VPN ゲートウェイの構成設定についてAbout VPN Gateway configuration settings

VPN ゲートウェイは、仮想ネットワークとオンプレミスの場所の間でパブリック接続を使って暗号化されたトラフィックを送信する仮想ネットワーク ゲートウェイの一種です。A VPN gateway is a type of virtual network gateway that sends encrypted traffic between your virtual network and your on-premises location across a public connection. VPN ゲートウェイを使用して、Azure バックボーン経由で仮想ネットワーク間にトラフィックを送信できます。You can also use a VPN gateway to send traffic between virtual networks across the Azure backbone.

VPN Gateway の接続は複数のリソースの構成に依存し、それぞれに構成可能な設定が含まれます。A VPN gateway connection relies on the configuration of multiple resources, each of which contains configurable settings. このセクションでは、Resource Manager デプロイ モデルに作成される仮想ネットワークの VPN ゲートウェイに関するリソースと設定について説明します。The sections in this article discuss the resources and settings that relate to a VPN gateway for a virtual network created in Resource Manager deployment model. 各接続ソリューションの説明とトポロジ ダイアグラムについては、「VPN Gateway について」をご覧ください。You can find descriptions and topology diagrams for each connection solution in the About VPN Gateway article.

この記事の値は、VPN ゲートウェイ (-GatewayType Vpn を使用する仮想ネットワーク ゲートウェイ) に適用されます。The values in this article apply VPN gateways (virtual network gateways that use the -GatewayType Vpn). この記事では、すべてのゲートウェイの種類またはゾーン冗長ゲートウェイについては説明されていません。This article does not cover all gateway types or zone-redundant gateways.


この記事は、新しい Azure PowerShell Az モジュールを使用するために更新されました。This article has been updated to use the new Azure PowerShell Az module. AzureRM モジュールはまだ使用でき、少なくとも 2020 年 12 月までは引き続きバグ修正が行われます。You can still use the AzureRM module, which will continue to receive bug fixes until at least December 2020. Az モジュールと AzureRM の互換性の詳細については、「Introducing the new Azure PowerShell Az module (新しい Azure PowerShell Az モジュールの概要)」を参照してください。To learn more about the new Az module and AzureRM compatibility, see Introducing the new Azure PowerShell Az module. Az モジュールのインストール手順については、Azure PowerShell のインストールを参照してください。For Az module installation instructions, see Install Azure PowerShell.

ゲートウェイの種類Gateway types

各仮想ネットワークに配置できる各種類の仮想ネットワーク ゲートウェイは 1 つに限られています。Each virtual network can only have one virtual network gateway of each type. 仮想ネットワーク ゲートウェイを作成するときは、ゲートウェイの種類が構成に対して適切であることを確認する必要があります。When you are creating a virtual network gateway, you must make sure that the gateway type is correct for your configuration.

-GatewayType に使用できる値は次のとおりです。The available values for -GatewayType are:

  • VpnVpn
  • ExpressRouteExpressRoute

VPN Gateway では、 -GatewayType Vpnにする必要があります。A VPN gateway requires the -GatewayType Vpn.


New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig -GatewayType Vpn `
-VpnType RouteBased

ゲートウェイの SKUGateway SKUs

仮想ネットワーク ゲートウェイを作成する場合、使用するゲートウェイの SKU を指定する必要があります。When you create a virtual network gateway, you need to specify the gateway SKU that you want to use. ワークロード、スループット、機能、および SLA の種類に基づいて、要件を満たす SKU を選択します。Select the SKU that satisfies your requirements based on the types of workloads, throughputs, features, and SLAs. Azure Availability Zones における仮想ネットワーク ゲートウェイの SKU については、Azure Availability Zones でのゲートウェイの SKU に関するページを参照してください。For virtual network gateway SKUs in Azure Availability Zones, see Azure Availability Zones Gateway SKUs.

各ゲートウェイ SKU のトンネル数、接続数、およびスループットGateway SKUs by tunnel, connection, and throughput

SSTP Connections
IKEv2/OpenVPN 接続
IKEv2/OpenVPN Connections
スループット ベンチマーク
Throughput Benchmark
BGPBGP ゾーン冗長Zone-redundant
BasicBasic 最大Max. 1010 最大Max. 128128 サポートされていませんNot Supported 100 Mbps100 Mbps サポートされていませんNot Supported いいえNo
VpnGw1VpnGw1 最大Max. 30*30* 最大Max. 128128 最大Max. 250250 650 Mbps650 Mbps サポートされていますSupported いいえNo
VpnGw2VpnGw2 最大Max. 30*30* 最大Max. 128128 最大Max. 500500 1 Gbps1 Gbps サポートされていますSupported いいえNo
VpnGw3VpnGw3 最大Max. 30*30* 最大Max. 128128 最大Max. 1,0001000 1.25 Gbps1.25 Gbps サポートされていますSupported いいえNo
VpnGw1AZVpnGw1AZ 最大Max. 30*30* 最大Max. 128128 最大Max. 250250 650 Mbps650 Mbps サポートされていますSupported はいYes
VpnGw2AZVpnGw2AZ 最大Max. 30*30* 最大Max. 128128 最大Max. 500500 1 Gbps1 Gbps サポートされていますSupported はいYes
VpnGw3AZVpnGw3AZ 最大Max. 30*30* 最大Max. 128128 最大Max. 1,0001000 1.25 Gbps1.25 Gbps サポートされていますSupported はいYes

(*) 30 個を超える S2S VPN トンネルが必要な場合は、Virtual WAN を使用してください。(*) Use Virtual WAN if you need more than 30 S2S VPN tunnels.

  • 合計スループット ベンチマークは、1 つのゲートウェイから集計された複数のトンネルの測定値に基づいています。Aggregate Throughput Benchmark is based on measurements of multiple tunnels aggregated through a single gateway. VPN ゲートウェイの合計スループット ベンチマークは、S2S と P2S を組み合わせたものです。The Aggregate Throughput Benchmark for a VPN Gateway is S2S + P2S combined. 多数のポイント対サイト接続がある場合、スループットの制限が原因でサイト間接続に悪影響が及ぶ可能性があります。If you have a lot of P2S connections, it can negatively impact a S2S connection due to throughput limitations. 合計スループット ベンチマークは、インターネット トラフィックの状況とアプリケーションの動作に依存するため、保証されたスループットではありません。The Aggregate Throughput Benchmark is not a guaranteed throughput due to Internet traffic conditions and your application behaviors.

  • これらの接続の制限は別々になっています。These connection limits are separate. たとえば、VpnGw1 SKU では 128 の SSTP 接続が利用できると共に 250 の IKEv2 接続を利用できます。For example, you can have 128 SSTP connections and also 250 IKEv2 connections on a VpnGw1 SKU.

  • 料金情報については、価格に関するページをご覧ください。Pricing information can be found on the Pricing page.

  • SLA (サービス レベル アグリーメント) 情報は SLA のページで確認できます。SLA (Service Level Agreement) information can be found on the SLA page.

  • VpnGw1、VpnGw2、および VpnGw3 は、Resource Manager デプロイ モデルを使用する VPN ゲートウェイでのみサポートされます。VpnGw1, VpnGw2, and VpnGw3 are supported for VPN gateways using the Resource Manager deployment model only.

  • Basic SKU はレガシ SKU とみなされます。The Basic SKU is considered a legacy SKU. Basic SKU には一定の機能制限があります。The Basic SKU has certain feature limitations. Basic SKU を使用するゲートウェイのサイズを変更し、新しいゲートウェイ SKU のいずれかにすることはできません。その代わり、新しい SKU に変更する必要があります。You can't resize a gateway that uses a Basic SKU to one of the new gateway SKUs, you must instead change to a new SKU, which involves deleting and recreating your VPN gateway. Basic SKU を使用する前に、必要としている機能がサポートされていることを確認してください。Verify that the feature that you need is supported before you use the Basic SKU.


新しい VPN ゲートウェイ SKU (VpnGw1、VpnGw2、VpnGw3) のサポートは、Resource Manager デプロイ モデル限定です。The new VPN gateway SKUs (VpnGw1, VpnGw2, and VpnGw3) are supported for the Resource Manager deployment model only. クラシック仮想ネットワークには、引き続き以前の (従来の) SKU をご利用ください。Classic virtual networks should continue to use the old (legacy) SKUs.

各ゲートウェイ SKU の機能セットGateway SKUs by feature set

新しい VPN ゲートウェイ SKU では、ゲートウェイで提供される機能セットが効率化されています。The new VPN gateway SKUs streamline the feature sets offered on the gateways:

SKUSKU 機能Features
Basic (**)Basic (**) ルートベースの VPN: S2S/接続用に 10 個のトンネル。RADIUS 認証なし (P2S)、IKEv2 なし (P2S)Route-based VPN: 10 tunnels for S2S/connections; no RADIUS authentication for P2S; no IKEv2 for P2S
ポリシーベースの VPN: (IKEv1): 1 つの S2S/接続トンネル、P2S なしPolicy-based VPN: (IKEv1): 1 S2S/connection tunnel; no P2S
VpnGw1、VpnGw2、および VpnGw3VpnGw1, VpnGw2, and VpnGw3 ルートベース VPN: 最大 30 トンネル ( * )、P2S、BGP、アクティブ/アクティブ、カスタム IPsec/IKE ポリシー、ExpressRoute/VPN 共存Route-based VPN: up to 30 tunnels (*), P2S, BGP, active-active, custom IPsec/IKE policy, ExpressRoute/VPN coexistence

( * ) "PolicyBasedTrafficSelectors" を構成することによって、ルートベースの VPN ゲートウェイ (VpnGw1、VpnGw2、VpnGw3) を、オンプレミスにある複数のポリシーベース ファイアウォール デバイスに接続することができます。(*) You can configure "PolicyBasedTrafficSelectors" to connect a route-based VPN gateway (VpnGw1, VpnGw2, VpnGw3) to multiple on-premises policy-based firewall devices. 詳細については、PowerShell を使って複数のオンプレミス ポリシーベース VPN デバイスに VPN ゲートウェイを接続する方法に関するページを参照してください。Refer to Connect VPN gateways to multiple on-premises policy-based VPN devices using PowerShell for details.

(**) Basic SKU はレガシ SKU とみなされます。(**) The Basic SKU is considered a legacy SKU. Basic SKU には一定の機能制限があります。The Basic SKU has certain feature limitations. Basic SKU を使用するゲートウェイのサイズを変更し、新しいゲートウェイ SKU のいずれかにすることはできず、その代わり、新しい SKU に変更する必要があります。この場合、VPN ゲートウェイの削除と再作成が必要です。You can't resize a gateway that uses a Basic SKU to one of the new gateway SKUs, you must instead change to a new SKU, which involves deleting and recreating your VPN gateway.

ゲートウェイの SKU - 運用環境と開発テスト環境のワークロードGateway SKUs - Production vs. Dev-Test Workloads

SLA と機能セットに違いがあるため、運用環境と開発テスト環境には以下の SKU をお勧めします。Due to the differences in SLAs and feature sets, we recommend the following SKUs for production vs. dev-test:

ワークロードWorkload SKUSKUs
運用環境での重要なワークロードProduction, critical workloads VpnGw1、VpnGw2、VpnGw3VpnGw1, VpnGw2, VpnGw3
開発テストまたは概念実証Dev-test or proof of concept Basic (**)Basic (**)

(**) Basic SKU はレガシ SKU とみなされ、機能に制限があります。(**) The Basic SKU is considered a legacy SKU and has feature limitations. Basic SKU を使用する前に、必要としている機能がサポートされていることを確認してください。Verify that the feature that you need is supported before you use the Basic SKU.

古い SKU (レガシ) を使用している場合、運用環境で推奨される SKU は、Standard SKU と HighPerformance SKU です。If you are using the old SKUs (legacy), the production SKU recommendations are Standard and HighPerformance. 古い SKU の情報や指示事項については、ゲートウェイ SKU (レガシ) に関するページを参照してください。For information and instructions for old SKUs, see Gateway SKUs (legacy).

ゲートウェイの SKU を構成するConfigure a gateway SKU

Azure ポータルAzure portal

Azure Portal を使用して Resource Manager の仮想ネットワーク ゲートウェイを作成する場合、ドロップダウンを使用してワーク ゲートウェイ SKU を選択できます。If you use the Azure portal to create a Resource Manager virtual network gateway, you can select the gateway SKU by using the dropdown. 表示されるオプションは、選択したゲートウェイの種類と VPN の種類に対応します。The options you are presented with correspond to the Gateway type and VPN type that you select.


次の PowerShell の例では、-GatewaySku が VpnGw1 として指定されています。The following PowerShell example specifies the -GatewaySku as VpnGw1. PowerShell を使用してゲートウェイを作成する場合は、まず、IP 構成を作成してから、変数を使用して参照する必要があります。When using PowerShell to create a gateway, you have to first create the IP configuration, then use a variable to refer to it. この例では、構成変数は $gwipconfig となります。In this example, the configuration variable is $gwipconfig.

New-AzVirtualNetworkGateway -Name VNet1GW -ResourceGroupName TestRG1 `
-Location 'US East' -IpConfigurations $gwipconfig -GatewaySku VpnGw1 `
-GatewayType Vpn -VpnType RouteBased

Azure CLIAzure CLI

az network vnet-gateway create --name VNet1GW --public-ip-address VNet1GWPIP --resource-group TestRG1 --vnet VNet1 --gateway-type Vpn --vpn-type RouteBased --sku VpnGw1 --no-wait

SKU のサイズ変更または変更Resizing or changing a SKU

VPN ゲートウェイがあり、別のゲートウェイ SKU を使用する場合、使用可能なオプションは、ゲートウェイ SKU のサイズを変更するか、別の SKU に変更することです。If you have a VPN gateway and you want to use a different gateway SKU, your options are to either resize your gateway SKU, or to change to another SKU. 別のゲートウェイ SKU に変更する場合、既存のゲートウェイを完全に削除して、新しいゲートウェイを作成します。When you change to another gateway SKU, you delete the existing gateway entirely and build a new one. ゲートウェイの作成には、最大で 45 分かかる場合があります。A gateway can take up to 45 minutes to build. これと比較して、ゲートウェイ SKU のサイズを変更する場合は、ゲートウェイを削除して再構築する必要がないため、ダウンタイムはあまりありません。In comparison, when you resize a gateway SKU, there is not much downtime because you do not have to delete and rebuild the gateway. ゲートウェイ SKU を変更する代わりにサイズを変更するオプションが利用できる場合は、そのオプションを利用するようにしてください。If you have the option to resize your gateway SKU, rather than change it, you will want to do that. ただし、サイズ変更に関する以下の規則があります。However, there are rules regarding resizing:

  1. VpnGw1、VpnGw2、VpnGw3 SKU の間でサイズ変更できます。You can resize between VpnGw1, VpnGw2, and VpnGw3 SKUs.
  2. 古いゲートウェイ SKU では、Basic、Standard、HighPerformance SKU の間でサイズ変更できます。When working with the old gateway SKUs, you can resize between Basic, Standard, and HighPerformance SKUs.
  3. Basic/Standard/HighPerformance SKU から新しい VpnGw1/VpnGw2/VpnGw3 SKU にサイズ変更することはできませんYou cannot resize from Basic/Standard/HighPerformance SKUs to the new VpnGw1/VpnGw2/VpnGw3 SKUs. 代わりに新しい SKU に変更する必要があります。You must instead, change to the new SKUs.

ゲートウェイのサイズを変更するTo resize a gateway

現在の SKU (VpnGw1、VpnGw2、VPNGW3) について、ゲートウェイ SKU のサイズを変更して、より強力なものにアップグレードする場合は、Resize-AzVirtualNetworkGateway PowerShell コマンドレットを使用できます。For the current SKUs (VpnGw1, VpnGw2, and VPNGW3) you want to resize your gateway SKU to upgrade to a more powerful one, you can use the Resize-AzVirtualNetworkGateway PowerShell cmdlet. このコマンドレットを使用してゲートウェイ SKU のサイズをダウングレードすることもできます。You can also downgrade the gateway SKU size using this cmdlet. Basic ゲートウェイ SKU を使用している場合は、代わりに以下の手順を使用して、ゲートウェイのサイズを変更します。If you are using the Basic gateway SKU, use these instructions instead to resize your gateway.

次の PowerShell サンプルでは、ゲートウェイ SKU のサイズを VpnGw2 に変更しています。The following PowerShell example shows a gateway SKU being resized to VpnGw2.

$gw = Get-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg
Resize-AzVirtualNetworkGateway -VirtualNetworkGateway $gw -GatewaySku VpnGw2

Azure Portal でゲートウェイのサイズを変更することもできます。その場合は、ご利用の仮想ネットワーク ゲートウェイの [構成] ページに移動して、ドロップダウンから別の SKU を選択します。You can also resize a gateway in the Azure portal by going to the Configuration page for your virtual network gateway and selecting a different SKU from the dropdown.

古い (レガシ) SKU から新しい SKU に変更するTo change from an old (legacy) SKU to a new SKU

Resource Manager デプロイ モデルを使用している場合は、新しいゲートウェイ SKU に変更することができます。If you are working with the Resource Manager deployment model, you can change to the new gateway SKUs. 従来のゲートウェイ SKU から新しい SKU に変更するときに、既存の VPN ゲートウェイを削除し、新しい VPN ゲートウェイを作成します。When you change from a legacy gateway SKU to a new SKU, you delete the existing VPN gateway and create a new VPN gateway.


  1. 仮想ネットワーク ゲートウェイに対する接続を削除します。Remove any connections to the virtual network gateway.
  2. 古い VPN ゲートウェイを削除します。Delete the old VPN gateway.
  3. 新しい VPN ゲートウェイを作成します。Create the new VPN gateway.
  4. (サイト間接続の) 新しい VPN ゲートウェイの IP アドレスでオンプレミス VPN デバイスを更新します。Update your on-premises VPN devices with the new VPN gateway IP address (for Site-to-Site connections).
  5. このゲートウェイに接続する VNet 間ローカル ネットワーク ゲートウェイのゲートウェイ IP アドレスの値を更新します。Update the gateway IP address value for any VNet-to-VNet local network gateways that will connect to this gateway.
  6. この VPN ゲートウェイを介して仮想ネットワークに接続している P2S クライアント用に新しいクライアント VPN 構成パッケージをダウンロードします。Download new client VPN configuration packages for P2S clients connecting to the virtual network through this VPN gateway.
  7. 仮想ネットワーク ゲートウェイとの接続を作成し直します。Recreate the connections to the virtual network gateway.


  • 新しい SKU に移行するには、ご使用の VPN ゲートウェイが Resource Manager デプロイ モデルでなければなりません。To move to the new SKUs, your VPN gateway must be in the Resource Manager deployment model.
  • クラシック VPN ゲートウェイを使用している場合は、引き続きそのゲートウェイ用の古いレガシ SKU を使用する必要がありますが、レガシ SKU の間でサイズ変更することはできます。If you have a classic VPN gateway, you must continue using the older legacy SKUs for that gateway, however, you can resize between the legacy SKUs. 新しい SKU に変更することはできません。You cannot change to the new SKUs.
  • レガシ SKU から新しい SKU に変更した場合は、接続のダウンタイムが発生します。You will have connectivity downtime when you change from a legacy SKU to a new SKU.
  • 新しいゲートウェイ SKU に変更すると、使用している VPN ゲートウェイのパブリック IP アドレスが変わります。When changing to a new gateway SKU, the public IP address for your VPN gateway will change. これは、以前に使用したのと同じパブリック IP アドレス オブジェクトを指定した場合でも発生します。This happens even if you specify the same public IP address object that you used previously.

接続の種類Connection types

Resource Manager デプロイ モデルの各構成では、仮想ネットワーク ゲートウェイの接続の種類を指定する必要があります。In the Resource Manager deployment model, each configuration requires a specific virtual network gateway connection type. -ConnectionType に使用できる Resource Manager PowerShell 値は次のとおりです。The available Resource Manager PowerShell values for -ConnectionType are:

  • IPsecIPsec
  • Vnet2VnetVnet2Vnet
  • ExpressRouteExpressRoute
  • VPNClientVPNClient

次の PowerShell の例では、接続の種類 IPsecを必要とする S2S 接続を作成しています。In the following PowerShell example, we create a S2S connection that requires the connection type IPsec.

New-AzVirtualNetworkGatewayConnection -Name localtovon -ResourceGroupName testrg `
-Location 'West US' -VirtualNetworkGateway1 $gateway1 -LocalNetworkGateway2 $local `
-ConnectionType IPsec -RoutingWeight 10 -SharedKey 'abc123'

VPN の種類VPN types

VPN Gateway 構成に対して仮想ネットワーク ゲートウェイを作成する場合は、VPN の種類を指定する必要があります。When you create the virtual network gateway for a VPN gateway configuration, you must specify a VPN type. 選択する VPN の種類は、作成する接続トポロジによって異なります。The VPN type that you choose depends on the connection topology that you want to create. たとえば、P2S 接続の場合、VPN の種類は RouteBased である必要があります。For example, a P2S connection requires a RouteBased VPN type. VPN の種類は、使用しているハードウェアによっても異なる場合があります。A VPN type can also depend on the hardware that you are using. S2S 構成では、VPN デバイスが必要です。S2S configurations require a VPN device. 一部の VPN デバイスでは、特定の VPN の種類のみがサポートされます。Some VPN devices only support a certain VPN type.

選択した VPN の種類は、作成するソリューションのすべての接続要件を満たす必要があります。The VPN type you select must satisfy all the connection requirements for the solution you want to create. たとえば、同じ仮想ネットワークに対して、S2S VPN ゲートウェイ接続と P2S VPN ゲートウェイ接続を作成する必要がある場合は、VPN の種類として RouteBased を使用します。P2S では、VPN の種類が RouteBased である必要があるためです。For example, if you want to create a S2S VPN gateway connection and a P2S VPN gateway connection for the same virtual network, you would use VPN type RouteBased because P2S requires a RouteBased VPN type. VPN デバイスで RouteBased VPN 接続がサポートされていることも、確認する必要があります。You would also need to verify that your VPN device supported a RouteBased VPN connection.

一度作成された仮想ネットワーク ゲートウェイの VPN の種類を変更することはできません。Once a virtual network gateway has been created, you can't change the VPN type. 仮想ネットワーク ゲートウェイを削除し、新しいものを作成する必要があります。You have to delete the virtual network gateway and create a new one. 次の 2 つの種類の VPN があります。There are two VPN types:

  • PolicyBased: PolicyBased VPN は、以前は (クラシック デプロイ モデルでは) 静的ルーティング ゲートウェイと呼ばれていました。PolicyBased: PolicyBased VPNs were previously called static routing gateways in the classic deployment model. PolicyBased VPN では、パケットを暗号化し、オンプレミス ネットワークと Azure VNet の間でアドレスのプレフィックスの組み合わせで構成された IPsec ポリシーに基づいて、IPsec トンネル経由でそのパケットを送信します。Policy-based VPNs encrypt and direct packets through IPsec tunnels based on the IPsec policies configured with the combinations of address prefixes between your on-premises network and the Azure VNet. ポリシー (またはトラフィック セレクター) は、通常、VPN デバイスの構成でアクセス リストとして定義されます。The policy (or traffic selector) is usually defined as an access list in the VPN device configuration. PolicyBased VPN の種類の値は PolicyBasedです。The value for a PolicyBased VPN type is PolicyBased. PolicyBased VPN を使用する場合は、次の制限事項に留意してください。When using a PolicyBased VPN, keep in mind the following limitations:

    • PolicyBased VPN は、Basic ゲートウェイ SKU でのみ 使用できます。PolicyBased VPNs can only be used on the Basic gateway SKU. この種類の VPN には、その他のゲートウェイの SKU との互換性はありません。This VPN type is not compatible with other gateway SKUs.
    • PolicyBased VPN を使用する場合、設定できるトンネルは 1 つ だけです。You can have only 1 tunnel when using a PolicyBased VPN.
    • PolicyBased VPN は S2S 接続でのみ使用でき、また使用できる構成も特定のものに限られています。You can only use PolicyBased VPNs for S2S connections, and only for certain configurations. ほとんどの VPN Gateway 構成では、RouteBased VPN が必要です。Most VPN Gateway configurations require a RouteBased VPN.
  • RouteBased: RouteBased VPN は、以前は (クラシック デプロイ モデルでは) 動的ルーティング ゲートウェイと呼ばれていました。RouteBased: RouteBased VPNs were previously called dynamic routing gateways in the classic deployment model. RouteBased VPN は、IP 転送やルーティング テーブルの "ルート" を使用して、対応するトンネル インターフェイスにパケットを直接送信します。RouteBased VPNs use "routes" in the IP forwarding or routing table to direct packets into their corresponding tunnel interfaces. その後、トンネル インターフェイスではトンネルの内部または外部でパケットを暗号化または復号します。The tunnel interfaces then encrypt or decrypt the packets in and out of the tunnels. RouteBased VPN のポリシーまたはトラフィック セレクターは、任意の環境間 (またはワイルドカード) として構成できます。The policy (or traffic selector) for RouteBased VPNs are configured as any-to-any (or wild cards). RouteBased VPN の種類の値は RouteBasedです。The value for a RouteBased VPN type is RouteBased.

次の PowerShell の例では、 -VpnTypeRouteBasedに指定しています。The following PowerShell example specifies the -VpnType as RouteBased. ゲートウェイを作成するときは、-VpnType が構成に対して適切であることを確認する必要があります。When you are creating a gateway, you must make sure that the -VpnType is correct for your configuration.

New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig `
-GatewayType Vpn -VpnType RouteBased

ゲートウェイの要件Gateway requirements

次の表に、PolicyBased および RouteBased の VPN Gateway の要件を示します。The following table lists the requirements for PolicyBased and RouteBased VPN gateways. この表は、リソース マネージャーとクラシック デプロイ モデルの両方に適用されます。This table applies to both the Resource Manager and classic deployment models. クラシック モデルでは、PolicyBased VPN Gateway は静的ゲートウェイと同じです。また、RouteBased のゲートウェイは動的ゲートウェイと同じです。For the classic model, PolicyBased VPN gateways are the same as Static gateways, and Route-based gateways are the same as Dynamic gateways.

PolicyBased の Basic VPN GatewayPolicyBased Basic VPN Gateway RouteBased の Basic VPN GatewayRouteBased Basic VPN Gateway RouteBased の Standard VPN GatewayRouteBased Standard VPN Gateway RouteBased の HighPerformance VPN GatewayRouteBased High Performance VPN Gateway
サイト間接続 (S2S)Site-to-Site connectivity (S2S) PolicyBased VPN の構成PolicyBased VPN configuration RouteBased VPN の構成RouteBased VPN configuration RouteBased VPN の構成RouteBased VPN configuration RouteBased VPN の構成RouteBased VPN configuration
ポイント対サイト接続 (P2S)Point-to-Site connectivity (P2S) サポートされていませんNot supported サポートされています (S2S と共存可能)Supported (Can coexist with S2S) サポートされています (S2S と共存可能)Supported (Can coexist with S2S) サポートされています (S2S と共存可能)Supported (Can coexist with S2S)
認証方法Authentication method 事前共有キーPre-shared key S2S 接続用の事前共有キー、P2S 接続用の証明書Pre-shared key for S2S connectivity, Certificates for P2S connectivity S2S 接続用の事前共有キー、P2S 接続用の証明書Pre-shared key for S2S connectivity, Certificates for P2S connectivity S2S 接続用の事前共有キー、P2S 接続用の証明書Pre-shared key for S2S connectivity, Certificates for P2S connectivity
S2S 接続の最大数Maximum number of S2S connections 11 1010 1010 3030
P2S 接続の最大数Maximum number of P2S connections サポートされていませんNot supported 128128 128128 128128
アクティブ ルーティングのサポート (BGP) (*)Active routing support (BGP) (*) サポートされていませんNot supported サポートされていませんNot supported サポートされていますSupported サポートされていますSupported

(*) BGP はクラシック デプロイ モデルではサポートされません。(*) BGP is not supported for the classic deployment model.

ゲートウェイ サブネットGateway subnet

VPN ゲートウェイを作成する前に、ゲートウェイ サブネットを作成する必要があります。Before you create a VPN gateway, you must create a gateway subnet. ゲートウェイ サブネットには、仮想ネットワーク ゲートウェイの VM とサービスが使用する IP アドレスが含まれます。The gateway subnet contains the IP addresses that the virtual network gateway VMs and services use. 仮想ネットワーク ゲートウェイを作成すると、ゲートウェイ VM はゲートウェイ サブネットにデプロイされ、必要な VPN ゲートウェイ設定で構成されます。When you create your virtual network gateway, gateway VMs are deployed to the gateway subnet and configured with the required VPN gateway settings. ゲートウェイ サブネットには、追加の VM などをデプロイしないでください。Never deploy anything else (for example, additional VMs) to the gateway subnet. ゲートウェイ サブネットを正常に動作させるには、"GatewaySubnet" という名前を付ける必要があります。The gateway subnet must be named 'GatewaySubnet' to work properly. ゲートウェイ サブネットに "GatewaySubnet" という名前を付けることで、これが仮想ネットワーク ゲートウェイの VM とサービスをデプロイするサブネットであることを Azure が認識できます。Naming the gateway subnet 'GatewaySubnet' lets Azure know that this is the subnet to deploy the virtual network gateway VMs and services to.


宛先 であるルートを含むルート テーブルを、ゲートウェイ サブネットに関連付けないでください。Do not associate a route table that includes a route with a destination of to the gateway subnet. 関連付けると、ゲートウェイが正しく機能しなくなります。Doing so prevents the gateway from functioning properly.

ゲートウェイ サブネットを作成するときに、サブネットに含まれる IP アドレスの数を指定します。When you create the gateway subnet, you specify the number of IP addresses that the subnet contains. ゲートウェイ サブネット内の IP アドレスは、ゲートウェイ VM とゲートウェイ サービスに割り当てられます。The IP addresses in the gateway subnet are allocated to the gateway VMs and gateway services. 一部の構成では、他の構成よりも多くの IP アドレスを割り当てる必要があります。Some configurations require more IP addresses than others. 作成する構成の指示を調べて、作成するゲートウェイ サブネットがその要件を満たしていることを確認してください。Look at the instructions for the configuration that you want to create and verify that the gateway subnet you want to create meets those requirements. また、ゲートウェイ サブネットには、将来の構成の追加に対応できる十分な数の IP アドレスが含まれるようにしてください。Additionally, you may want to make sure your gateway subnet contains enough IP addresses to accommodate possible future additional configurations. /29 のような小さいゲートウェイ サブネットを作成できますが、/28 以上 (/28、/27、/26 など) のゲートウェイ サブネットを作成することをお勧めします。While you can create a gateway subnet as small as /29, we recommend that you create a gateway subnet of /28 or larger (/28, /27, /26 etc.). そうすれば、将来的に機能を追加する場合に、ゲートウェイを破棄し、ゲートウェイ サブネットを削除してから再作成して、より多くの IP アドレスを割り当てられるようにする必要がなくなります。That way, if you add functionality in the future, you won't have to tear your gateway, then delete and recreate the gateway subnet to allow for more IP addresses.

次の Resource Manager PowerShell の例では、GatewaySubnet という名前のゲートウェイ サブネットを示しています。The following Resource Manager PowerShell example shows a gateway subnet named GatewaySubnet. CIDR 表記で /27 を指定しています。これで既存のほとんどの構成で IP アドレスに十分対応できます。You can see the CIDR notation specifies a /27, which allows for enough IP addresses for most configurations that currently exist.

Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix


ゲートウェイ サブネットを使用する場合は、ゲートウェイ サブネットにネットワーク セキュリティ グループ (NSG) を関連付けないようにしてください。When working with gateway subnets, avoid associating a network security group (NSG) to the gateway subnet. このサブネットにネットワーク セキュリティ グループを関連付けると、VPN ゲートウェイが正常に動作しなくなることがあります。Associating a network security group to this subnet may cause your VPN gateway to stop functioning as expected. ネットワーク セキュリティ グループの詳細については、「ネットワーク セキュリティ グループ (NSG) について」を参照してください。For more information about network security groups, see What is a network security group?

ローカル ネットワーク ゲートウェイLocal network gateways

ローカル ネットワーク ゲートウェイは、仮想ネットワーク ゲートウェイとは異なります。A local network gateway is different than a virtual network gateway. VPN ゲートウェイの構成を作成する場合、通常、ローカル ネットワーク ゲートウェイはオンプレミスの場所を表します。When creating a VPN gateway configuration, the local network gateway usually represents your on-premises location. クラシック デプロイ モデルでは、ローカル ネットワーク ゲートウェイはローカル サイトとして参照されます。In the classic deployment model, the local network gateway was referred to as a Local Site.

ローカル ネットワーク ゲートウェイに名前とオンプレミス VPN デバイスのパブリック IP アドレスを指定し、オンプレミスの場所に存在するアドレスのプレフィックスを指定します。You give the local network gateway a name, the public IP address of the on-premises VPN device, and specify the address prefixes that are located on the on-premises location. Azure は、ネットワーク トラフィックの宛先アドレスのプレフィックスを参照して、ローカル ネットワーク ゲートウェイに指定された構成を確認し、それに応じてパケットをルーティングします。Azure looks at the destination address prefixes for network traffic, consults the configuration that you have specified for your local network gateway, and routes packets accordingly. また、VPN ゲートウェイ接続を使用している VNet 間の構成に対して、ローカル ネットワーク ゲートウェイを指定します。You also specify local network gateways for VNet-to-VNet configurations that use a VPN gateway connection.

次の PowerShell の例では、新しいローカル ネットワーク ゲートウェイを作成します。The following PowerShell example creates a new local network gateway:

New-AzLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg `
-Location 'West US' -GatewayIpAddress '' -AddressPrefix ''

場合によっては、ローカル ネットワーク ゲートウェイ設定を変更する必要があります。Sometimes you need to modify the local network gateway settings. たとえば、アドレス範囲を追加または変更する場合や、VPN デバイスの IP アドレスが変更された場合などです。For example, when you add or modify the address range, or if the IP address of the VPN device changes. PowerShell を使用したローカル ネットワーク ゲートウェイの設定の変更」を参照してください。See Modify local network gateway settings using PowerShell.

REST API、PowerShell コマンドレット、および CLIREST APIs, PowerShell cmdlets, and CLI

VPN Gateway 構成に対して REST API、PowerShell コマンドレット、または Azure CLI を使用する場合のテクニカル リソースおよび具体的な構文の要件については、次のページを参照してください。For additional technical resources and specific syntax requirements when using REST APIs, PowerShell cmdlets, or Azure CLI for VPN Gateway configurations, see the following pages:

クラシックClassic Resource ManagerResource Manager
PowerShellPowerShell PowerShellPowerShell
サポートされていませんNot supported Azure CLIAzure CLI

次の手順Next steps

使用可能な接続構成の詳細については、「VPN Gateway の構成設定について」を参照してください。For more information about available connection configurations, see About VPN Gateway.