

どの Diffie-Hellman グループがサポートされていますか。

以下の表は、カスタム ポリシーでサポートされている、対応する Diffie-Hellman グループを示したものです。

Diffie-Hellman グループ DHGroup PFSGroup キーの長さ
1 DHGroup1 PFS1 768 ビット MODP
2 DHGroup2 PFS2 1024 ビット MODP
14 DHGroup14
DHGroup2048		 PFS2048 2048 ビット MODP
19 ECP256 ECP256 256 ビット ECP
20 ECP384 ECP384 384 ビット ECP
24 DHGroup24 PFS24 2048 ビット MODP

詳細については、RFC3526RFC5114 を参照してください。

Azure VPN Gateway に対する既定の IPsec/IKE ポリシー セットは、カスタム ポリシーによって置き換えられるのでしょうか。

はい。特定の接続に対してカスタム ポリシーが指定されると、Azure VPN Gateway は、IKE イニシエーターと IKE レスポンダーのどちらとして機能する場合も、その接続に対してそのポリシーのみを使用するようになります。

カスタム IPsec/IKE ポリシーを削除した場合、接続は保護されなくなるのですか。

いいえ。接続は引き続き IPsec/IKE によって保護されます。 接続からカスタム ポリシーが削除されると、Azure VPN Gateway は、既定の IPsec/IKE 候補リストに復帰し、オンプレミス VPN デバイスとの間で再度 IKE ハンドシェイクを開始します。

IPsec/IKE ポリシーを追加または更新した場合、VPN 接続は中断されますか。

はい。短時間 (数秒) の中断が生じる可能性があります。Azure VPN Gateway は、既存の接続を破棄します。そのうえで、IKE ハンドシェイクを再開し、新しい暗号アルゴリズムとパラメーターで IPsec トンネルを再度確立します。 中断を最小限に抑えるために、対応するアルゴリズムおよびキーの強度を使ってオンプレミス VPN デバイスが構成されていることを確認してください。

接続ごとに異なるポリシーを使用することはできますか。

はい。 カスタム ポリシーは接続ごとに適用されます。 接続ごとに異なる IPsec/IKE ポリシーを作成して適用することができます。 また、接続の一部に対してカスタム ポリシーを適用することもできます。 それ以外の部分では、Azure の既定の IPsec/IKE ポリシー セットが使用されます。

カスタム ポリシーは VNet 間接続にも使用できますか。

はい。カスタム ポリシーは、IPsec クロスプレミス接続と VNet 間接続のどちらにでも適用できます。

VNet 間接続の両方のリソースに同じポリシーを指定する必要はありますか。

はい。 VNet 間トンネルは、Azure 内の 2 つの接続リソースで構成されます (1 方向につき 1 つ)。 両方の接続リソースに同じポリシーを適用する必要があります。それ以外の場合、VNet 間接続は確立されません。

DPD タイムアウトの既定値は何ですか。 別の DPD タイムアウトを指定できますか。

既定の DPD タイムアウトは 45 秒です。 各 IPsec または VNet 間接続に対して、9 秒から 3600 秒の異なる DPD タイムアウト値を指定できます。

注意

Azure VPN ゲートウェイでは、既定値は 45 秒です。 タイムアウトを短い期間に設定すると、IKE によるキー更新がより積極的になり、場合によっては接続が切断されているように見えます。 これは、オンプレミスの場所が VPN ゲートウェイが存在する Azure リージョンから離れている場合や、物理的なリンク条件によってパケット損失が発生する可能性がある場合には望ましくないことがあります。 一般的な推奨事項は、30 から 45 秒間のタイムアウトを設定することです。

ExpressRoute 接続でカスタム IPsec/IKE ポリシーは機能しますか。

いいえ。 IPsec/IKE ポリシーは、Azure VPN Gateway を介した VNet 間接続と S2S VPN 接続でのみ機能します。

プロトコルの種類 IKEv1 または IKEv2 で接続を作成するにはどうすればよいですか。

IKEv1 接続は、Basic SKU、Standard SKU、およびその他のレガシ SKU を除く、VPN の種類が RouteBased のすべての SKU で作成できます。 接続の作成時に、接続プロトコルの種類として IKEv1 または IKEv2 を指定できます。 接続プロトコルの種類を指定しない場合は、IKEv2 が既定のオプションとして使用されます (該当する場合)。 詳細については、PowerShell コマンドレットのドキュメントを参照してください。 SKU の種類と IKEv1 または IKEv2 のサポートについては、ポリシーベースの VPN デバイスへのゲートウェイの接続に関するページを参照してください。

IKEv1 と IKEv2 の接続間での転送は許可されていますか。

はい。 IKEv1 と IKEv2 の接続間での転送はサポートされています。

VPN の種類が RouteBased の Basic SKU で IKEv1 のサイト間接続を利用できますか。

いいえ。 Basic SKU で、これはサポートされません。

接続の作成後に接続プロトコルの種類を変更できますか (IKEv1 から IKEv2 またはその逆)。

いいえ。 接続が作成されたら、IKEv1 または IKEv2 プロトコルを変更することはできません。 削除し、必要なプロトコルの種類を使用して新しい接続を作成し直す必要があります。

IKEv1 接続が頻繁に再接続される理由

静的ルーティングまたはルート ベースの IKEv1 接続が一定間隔で切断される場合、VPN Gateway がインプレース キー更新をサポートしていないことが原因の可能性があります。 メイン モードがキー更新されると、IKEv1 トンネルが切断され、再接続に最大 5 秒かかります。 メイン モードのネゴシエーション タイムアウト値によって、キー更新の頻度が決まります。 この再接続を防ぐには、インプレース キー更新をサポートする IKEv2 の使用に切り替えます。

接続がランダムに再接続される場合は、トラブルシューティング ガイドに従ってください。

構成についての情報や手順はどこで入手できますか。

詳細や構成手順については、次の記事を参照してください。

BGP とルーティング

BGP はすべての Azure VPN Gateway SKU でサポートされていますか。

BGP は、Basic SKU を除くすべての Azure VPN Gateway SKU でサポートされています。

Azure Policy の VPN Gateway では BGP を使用できますか。

いいえ、BGP は、ルートベースの VPN Gateway でのみサポートされています。

どの AS 番号 (自律システム番号) を使用できますか。

オンプレミスのネットワークと Azure 仮想ネットワークの両方に対して独自のパブリック AS 番号またはプライベート AS 番号を使用できます。 Azure または IANA によって予約されている範囲を使用することはできません。

次の ASN は、Azure または IANA によって予約されています。

  • Azure によって予約済みの ASN:

    • パブリック ASN: 8074、8075、12076
    • プライベート ASN: 65515、65517、65518、65519、65520

  • IANA によって予約済みの ASN:

    • 23456、64496 ~ 64511、65535 ~ 65551、および 429496729

これらの ASN は、Azure VPN Gateway に接続する際にオンプレミスの VPN デバイスには指定できません。

32 ビット (4 バイト) の AS 番号を使用できますか。

はい、VPN Gateway では 32 ビット (4 バイト) の AS 番号がサポートされるようになりました。 10 進数形式の AS 番号を使用してを構成するには、PowerShell、Azure CLI、または Azure SDK を使用します。

どのプライベート AS 番号を使用できますか。

プライベート AS 番号の有効な範囲は次のとおりです。

  • 64512 ~ 65514 および 65521 ~ 65534

これらの AS 番号は、IANA または Azure で使用するために予約されていないため、Azure VPN Gateway に割り当てるために使用できます。

VPN Gateway では、BGP ピア IP にどのようなアドレスが使用されますか。

VPN Gateway は、既定では GatewaySubnet 範囲から 1 つの IP アドレスをアクティブ/スタンバイ VPN Gateway に割り当てるか、2 つの IP アドレスをアクティブ/アクティブ VPN Gateway に割り当てます。 これらのアドレスは、VPN Gateway の作成時に自動的に割り当てられます。 PowerShell を使用するか、Azure portal で特定することによって、実際に割り当てられた BGP IP アドレスを取得できます。 PowerShell で Get-AzVirtualNetworkGateway を使用し、bgpPeeringAddress プロパティを探します。 Azure portal の [ゲートウェイの構成] ページで、 [BGP AS 番号の構成] プロパティを確認します。

オンプレミスの VPN ルーターが BGP IP アドレスとして APIPA IP アドレス (169.254.x.x) を使用している場合は、Azure VPN Gateway で、1 つ以上の Azure APIPA BGP IP アドレスを指定する必要があります。 Azure VPN Gateway では、ローカル ネットワーク ゲートウェイに指定されているオンプレミスの APIPA BGP ピアで使用する APIPA アドレス、または非 APIPA のオンプレミス BGP ピア用のプライベート IP アドレスが選択されます。 詳細については、「BGP を構成する」を参照してください。

VPN デバイスの BGP ピア IP アドレスに関する要件はどんなものですか。

オンプレミスの BGP ピア アドレスを、ご使用の VPN デバイスまたは VPN Gateway の VNet アドレス空間のパブリック IP アドレスと同じにすることはできません。 VPN デバイスでは BGP ピア IP に別の IP アドレスを使用してください。 デバイス上のループバック インターフェイスに割り当てられたアドレス (通常の IP アドレスまたは APIPA アドレス) を使用することができます。 デバイスで BGP に APIPA アドレスを使用する場合は、「BGP を構成する」の説明に従って、Azure VPN Gateway で 1 つ以上の APIPA BGP IP アドレスを指定する必要があります。 この場所を表している、対応するローカル ネットワーク ゲートウェイにこれらのアドレスを指定します。

BGP を使用する際、ローカル ネットワーク ゲートウェイのアドレス プレフィックスとして何を指定する必要がありますか。

重要

これは、以前に記載された要件からの変更です。 接続に BGP を使用する場合は、対応するローカル ネットワーク ゲートウェイ リソースの [アドレス空間] フィールドを空のままにしておきます。 Azure VPN Gateway では、IPsec トンネルを介したオンプレミスの BGP ピア IP へのホスト ルートが内部的に追加されます。 [アドレス空間] フィールドに /32 ルートを追加しないでください。 これは冗長であり、APIPA アドレスをオンプレミスの VPN デバイスの BGP IP として使用する場合、このフィールドに追加することはできません。 [アドレス空間] フィールドにその他のプレフィックスを追加すると、BGP 経由で学習したルートに加えて、Azure VPN Gateway で静的ルートとして追加されます。

オンプレミスの VPN ネットワークと Azure 仮想ネットワークの両方に同じ AS 番号を使用できますか。

いいえ、BGP を使用して接続している場合は、オンプレミスのネットワークと Azure 仮想ネットワークに異なる AS 番号を割り当てる必要があります。 Azure VPN Gateway には、クロスプレミス接続向けに BGP が有効になっているかどうかにかかわらず、AS 番号の既定値として 65515 が割り当てられています。 VPN Gateway を作成する際に異なる AS 番号を割り当てて既定値をオーバーライドするか、ゲートウェイの作成後に AS 番号を変更することができます。 対応する Azure ローカル ネットワーク ゲートウェイにオンプレミスの AS 番号を割り当てる必要があります。

Azure VPN Gateway はどのようなアドレス プレフィックスをアドバタイズしますか。

ゲートウェイでは、オンプレミスの BGP デバイスに次のルートをアドバタイズします。

  • 仮想ネットワークのアドレス プレフィックス。
  • Azure VPN Gateway に接続されている各ローカル ネットワーク ゲートウェイのアドレス プレフィックス。
  • Azure VPN Gateway に接続されている他の BGP ピアリング セッションから学習したルート。ただし、既定のルートまたは仮想ネットワーク プレフィックスと重複しているルートは除外されます。

何個のプレフィックスを Azure VPN Gateway にアドバタイズできますか。

Azure VPN Gateway では最大 4,000 個のプレフィックスがサポートされます。 プレフィックスの数がこの制限を超えると、BGP セッションは切断されます。

Azure VPN Gateway への既定のルート (0.0.0.0/0) をアドバタイズすることはできますか。

はい。 これにより、すべての仮想ネットワークのエグレス トラフィックがオンプレミス サイトに強制的に送信されることに注意してください。 また、仮想ネットワーク VM が、インターネットからのパブリック通信 (RDP や SSH など) をインターネットから VM に直接受け入れなくなります。

自分の仮想ネットワーク プレフィックスとまったく同じプレフィックスをアドバタイズすることはできますか。

いいえ、お使いの仮想ネットワーク アドレス プレフィックスのいずれかと同じプレフィックスのアドバタイズは、Azure によってブロックされるか、フィルター処理されます。 ただし、仮想ネットワークの内部に存在するアドレス空間のスーパーセットであるプレフィックスをアドバタイズすることができます。

たとえば、仮想ネットワークでアドレス空間 10.0.0.0/16 を使用した場合、10.0.0.0/8 をアドバタイズすることができます。 しかし、10.0.0.0/16 や 10.0.0.0/24 をアドバタイズすることはできません。

仮想ネットワーク間の接続に BGP を使用できますか。

はい、クロスプレミス接続と仮想ネットワーク間接続の両方で BGP を使用できます。

Azure VPN Gateway で BGP 接続を BGP 以外の接続と混在させることはできますか。

はい、同じ Azure VPN Gateway に対して BGP 接続と非 BGP 接続の両方を混在させることができます。

Azure VPN Gateway では、BGP トランジット ルーティングをサポートしていますか。

はい。BGP トランジット ルーティングはサポートされています。ただし、Azure VPN Gateway は既定のルートを他の BGP ピアにアドバタイズしません。 複数の Azure VPN Gateway でトランジット ルーティングを有効にするには、仮想ネットワーク間のすべての中間接続で BGP を有効にする必要があります。 詳細については、BGP に関する記事を参照してください。

Azure VPN Gateway とオンプレミス ネットワークの間で複数のトンネルを確立することはできますか。

はい、Azure VPN Gateway とオンプレミス ネットワークの間に複数のサイト間 (S2S) VPN トンネルを確立することができます。 これらのトンネルはすべて Azure VPN Gateway のトンネルの合計数にカウントされる点に注意してください。さらに、両方のトンネルの BGP を有効にする必要があります。

たとえば、Azure VPN Gateway とオンプレミス ネットワークのいずれかの間に 2 つの冗長トンネルがある場合は、Azure VPN Gateway の合計クォータから 2 つのトンネルが消費されることになります。

BGP で 2 つの Azure 仮想ネットワークの間に複数のトンネルを確立することはできますか。

はい。ただし、少なくとも 1 つの仮想ネットワーク ゲートウェイが、アクティブ/アクティブ構成になっている必要があります。

Azure ExpressRoute とサイト間 VPN の共存構成でサイト間 VPN に BGP を使用することはできますか。

はい。

BGP ピアリング セッション向けにオンプレミスの VPN デバイスに何を追加する必要がありますか。

VPN デバイスに Azure BGP ピア IP アドレスのホスト ルートを追加します。 このルートは、IPsec サイト間 VPN トンネルを指しています。 たとえば、Azure VPN ピア IP が 10.12.255.30 の場合は、10.12.255.30 のホスト ルートを VPN デバイスに追加し、対応する IPsec トンネル インターフェイスの次ホップ インターフェイスを指定する必要があります。

仮想ネットワーク ゲートウェイは、BGP を使用したサイト間接続用の BFD をサポートしていますか。

いいえ。 双方向転送検出 (BFD) は、標準の BGP "keepalive" を使用するよりも、近隣のダウンタイムを迅速に検出するために BGP で使用できるプロトコルです。BFD では、LAN 環境で動作するように設計された秒未満タイマーが使用されますが、パブリック インターネットやワイド エリア ネットワーク接続向けであはりません。

パブリック インターネット経由の接続では、特定のパケットが遅延したりドロップされたりすることは珍しくありません。そのため、これらの積極的なタイマーの導入は不安定さを増長する可能性があります。 この不安定さによって、ルートが BGP によって抑制される可能性があります。 別の方法として、既定の 60 秒の "keepalive" 間隔と 180 秒のホールド タイマーより低いタイマーを使用してオンプレミスのデバイスを構成することができます。 その結果、収束時間が短縮されます。 ただし、既定の 60 秒間の "キープアライブ" 間隔より短いタイマー、または既定の 180 秒間のホールド タイマーより短いタイマーは信頼することができません。 タイマーは既定値以上にしておくことをお勧めします。

Azure VPN Gateway は、BGP ピアリング セッションまたは接続を開始しますか。

ゲートウェイは、VPN ゲートウェイのプライベート IP アドレスを使用して、ローカル ネットワーク ゲートウェイ リソースに指定されたオンプレミス BGP ピア IP アドレスに対する BGP ピアリング セッションを開始します。 オンプレミス BGP IP アドレスが APIPA 範囲内にあるか、通常のプライベート IP アドレスであるかは関係ありません。 オンプレミス VPN デバイスに BGP IP として APIPA アドレスが使用されている場合、接続を開始するための構成を BGP スピーカーに対して行う必要があります。

強制トンネリングを構成できますか。

はい。 強制トンネリングについてを参照してください。

NAT

NAT はすべての Azure VPN Gateway SKU でサポートされていますか?

NAT は、VpnGw2 から VpnGw5 および VpnGw2AZ から VpnGw5AZ でサポートされます。

VNet 間接続や P2S 接続で NAT は使用できますか。

いいえ。

VPN Gateway で使用できる NAT 規則はいくつですか。

VPN Gateway には、最大 100 個の NAT 規則 (イングレス規則とエグレス規則の合計) を作成できます。

NAT ルール名に / を使用できますか?

いいえ。 エラーが表示されます。

NAT は、VPN Gateway のすべての接続に適用されるのですか。

NAT は、NAT 規則が設定されている接続に適用されます。 接続に NAT 規則が設定されていない場合、その接続では NAT は無効となります。 同じ VPN Gateway に、NAT のある接続と NAT のない接続を混在させることができます。

Azure VPN Gateway では、どのような種類の NAT がサポートされていますか。

サポートされるのは 1:1 の静的 NAT と動的 NAT のみです。 NAT64 はサポートされていません。

アクティブ/アクティブの VPN Gateway で NAT は機能しますか。

はい。 NAT は、アクティブ/アクティブとアクティブ/スタンバイの両方の VPN Gateway で機能します。 各 NAT 規則は、VPN ゲートウェイの 1 つのインスタンスに適用されます。 アクティブ/アクティブ ゲートウェイで、[IP 構成 ID] フィールドを使用して、ゲートウェイ インスタンスごとに個別の NAT 規則を作成します。

NAT は BGP 接続で機能しますか。

はい。NAT で BGP を使用できます。 重要な考慮事項をいくつか以下に示します。

  • 学習済みのルートとアドバタイズされたルートが、接続に関連付けられている NAT 規則に基づいて NAT 後のアドレス プレフィックス (外部マッピング) に確実に変換されるよう、NAT 規則の構成ページで [BGP ルートの変換を有効にする] を選択します。 オンプレミスの BGP ルーターから、IngressSNAT 規則に定義されているとおりにプレフィックスがアドバタイズされるようにする必要があります。

  • オンプレミスの VPN ルーターが通常の非 APIPA アドレスを使用し、仮想ネットワーク アドレス空間またはその他のオンプレミス ネットワーク空間と競合する場合は、IngressSNAT 規則によって BGP ピア IP が一意の重複しないアドレスに変換され、NAT 後のアドレスがローカル ネットワーク ゲートウェイの BGP ピア IP アドレス フィールドに配置されるようにします。

  • NAT は BGP APIPA アドレスではサポートされていません。

SNAT 規則に対応する DNAT 規則を作成する必要はありますか。

いいえ。 1 つの SNAT 規則で、特定のネットワークの両方向の変換が定義されます。

  • IngressSNAT 規則では、オンプレミス ネットワークから Azure VPN Gateway に入ってくる送信元 IP アドレスの変換が定義されます。 また、仮想ネットワークから同じオンプレミス ネットワークへの移行先 IP アドレスの変換も処理します。

  • EgressSNAT ルールは、Azure VPN ゲートウェイからオンプレミス ネットワークへの仮想ネットワーク ソース IP アドレスの変換を定義します。 また、EgressSNAT 規則との接続を介して仮想ネットワークに送信されるパケットの宛先 IP アドレスの変換も処理します。

  • どちらの場合も、DNAT 規則は必要ありません

VNet またはローカル ネットワーク ゲートウェイのアドレス空間に複数のプレフィックスがある場合は、どうすればよいでしょうか。 それらすべてに NAT を適用できますか? それとも、サブセットだけでしょうか。

NAT に必要なプレフィックスごとに NAT 規則を 1 つ作成する必要があります。各 NAT 規則に含めることができる NAT のアドレス プレフィックスは 1 つだけです。 たとえば、ローカル ネットワーク ゲートウェイのアドレス空間が 10.0.1.0/24 と 10.0.2.0/25 から成る場合、次のように 2 つの規則を作成できます。

  • IngressSNAT 規則 1: 10.0.1.0/24 を 100.0.1.0/24 にマップ
  • IngressSNAT 規則 2: 10.0.2.0/25 を 100.0.2.0/25 にマップ

2 つの規則で、対応するアドレス プレフィックスのプレフィックス長が一致している必要があります。 仮想ネットワーク アドレス空間の EgressSNAT 規則にも同じことが当てはまります。

重要

上記の接続に 1 つしか規則をリンクさせなかった場合、もう一方のアドレス空間は変換されません

外部マッピングに使用できる IP の範囲は何ですか。

外部マッピングには、パブリック IP とプライベート IP を含む、任意の適切な IP 範囲を使用できます。

複数の EgressSNAT 規則を使用して、VNet アドレス空間を異なるオンプレミス ネットワークの異なるプレフィックスに変換することはできますか。

はい。同じ VNet アドレス空間に複数の EgressSNAT 規則を作成し、その EgressSNAT 規則を異なる接続に適用することができます。

同じ IngressSNAT 規則を異なる接続に使用できますか。

はい。冗長性を確保するために同じオンプレミス ネットワークに対する接続が複数ある場合に一般的に使用されています。 複数の接続が別々のオンプレミス ネットワーク用である場合は、同じイングレス規則を使用することはできません。

NAT 接続にはイングレスとエグレスの両方の規則が必要なのですか。

オンプレミスのネットワーク アドレス空間が仮想ネットワーク アドレス空間と重複する場合は、同じ接続にイングレスルールとエグレス ルールの両方が必要です。 接続されているすべてのネットワークで仮想ネットワーク アドレス空間が一意である場合、それらの接続に EgressSNAT ルールは必要ありません。 イングレス規則を使用すると、オンプレミス ネットワーク間でのアドレスの重複を回避できます。

"IP 構成 ID" として何を選択しますか?

"IP 構成 ID" は、NAT 規則で使用する IP 構成オブジェクトの名前にすぎません。 この設定では、NAT 規則に適用するゲートウェイ パブリック IP アドレスを選択するだけです。 ゲートウェイ作成時にカスタム名を指定していない場合、ゲートウェイのプライマリ IP アドレスは "既定" の IPconfiguration に割り当てられ、セカンダリ IP は "activeActive" IPconfiguration に割り当てられます。

クロスプレミス接続と VM

仮想ネットワーク内に仮想マシンが存在し、クロスプレミス接続が使用できる場合、その VM にはどのように接続できますか。

いくつかの方法を使用できます。 ご利用の VM で RDP を有効にしている場合、プライベート IP アドレスを使って自分の仮想マシンに接続することができます。 この場合、接続先のプライベート IP アドレスとポート (通常 3389) を指定します。 このため、このトラフィックで使用するポートを仮想マシンで構成する必要があります。

また、同一仮想ネットワークに存在する別の仮想マシンからプライベート IP アドレスで仮想マシンに接続することもできます。 仮想ネットワークの外部から接続している場合は、プライベート IP アドレスを使用して仮想マシンに RDP 接続することはできません。 たとえば、ポイント対サイト仮想ネットワークが構成済みで、使用中のコンピューターからの接続が確立されていない場合は、プライベート IP アドレスを使用して仮想マシンに接続することはできません。

クロスプレミス接続が確立されている仮想ネットワーク内に仮想マシンが存在する場合、VM からのトラフィックはすべてその接続を経由しますか。

いいえ。 仮想ネットワーク ゲートウェイを経由して送信されるのは、仮想ネットワークのローカル ネットワークの IP アドレス範囲内に存在する送信先 IP が指定されているトラフィックのみです。 送信先 IP が同一仮想ネットワーク内に存在する場合は、その仮想ネットワーク内のみで通信が行われます。 それ以外のトラフィックは、ロード バランサーを経由してパブリック ネットワークに送信されます。ただし、強制トンネリングを使用する場合は Azure VPN Gatewayを経由して送信されます。

VM に対する RDP 接続をトラブルシューティングする方法

VPN 接続を使って仮想マシンに接続する際に問題が発生した場合には、次の項目を確認してください。

  • VPN 接続が成功したことを確認します。
  • VM のプライベート IP アドレスに接続していることを確認します。
  • プライベート IP アドレスを使って VM に接続できるものの、コンピューター名では接続できない場合には、DNS が正しく構成されているかどうかを確認します。 VM の名前解決の動作について詳しくは、VM の名前解決に関するページを参照してください。

ポイント対サイトで接続している場合は、さらに次の事柄を確認してください。

  • 接続元のコンピューターのイーサネット アダプターに割り当てられている IPv4 アドレスを 'ipconfig' を使用して確認します。 その IP アドレスが、接続先の仮想ネットワークのアドレス範囲内または VPNClientAddressPool のアドレス範囲内にある場合、これを "アドレス空間の重複" といいます。 アドレス空間がこのように重複していると、ネットワーク トラフィックが Azure に到達せずローカル ネットワーク上に留まることになります。
  • 仮想ネットワークに対して DNS サーバーの IP アドレスが指定された後に VPN クライアント構成パッケージが生成されたことを確認します。 DNS サーバーの IP アドレスを更新した場合は、新しい VPN クライアント構成パッケージを生成してインストールしてください。

RDP 接続のトラブルシューティングの詳細については、VM に対するリモート デスクトップ接続のトラブルシューティングに関するページを参照してください。

顧客が管理するゲートウェイのメンテナンス

ネットワーク ゲートウェイのメンテナンス構成スコープ内に含まれるサービスはどれですか?

ネットワーク ゲートウェイ スコープには、ネットワーク サービス内のゲートウェイ リソースが含まれます。 ネットワーク ゲートウェイ スコープ内には 4 種類のリソースがあります。

  • ExpressRoute サービス内の仮想ネットワーク ゲートウェイ。
  • VPN Gateway サービス内の仮想ネットワーク ゲートウェイ。
  • Virtual WAN サービス内の VPN ゲートウェイ (サイト間)。
  • Virtual WAN サービス内の ExpressRoute ゲートウェイ。

顧客が管理するメンテナンスでサポートされている、またはサポートされていないメンテナンスはどれですか?

Azure サービスでは、機能、信頼性、パフォーマンス、セキュリティを向上させるために、定期的なメンテナンス更新が行われます。 ご利用のリソースにメンテナンス期間を構成すると、その期間中にゲスト OS とサービスのメンテナンスが実行されます。 ホスト更新プログラム (TOR、電源など) や重要なセキュリティ更新プログラム以外のホスト更新プログラムは、顧客が管理するメンテナンスの対象ではありません。

メンテナンスの事前通知を受け取ることはできますか?

現時点では、ネットワーク ゲートウェイ リソースのメンテナンスに対して、事前通知を有効にすることはできません。

メンテナンス期間を 5 時間未満で構成することはできますか?

現時点では、優先タイム ゾーン内で最低 5 時間の時間枠を構成する必要があります。

日単位のスケジュール以外でメンテナンス期間を構成することはできますか?

現時点では、日単位のメンテナンス期間を構成する必要があります。

特定の更新プログラムを制御することができない場合はありますか?

顧客が管理するメンテナンスでは、ゲスト OS とサービスの更新がサポートされます。 これらの更新プログラムは、顧客が懸念を抱くほとんどのメンテナンス項目を考慮しています。 ホストの更新プログラムなど、他の種類の更新プログラムは、顧客が管理するメンテナンスのスコープ外です。

さらに、顧客を危険にさらす恐れがある、重要度レベルの高いセキュリティの問題がある場合は、Azure でメンテナンス期間の顧客による管理をオーバーライドし、変更をプッシュすることが必要になる場合があります。 これらはまれな状況であり、極端なケースでのみ使用されます。

メンテナンス構成リソースは、ゲートウェイ リソースと同じリージョン内に存在する必要がありますか?

はい

顧客が管理するメンテナンスを使用するように構成できるゲートウェイ SKU はどれですか?

すべてのゲートウェイ SKU (VPN Gateway の Basic SKU を除く) は、顧客が管理するメンテナンスを使用するように構成することができます。

メンテナンス構成ポリシーがゲートウェイ リソースに割り当てられた後、そのメンテナンス構成ポリシーが有効になるまでにどれくらいの時間がかかりますか?

メンテナンス ポリシーがゲートウェイ リソースに関連付けられた後、ネットワーク ゲートウェイがそのメンテナンス スケジュールに従うのに、最大で 24 時間かかる場合があります。

Basic SKU のパブリック IP アドレスに基づいた、顧客が管理するメンテナンスの使用に制限はありますか?

正解です。 Basic SKU のパブリック IP アドレスを使用するゲートウェイ リソースは、顧客が管理するメンテナンス スケジュールに従ってサービスを更新することしかできません。 これらのゲートウェイの場合、インフラストラクチャの制限により、ゲスト OS のメンテナンスは顧客が管理するメンテナンス スケジュールに従いません。

VPN と ExpressRoute を共存シナリオで使用する場合、メンテナンス期間を計画するにはどうすればよいですか?

VPN と ExpressRoute を共存シナリオで使用する場合、またはバックアップとして機能するリソースがある場合は常に、個別のメンテナンス期間を設定することをお勧めします。 このアプローチにより、メンテナンスがご利用のバックアップ リソースへ同時に影響を与えないことが保証されます。

複数あるリソースの 1 つに対して、将来日付のメンテナンス期間をスケジュールしました。 それまで、このリソース上のメンテナンス アクティビティは一時停止されますか?

いいえ。スケジュールされたメンテナンス期間の前の期間中、ご利用のリソース上のメンテナンス アクティビティは一時停止されません。 ご利用のメンテナンス スケジュール内に含まれていない日々には、そのリソースに対して通常どおりメンテナンスが続行されます。

顧客が管理するゲートウェイ メンテナンスの詳細を確認するにはどうすればよいですか?

詳細については、VPN Gateway で顧客が管理するゲートウェイ メンテナンスに関する記事を参照してください。

次のステップ

"OpenVPN" は OpenVPN Inc. の商標です。