Azure VPN Gateway を設計して実装する
仮想プライベート ネットワーク (VPN) は、セキュリティで保護された、暗号化された接続を別のネットワーク経由で提供します。 VPN は通常、信頼された 2 つ以上のプライベート ネットワークを、インターネットなどの信頼されていないネットワークを介して相互に接続するためにデプロイされます。 第三者によるネットワーク通信の盗聴を防ぐために、トラフィックは、信頼されていないネットワークを移動している間は暗号化されます。
オンプレミス ネットワークを Azure 仮想ネットワークに接続するための 1 つのオプションは、VPN 接続です。
ここでは、Azure 仮想ネットワークへの着信接続のためのエンドポイントを提供する Azure VPN Gateway について説明します。
Azure VPN ゲートウェイ
Azure VPN ゲートウェイは、Azure 仮想ネットワークとオンプレミスの場所との間でパブリック インターネットを介して、暗号化されたトラフィックの送受信に使用される特定の種類の仮想ネットワーク ゲートウェイです。 Azure VPN ゲートウェイを使用すると、暗号化されたトンネルを使用して、Microsoft ネットワーク バックボーンを介して個別の Azure 仮想ネットワークを接続できます。
Note
仮想ネットワーク ゲートウェイは、ゲートウェイ サブネットと呼ばれる特定のサブネットにデプロイされた、2 台以上の特殊な VM で構成されます。 仮想ネットワーク ゲートウェイ VM はルーティング テーブルをホストし、特定のゲートウェイ サービスを実行します。 ゲートウェイを構成するこれらの VM は、仮想ネットワーク ゲートウェイの作成時に作成され、Azure によって自動的に管理されるため、管理上の注意は必要ありません。
仮想ネットワーク ゲートウェイの作成は完了までに時間がかかる場合があるため、適切な計画を立てることが不可欠です。 仮想ネットワーク ゲートウェイを作成するときは、プロビジョニング プロセスでゲートウェイの VM を生成し、それをゲートウェイ サブネットにデプロイします。 これらの VM では、ゲートウェイで構成した設定が使用されます。
それでは、VPN ゲートウェイのデプロイを計画するために考慮する必要がある要素を見てみましょう。
VPN ゲートウェイの計画
VPN ゲートウェイを計画するときは、3 つのアーキテクチャを考慮する必要があります。
- インターネット経由でのポイント対サイト
- インターネット経由でのサイト間
- 専用ネットワーク経由でのサイト間 (Azure ExpressRoute など)
計画における要素
計画プロセスの間で検討する必要がある要素には、以下が含まれます。
- スループット - Mbps または Gbps
- バックボーン - インターネットかプライベートか
- パブリック (静的) IP アドレスの可用性
- VPN デバイスの互換性
- 複数のクライアント接続か、またはサイト間のリンクか
- VPN ゲートウェイの種類
- Azure VPN Gateway の SKU
適切なゲートウェイの SKU と世代を選択する
仮想ネットワーク ゲートウェイを作成する場合、使用するゲートウェイの SKU を指定する必要があります。 ワークロード、スループット、機能、および SLA の種類に基づいて、要件を満たす SKU を選択します。 次の表は、使用可能な SKU と、それらがサポートする S2S および P2S 構成を示しています。
| VPN Gateway の生成 | SKU | S2S/VNet 間トンネル | P2S SSTP 接続 | P2S IKEv2/OpenVPN 接続 | 合計スループット ベンチマーク | BGP | ゾーン冗長 |
|---|---|---|---|---|---|---|---|
| Generation1 | Basic | 最大 10 | 最大 128 | サポートされていません | 100 Mbps | サポートされていません | いいえ |
| Generation1 | VpnGw1 | 最大 30* | 最大 128 | 最大 250 | 650 Mbps | サポートされています | いいえ |
| Generation1 | VpnGw2 | 最大 30* | 最大 128 | 最大 500 | 1 Gbps | サポートされています | いいえ |
| Generation1 | VpnGw3 | 最大 30* | 最大 128 | 最大 1000 | 1.25 Gbps | サポートされています | いいえ |
| Generation1 | VpnGw1AZ | 最大 30* | 最大 128 | 最大 250 | 650 Mbps | サポートされています | はい |
| Generation1 | VpnGw2AZ | 最大 30* | 最大 128 | 最大 500 | 1 Gbps | サポートされています | はい |
| Generation1 | VpnGw3AZ | 最大 30* | 最大 128 | 最大 1000 | 1.25 Gbps | サポートされています | はい |
| Generation2 | VpnGw2 | 最大 30* | 最大 128 | 最大 500 | 1.25 Gbps | サポートされています | いいえ |
| Generation2 | VpnGw3 | 最大 30* | 最大 128 | 最大 1000 | 2.5 Gbps | サポートされています | いいえ |
| Generation2 | VpnGw4 | 最大 30* | 最大 128 | 最大 5000 | 5 Gbps | サポートされています | いいえ |
| Generation2 | VpnGw5 | 最大 30* | 最大 128 | 最大 10000 | 10 Gbps | サポートされています | いいえ |
| Generation2 | VpnGw2AZ | 最大 30* | 最大 128 | 最大 500 | 1.25 Gbps | サポートされています | はい |
| Generation2 | VpnGw3AZ | 最大 30* | 最大 128 | 最大 1000 | 2.5 Gbps | サポートされています | はい |
| Generation2 | VpnGw4AZ | 最大 100* | 最大 128 | 最大 5000 | 5 Gbps | サポートされています | はい |
| Generation2 | VpnGw5AZ | 最大 100* | 最大 128 | 最大 10000 | 10 Gbps | サポートされています | はい |
(*) 30 個を超える S2S VPN トンネルが必要な場合は、Virtual WAN を使用してください。
- VpnGw SKU のサイズ変更は、Basic SKU のサイズ変更を除き、同じ世代内で許可されます。 Basic SKU はレガシ SKU であり、機能に制限があります。 Basic から別の VpnGw SKU に移行するには、Basic SKU VPN ゲートウェイを削除し、必要な世代と SKU サイズの組み合わせを使用して新しいゲートウェイを作成する必要があります。
- これらの接続の制限は別々になっています。 たとえば、VpnGw1 SKU では 128 の SSTP 接続および 250 の IKEv2 接続を利用できます。
- 1 つのトンネルで最大 1 Gbps のスループットを実現できます。 上の表に示した合計スループット ベンチマークは、1 つのゲートウェイから集計された複数のトンネルの測定値に基づいています。 VPN ゲートウェイの合計スループット ベンチマークは、S2S と P2S を組み合わせたものです。 多数のポイント対サイト接続がある場合、スループットの制限が原因でサイト間接続に悪影響が及ぶ可能性があります。 合計スループット ベンチマークは、インターネット トラフィックの状況とアプリケーションの動作に依存するため、保証されたスループットではありません。
VPN Gateway の種類
VPN Gateway 構成に対して仮想ネットワーク ゲートウェイを作成する場合は、VPN の種類を指定する必要があります。 選択する VPN の種類は、作成する接続トポロジによって異なります。 たとえば、P2S 接続の場合、VPN の種類は RouteBased である必要があります。 VPN の種類は、使用しているハードウェアによっても異なる場合があります。 S2S 構成では、VPN デバイスが必要です。 一部の VPN デバイスでは、特定の VPN の種類のみがサポートされます。
選択した VPN の種類は、作成するソリューションのすべての接続要件を満たす必要があります。 たとえば、同じ仮想ネットワークに対して、S2S VPN ゲートウェイ接続と P2S VPN ゲートウェイ接続を作成する必要がある場合は、VPN の種類として RouteBased を使用します。P2S では、VPN の種類が RouteBased である必要があるためです。 VPN デバイスで RouteBased VPN 接続がサポートされていることも、確認する必要があります。
一度作成された仮想ネットワーク ゲートウェイの VPN の種類を変更することはできません。 仮想ネットワーク ゲートウェイを削除し、新しいものを作成する必要があります。 次の 2 つの種類の VPN があります。
PolicyBased
PolicyBased VPN は、以前は (クラシック デプロイ モデルでは) 静的ルーティング ゲートウェイと呼ばれていました。 PolicyBased VPN では、パケットを暗号化し、オンプレミス ネットワークと Azure VNet の間でアドレスのプレフィックスの組み合わせで構成された IPsec ポリシーに基づいて、IPsec トンネル経由でそのパケットを送信します。 ポリシー (またはトラフィック セレクター) は、通常、VPN デバイスの構成でアクセス リストとして定義されます。 PolicyBased VPN の種類の値は PolicyBasedです。 PolicyBased VPN を使用する場合は、次の制限事項に留意してください。
IKEv1 プロトコルをサポートするポリシー ベースの VPN は、Basic Gateway SKU でのみ使用できます。
PolicyBased VPN を使用する場合、設定できるトンネルは 1 つ だけです。
PolicyBased VPN は S2S 接続でのみ使用でき、また使用できる構成も特定のものに限られています。 ほとんどの VPN Gateway 構成では、RouteBased VPN が必要です。
RouteBased
RouteBased VPN は、以前は (クラシック デプロイ モデルでは) 動的ルーティング ゲートウェイと呼ばれていました。 RouteBased VPN は、IP 転送やルーティング テーブルの "ルート" を使用して、対応するトンネル インターフェイスにパケットを直接送信します。 その後、トンネル インターフェイスではトンネルの内部または外部でパケットを暗号化または復号します。 RouteBased VPN のポリシーまたはトラフィック セレクターは、任意の環境間 (またはワイルドカード) として構成できます。 RouteBased VPN の種類の値は RouteBased です。
VPN Gateway の構成要件
次の表に、PolicyBased および RouteBased の VPN Gateway の要件を示します。 この表は、リソース マネージャーとクラシック デプロイ モデルの両方に適用されます。 クラシック モデルでは、PolicyBased VPN Gateway は静的ゲートウェイと同じです。また、RouteBased のゲートウェイは動的ゲートウェイと同じです。
| 機能 | PolicyBased の Basic VPN Gateway | RouteBased の Basic VPN Gateway | RouteBased の Standard VPN Gateway | RouteBased の HighPerformance VPN Gateway |
|---|---|---|---|---|
| サイト間接続 (S2S) | PolicyBased VPN の構成 | RouteBased VPN の構成 | RouteBased VPN の構成 | RouteBased VPN の構成 |
| ポイント対サイト接続 (P2S) | サポートされていません | サポートされています (S2S と共存可能) | サポートされています (S2S と共存可能) | サポートされています (S2S と共存可能) |
| 認証方法 | 事前共有キー | S2S 接続用の事前共有キー、P2S 接続用の証明書 | S2S 接続用の事前共有キー、P2S 接続用の証明書 | S2S 接続用の事前共有キー、P2S 接続用の証明書 |
| S2S 接続の最大数 | 1 | 10 | 10 | 30 |
| P2S 接続の最大数 | サポートされていません | 128 | 128 | 128 |
| アクティブなルーティングのサポート (BGP) (*) | サポートされていません | サポートされていません | サポートされています | サポートされています |
(*) BGP はクラシック デプロイ モデルではサポートされません。
VPN ゲートウェイの作成
選択する VPN ゲートウェイ設定は、接続を正しく作成するうえで非常に重要です。
- ゲートウェイの種類。 VPN または ExpressRoute です。
- VPN の種類。 ルート ベースまたはポリシー ベース。 ほとんどの VPN の種類はルート ベースです。 選択する VPN の種類は、VPN デバイスの製造元とモデル、および作成しようとしている VPN 接続の種類によって異なります。 ルート ベースのゲートウェイの一般的なシナリオには、ポイント対サイト接続、仮想ネットワーク間接続、複数サイト間接続などがあります。 ExpressRoute ゲートウェイと共存させる場合や、IKEv2 を使用する必要がある場合にも [ルート ベース] が選択されます。 ポリシー ベースのゲートウェイでは、IKEv1 のみがサポートされています。
- SKU。 ドロップダウンを使用して、ゲートウェイ SKU を選択します。 選択した値は、使用できるトンネルの数と、合計スループット ベンチマークに影響します。 ベンチマークは、1 つのゲートウェイから集計された複数のトンネルの測定値に基づいています。 インターネットのトラフィックの状況とアプリケーションの動作に依存するため、これは保証されたスループットではありません。
- 世代 Generation1 または Generation2。 世代間で世代または SKU を変更することはできません。 Basic SKU と VpnGw1 SKU は、Generation1 でのみサポートされています。 VpnGw4 SKU と VpnGw5 SKU は、Generation2 でのみサポートされています。
- 仮想ネットワーク。 仮想ネットワーク ゲートウェイを経由してトラフィックを送受信できる仮想ネットワーク。 1 つの仮想ネットワークを複数のゲートウェイに関連付けることはできません。
Note
ゲートウェイに割り当てられている IP アドレスを確認できます。 ゲートウェイは、接続されたデバイスとして表示されます。
ゲートウェイ サブネット
VPN Gateway では、ゲートウェイ サブネットが必要です。 ゲートウェイ サブネットは、VPN Gateway を作成する前に作成することも、VPN Gateway の作成時に作成することもできます。 ゲートウェイ サブネットには、仮想ネットワーク ゲートウェイの VM とサービスが使用する IP アドレスが含まれます。 仮想ネットワーク ゲートウェイを作成すると、ゲートウェイ VM はゲートウェイ サブネットにデプロイされ、必要な VPN Gateway 設定で構成されます。 ゲートウェイ サブネットには、追加の VM などをデプロイしないでください。 ゲートウェイ サブネットを正常に動作させるには、"GatewaySubnet" という名前を付ける必要があります。 ゲートウェイ サブネットに GatewaySubnet という名前を付けることで、これが仮想ネットワーク ゲートウェイの VM とサービスをデプロイするサブネットであることを Azure に示します。
ゲートウェイ サブネットを作成するときに、サブネットに含まれる IP アドレスの数を指定します。 ゲートウェイ サブネット内の IP アドレスは、ゲートウェイ VM とゲートウェイ サービスに割り当てられます。 一部の構成では、他の構成よりも多くの IP アドレスを割り当てる必要があります。
ゲートウェイ サブネットのサイズを計画する際は、作成する構成に関するドキュメントを参照してください。 たとえば、ExpressRoute/VPN Gateway が共存する構成には、他のほとんどの構成より大規模なゲートウェイ サブネットが必要です。 また、ゲートウェイ サブネットには、将来の構成の追加に対応できる十分な数の IP アドレスが含まれるようにしてください。 /29 のような小さいゲートウェイ サブネットを作成できますが、使用できるアドレス空間がある場合は、/27 以上 (/27、/26 など) のゲートウェイ サブネットを作成することをお勧めします。 このゲートウェイ サブネットは、ほとんどの構成に対応します。
ローカル ネットワーク ゲートウェイを作成する
ローカル ネットワーク ゲートウェイは、通常、オンプレミスの場所を指します。 サイトに Azure が参照できる名前を付け、接続用のオンプレミス VPN デバイスの IP アドレスまたは FQDN を指定します。 また、VPN ゲートウェイを介して VPN デバイスにルーティングされる IP アドレスのプレフィックスも指定します。 指定するアドレスのプレフィックスは、オンプレミス ネットワーク内に存在するプレフィックスです。
[IP Address](IP アドレス) 。 ローカル ゲートウェイのパブリック IP アドレス。
[アドレス空間]。 ローカル ネットワークのアドレス空間を定義する 1 つ以上の IP アドレス範囲 (CIDR 表記)。 BGP 対応接続でこのローカル ネットワーク ゲートウェイを使用する予定の場合、宣言する必要がある最小プレフィックスは、VPN デバイス上の BGP ピア IP アドレスのホスト アドレスです。
オンプレミスの VPN デバイスを構成する
VPN ゲートウェイで適切に機能する標準 VPN デバイスの検証済みリストがあります。 このリストは、Cisco、Juniper、Ubiquiti、Barracuda Networks のようなデバイス製造元と協力して作成されました。
お使いのデバイスが検証済み VPN デバイスの表に記載されていなくても、デバイスが正しく動作する可能性があります。 サポートと構成手順については、デバイスの製造元にお問い合わせください。
VPN デバイスを構成するには、以下が必要です。
共有キー。 VPN 接続の作成時に指定するのと同じ共有キー。
VPN ゲートウェイのパブリック IP アドレス。 IP アドレスは新しいものでも既存のものでもかまいません。
Note
ご利用の VPN デバイスによっては、VPN デバイス構成スクリプトをダウンロードできる場合があります。
VPN 接続の作成
VPN ゲートウェイが作成されると、その間に接続を作成できます。 VNet が同じサブスクリプション内にある場合は、ポータルを使用できます。
名前。 接続の名前を入力します。
接続の種類。 ドロップダウンから [サイト間 (IPSec)] を選択します。
共有キー (PSK)。 このフィールドには、接続の共有キーを入力します。 このキーは、自分で生成または作成できます。 サイト間接続では、使用するキーは、オンプレミス デバイスと仮想ネットワーク ゲートウェイの接続の場合と同じになります。
VPN 接続の確認
すべてのサイト間コンポーネントを構成したら、すべてが正常に動作していることを検証する時間です。 接続の検証は、ポータルでも、PowerShell を使用しても行えます。
VPN 接続の高可用性オプション
VPN 接続の可用性を向上させるにはオプションがいくつかあります。
- VPN Gateway の冗長性 (アクティブ/スタンバイ)
- 複数のオンプレミスの VPN デバイス
- アクティブ/アクティブの Azure VPN Gateway
- 両方の組み合わせ
VPN Gateway の冗長性
すべての Azure VPN Gateway は、アクティブ/スタンバイ構成の 2 つのインスタンスから成ります。 アクティブなインスタンスに対して計画的なメンテナンスまたは計画外の中断が発生すると、スタンバイ インスタンスが自動的に引き継ぎ (フェールオーバーし)、S2S VPN または VNet 間接続が再開されます。 切り替わる際に、短い中断が発生します。 計画的なメンテナンスの場合は、10 ~ 15 秒以内に接続が復元されます。 予期しない問題の場合、接続の復旧にかかる時間は長くなり、約 1 分から最悪の場合は 3 分かかります。 ゲートウェイへの P2S VPN クライアント接続の場合、P2S 接続が切断されるため、ユーザーがクライアント コンピューターから再接続する必要があります。
複数のオンプレミスの VPN デバイス
次の図に示すように、オンプレミス ネットワークの複数の VPN デバイスを使用して、Azure VPN Gateway に接続できます。
この構成では、同じ Azure VPN Gateway から同じ場所にあるオンプレミスのデバイスへの複数のアクティブなトンネルが提供されます。 いくつかの要件と制約があります。
- VPN デバイスから Azure への S2S VPN 接続を複数作成する必要があります。 同じオンプレミス ネットワークから Azure に複数の VPN デバイスを接続する場合、VPN デバイスごとに 1 つのローカル ネットワーク ゲートウェイを作成し、Azure VPN Gateway から各ローカル ネットワーク ゲートウェイへの接続を 1 つ作成する必要があります。
- VPN デバイスに対応するローカル ネットワーク ゲートウェイには、GatewayIpAddress プロパティに一意のパブリック IP アドレスが指定されている必要があります。
- この構成には BGP が必要です。 VPN デバイスを表す各ローカル ネットワーク ゲートウェイには、BgpPeerIpAddress プロパティに BGP ピアの一意の IP アドレスが指定されている必要があります。
- BGP を使用して、同じオンプレミス ネットワーク プレフィックスの同じプレフィックスを Azure VPN Gateway にアドバタイズする必要があります。トラフィックは、同時にこれらのトンネルを介して転送されます。
- 等コスト マルチパス ルーティング (ECMP) を使用する必要があります。
- 各接続は、Azure VPN Gateway のトンネルの最大数 (Basic と Standard SKU では 10、HighPerformance SKU では 30) にカウントされます。
この構成では、Azure VPN Gateway はアクティブ/スタンバイ モードのままです。そのため、上で説明したのと同じフェールオーバー動作と短い中断が発生します。 ただし、この設定により、オンプレミス ネットワークと VPN デバイスの障害や中断から保護されます。
アクティブ/アクティブな VPN ゲートウェイ
次の図に示すように、ゲートウェイ VM の両方のインスタンスでオンプレミスの VPN デバイスへの S2S VPN トンネルを確立するアクティブ/アクティブ構成の Azure VPN ゲートウェイを作成できます。
この構成では、各 Azure ゲートウェイ インスタンスが一意のパブリック IP アドレスを持ち、ローカル ネットワーク ゲートウェイと接続で指定されたオンプレミスの VPN デバイスへの IPsec/IKE S2S VPN トンネルを確立します。 両方の VPN トンネルが同じ接続の一部であることに注意してください。 この構成でも、これら 2 つの Azure VPN Gateway のパブリック IP アドレスへの 2 つの S2S VPN トンネルを受け入れるか確立するようにオンプレミスの VPN デバイスを構成する必要があります。
Azure ゲートウェイ インスタンスがアクティブ/アクティブ構成であるため、オンプレミスの VPN デバイスで一方のトンネルを優先している場合でも、Azure Virtual Network からオンプレミス ネットワークへのトラフィックは同時に両方のトンネルを介してルーティングされます。 1 つの TCP フローまたは UDP フローの場合、Azure は同じトンネルを使用して、オンプレミス ネットワークにパケットを送信しようとします。 しかし、オンプレミスのネットワークは、別のトンネルを使用して Azure にパケットを送信できます。
1 つのゲートウェイ インスタンスに対して計画的なメンテナンスまたは計画外のイベントが発生すると、そのインスタンスからオンプレミスの VPN デバイスへの IPsec トンネルが切断されます。 VPN デバイスの対応するルートは自動的に削除または無効にされ、トラフィックはもう一方のアクティブな IPsec トンネルに切り替えられます。 Azure 側では、影響を受けるインスタンスからアクティブ インスタンスに自動的に切り替わります。
デュアル冗長性: Azure とオンプレミスの両方のネットワークのアクティブ/アクティブ VPN Gateway
最も信頼性の高いオプションは、次の図に示すように、ネットワークと Azure の両方でアクティブ/アクティブ ゲートウェイを組み合わせることです。
ここでは、アクティブ/アクティブ構成の Azure VPN ゲートウェイを作成および設定し、上に示したように 2 つのオンプレミスの VPN デバイスに対して 2 つのローカル ネットワーク ゲートウェイと 2 つの接続を作成します。 その結果、Azure Virtual Network とオンプレミス ネットワークの間に 4 つの IPsec トンネルが存在するフル メッシュ接続になります。
すべてのゲートウェイとトンネルは、Azure 側からはアクティブです。そのため、トラフィックは 4 つすべてのトンネルで同時に分散されます。ただし、この場合も、各 TCP または UDP フローは Azure 側からは同じトンネルまたはパスを経由します。 トラフィックを分散させることで IPsec トンネルよりもわずかにスループットが向上する場合がありますが、この構成の主な目的は高可用性を実現することです。 分散の統計的性質により、さまざまなアプリケーションのトラフィック状況による全体のスループットへの影響を測定することが困難になります。
このトポロジでは、オンプレミスの VPN デバイスのペアをサポートするために 2 つのローカル ネットワーク ゲートウェイと 2 つの接続が必要です。また、同じオンプレミス ネットワークへの接続を 2 つ確立するために、BGP が必要です。 これらの要件は、上記と同じです。
高可用性 VNet 間接続
同じアクティブ/アクティブ構成を Azure VNet 間接続にも適用できます。 両方の仮想ネットワークにアクティブ/アクティブ VPN ゲートウェイを作成し、両方を接続して、次の図に示すように、2 つの VNet 間に 4 つのトンネルが存在する同じフル メッシュ接続を構成できます。
これにより、すべての計画的なメンテナンス イベントに備えて 2 つの仮想ネットワーク間にトンネルのペアが常に存在し、より高い可用性が実現されます。 クロスプレミス接続の同じトポロジには 2 つの接続が必要ですが、前に示した VNet 間トポロジではゲートウェイごとに必要な接続は 1 つだけです。 さらに、VNet 間接続経由のトランジット ルーティングが必要でない限り、BGP はオプションです。
Azure VPN Gateway のトラブルシューティング
VPN Gateway の接続は、さまざまな原因で失敗する可能性があります。 ネットワーク エンジニアは、経験から多くの接続の問題をトラブルシューティングすることができますが、次の Microsoft ドキュメントでは、多くの一般的な問題を解決するためのヘルプとガイダンスを提供します。
VNet への VPN スループットの確認
VPN ゲートウェイ接続を使用すると、Azure 内の Virtual Network とオンプレミスの IT インフラストラクチャ間の安全なクロスプレミス接続を確立できます。 この記事では、オンプレミスのリソースから Azure 仮想マシン (VM) へのネットワーク スループットを検証する方法を示します。 また、トラブルシューティングのガイドラインも示します。 「仮想ネットワークへの VPN スループットを検証する - Azure VPN Gateway」を参照してください。
ポイント対サイト接続
この記事では、発生する可能性があるポイント対サイト接続のよくある問題について説明します。 また、これらの問題の考えられる原因と解決策についても説明します。 「Azure ポイント対サイト接続の問題のトラブルシューティング - Azure VPN Gateway」を参照してください。
サイト間接続
オンプレミスのネットワークと Azure 仮想ネットワークの間にサイト間 VPN 接続を構成した後、VPN 接続が突然動作を停止して再接続できません。 この記事では、この問題の解決に役立つトラブルシューティング手順について説明します。 「接続できない Azure サイト間 VPN 接続のトラブルシューティング - Azure VPN Gateway」を参照してください。
VPN およびファイアウォールのデバイス設定
この記事では、Azure VPN Gateway で使うサード パーティ製の VPN デバイスまたはファイアウォール デバイスに関するさまざまな推奨ソリューションを紹介しています。 サード パーティの VPN デバイスまたはファイアウォール デバイスに関するテクニカル サポートは、デバイスのベンダーから提供されます。 「コミュニティが推奨する Azure VPN Gateway のサードパーティ VPN またはファイアウォール デバイスの設定」を参照してください。
診断ログを使用した Azure VPN Gateway のトラブルシューティング
診断ログを使用すると、構成アクティビティ、VPN トンネル接続、IPsec ログ、BGP ルート交換、ポイント対サイト詳細ログを含む、複数の VPN ゲートウェイに関連するイベントのトラブルシューティングを行うことができます。
VPN Gateway の問題のトラブルシューティングには、次のようないくつかの診断ログがあります。
- GatewayDiagnosticLog - ゲートウェイ構成イベント、主要な変更、およびメンテナンス イベントの診断ログが含まれています。
- TunnelDiagnosticLog - トンネル状態変更イベントが含まれます。 トンネルの接続/切断イベントには、状態変更の理由の概要があります (該当する場合)。
- RouteDiagnosticLog - ゲートウェイで発生する静的ルートと BGP イベントに対する変更をログに記録します。
- IKEDiagnosticLog - ゲートウェイ上の IKE 制御メッセージとイベントをログに記録します。
- P2SDiagnosticLog - ゲートウェイ上のポイント対サイト制御メッセージとイベントをログに記録します。
Azure Monitor を使用して、診断ログで収集されたデータを分析します。