サイト間 VPN ゲートウェイ接続用の VPN デバイスと IPsec/IKE パラメーターについて

VPN ゲートウェイを使用するサイト間 (S2S) クロスプレミス VPN 接続を構成するには、VPN デバイスが必要です。 サイト間接続は、ハイブリッド ソリューションを作成するときに使用できるほか、オンプレミスのネットワークと仮想ネットワークとの間にセキュリティで保護された接続が必要な場合に使用できます。 この記事には、VPN ゲートウェイ用の検証済みの VPN デバイスの一覧と IPsec/IKE パラメーターの一覧が掲載されています。

重要

オンプレミスの VPN デバイスと VPN ゲートウェイの間で接続の問題が発生している場合は、「デバイスの互換性に関する既知の問題」を参照してください。

表を確認するときの注意事項:

  • Azure VPN ゲートウェイに関する用語が変更されていますが、 名前の 変更のみで機能は変更されていません。
    • 静的ルーティング = PolicyBased
    • 動的ルーティング = RouteBased
  • HighPerformance VPN ゲートウェイと RouteBased VPN ゲートウェイの仕様は、特に記載がない限り同じです。 たとえば、RouteBased VPN ゲートウェイと互換性がある検証済みの VPN デバイスは、HighPerformance VPN ゲートウェイとも互換性があります。

検証済みの VPN デバイスとデバイス構成ガイド

Microsoft では、デバイス ベンダーと協力して一連の標準的な VPN デバイスを検証しました。 以下の一覧に含まれているデバイス ファミリ内のすべてのデバイスは、VPN ゲートウェイで動作します。 構成する VPN Gateway ソリューションの VPN の種類 (PolicyBased または RouteBased) については、VPN ゲートウェイの設定に関するページを参照してください。

VPN デバイスを構成するには、適切なデバイス ファミリに対応するリンクを参照してください。 構成方法へのリンクは、入手できる範囲で記載しています。 VPN デバイスのサポートについては、デバイスの製造元に問い合わせてください。

ベンダー名 デバイス ファミリ OS の最小バージョン PolicyBased の構成手順 RouteBased の構成手順
A10 Networks, Inc. Thunder CFW ACOS 4.1.1 互換性なし 構成ガイド
AhnLab TrusGuard TG 2.7.6
TG 3.5.x
テストなし 構成ガイド
Allied Telesis AR シリーズ VPN ルーター AR-Series 5.4.7 以降 構成ガイド 構成ガイド
Arista CloudEOS Router vEOS 4.24.0FX テストなし 構成ガイド
Barracuda Networks, Inc. Barracuda CloudGen Firewall PolicyBased:5.4.3
RouteBased:6.2.0
構成ガイド 構成ガイド
Check Point セキュリティ ゲートウェイ R80.10 構成ガイド 構成ガイド
Cisco ASA 8.3
8.4 以降 (IKEv2*)
サポートされています 構成ガイド*
Cisco ASR PolicyBased:IOS 15.1
RouteBased:IOS 15.2
サポートされています サポートされています
Cisco CSR RouteBased:IOS-XE 16.10 テストなし 構成スクリプト
Cisco ISR PolicyBased:IOS 15.0
RouteBased**:IOS 15.1
サポートされています サポートされています
Cisco Meraki (MX) MX v15.12 互換性なし 構成ガイド
Cisco vEdge (Viptela OS) 18.4.0 (アクティブ/パッシブ モード)

19.2 (アクティブ/アクティブ モード)
互換性なし 手動構成 (アクティブ/パッシブ)

Cloud Onramp 構成 (アクティブ/アクティブ)
Citrix NetScaler MPX、SDX、VPX 10.1 以上 構成ガイド 互換性なし
F5 BIG-IP シリーズ 12.0 構成ガイド 構成ガイド
Fortinet FortiGate FortiOS 5.6 テストなし 構成ガイド
Fujitsu Si-R G シリーズ V04: V04.12
V20: V20.14
構成ガイド 構成ガイド
Hillstone Networks Next-Gen Firewalls (NGFW) 5.5R7 テストなし 構成ガイド
Internet Initiative Japan (IIJ) SEIL シリーズ SEIL/X 4.60
SEIL/B1 4.60
SEIL/x86 3.20
構成ガイド 互換性なし
Juniper SRX PolicyBased:JunOS 10.2
Routebased:JunOS 11.4
サポートされています 構成スクリプト
Juniper J シリーズ PolicyBased:JunOS 10.4r9
RouteBased:JunOS 11.4
サポートされています 構成スクリプト
Juniper ISG ScreenOS 6.3 サポートされています 構成スクリプト
Juniper SSG ScreenOS 6.2 サポートされています 構成スクリプト
Juniper MX JunOS 12.x サポートされています 構成スクリプト
Microsoft ルーティングとリモート アクセス サービス Windows Server 2012 互換性なし サポートされています
Open Systems AG Mission Control Security Gateway 該当なし 構成ガイド 互換性なし
Palo Alto Networks PAN-OS を実行しているすべてのデバイス PAN-OS
PolicyBased:6.1.5 以降
RouteBased:7.1.4
サポートされています 構成ガイド
Sentrium (Developer) VyOS VyOS 1.2.2 テストなし 構成ガイド
ShareTech Next Generation UTM (NU シリーズ) 9.0.1.3 互換性なし 構成ガイド
SonicWall TZ シリーズ、NSA シリーズ
SuperMassive シリーズ
E-class NSA シリーズ
SonicOS 5.8.x
SonicOS 5.9.x
SonicOS 6.x
互換性なし 構成ガイド
Sophos XG Next Gen Firewall XG v17 テストなし 構成ガイド

構成ガイド - 複数 SA
Synology MR2200ac
RT2600ac
RT1900ac
SRM1.1.5/VpnPlusServer-1.2.0 テストなし 構成ガイド
Ubiquiti EdgeRouter EdgeOS v1.10 テストなし BGP over IKEv2/IPsec

VTI over IKEv2/IPsec
Ultra 3E-636L3 5.2.0.T3 Build-13 テストなし 構成ガイド
WatchGuard All Fireware XTM
PolicyBased: v11.11.x
RouteBased: v11.12.x
構成ガイド 構成ガイド
Zyxel ZyWALL USG シリーズ
ZyWALL ATP シリーズ
ZyWALL VPN シリーズ
ZLD v4.32 以降 テストなし VTI over IKEv2/IPsec

BGP over IKEv2/IPsec

Note

(*) Cisco ASA バージョン 8.4 以降では IKEv2 のサポートが追加されており、"UsePolicyBasedTrafficSelectors" オプションでカスタム IPsec/IKE ポリシーを使用して、Azure VPN ゲートウェイに接続できます。 こちらのハウツー記事を参照してください。

(**) ISR 7200 シリーズのルーターでは、PolicyBased の VPN のみがサポートあり。

Azure からの VPN デバイス構成スクリプトのダウンロード

特定のデバイスについて、構成スクリプトを Azure から直接ダウンロードできます。 詳細およびダウンロードの手順については、「VPN デバイス構成スクリプトのダウンロード」に関するページをご覧ください。

構成スクリプトを利用できるデバイス

ベンダー名 デバイス ファミリ ファームウェア バージョン
Cisco ISR IOS 15.1 (プレビュー)
Cisco ASA 9.8 より前の ASA 用 ASA (*) RouteBased (IKEv2- No BGP)
Cisco ASA 9.8 以降の ASA 用 ASA RouteBased (IKEv2- No BGP)
Juniper SRX_GA 12.x
Juniper SSG_GA ScreenOS 6.2.x
Juniper JSeries_GA JunOS 12.x
Juniper SRX JunOS 12.x RouteBased BGP
Ubiquiti EdgeRouter EdgeOS v1.10x RouteBased VTI
Ubiquiti EdgeRouter EdgeOS v1.10x RouteBased BGP

Note

(*) 必須: UsePolicyBasedTrafficSelectors オプションを有効にした NarrowAzureTrafficSelectors と CustomAzurePolicies (IKE/IPsec)

未検証の VPN デバイス

検証済みの VPN デバイスの表に、ご利用のデバイスが見つからない場合でも、そのデバイスをサイト間接続に利用できる可能性があります。 詳細なサポートと構成手順については、デバイスの製造元にお問い合わせください。

デバイス構成のサンプルの編集

提供されている VPN デバイス構成のサンプルをダウンロードしてから、一部の値を置換してご自分環境の設定を反映させる必要があります。

サンプルを編集するには:

  1. メモ帳を使用してサンプルを開きます。
  2. お使いの環境に関連する値を含む <text> 文字列をすべて検索して置き換えます。 < and > を必ず含めてください。 名前を指定する場合、選択する名前は一意である必要があります。 コマンドが機能しない場合は、デバイスの製造元のドキュメントを参照してください。
サンプル テキスト 次に変更
<RP_OnPremisesNetwork> このオブジェクトに選択した名前。 例: myOnPremisesNetwork
<RP_AzureNetwork> このオブジェクトに選択した名前。 例: myAzureNetwork
<RP_AccessList> このオブジェクトに選択した名前。 例: myAzureAccessList
<RP_IPSecTransformSet> このオブジェクトに選択した名前。 例: myIPSecTransformSet
<RP_IPSecCryptoMap> このオブジェクトに選択した名前。 例: myIPSecCryptoMap
<SP_AzureNetworkIpRange> 範囲を指定します。 例: 192.168.0.0
<SP_AzureNetworkSubnetMask> サブネット マスクを指定します。 例: 255.255.0.0
<SP_OnPremisesNetworkIpRange> オンプレミスの範囲を指定します。 例: 10.2.1.0
<SP_OnPremisesNetworkSubnetMask> オンプレミスのサブネット マスクを指定します。 例: 255.255.255.0
<SP_AzureGatewayIpAddress> この情報は仮想ネットワークに固有であり、 ゲートウェイの IP アドレスとして管理ポータルに存在しています。
<SP_PresharedKey> この情報はご利用の仮想ネットワークに固有であり、キーの管理として管理ポータルに存在しています。

既定の IPsec/IKE パラメーター

下の表には、Azure VPN ゲートウェイが既定の構成 (既定のポリシー) で使用するアルゴリズムとパラメーターの組み合わせが示されています。 Azure Resource Manager デプロイメント モデルで作成されたルートベースの VPN ゲートウェイでは、個別の接続ごとにカスタム ポリシーを指定できます。 詳細な手順については、「IPsec/IKE ポリシーの構成」に関するページを参照してください。

また、TCP MSS1350 で固定する必要があります。 お使いの VPN デバイスで MSS クランプがサポートされていない場合は、別の方法として、トンネル インターフェイスの MTU1,400 バイトに設定できます。

以下の表では、次のようになっています。

  • SA = セキュリティ アソシエーション (Security Association)
  • IKE フェーズ 1 は "メイン モード" と呼ばれることもあります。
  • IKE フェーズ 2 は "クイック モード" と呼ばれることもあります。

IKE フェーズ 1 (メイン モード) のパラメーター

プロパティ PolicyBased RouteBased
IKE のバージョン IKEv1 IKEv1 および IKEv2
Diffie-hellman グループ グループ 2 (1024 ビット) グループ 2 (1024 ビット)
認証方法 事前共有キー 事前共有キー
暗号化とハッシュ アルゴリズム 1.AES256、SHA256
2.AES256、SHA1
3.AES128、SHA1
4. 3DES、SHA1
1.AES256、SHA1
2.AES256、SHA256
3.AES128、SHA1
4.AES128、SHA256
5. 3DES、SHA1
6. 3DES、SHA256
SA の有効期間 28,800 秒 28,800 秒

IKE フェーズ 2 (クイック モード) のパラメーター

プロパティ PolicyBased RouteBased
IKE のバージョン IKEv1 IKEv1 および IKEv2
暗号化とハッシュ アルゴリズム 1.AES256、SHA256
2.AES256、SHA1
3.AES128、SHA1
4. 3DES、SHA1
RouteBased QM SA プラン
SA の有効期間 (時間) 3,600 秒 27,000 秒
SA の有効期間 (バイト) 102,400,000 KB 102,400,000 KB
Perfect Forward Secrecy (PFS) いいえ RouteBased QM SA プラン
Dead Peer Detection (DPD) サポートされていません サポートされています

RouteBased VPN IPsec セキュリティ アソシエーション (IKE クイック モード SA) プラン

以下の表は、IPsec SA (IKE クイック モード) プランの一覧です。 プランは、提示される順または受け入れられる順で優先的に表示されます。

発信側としての Azure ゲートウェイ

- 暗号化 認証 PFS グループ
1 GCM AES256 GCM (AES256) なし
2 AES256 SHA1 なし
3 3DES SHA1 なし
4 AES256 SHA256 なし
5 AES128 SHA1 なし
6 3DES SHA256 なし

応答側としての Azure ゲートウェイ

- 暗号化 認証 PFS グループ
1 GCM AES256 GCM (AES256) なし
2 AES256 SHA1 なし
3 3DES SHA1 なし
4 AES256 SHA256 なし
5 AES128 SHA1 なし
6 3DES SHA256 なし
7 DES SHA1 なし
8 AES256 SHA1 1
9 AES256 SHA1 2
10 AES256 SHA1 14
11 AES128 SHA1 1
12 AES128 SHA1 2
13 AES128 SHA1 14
14 3DES SHA1 1
15 3DES SHA1 2
16 3DES SHA256 2
17 AES256 SHA256 1
18 AES256 SHA256 2
19 AES256 SHA256 14
20 AES256 SHA1 24
21 AES256 SHA256 24
22 AES128 SHA256 なし
23 AES128 SHA256 1
24 AES128 SHA256 2
25 AES128 SHA256 14
26 3DES SHA1 14
  • RouteBased および HighPerformance VPN ゲートウェイで IPsec ESP NULL 暗号化を指定することができます。 Null ベースの暗号化では、転送中のデータ保護は提供されません。そのため、最大のスループットおよび最小の待機時間が必要な場合にのみ使用する必要があります。 クライアントは、VNet 間の通信シナリオ、または暗号化がソリューションの他の場所に適用されている場合に、この暗号化の使用を選択することができます。
  • インターネット経由のクロスプレミス接続では、重要な通信のセキュリティを確保するため、上記の表にある暗号化およびハッシュ アルゴリズムによる既定の Azure VPN Gateway 設定を使用してください。

デバイスの互換性に関する既知の問題

重要

この内容は、サード パーティの VPN デバイスと Azure VPN ゲートウェイの互換性に関する既知の問題です。 Azure チームは、ここに記載されている問題に対処するためにベンダーと積極的に連携しています。 問題が解決されると、このページが最新の情報で更新されるため、 定期的に確認してください。

2017 年 2 月 16 日

Azure ルートベースの VPN 用の Palo Alto Networks の 7.1.4 より前のバージョンのデバイス: Palo Alto Networks の PAN-OS のバージョンが 7.1.4 より前の VPN デバイスを使用している場合、Azure ルートベースの VPN ゲートウェイへの接続の問題が発生したときは次の手順を実行してください。

  1. Palo Alto Networks デバイスのファームウェアのバージョンを確認します。 PAN-OS バージョンが 7.1.4 よりも前の場合は、7.1.4 にアップグレードしてください。
  2. Palo Alto Networks デバイスで、Azure VPN ゲートウェイに接続しているときにフェーズ 2 SA (またはクイック モード SA) の有効期間を 28,800 秒 (8 時間) に変更します。
  3. 接続の問題が解消しない場合は、Azure Portal からサポート リクエストを作成してください。