サイト間 VPN ゲートウェイ接続用の VPN デバイスと IPsec/IKE パラメーターについてAbout VPN devices and IPsec/IKE parameters for Site-to-Site VPN Gateway connections

VPN ゲートウェイを使用する Site-to-Site (S2S) クロスプレミス VPN 接続を構成するには、VPN デバイスが必要です。A VPN device is required to configure a Site-to-Site (S2S) cross-premises VPN connection using a VPN gateway. サイト間接続は、ハイブリッド ソリューションを作成するときに使用できるほか、オンプレミスのネットワークと仮想ネットワークとの間にセキュリティで保護された接続が必要な場合に使用できます。Site-to-Site connections can be used to create a hybrid solution, or whenever you want secure connections between your on-premises networks and your virtual networks. この記事には、VPN ゲートウェイ用の検証済みの VPN デバイスの一覧と IPsec/IKE パラメーターの一覧が掲載されています。This article provides a list of validated VPN devices and a list of IPsec/IKE parameters for VPN gateways.

重要

オンプレミスの VPN デバイスと VPN ゲートウェイの間で接続の問題が発生している場合は、「デバイスの互換性に関する既知の問題」を参照してください。If you are experiencing connectivity issues between your on-premises VPN devices and VPN gateways, refer to Known device compatibility issues.

表を確認するときの注意事項:Items to note when viewing the tables:

  • Azure VPN ゲートウェイ関連の用語が変更されています。There has been a terminology change for Azure VPN gateways. 名前のみが変更されています。Only the names have changed. 機能の変更はありません。There is no functionality change.
    • 静的ルーティング = PolicyBasedStatic Routing = PolicyBased
    • 動的ルーティング = RouteBasedDynamic Routing = RouteBased
  • HighPerformance VPN ゲートウェイと RouteBased VPN ゲートウェイの仕様は、特に記載がない限り同じです。Specifications for HighPerformance VPN gateway and RouteBased VPN gateway are the same, unless otherwise noted. たとえば、RouteBased VPN ゲートウェイと互換性がある検証済みの VPN デバイスは、HighPerformance VPN ゲートウェイとも互換性があります。For example, the validated VPN devices that are compatible with RouteBased VPN gateways are also compatible with the HighPerformance VPN gateway.

検証済みの VPN デバイスとデバイス構成ガイドValidated VPN devices and device configuration guides

注意

サイト間接続を構成するときには、VPN デバイスに公開 IPv4 IP アドレスが必要です。When configuring a Site-to-Site connection, a public-facing IPv4 IP address is required for your VPN device.

Microsoft では、デバイス ベンダーと協力して一連の標準的な VPN デバイスを検証しました。In partnership with device vendors, we have validated a set of standard VPN devices. 以下の一覧に含まれているデバイス ファミリ内のすべてのデバイスは、VPN ゲートウェイで動作します。All of the devices in the device families in the following list should work with VPN gateways. 構成する VPN Gateway ソリューションの VPN の種類 (PolicyBased または RouteBased) については、VPN ゲートウェイの設定に関するページを参照してください。See About VPN Gateway Settings to understand the VPN type use (PolicyBased or RouteBased) for the VPN Gateway solution you want to configure.

VPN デバイスを構成するには、適切なデバイス ファミリに対応するリンクを参照してください。To help configure your VPN device, refer to the links that correspond to appropriate device family. 構成方法へのリンクは、入手できる範囲で記載しています。The links to configuration instructions are provided on a best-effort basis. VPN デバイスのサポートについては、デバイスの製造元に問い合わせてください。For VPN device support, contact your device manufacturer.

ベンダー名Vendor デバイス ファミリDevice family OS の最小バージョンMinimum OS version PolicyBased の構成手順PolicyBased configuration instructions RouteBased の構成手順RouteBased configuration instructions
A10 Networks, Inc.A10 Networks, Inc. Thunder CFWThunder CFW ACOS 4.1.1ACOS 4.1.1 互換性なしNot Compatible 構成ガイドConfiguration guide
Allied TelesisAllied Telesis AR シリーズ VPN ルーターAR Series VPN Routers 2.9.22.9.2 近日対応予定Coming soon 互換性なしNot compatible
Barracuda Networks, Inc.Barracuda Networks, Inc. Barracuda NextGen Firewall F シリーズBarracuda NextGen Firewall F-series PolicyBased: 5.4.3PolicyBased: 5.4.3
RouteBased: 6.2.0RouteBased: 6.2.0
構成ガイドConfiguration guide 構成ガイドConfiguration guide
Barracuda Networks, Inc.Barracuda Networks, Inc. Barracuda NextGen Firewall X シリーズBarracuda NextGen Firewall X-series Barracuda Firewall 6.5Barracuda Firewall 6.5 構成ガイドConfiguration guide 互換性なしNot compatible
BrocadeBrocade Vyatta 5400 vRouterVyatta 5400 vRouter 仮想ルーター 6.6R3 GAVirtual Router 6.6R3 GA 構成ガイドConfiguration guide 互換性なしNot compatible
Check PointCheck Point セキュリティ ゲートウェイSecurity Gateway R77.30R77.30 構成ガイドConfiguration guide 構成ガイドConfiguration guide
CiscoCisco ASAASA 8.38.3
8.4 以降 (IKEv2)8.4+ (IKEv2)
構成のサンプルConfiguration samples 構成ガイドConfiguration guide
CiscoCisco ASRASR PolicyBased: IOS 15.1PolicyBased: IOS 15.1
RouteBased: IOS 15.2RouteBased: IOS 15.2
構成のサンプルConfiguration samples 構成のサンプルConfiguration samples
CiscoCisco ISRISR PolicyBased: IOS 15.0PolicyBased: IOS 15.0
RouteBased: IOS 15.1RouteBased: IOS 15.1
構成のサンプルConfiguration samples 構成のサンプルConfiguration samples
CitrixCitrix NetScaler MPX、SDX、VPXNetScaler MPX, SDX, VPX 10.1 以上10.1 and above 構成ガイドConfiguration guide 互換性なしNot compatible
F5F5 BIG-IP シリーズBIG-IP series 12.012.0 構成ガイドConfiguration guide 構成ガイドConfiguration guide
FortinetFortinet FortiGateFortiGate FortiOS 5.4.2FortiOS 5.4.2 構成ガイドConfiguration guide
Internet Initiative Japan (IIJ)Internet Initiative Japan (IIJ) SEIL シリーズSEIL Series SEIL/X 4.60SEIL/X 4.60
SEIL/B1 4.60SEIL/B1 4.60
SEIL/x86 3.20SEIL/x86 3.20
構成ガイドConfiguration guide 互換性なしNot compatible
JuniperJuniper SRXSRX PolicyBased: JunOS 10.2PolicyBased: JunOS 10.2
Routebased: JunOS 11.4Routebased: JunOS 11.4
構成のサンプルConfiguration samples 構成のサンプルConfiguration samples
JuniperJuniper J シリーズJ-Series PolicyBased: JunOS 10.4r9PolicyBased: JunOS 10.4r9
RouteBased: JunOS 11.4RouteBased: JunOS 11.4
構成のサンプルConfiguration samples 構成のサンプルConfiguration samples
JuniperJuniper ISGISG ScreenOS 6.3ScreenOS 6.3 構成のサンプルConfiguration samples 構成のサンプルConfiguration samples
JuniperJuniper SSGSSG ScreenOS 6.2ScreenOS 6.2 構成のサンプルConfiguration samples 構成のサンプルConfiguration samples
MicrosoftMicrosoft ルーティングとリモート アクセス サービスRouting and Remote Access Service Windows Server 2012Windows Server 2012 互換性なしNot compatible 構成のサンプルConfiguration samples
Open Systems AGOpen Systems AG Mission Control Security GatewayMission Control Security Gateway 該当なしN/A 構成ガイドConfiguration guide 互換性なしNot compatible
Palo Alto NetworksPalo Alto Networks PAN-OS を実行しているすべてのデバイスAll devices running PAN-OS PAN-OSPAN-OS
PolicyBased: 6.1.5 以降PolicyBased: 6.1.5 or later
RouteBased: 7.1.4RouteBased: 7.1.4
構成ガイドConfiguration guide 構成ガイドConfiguration guide
ShareTechShareTech Next Generation UTM (NU シリーズ)Next Generation UTM (NU series) 9.0.1.39.0.1.3 互換性なしNot compatible 構成ガイドConfiguration guide
SonicWallSonicWall TZ シリーズ、NSA シリーズTZ Series, NSA Series
SuperMassive シリーズSuperMassive Series
E-class NSA シリーズE-Class NSA Series
SonicOS 5.8.xSonicOS 5.8.x
SonicOS 5.9.xSonicOS 5.9.x
SonicOS 6.xSonicOS 6.x
サポートされていませんNot supported 構成ガイドConfiguration guide
WatchGuardWatchGuard すべてAll Fireware XTMFireware XTM
PolicyBased: v11.11.xPolicyBased: v11.11.x
RouteBased: v11.12.xRouteBased: v11.12.x
構成ガイドConfiguration guide 構成ガイドConfiguration guide

注意

() Cisco ASA バージョン 8.4 以降では IKEv2 のサポートが追加されており、"UsePolicyBasedTrafficSelectors" オプションでカスタム IPsec/IKE ポリシーを使用して、Azure VPN ゲートウェイに接続できます。() Cisco ASA versions 8.4+ add IKEv2 support, can connect to Azure VPN gateway using custom IPsec/IKE policy with "UsePolicyBasedTrafficSelectors" option. こちらのハウツー記事を参照してください。Refer to this how-to article.

() ISR 7200 シリーズのルーターでは、PolicyBased の VPN のみがサポートされています。() ISR 7200 Series routers only support PolicyBased VPNs.

未検証の VPN デバイスNon-validated VPN devices

検証済み VPN デバイスの表にお使いのデバイスが見つからない場合でも、そのデバイスをサイト間接続に利用できる可能性があります。If you don’t see your device listed in the Validated VPN devices table, your device still may work with a Site-to-Site connection. 詳細なサポートと構成手順については、デバイスの製造元にお問い合わせください。Contact your device manufacturer for additional support and configuration instructions.

デバイス構成のサンプルの編集Editing device configuration samples

提供されている VPN デバイス構成のサンプルをダウンロードしたら、一部の値を使用している環境の設定を反映した値に置換する必要があります。After you download the provided VPN device configuration sample, you’ll need to replace some of the values to reflect the settings for your environment.

サンプルを編集するには:To edit a sample:

  1. メモ帳を使用してサンプルを開きます。Open the sample using Notepad.
  2. お使いの環境に関連する値を含む <テキスト> 文字列をすべて検索して置き換えます。Search and replace all <text> strings with the values that pertain to your environment. < と > を必ず含めてください。Be sure to include < and >. 名前を指定する場合、選択する名前は一意である必要があります。When a name is specified, the name you select should be unique. コマンドが機能しない場合は、デバイスの製造元のドキュメントを参照してください。If a command does not work, consult your device manufacturer documentation.
サンプル テキストSample text 次に変更Change to
<RP_OnPremisesNetwork><RP_OnPremisesNetwork> このオブジェクトに選択した名前。Your chosen name for this object. 例: myOnPremisesNetworkExample: myOnPremisesNetwork
<RP_AzureNetwork><RP_AzureNetwork> このオブジェクトに選択した名前。Your chosen name for this object. 例: myAzureNetworkExample: myAzureNetwork
<RP_AccessList><RP_AccessList> このオブジェクトに選択した名前。Your chosen name for this object. 例: myAzureAccessListExample: myAzureAccessList
<RP_IPSecTransformSet><RP_IPSecTransformSet> このオブジェクトに選択した名前。Your chosen name for this object. 例: myIPSecTransformSetExample: myIPSecTransformSet
<RP_IPSecCryptoMap><RP_IPSecCryptoMap> このオブジェクトに選択した名前。Your chosen name for this object. 例: myIPSecCryptoMapExample: myIPSecCryptoMap
<SP_AzureNetworkIpRange><SP_AzureNetworkIpRange> 範囲を指定します。Specify range. 例:192.168.0.0Example: 192.168.0.0
<SP_AzureNetworkSubnetMask><SP_AzureNetworkSubnetMask> サブネット マスクを指定します。Specify subnet mask. 例: 255.255.0.0Example: 255.255.0.0
<SP_OnPremisesNetworkIpRange><SP_OnPremisesNetworkIpRange> オンプレミスの範囲を指定します。Specify on-premises range. 例: 10.2.1.0Example: 10.2.1.0
<SP_OnPremisesNetworkSubnetMask><SP_OnPremisesNetworkSubnetMask> オンプレミスのサブネット マスクを指定します。Specify on-premises subnet mask. 例: 255.255.255.0Example: 255.255.255.0
<SP_AzureGatewayIpAddress><SP_AzureGatewayIpAddress> この情報は仮想ネットワークに固有であり、 ゲートウェイの IP アドレスとして管理ポータルに存在しています。This information specific to your virtual network and is located in the Management Portal as Gateway IP address.
<SP_PresharedKey><SP_PresharedKey> この情報は仮想ネットワークに固有であり、[キーの管理] として管理ポータルに存在しています。This information is specific to your virtual network and is located in the Management Portal as Manage Key.

IPsec/IKE パラメーターIPsec/IKE parameters

重要

  1. 下の表には、Azure VPN ゲートウェイが既定の構成で使用するアルゴリズムとパラメーターの組み合わせが示されています。The tables below contain the combinations of algorithms and parameters Azure VPN gateways use in default configuration. Azure Resource Manager デプロイメント モデルで作成されたルートベースの VPN ゲートウェイでは、個別の接続ごとにカスタム ポリシーを指定できます。For route-based VPN gateways created using the Azure Resource Management deployment model, you can specify a custom policy on each individual connection. 詳細な手順については、IPsec/IKE ポリシーの構成に関するページを参照してください。Please refer to Configure IPsec/IKE policy for detailed instructions.

  2. また、TCP MSS1350 で固定する必要があります。In addition, you must clamp TCP MSS at 1350. お使いの VPN デバイスで MSS クランプがサポートされていない場合、別の方法として、トンネル インターフェイスの MTU1400 バイトに設定することができます。Or if your VPN devices do not support MSS clamping, you can alternatively set the MTU on the tunnel interface to 1400 bytes instead.

以下の表では、次のようになっています。In the following tables:

  • SA = セキュリティ アソシエーション (Security Association)SA = Security Association
  • IKE フェーズ 1 は "メイン モード" と呼ばれることもあります。IKE Phase 1 is also called "Main Mode"
  • IKE フェーズ 2 は "クイック モード" と呼ばれることもあります。IKE Phase 2 is also called "Quick Mode"

IKE フェーズ 1 (メイン モード) のパラメーターIKE Phase 1 (Main Mode) parameters

プロパティProperty PolicyBasedPolicyBased RouteBasedRouteBased
IKE のバージョンIKE Version IKEv1IKEv1 IKEv2IKEv2
Diffie-hellman グループDiffie-Hellman Group グループ 2 (1024 ビット)Group 2 (1024 bit) グループ 2 (1024 ビット)Group 2 (1024 bit)
認証方法Authentication Method 事前共有キーPre-Shared Key 事前共有キーPre-Shared Key
暗号化とハッシュ アルゴリズムEncryption & Hashing Algorithms 1.AES256、SHA2561. AES256, SHA256
2.AES256、SHA12. AES256, SHA1
3.AES128、SHA13. AES128, SHA1
4. 3DES、SHA14. 3DES, SHA1
1.AES256、SHA11. AES256, SHA1
2.AES256、SHA2562. AES256, SHA256
3.AES128、SHA13. AES128, SHA1
4.AES128、SHA2564. AES128, SHA256
5. 3DES、SHA15. 3DES, SHA1
6. 3DES、SHA2566. 3DES, SHA256
SA の有効期間SA Lifetime 28,800 秒28,800 seconds 28,800 秒28,800 seconds

IKE フェーズ 2 (クイック モード) のパラメーターIKE Phase 2 (Quick Mode) parameters

プロパティProperty PolicyBasedPolicyBased RouteBasedRouteBased
IKE のバージョンIKE Version IKEv1IKEv1 IKEv2IKEv2
暗号化とハッシュ アルゴリズムEncryption & Hashing Algorithms 1.AES256、SHA2561. AES256, SHA256
2.AES256、SHA12. AES256, SHA1
3.AES128、SHA13. AES128, SHA1
4. 3DES、SHA14. 3DES, SHA1
RouteBased QM SA プランRouteBased QM SA Offers
SA の有効期間 (時間)SA Lifetime (Time) 3,600 秒3,600 seconds 27,000 秒27,000 seconds
SA の有効期間 (バイト)SA Lifetime (Bytes) 102,400,000 KB102,400,000 KB -
Perfect Forward Secrecy (PFS)Perfect Forward Secrecy (PFS) いいえNo RouteBased QM SA プランRouteBased QM SA Offers
Dead Peer Detection (DPD)Dead Peer Detection (DPD) サポートされていませんNot supported サポートされていますSupported

RouteBased VPN IPsec セキュリティ アソシエーション (IKE クイック モード SA) プランRouteBased VPN IPsec Security Association (IKE Quick Mode SA) Offers

以下の表は、IPsec SA (IKE クイック モード) プランの一覧です。The following table lists IPsec SA (IKE Quick Mode) Offers. プランは提示される、または受け入れられる優先度順に表示されています。Offers are listed the order of preference that the offer is presented or accepted.

発信側としての Azure ゲートウェイAzure Gateway as initiator

- 暗号化Encryption 認証Authentication PFS グループPFS Group
11 GCM AES256GCM AES256 GCM (AES256)GCM (AES256) なしNone
22 AES256AES256 SHA1SHA1 なしNone
33 3DES3DES SHA1SHA1 なしNone
44 AES256AES256 SHA256SHA256 なしNone
55 AES128AES128 SHA1SHA1 なしNone
66 3DES3DES SHA256SHA256 なしNone

応答側としての Azure ゲートウェイAzure Gateway as responder

- 暗号化Encryption 認証Authentication PFS グループPFS Group
11 GCM AES256GCM AES256 GCM (AES256)GCM (AES256) なしNone
22 AES256AES256 SHA1SHA1 なしNone
33 3DES3DES SHA1SHA1 なしNone
44 AES256AES256 SHA256SHA256 なしNone
55 AES128AES128 SHA1SHA1 なしNone
66 3DES3DES SHA256SHA256 なしNone
77 DESDES SHA1SHA1 なしNone
88 AES256AES256 SHA1SHA1 11
99 AES256AES256 SHA1SHA1 22
1010 AES256AES256 SHA1SHA1 1414
1111 AES128AES128 SHA1SHA1 11
1212 AES128AES128 SHA1SHA1 22
1313 AES128AES128 SHA1SHA1 1414
1414 3DES3DES SHA1SHA1 11
1515 3DES3DES SHA1SHA1 22
1616 3DES3DES SHA256SHA256 22
1717 AES256AES256 SHA256SHA256 11
1818 AES256AES256 SHA256SHA256 22
1919 AES256AES256 SHA256SHA256 1414
2020 AES256AES256 SHA1SHA1 2424
2121 AES256AES256 SHA256SHA256 2424
2222 AES128AES128 SHA256SHA256 なしNone
2323 AES128AES128 SHA256SHA256 11
2424 AES128AES128 SHA256SHA256 22
2525 AES128AES128 SHA256SHA256 1414
2626 3DES3DES SHA1SHA1 1414
  • RouteBased および HighPerformance VPN ゲートウェイで IPsec ESP NULL 暗号化を指定することができます。You can specify IPsec ESP NULL encryption with RouteBased and HighPerformance VPN gateways. Null ベースの暗号化では、転送中のデータ保護は提供されません。そのため、最大のスループットおよび最小の待機時間が必要な場合にのみ使用する必要があります。Null based encryption does not provide protection to data in transit, and should only be used when maximum throughput and minimum latency is required. クライアントは、VNet 間の通信シナリオ、または暗号化がソリューションの他の場所に適用されている場合に、この暗号化の使用を選択することができます。Clients may choose to use this in VNet-to-VNet communication scenarios, or when encryption is being applied elsewhere in the solution.
  • インターネット経由のクロスプレミス接続では、重要な通信のセキュリティを確保するため、上記の表にある暗号化およびハッシュ アルゴリズムによる既定の Azure VPN Gateway 設定を使用してください。For cross-premises connectivity through the Internet, use the default Azure VPN gateway settings with encryption and hashing algorithms listed in the tables above to ensure security of your critical communication.

デバイスの互換性に関する既知の問題Known device compatibility issues

重要

この内容は、サード パーティの VPN デバイスと Azure VPN ゲートウェイの互換性に関する既知の問題です。These are the known compatibility issues between third-party VPN devices and Azure VPN gateways. Azure チームは、ここに記載されている問題に対処するためにベンダーと積極的に連携しています。The Azure team is actively working with the vendors to address the issues listed here. 問題が解決されると、このページが最新の情報で更新されるため、Once the issues are resolved, this page will be updated with the most up-to-date information. 定期的に確認してください。Please check back periodically.

2017 年 2 月 16 日Feb. 16, 2017

Azure ルートベースの VPN 用の Palo Alto Networks の 7.1.4 より前のバージョンのデバイス: Palo Alto Networks の PAN-OS のバージョンが 7.1.4 より前の VPN デバイスを使用している場合、Azure ルートベースの VPN ゲートウェイへの接続の問題が発生したときは次の手順を実行してください。Palo Alto Networks devices with version prior to 7.1.4 for Azure route-based VPN: If you are using VPN devices from Palo Alto Networks with PAN-OS version prior to 7.1.4 and are experiencing connectivity issues to Azure route-based VPN gateways, perform the following steps:

  1. Palo Alto Networks デバイスのファームウェアのバージョンを確認します。Check the firmware version of your Palo Alto Networks device. PAN-OS バージョンが 7.1.4 よりも前の場合は、7.1.4 にアップグレードしてください。If your PAN-OS version is older than 7.1.4, upgrade to 7.1.4.
  2. Palo Alto Networks デバイスで、Azure VPN ゲートウェイに接続しているときにフェーズ 2 SA (またはクイック モード SA) の有効期間を 28,800 秒 (8 時間) に変更します。On the Palo Alto Networks device, change the Phase 2 SA (or Quick Mode SA) lifetime to 28,800 seconds (8 hours) when connecting to the Azure VPN gateway.
  3. 接続の問題が解消しない場合は、Azure Portal からサポート リクエストを作成してください。If you are still experiencing connectivity issues, open a support request from the Azure portal.