ポイント対サイトの VPN クライアントを構成する: RADIUS - その他の方法とプロトコル

  • [アーティクル]

仮想ネットワークにポイント対サイト (P2S) 接続するには、接続元のクライアント デバイスを構成する必要があります。 この記事では、証明書またはパスワード認証以外の方法を使用する RADIUS 認証用の VPN クライアント構成を作成してインストールする方法について説明します。

RADIUS 認証を使用する場合、複数の認証手順があります (証明書認証パスワード認証その他の認証方法およびプロトコル)。 VPN クライアント構成は、認証の種類ごとに異なります。 VPN クライアントを構成するには、必要な設定を含むクライアント構成ファイルを使用します。

Note

2018 年 7 月 1 日以降、Azure VPN Gateway では TLS 1.0 および 1.1 のサポートが終了します。 VPN Gateway では、TLS 1.2 のみがサポートされるようになります。 影響を受けるのはポイント対サイト接続のみであり、サイト対サイト接続には影響ありません。 Windows 10 以降のクライアント上でポイント対サイト VPN に対して TLS を使用する場合、特に何も行う必要はありません。 Windows 7 および Windows 8 クライアント上でポイント対サイト接続に対して TLS を使用する場合、更新手順については「VPN Gateway に関する FAQ」を参照してください。

ワークフロー

P2S RADIUS 認証の構成ワークフローは次のとおりです。

  1. P2S 接続用に Azure VPN ゲートウェイを設定する

  2. RADIUS サーバーを認証用に設定する

  3. 選択した認証オプションの VPN クライアント構成を取得し、それを使用して VPN クライアントを設定する (この記事)。

  4. P2S 構成を完了し、接続する

重要

VPN プロトコルの種類や認証の種類など、VPN クライアント構成プロファイルの生成後にポイント対サイト VPN 構成に変更があった場合は、新しい VPN クライアント構成を生成してユーザー デバイスにインストールする必要があります。

別の認証の種類 (OTP など) を使用するか、別の認証プロトコル (EAP-MSCHAPv2 の代わりに PEAP-MSCHAPv2 など) を使用するには、独自の VPN クライアント構成プロファイルを作成する必要があります。 RADIUS と OpenVPN を使用して構成されたポイント対サイト VPN がある場合、現在、ゲートウェイと RADIUS サーバーの間でサポートされる認証方法は PAP のみです。 プロファイルを作成するには、仮想ネットワーク ゲートウェイの IP アドレス、トンネルの種類、分割トンネルのルートなどの情報が必要です。 この情報は、次の手順を実行することで取得できます。

VPN クライアント構成ファイルの生成

Azure portal または Azure PowerShell を使用して VPN クライアント構成ファイルを生成することができます。

Azure portal

  1. 仮想ネットワーク ゲートウェイに移動します。
  2. [ポイント対サイトの構成] をクリックします。
  3. [VPN クライアントのダウンロード] をクリックします。
  4. クライアントを選択し、要求された情報をすべて入力します。
  5. [ダウンロード] をクリックして .zip ファイルを生成します。
  6. .zip ファイルが (通常であれば [ダウンロード] フォルダーに) ダウンロードされます。

Azure PowerShell

Get-AzVpnClientConfiguration コマンドレットを使用して、EapMSChapv2 用の VPN クライアント構成を生成します。

ファイルを表示して VPN クライアントを構成する

VpnClientConfiguration.zip ファイルを解凍し、GenericDevice フォルダーを探します。 64 ビットおよび 32 ビットのアーキテクチャ用の Windows インストーラーが含まれているフォルダーは、無視します。

GenericDevice フォルダーには、VpnSettings という XML ファイルが含まれています。 このファイルには、必要な情報がすべて含まれています。

  • VpnServer: Azure VPN Gateway の FQDN。 これは、クライアントの接続先となるアドレスです。
  • VpnType: 接続に使用するトンネルの種類。
  • Routes: Azure 仮想ネットワーク宛てのトラフィックのみが P2S トンネル経由で送信されるように、プロファイル内で構成する必要があるルート。

GenericDevice フォルダーには、VpnServerRoot という .cer ファイルも含まれています。 このファイルには、P2S 接続の設定中に Azure VPN ゲートウェイを検証するために必要なルート証明書が含まれています。 Azure 仮想ネットワークに接続するすべてのデバイスに、証明書をインストールします。

ファイルの設定を使用して VPN クライアントを構成します。

次のステップ

P2S 構成を完了するための記事に戻ります。

P2S のトラブルシューティング情報については、Azure ポイント対サイト接続のトラブルシューティングに関するページを参照してください。