VPN Gateway に関する FAQ

仮想ネットワークへの接続

仮想ネットワークは異なる Azure リージョン間でも接続できますか。

はい。 リージョンにより制限されることはありません。 特定の仮想ネットワークから、同一リージョン内の別の仮想ネットワーク、または別の Azure リージョンに存在する別の仮想ネットワークに接続できます。

異なるサブスクリプションの仮想ネットワークに接続することはできますか。

はい。

VPN Gateway を構成するときに、自分の VNet にプライベート DNS サーバーを指定できますか。

VNet の作成時に DNS サーバーを指定した場合、VPN Gateway では指定した DNS サーバーが使用されます。 DNS サーバーを指定する場合は、DNS サーバーが Azure に必要なドメイン名を解決できることを確認してください。

1 つの仮想ネットワークから複数のサイトに接続できますか。

Windows PowerShell および Azure REST API を使用して複数のサイトに接続することができます。 詳細については、「 マルチサイトと VNet 間接続 」の FAQ を参照してください。

VPN ゲートウェイをアクティブ/アクティブとして設定する場合、追加のコストがかかりますか。

いいえ。

クロスプレミス接続にはどのようなオプションがありますか。

次のようなクロスプレミス接続がサポートされています。

  • サイト間接続 - IPsec (IKE v1 および IKE v2) 経由での VPN 接続。 この種類の接続には、VPN デバイスまたは RRAS が必要です。 詳細については、サイト間接続に関するページを参照してください。
  • ポイント対サイト接続 – SSTP (Secure Socket トンネリング プロトコル) 経由での VPN 接続または IKE v2。 この接続では、VPN デバイスは不要です。 詳細については、ポイント対サイト接続に関するページを参照してください。
  • VNet 間接続 - この種類の接続は、サイト間構成の場合と同じです。 VNet 間接続では IPsec (IKE v1 および IKE v2) 経由で VPN 接続を確立します。 VPN デバイスは不要です。 詳細については、VNet 間接続に関するページを参照してください。
  • マルチサイト接続 - これはサイト間構成の一種で、複数のオンプレミス サイトから仮想ネットワークに接続するものです。 詳細については、マルチサイト接続に関するページを参照してください。
  • ExpressRoute 接続 - ExpressRoute 接続は、パブリックなインターネットを経由した VPN 接続ではなく、WAN から Azure へのプライベート接続です。 詳細については、「ExpressRoute の技術概要」および「ExpressRoute の FAQ」をご覧ください。

VPN Gateway の接続の詳細については、「VPN Gateway について」をご覧ください。

サイト間接続とポイント対サイト接続の違いを教えてください。

サイト間 (IPsec/IKE VPN トンネル) 構成は、オンプレミスの場所と Azure の間で行われます。 つまり、ルーティングとアクセス許可の構成に従って、オンプレミスの場所に存在する任意のコンピューターと仮想ネットワーク内に存在する任意の仮想マシンやロール インスタンスを接続できます。 このオプションはクロスプレミス接続として常に使用可能で、ハイブリッド構成にも適しています。 この種類の接続は IPsec VPN アプライアンス (ハードウェア デバイスまたはソフト アプライアンス) に依存します。このアプライアンスは、ネットワークの境界にデプロイされる必要があります。 この種類の接続を作成するには、外部に公開された IPv4 アドレスが必要です。

ポイント対サイト (VPN over SSTP) 構成では、任意の場所に存在する 1 台のコンピューターから仮想ネットワーク内に存在する任意のデバイスに接続できます。 この接続では、Windows に組み込み済みの VPN クライアントを使用します。 ポイント対サイト構成の一部として、証明書と VPN クライアント構成パッケージをインストールします。このパッケージには、コンピューターを仮想ネットワーク内の任意の仮想マシンまたはロール インスタンスに接続できるようにする設定が含まれています。 これは仮想ネットワークに接続する場合には適していますが、オンプレミスに存在している場合は適していません。 また、このオプションは VPN ハードウェアにアクセスできない場合や外部に公開された IPv4 アドレスが存在しない場合にも便利ですが、このどちらでもサイト間接続が必須となります。

VPN の種類がルート ベースのゲートウェイを使用してサイト間接続を作成すれば、サイト間接続とポイント対サイト接続の両方を同時に使用するように仮想ネットワークを構成できます。 VPN の種類がルート ベースのゲートウェイは、クラシック デプロイ モデルでは動的ゲートウェイと呼ばれます。

プライバシー

VPN サービスによって顧客データは保存または処理されますか?

いいえ。

仮想ネットワーク ゲートウェイ

VPN ゲートウェイは仮想ネットワーク ゲートウェイですか。

VPN ゲートウェイは仮想ネットワーク ゲートウェイの一種です。 VPN ゲートウェイは、仮想ネットワークとオンプレミスの場所の間でパブリック接続を使って暗号化されたトラフィックを送信します。 仮想ネットワーク間のトラフィックの送信に VPN Gateway を使うこともできます。 VPN ゲートウェイを作成するときは、GatewayType に値 'Vpn' を使用します。 詳細については、「VPN Gateway の設定について」をご覧ください。

ポリシーベース (静的ルーティング) ゲートウェイとは何ですか。

ポリシー ベースのゲートウェイとは、ポリシー ベースの VPN を実装したものです。 ポリシー ベースの VPN では、パケットを暗号化し、オンプレミス ネットワークと Azure VNet の間でアドレスのプレフィックスの組み合わせに基づいて IPsec トンネル経由でそのパケットを送信します。 ポリシー (またはトラフィック セレクター) は、通常、VPN の構成でアクセス リストとして定義されます。

ルートベース (動的ルーティング) ゲートウェイとは何ですか。

ルート ベースのゲートウェイは、ルート ベースの VPN を実装したものです。 ルート ベースの VPN は、「ルート」を使用して、IP 転送やルーティング テーブルを使用してパケットを対応するトンネル インターフェイスに直接送信します。 その後、トンネル インターフェイスではトンネルの内部または外部でパケットを暗号化または復号します。 ルート ベースの VPN に向けたポリシーまたはトラフィック セレクターは任意の環境間 (またはワイルドカード) として構成されます。

独自のポリシー ベースのトラフィック セレクターを指定できますか?

はい。トラフィック セレクターは、New-AzIpsecTrafficSelectorPolicy PowerShell コマンドを使用して、接続の trafficSelectorPolicies 属性で定義できます。 指定したトラフィック セレクターを有効にする場合は、ポリシー ベースのトラフィック セレクターを使用するオプションが有効になっている必要があります。

ポリシー ベースの VPN ゲートウェイをルート ベースに更新できますか。

いいえ。 ゲートウェイの種類は、ポリシー ベースからルート ベースに変更することも、ルート ベースからポリシー ベースに変更することもできません。 ゲートウェイの種類を変更するには、ゲートウェイを削除してから再作成する必要があります。 このプロセスには約 60 分かかります。 新しいゲートウェイを作成するときに、元のゲートウェイの IP アドレスを保持することはできません。

  1. ゲートウェイに関連付けられているすべての接続を削除してください。

  2. ゲートウェイを削除するには、次のいずれかの記事を利用します。

  3. 目的のゲートウェイの種類を使用して新しいゲートウェイを作成してから、VPN の設定を行います。 手順については、サイト間のチュートリアルを参照してください。

'GatewaySubnet' は必要ですか。

はい。 ゲートウェイ サブネットには、仮想ネットワーク ゲートウェイ サービスが使用する IP アドレスが含まれます。 仮想ネットワーク ゲートウェイを構成するには、VNet のゲートウェイ サブネットを作成する必要があります。 すべてのゲートウェイ サブネットを正常に動作させるには、'GatewaySubnet' という名前を付ける必要があります。 ゲートウェイ サブネットに他の名前を付けないでください。 また、ゲートウェイ サブネットには VM などをデプロイしないでください。

ゲートウェイ サブネットを作成するときに、サブネットに含まれる IP アドレスの数を指定します。 ゲートウェイ サブネット内の IP アドレスは、ゲートウェイ サービスに割り当てられます。 一部の構成では、他の構成よりも多くの IP アドレスをゲートウェイ サービスに割り当てる必要があります。 ゲートウェイ サブネットには、将来の拡大や新しい接続構成の追加に対応できる十分な IP アドレスが含まれるようにしてください。 そのため、/29 のような小さいゲートウェイ サブネットを作成できますが、/27 以上 (/27、/26、/25 など) のゲートウェイ サブネットを作成することをお勧めします。 作成する構成の要件を調べて、ゲートウェイ サブネットがその要件を満たしていることを確認してください。

ゲートウェイ サブネットに仮想マシンやロール インスタンスをデプロイできますか。

いいえ。

ゲートウェイを作成する前に VPN ゲートウェイの IP アドレスを取得できますか。

ゾーン冗長とゾーン ゲートウェイ (名前に AZ が入っているゲートウェイ SKU) は、どちらも Standard SKU の Azure のパブリック IP リソースに依存しています。 Azure の Standard SKU のパブリック IP リソースでは、静的な割り当て方法を使用する必要があります。 そのため、使用する Standard SKU のパブリック IP リソースを作成するとすぐに、VPN ゲートウェイ用のパブリック IP アドレスが作成されます。

ゾーン冗長および非ゾーン ゲートウェイ (名前に AZ が入って いない ゲートウェイ SKU) の場合、VPN ゲートウェイの IP アドレスを作成する前に取得することはできません。 IP アドレスが変更されるのは、VPN ゲートウェイを削除してもう一度作成した場合だけです。

VPN Gateway に静的なパブリック IP アドレスを指定することはできますか。

前述のとおり、ゾーン冗長とゾーン ゲートウェイ (名前に AZ が入っているゲートウェイ SKU) は、どちらも Standard SKU の Azure のパブリック IP リソースに依存しています。 Azure の Standard SKU のパブリック IP リソースでは、静的な割り当て方法を使用する必要があります。

ゾーン冗長および非ゾーン ゲートウェイ (名前に AZ が入って いない ゲートウェイ SKU) の場合、動的 IP アドレスの割り当てのみがサポートされます。 ただし、これは IP アドレスがご使用の VPN ゲートウェイに割り当てられた後に変更されるという意味ではありません。 VPN ゲートウェイの IP アドレスが変更されるのは、ゲートウェイが削除されてから、再度作成された場合だけです。 VPN ゲートウェイのパブリック IP アドレスは、VPN ゲートウェイのサイズ変更、リセット、またはその他の内部メンテナンスまたはアップグレードを完了しても変更されません。

VPN トンネルの認証を取得する方法を教えてください。

Azure の VPN では PSK (事前共有キー) の認証を使用します。 事前共有キー (PSK) は VPN トンネルを作成したときに生成されます。 自分で使用するために自動生成した PSK は、PowerShell コマンドレットまたは REST API の Set Pre-Shared Key を使用して変更できます。

ポリシー ベース (静的ルーティング) ゲートウェイ VPN を構成する際に Set Pre-Shared Key API を使用できますか。

はい。Set Pre-Shared Key API および PowerShell コマンドレットは、Azure のポリシー ベース (静的ルーティング) VPN とルート ベース (動的ルーティング) VPN のどちらを構成する場合にも使用できます。

ほかの認証オプションを使用することはできますか

事前共有キー (PSK) による認証のみに制限されています。

VPN ゲートウェイを通過するトラフィックの種類は、どのようにすれば指定できますか。

Resource Manager デプロイ モデル

  • PowerShell: "AddressPrefix" を使用してローカル ネットワーク ゲートウェイのトラフィックを指定します。
  • Azure Portal: ローカル ネットワーク ゲートウェイ、[構成]、[アドレス空間] の順に移動します。

クラシック デプロイ モデル

  • Azure Portal: クラシック仮想ネットワーク、[VPN 接続]、[サイト対サイト VPN 接続]、ローカル サイト名、[ローカル サイト]、[クライアント アドレス空間] の順に移動します。

VPN 接続で NAT-T を使用できますか。

はい。NAT トラバーサル (NAT-T) がサポートされています。 Azure VPN Gateway によって、NAT に類似する機能が、内部パケットで IPsec トンネルに対して実行されることはありません。 この構成では、オンプレミスのデバイスによって IPSec トンネルが開始されるようにします。

Azure で自社の VPN サーバーをセットアップし、オンプレミス ネットワークへの接続に使用することはできますか。

はい。Azure Marketplace から、または自社の VPN ルーターを作成して、自社の VPN ゲートウェイやサーバーを Azure 内にデプロイできます。 仮想ネットワーク内でユーザー定義ルートを構成して、オンプレミス ネットワークと仮想ネットワークのサブネットの間でトラフィックが適切にルーティングされるようにする必要があります。

仮想ネットワーク ゲートウェイで特定のポートが開かれているのはなぜですか。

Azure インフラストラクチャの通信に必要です。 これらのポートは、Azure の証明書によって保護 (ロックダウン) されます。 対象のゲートウェイの顧客を含め、適切な証明書を持たない外部エンティティは、これらのエンドポイントに影響を与えることはできません。

仮想ネットワーク ゲートウェイは基本的に、1 枚の NIC が顧客のプライベート ネットワークに接続され、1 枚の NIC がパブリック ネットワークに面しているマルチホーム デバイスです。 Azure インフラストラクチャのエンティティは、コンプライアンス上の理由から顧客のプライベート ネットワークに接続できないため、インフラストラクチャの通信用にパブリック エンドポイントを使用する必要があります。 パブリック エンドポイントは、Azure のセキュリティ監査によって定期的にスキャンされます。

ゲートウェイの種類、要件、およびスループットの詳細について教えてください。

詳細については、「VPN Gateway の設定について」をご覧ください。

サイト間接続と VPN デバイス

VPN デバイスを選択する場合の考慮事項について教えてください。

Microsoft では、デバイス ベンダーと協力して複数の標準的なサイト間 VPN デバイスを検証しました。 互換性が確認されている VPN デバイス、それに対応する構成の手順またはサンプル、デバイスの仕様の一覧は VPN デバイスに関する記事で確認できます。 互換性が確認されているデバイス ファミリに属するすべてのデバイスも仮想ネットワークで動作します。 VPN デバイスを構成するには、デバイスの構成サンプル、または適切なデバイス ファミリに対応するリンクを参照してください。

VPN デバイスの構成設定はどこにありますか。

VPN デバイス構成スクリプトをダウンロードするには

ご利用の VPN デバイスによっては、VPN デバイス構成スクリプトをダウンロードできる場合があります。 詳細については、VPN デバイス構成スクリプトのダウンロードに関するページを参照してください。

その他の構成情報については、次のリンクを参照してください

VPN デバイス構成サンプルは、どのように編集すればよいですか。

デバイス構成サンプルの編集については、サンプルの編集に関するセクションを参照してください。

IPsec および IKE パラメーターはどこにありますか。

IPsec/IKE のパラメーターについては、パラメーターに関するセクションを参照してください。

トラフィックがアイドル状態のときにポリシー ベースの VPN トンネルがダウンするのはなぜですか。

これは、ポリシー ベースの (静的ルーティングとも呼ばれる) VPN ゲートウェイの予期される動作です。 トンネル経由のトラフィックが 5 分以上アイドル状態になると、トンネルは破棄されます。 どちらかの方向のトラフィック フローが開始されると、トンネルはすぐに再び確立されます。

ソフトウェア VPN を使用して Azure に接続することはできますか。

Windows Server 2012 ルーティングとリモート アクセス (RRAS) サーバーでは、クロスプレミス構成のサイト間接続をサポートしています。

その他のソフトウェア VPN ソリューションについては、業界標準の IPsec の実装に準拠していればマイクロソフトのゲートウェイで動作します。 構成とサポートの手順については、ソフトウェアのベンダーにお問い合わせください。

ポイント対サイト - 証明書認証

このセクションは、Resource Manager デプロイ モデルに適用されます。

ポイント対サイト構成で保持できる VPN クライアント エンドポイントの最大数を教えてください。

それは、ゲートウェイ SKU によって異なります。 サポートされる接続の数の詳細については、「ゲートウェイの SKU」を参照してください。

ポイント対サイト接続で使用できるクライアント オペレーティング システムを教えてください。

次のクライアント オペレーティング システムがサポートされています。

  • Windows Server 2008 R2 (64 ビットのみ)
  • Windows 8.1 (32 ビットと 64 ビット)
  • Windows Server 2012 (64 ビットのみ)
  • Windows Server 2012 R2 (64 ビットのみ)
  • Windows Server 2016 (64 ビットのみ)
  • Windows Server 2019 (64 ビットのみ)
  • Windows 10
  • macOS バージョン 10.11 以上
  • Linux (StrongSwan)
  • iOS

注意

2018 年 7 月 1 日以降、Azure VPN Gateway では TLS 1.0 および 1.1 のサポートが終了します。 VPN Gateway では、TLS 1.2 のみがサポートされるようになります。 サポートを維持するには、TLS1.2 のサポートを有効にする更新プログラムに関するページを参照してください。

さらに、次の TLS 用レガシ アルゴリズムも 2018 年 7 月 1 日に廃止される予定です。

  • RC4 (Rivest Cipher 4)
  • DES (データ暗号化アルゴリズム)
  • 3DES (トリプル データ暗号化アルゴリズム)
  • MD5 (Message Digest 5)

Windows 8.1 で TLS 1.2 のサポートを有効にするにはどうすればよいですか。

  1. コマンド プロンプト を右クリックし 管理者として実行 を選択して、昇格した特権でコマンド プロンプトを開きます。

  2. コマンド プロンプトで次のコマンドを実行します。

    reg add HKLM\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13 /v TlsVersion /t REG_DWORD /d 0xfc0
    reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0
    if %PROCESSOR_ARCHITECTURE% EQU AMD64 reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0
    
  3. 次の更新プログラムをインストールします。

  4. コンピューターを再起動します。

  5. VPN に接続します。

注意

以前のバージョンの Windows 10 (10240) を実行している場合は、上記のレジストリ キーを設定する必要があります。

プロキシやファイアウォールを経由してポイント対サイト接続の機能を使用できますか。

Azure では、次の 3 種類のポイント対サイト VPN オプションをサポートしています。

  • Secure Socket Tunneling Protocol (SSTP)。 SSTP は、ほとんどのファイアウォールが 443 SSL で使用される送信 TCP ポートを開いているためにファイアウォールを通過できる、Microsoft 独自の SSL ベースのソリューションです。

  • OpenVPN。 OpenVPN は、ほとんどのファイアウォールが 443 SSL で使用される送信 TCP ポートを開いているためにファイアウォールを通過できる、SSL ベースのソリューションです。

  • IKEv2 VPN。 IKEv2 VPN は標準ベースの IPsec VPN ソリューションであり、送信 UDP ポート 500 と 4500 のほか、IP プロトコル番号 50 を使用しています。 ファイアウォールでここに挙げたポートが必ずしも開いているとは限りません。このため、IKEv2 VPN ではプロキシとファイアウォールを通過できないことがあります。

ポイント対サイト接続用に構成されたクライアント コンピューターを再起動した場合、VPN は自動的に再接続されますか。

既定では、クライアント コンピューターの再起動時には VPN の自動再接続は行われません。

ポイント対サイトの自動再接続と VPN クライアントの DDNS はサポートされていますか。

ポイント対サイト VPN では、自動再接続と DDNS は現時点ではサポートされていません。

サイト間接続およびポイント対サイト接続の構成は、同一仮想ネットワークに共存させることはできますか。

はい。 Resource Manager デプロイ モデルの場合には、ゲートウェイにルートベースの VPN が必要になります。 クラシック デプロイ モデルの場合は、動的ゲートウェイが必要です。 静的ルーティング VPN ゲートウェイと、ポリシーベースの VPN ゲートウェイでは、ポイント対サイト接続はサポートされません。

ポイント対サイト接続のクライアントを同時に複数の仮想ネットワーク ゲートウェイに接続するように構成することはできますか。

使用される VPN クライアント ソフトウェアによっては、接続先の仮想ネットワークにおいて、それらの間で、または接続元のクライアントのネットワークとの間で、競合するアドレス空間がない場合、複数の Virtual Network ゲートウェイに接続できることがあります。 Azure VPN クライアントでは多くの VPN 接続がサポートされていますが、一度に接続できる接続は 1 つだけです。

ポイント対サイト接続のクライアントを同時に複数の仮想ネットワークに接続するように構成することはできますか。

はい。他の VNet とピアリングされている VNet にデプロイされている仮想ネットワーク ゲートウェイへのポイント対サイト クライアント接続は、ピアリングされた他の VNet にアクセスできる可能性があります。 ピアリングされた VNet が UseRemoteGateway または AllowGatewayTransit 機能を使用している場合、ポイント対サイト クライアントは、ピアリングされた VNet に接続できます。 詳細については、ポイント対サイト ルーティングに関する記事を参照してください。

サイト間接続またはポイント対サイト接続ではどの程度のスループットが得られますか。

VPN トンネルのスループットを正確に一定レベルに維持することは困難です。 IPsec と SSTP は、VPN プロトコルの中でも暗号化処理の負荷が高いものです。 また、スループットはオンプレミスとインターネットの間の待機時間や帯域幅によっても制限されます。 IKEv2 ポイント対サイト VPN 接続のみを使用する VPN ゲートウェイでは、期待できるスループットの総量がゲートウェイの SKU に応じて変わります。 スループットの詳細については、「ゲートウェイの SKU」を参照してください。

SSTP や IKEv2 をサポートしているポイント対サイト接続では、ソフトウェア VPN クライアントを使用できますか。

いいえ。 SSTP については Windows のネイティブ VPN クライアント、IKEv2 については Mac のネイティブ VPN クライアントのみ使用できます。 ただし、すべてのプラットフォーム上で OpenVPN クライアントを使用して、OpenVPN プロトコル経由で接続できます。 サポートされているクライアント オペレーティング システムの一覧を参照してください。

ポイント対サイト接続の認証の種類は変更できますか。

はい。 ポータルで、 [VPN ゲートウェイ] -> [ポイント対サイトの構成] ページに移動します。 [認証の種類] で、使用する認証の種類を選択します。 認証の種類を変更した後、新しい VPN クライアント構成プロファイルが生成され、ダウンロードされて、各 VPN クライアントに適用されるまで、現在のクライアントが接続できない場合があることに注意してください。

Azure は、Windows で IKEv2 VPN をサポートしていますか。

IKEv2 は、Windows 10 および Windows Server 2016 でサポートされています。 ただし、特定の OS バージョンで IKEv2 を使用するには、更新プログラムをインストールして、ローカルでレジストリ キーの値を設定する必要があります。 Windows 10 以前の OS バージョンはサポートされておらず、それらのバージョンで使用できるのは SSTP または OpenVPN® プロトコル のみであることに注意してください。

注: Windows 10 バージョン 1709 および Windows Server 2016 バージョン 1607 よりも新しい Windows OS ビルドでは、これらの手順は不要です。

Windows 10 または Windows Server 2016 を IKEv2 用に準備するには:

  1. OS のバージョンに基づいて更新プログラムをインストールします。

    OS バージョン Date 数/リンク
    Windows Server 2016
    Windows 10 バージョン 1607
    2018 年 1 月 17 日 KB4057142
    Windows 10 バージョン 1703 2018 年 1 月 17 日 KB4057144
    Windows 10 バージョン 1709 2018 年 3 月 22 日 KB4089848
  2. レジストリ キーの値を設定します。 レジストリの "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload" REG_DWORD キーを作成するか、または 1 に設定します。

P2S VPN 接続に対して SSTP と IKEv2 の両方を構成した場合、何が起こりますか。

Windows デバイスと Mac デバイスが混在する環境で SSTP と IKEv2 の両方を構成すると、Windows VPN クライアントは必ず最初に IKEv2 トンネルを試行します。ただし、IKEv2 接続が成功しなかった場合 SSTP にフォールバックします。 MacOSX は IKEv2 経由のみで接続します。

Windows と Mac 以外に、Azure が P2S VPN 向けにサポートしている他のプラットフォームはありますか。

Azure では、P2S VPN 向けに Windows、Mac、および Linux がサポートされています。

Azure VPN Gateway を既にデプロイしています。 ここで RADIUS または IKEv2 VPN または両方を有効にできますか。

はい。使用しているゲートウェイ SKU で RADIUS または IKEv2 (あるいはその両方) がサポートされている場合は、PowerShell または Azure portal を使用して既にデプロイしたゲートウェイでこれらの機能を有効にすることができます。 Basic SKU では RADIUS も IKEv2 もサポートされていないことに注意してください。

P2S 接続の構成を削除するにはどうすればよいですか。

P2S 構成は、次のコマンドを使って Azure CLI と PowerShell を使用して削除できます。

Azure PowerShell

$gw=Get-AzVirtualNetworkGateway -name <gateway-name>`  
$gw.VPNClientConfiguration = $null`  
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw`

Azure CLI

az network vnet-gateway update --name <gateway-name> --resource-group <resource-group name> --remove "vpnClientConfiguration"

証明書認証を使用した接続時、証明書が一致しないと表示された場合、どうすればよいでしょうか。

手動でプロファイルを作成するとき、 [証明書を検証してサーバーの ID を検証する] チェック ボックスをオフにするか、証明書と共にサーバーの FQDN を追加 します。 これを行うには、コマンド プロンプトから rasphone を実行し、ドロップ ダウン リストからプロファイルを選択します。

一般に、サーバー ID の検証は回避しないようお勧めします。ただし、Azure 証明書認証では、VPN トンネリング プロトコル (IKEv2 または SSTP) と EAP プロトコルとで同じ証明書がサーバー検証に使用されます。 サーバー証明書と FQDN は VPN トンネリング プロトコルによって既に検証済みであるため、EAP で再度検証する必要はありません。

ポイント対サイトの認証

内部 PKI ルート CA を使用して、ポイント対サイト接続用に証明書を生成できますか?

はい。 以前は、自己署名ルート証明書のみを使用できました。 現在も 20 ルート証明書までアップロードできます。

Azure Key Vault の証明書を使用できますか?

いいえ。

証明書の作成にどのようなツールを使用できますか。

エンタープライズ PKI ソリューション (内部 PKI)、Azure PowerShell、MakeCert、OpenSSL を使用できます。

証明書の設定およびパラメーターに関する指示はありますか。

  • 内部 PKI/エンタープライズ PKI ソリューション: 証明書を生成する手順を参照してください。

  • Azure PowerShell: 手順については、Azure PowerShell の記事を参照してください。

  • MakeCert: 手順については、MakeCert の記事を参照してください。

  • OpenSSL:

    • 証明書をエクスポートするときは、ルート証明書を Base64 に変換してください。

    • クライアント証明書の場合:

      • 秘密キーを作成する際は、長さを 4096 として指定します。
      • 証明書を作成する際は、 -extensions パラメーターに usr_cert を指定します。

ポイント対サイト - RADIUS 認証

このセクションは、Resource Manager デプロイ モデルに適用されます。

ポイント対サイト構成で保持できる VPN クライアント エンドポイントの最大数を教えてください。

それは、ゲートウェイ SKU によって異なります。 サポートされる接続の数の詳細については、「ゲートウェイの SKU」を参照してください。

ポイント対サイト接続で使用できるクライアント オペレーティング システムを教えてください。

次のクライアント オペレーティング システムがサポートされています。

  • Windows Server 2008 R2 (64 ビットのみ)
  • Windows 8.1 (32 ビットと 64 ビット)
  • Windows Server 2012 (64 ビットのみ)
  • Windows Server 2012 R2 (64 ビットのみ)
  • Windows Server 2016 (64 ビットのみ)
  • Windows Server 2019 (64 ビットのみ)
  • Windows 10
  • macOS バージョン 10.11 以上
  • Linux (StrongSwan)
  • iOS

注意

2018 年 7 月 1 日以降、Azure VPN Gateway では TLS 1.0 および 1.1 のサポートが終了します。 VPN Gateway では、TLS 1.2 のみがサポートされるようになります。 サポートを維持するには、TLS1.2 のサポートを有効にする更新プログラムに関するページを参照してください。

さらに、次の TLS 用レガシ アルゴリズムも 2018 年 7 月 1 日に廃止される予定です。

  • RC4 (Rivest Cipher 4)
  • DES (データ暗号化アルゴリズム)
  • 3DES (トリプル データ暗号化アルゴリズム)
  • MD5 (Message Digest 5)

Windows 8.1 で TLS 1.2 のサポートを有効にするにはどうすればよいですか。

  1. コマンド プロンプト を右クリックし 管理者として実行 を選択して、昇格した特権でコマンド プロンプトを開きます。

  2. コマンド プロンプトで次のコマンドを実行します。

    reg add HKLM\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13 /v TlsVersion /t REG_DWORD /d 0xfc0
    reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0
    if %PROCESSOR_ARCHITECTURE% EQU AMD64 reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0
    
  3. 次の更新プログラムをインストールします。

  4. コンピューターを再起動します。

  5. VPN に接続します。

注意

以前のバージョンの Windows 10 (10240) を実行している場合は、上記のレジストリ キーを設定する必要があります。

プロキシやファイアウォールを経由してポイント対サイト接続の機能を使用できますか。

Azure では、次の 3 種類のポイント対サイト VPN オプションをサポートしています。

  • Secure Socket Tunneling Protocol (SSTP)。 SSTP は、ほとんどのファイアウォールが 443 SSL で使用される送信 TCP ポートを開いているためにファイアウォールを通過できる、Microsoft 独自の SSL ベースのソリューションです。

  • OpenVPN。 OpenVPN は、ほとんどのファイアウォールが 443 SSL で使用される送信 TCP ポートを開いているためにファイアウォールを通過できる、SSL ベースのソリューションです。

  • IKEv2 VPN。 IKEv2 VPN は標準ベースの IPsec VPN ソリューションであり、送信 UDP ポート 500 と 4500 のほか、IP プロトコル番号 50 を使用しています。 ファイアウォールでここに挙げたポートが必ずしも開いているとは限りません。このため、IKEv2 VPN ではプロキシとファイアウォールを通過できないことがあります。

ポイント対サイト接続用に構成されたクライアント コンピューターを再起動した場合、VPN は自動的に再接続されますか。

既定では、クライアント コンピューターの再起動時には VPN の自動再接続は行われません。

ポイント対サイトの自動再接続と VPN クライアントの DDNS はサポートされていますか。

ポイント対サイト VPN では、自動再接続と DDNS は現時点ではサポートされていません。

サイト間接続およびポイント対サイト接続の構成は、同一仮想ネットワークに共存させることはできますか。

はい。 Resource Manager デプロイ モデルの場合には、ゲートウェイにルートベースの VPN が必要になります。 クラシック デプロイ モデルの場合は、動的ゲートウェイが必要です。 静的ルーティング VPN ゲートウェイと、ポリシーベースの VPN ゲートウェイでは、ポイント対サイト接続はサポートされません。

ポイント対サイト接続のクライアントを同時に複数の仮想ネットワーク ゲートウェイに接続するように構成することはできますか。

使用される VPN クライアント ソフトウェアによっては、接続先の仮想ネットワークにおいて、それらの間で、または接続元のクライアントのネットワークとの間で、競合するアドレス空間がない場合、複数の Virtual Network ゲートウェイに接続できることがあります。 Azure VPN クライアントでは多くの VPN 接続がサポートされていますが、一度に接続できる接続は 1 つだけです。

ポイント対サイト接続のクライアントを同時に複数の仮想ネットワークに接続するように構成することはできますか。

はい。他の VNet とピアリングされている VNet にデプロイされている仮想ネットワーク ゲートウェイへのポイント対サイト クライアント接続は、ピアリングされた他の VNet にアクセスできる可能性があります。 ピアリングされた VNet が UseRemoteGateway または AllowGatewayTransit 機能を使用している場合、ポイント対サイト クライアントは、ピアリングされた VNet に接続できます。 詳細については、ポイント対サイト ルーティングに関する記事を参照してください。

サイト間接続またはポイント対サイト接続ではどの程度のスループットが得られますか。

VPN トンネルのスループットを正確に一定レベルに維持することは困難です。 IPsec と SSTP は、VPN プロトコルの中でも暗号化処理の負荷が高いものです。 また、スループットはオンプレミスとインターネットの間の待機時間や帯域幅によっても制限されます。 IKEv2 ポイント対サイト VPN 接続のみを使用する VPN ゲートウェイでは、期待できるスループットの総量がゲートウェイの SKU に応じて変わります。 スループットの詳細については、「ゲートウェイの SKU」を参照してください。

SSTP や IKEv2 をサポートしているポイント対サイト接続では、ソフトウェア VPN クライアントを使用できますか。

いいえ。 SSTP については Windows のネイティブ VPN クライアント、IKEv2 については Mac のネイティブ VPN クライアントのみ使用できます。 ただし、すべてのプラットフォーム上で OpenVPN クライアントを使用して、OpenVPN プロトコル経由で接続できます。 サポートされているクライアント オペレーティング システムの一覧を参照してください。

ポイント対サイト接続の認証の種類は変更できますか。

はい。 ポータルで、 [VPN ゲートウェイ] -> [ポイント対サイトの構成] ページに移動します。 [認証の種類] で、使用する認証の種類を選択します。 認証の種類を変更した後、新しい VPN クライアント構成プロファイルが生成され、ダウンロードされて、各 VPN クライアントに適用されるまで、現在のクライアントが接続できない場合があることに注意してください。

Azure は、Windows で IKEv2 VPN をサポートしていますか。

IKEv2 は、Windows 10 および Windows Server 2016 でサポートされています。 ただし、特定の OS バージョンで IKEv2 を使用するには、更新プログラムをインストールして、ローカルでレジストリ キーの値を設定する必要があります。 Windows 10 以前の OS バージョンはサポートされておらず、それらのバージョンで使用できるのは SSTP または OpenVPN® プロトコル のみであることに注意してください。

注: Windows 10 バージョン 1709 および Windows Server 2016 バージョン 1607 よりも新しい Windows OS ビルドでは、これらの手順は不要です。

Windows 10 または Windows Server 2016 を IKEv2 用に準備するには:

  1. OS のバージョンに基づいて更新プログラムをインストールします。

    OS バージョン Date 数/リンク
    Windows Server 2016
    Windows 10 バージョン 1607
    2018 年 1 月 17 日 KB4057142
    Windows 10 バージョン 1703 2018 年 1 月 17 日 KB4057144
    Windows 10 バージョン 1709 2018 年 3 月 22 日 KB4089848
  2. レジストリ キーの値を設定します。 レジストリの "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload" REG_DWORD キーを作成するか、または 1 に設定します。

P2S VPN 接続に対して SSTP と IKEv2 の両方を構成した場合、何が起こりますか。

Windows デバイスと Mac デバイスが混在する環境で SSTP と IKEv2 の両方を構成すると、Windows VPN クライアントは必ず最初に IKEv2 トンネルを試行します。ただし、IKEv2 接続が成功しなかった場合 SSTP にフォールバックします。 MacOSX は IKEv2 経由のみで接続します。

Windows と Mac 以外に、Azure が P2S VPN 向けにサポートしている他のプラットフォームはありますか。

Azure では、P2S VPN 向けに Windows、Mac、および Linux がサポートされています。

Azure VPN Gateway を既にデプロイしています。 ここで RADIUS または IKEv2 VPN または両方を有効にできますか。

はい。使用しているゲートウェイ SKU で RADIUS または IKEv2 (あるいはその両方) がサポートされている場合は、PowerShell または Azure portal を使用して既にデプロイしたゲートウェイでこれらの機能を有効にすることができます。 Basic SKU では RADIUS も IKEv2 もサポートされていないことに注意してください。

P2S 接続の構成を削除するにはどうすればよいですか。

P2S 構成は、次のコマンドを使って Azure CLI と PowerShell を使用して削除できます。

Azure PowerShell

$gw=Get-AzVirtualNetworkGateway -name <gateway-name>`  
$gw.VPNClientConfiguration = $null`  
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw`

Azure CLI

az network vnet-gateway update --name <gateway-name> --resource-group <resource-group name> --remove "vpnClientConfiguration"

RADIUS 認証はすべての Azure VPN Gateway SKU でサポートされていますか。

RADIUS 認証は VpnGw1、VpnGw2、VpnGw3 の 3 つの SKU でサポートされています。 従来の SKU を使用している場合は、Standard と High Performance の SKU に限り RADIUS 認証をサポートしています。 Basic Gateway SKU ではサポートされていません。

クラシック デプロイ モデルでは RADIUS 認証がサポートされていますか。

いいえ。 クラシック デプロイ モデルでは、RADIUS 認証がサポートされていません。

RADIUS サーバーに送信される RADIUS 要求のタイムアウト期間はどのくらいですか。

RADIUS 要求は 30 秒後にタイムアウトになるように設定されています。 ユーザー定義のタイムアウト値は現在、サポートされていません。

サードパーティ製の RADIUS サーバーはサポートされていますか。

はい。サードパーティ製の RADIUS サーバーはサポートされています。

Azure ゲートウェイがオンプレミスの RADIUS サーバーに到達するための接続の要件は何ですか。

オンプレミスのサイトに対する VPN サイト対サイト接続が必要です (適切なルートが構成されている必要があります)。

ExpressRoute 接続を使って (Azure VPN ゲートウェイから) オンプレミスの RADIUS サーバーに対するトラフィックをルーティングすることはできますか。

いいえ。 そのようなトラフィックは、サイト対サイト接続でのみルーティングできます。

RADIUS 認証でサポートされる SSTP 接続の数に変更はありますか。 サポートされる SSTP 接続と IKEv2 接続の最大数はそれぞれどのくらいですか。

RADIUS 認証を使用するゲートウェイでサポートされる SSTP 接続の最大数には変更ありません。 SSTP に対しては 128 のままですが、IKEv2 のゲートウェイ SKU によって異なります。 サポートされる接続の数の詳細については、「ゲートウェイの SKU」を参照してください。

RADIUS サーバーを使った証明書認証と Azure ネイティブ証明書認証を使った証明書認証 (信頼された証明書を Azure にアップロードする) の違いは何ですか。

RADIUS による証明書認証では、認証要求が実際に証明書の検証処理を担当する RADIUS サーバーに転送されます。 このオプションは、RADIUS を使用する証明書認証インフラストラクチャが既にあり、それを統合したい場合に有用です。

証明書認証に Azure を使用する場合には、Azure VPN ゲートウェイが証明書の検証を担当します。 ユーザーの側では、ゲートウェイに証明書の公開キーをアップロードする必要があります。 このほか、接続を許可してはならない失効した証明書の一覧を指定することもできます。

RADIUS 認証は、IKEv2 と SSTP VPN の両方で機能しますか。

はい、RADIUS 認証は、IKEv2 と SSTP VPN の両方でサポートされています。

RADIUS 認証は、OpenVPN クライアントで機能しますか。

OpenVPN プロトコルでは、PowerShell を介してのみ、RADIUS 認証がサポートされます。

VNet 間接続とマルチサイト接続

VNet 間接続の FAQ は VPN ゲートウェイ接続が対象となります。 VNet ピアリングについては、「仮想ネットワーク ピアリング」を参照してください。

Azure では VNet 間のトラフィックに対して料金が発生しますか。

VPN ゲートウェイ接続を使用している場合は、同じリージョン内の VNet 間トラフィックは双方向で無料です。 リージョンを越えて送信される VNet 間エグレス トラフィックには、ソース リージョンに基づき、アウトバウンド VNet 内データ転送料金が課せられます。 詳細については、VPN Gateway の価格に関するページを参照してください。 VPN ゲートウェイではなく VNet ピアリングを使用して VNet を接続している場合は、Virtual Network の価格に関するページを参照してください。

VNet 間のトラフィックは、インターネット経由で送信されますか。

いいえ。 VNet 間のトラフィックは、インターネットではなく Microsoft Azure のバックボーンを経由して送信されます。

Azure Active Directory (AAD) テナント間で VNet 間接続を確立できますか。

はい、Azure VPN ゲートウェイを使用する VNet 間接続は、AAD テナント間で動作します。

VNet 間のトラフィックはセキュリティで保護されていますか。

はい、IPsec/IKE 暗号化で保護されます。

VNet 同士を接続するには VPN デバイスが必要ですか。

いいえ。 複数の Azure 仮想ネットワークを接続するときに、VPN デバイスは必要ありません (クロスプレミス接続が必要な場合を除く)。

VNet は同じリージョンに属している必要がありますか。

いいえ。 仮想ネットワークが属している Azure リージョン (場所) は異なっていてもかまいません。

VNet が同じサブスクリプションに存在しない場合、サブスクリプションが同じ Active Directory テナントに関連付けられている必要がありますか。

いいえ。

別々の Azure インスタンスに存在する仮想ネットワークを VNet 間接続で接続することはできますか。

いいえ。 VNet 間接続でサポートされるのは、同じ Azure インスタンス内の仮想ネットワークの接続だけです。 たとえば、グローバル Azure と中国/ドイツ/米国政府の Azure インスタンスとの間で接続を作成することはできません。 これらのシナリオについては、サイト間 VPN 接続の使用をご検討ください。

VNet 間接続はマルチサイト接続と併用できますか。

はい。 仮想ネットワーク接続は、マルチサイト VPN と同時に使用することができます。

1 つの仮想ネットワークから接続できるオンプレミス サイトと仮想ネットワークの数を教えてください。

ゲートウェイの要件」の表を参照してください。

VNet 間接続を使用して VNet の外部の VM やクラウド サービスを接続することはできますか。

いいえ。 VNet 間接続によって仮想ネットワークを接続できます。 仮想ネットワーク内に存在しない仮想マシンやクラウド サービスを接続することはできません。

クラウド サービスや負荷分散エンドポイントは複数の VNet にまたがることができますか。

いいえ。 クラウド サービスや負荷分散エンドポイントは、仮にそれらが相互に接続されていたとしても、仮想ネットワークの境界を越えることはできません。

VNet 間接続やマルチサイト接続にポリシー ベースの VPN の種類を使用することはできますか。

いいえ。 VNet 間接続とマルチサイト接続には、VPN の種類がルート ベース (以前は "動的ルーティング" と呼ばれていました) である Azure VPN Gateway が必要です。

VPN の種類がルート ベースの VNet を VPN の種類がポリシー ベースの VNet に接続できますか。

いいえ、両方の仮想ネットワークでルート ベース (以前は "動的ルーティング" と呼ばれていました) の VPN を使用している必要があります。

VPN トンネルは帯域幅を共有しますか。

はい。 仮想ネットワークのすべての VPN トンネルは、Azure VPN ゲートウェイ上の使用可能な帯域幅を共有し、Azure 内の同じ VPN ゲートウェイ アップタイム SLA を共有します。

冗長トンネルはサポートされますか。

1 つの仮想ネットワーク ゲートウェイがアクティブ/アクティブ構成になっている場合、仮想ネットワークのペア間の冗長トンネルがサポートされます。

VNet 間接続の構成で、重複するアドレス空間を使用できますか。

いいえ。 重複する IP アドレス範囲は使用できません。

接続されている仮想ネットワークとオンプレミスのローカル サイトで、重複するアドレス空間を使用できますか。

いいえ。 重複する IP アドレス範囲は使用できません。

サイト間 VPN 接続と ExpressRoute の間のルーティングを有効にするにはどうすればいいですか。

ExpressRoute に接続されているブランチと、サイト間 VPN 接続に接続されているブランチとの間のルーティングを有効にするには、Azure Route Server をセットアップする必要があります。

オンプレミス サイトや別の仮想ネットワークに向けてトラフィックを通過させるときに、Azure VPN Gateway を使用できますか。

Resource Manager デプロイ モデル
はい。 詳細については、「BGP」セクションを参照してください。

クラシック デプロイ モデル
クラシック デプロイ モデルを使用して Azure VPN Gateway 経由でトラフィックを通過させることは可能です。この場合、ネットワーク構成ファイル内の静的に定義されたアドレス空間が使用されます。 BGP はまだ、クラシック デプロイ モデルを使用した Azure Virtual Network と VPN Gateway ではサポートされていません。 BGP が使用できない場合、手動で通過アドレス空間を定義すると非常にエラーが発生しやすいため、これは推奨していません。

Azure では、同一仮想ネットワークのすべての VPN 接続に対して同一の IPsec/IKE 事前共有キーが生成されるのですか。

いいえ、既定では、Azure は異なる VPN 接続に対してそれぞれ異なる事前共有キーを生成します。 ただし、Set VPN Gateway Key REST API または PowerShell コマンドレットを使用すると、お好みのキー値を設定することができます。 キーは印刷可能な ASCII 文字でなければなりません。

1 つの仮想ネットワークのよりも多くのサイト間 VPN を確立した方がより広い帯域幅を得られるのでしょうか。

いいえ、ポイント対サイト VPN を含むすべての VPN トンネルは、同一の Azure VPN Gateway とそこで利用可能な帯域幅を共有します。

仮想ネットワークとオンプレミス サイトの間に、マルチサイト VPN を使用して複数のトンネルを構成できますか。

はい。ただし、両方のトンネルの BGP を同じ場所に構成する必要があります。

Azure VPN Gateway では、AS パス プリペンドが優先され、これがオンプレミス サイトへの複数の接続間でのルーティング決定に影響しますか。

はい。Azure VPN Gateway では、BGP が有効になっているとき、ルーティングの決定を支援するために AS パス プリペンドが優先されます。 BGP パスの選択では、より短い AS パスが優先されます。

仮想ネットワークを持つポイント対サイト VPN を複数の VPN トンネルで使用できますか。

はい、ポイント対サイト (P2S) VPN は複数のオンプレミス サイトおよび他の仮想ネットワークに接続されている VPN ゲートウェイで使用できます。

IPsec VPN を使用している仮想ネットワークを自社の ExpressRoute 回線に接続できますか。

はい、これはサポートされています。 詳細については、 共存する ExpressRoute とサイト間 VPN の接続の構成を参照してください。

IPsec/IKE ポリシー

カスタム IPsec/IKE ポリシーはすべての Azure VPN Gateway SKU でサポートされていますか。

カスタム IPsec/IKE ポリシーは、Basic SKU を除くすべての Azure SKU でサポートされています。

1 つの接続に対してポリシーはいくつ指定できますか。

ある特定の接続に対して指定できるポリシーの組み合わせは 1 つ だけです。

接続に対してポリシーを部分的に指定することはできますか (IKE アルゴリズムのみ指定し、IPsec は指定しないなど)。

いいえ。IKE (メイン モード) と IPsec (クイック モード) の両方について、すべてのアルゴリズムとパラメーターを指定する必要があります。 ポリシーを部分的に指定することはできません。

カスタム ポリシーでサポートされるアルゴリズムとキーの強度を教えてください。

以下の表は、サポートされている暗号アルゴリズムと、ユーザーが構成できるキーの強度を一覧にしたものです。 各フィールドについて、オプションを 1 つ選択する必要があります。

IPsec/IKEv2 [オプション]
IKEv2 暗号化 AES256、AES192、AES128、DES3、DES
IKEv2 整合性 SHA384、SHA256、SHA1、MD5
DH グループ DHGroup24、ECP384、ECP256、DHGroup14 (DHGroup2048)、DHGroup2、DHGroup1、なし
IPsec 暗号化 GCMAES256、GCMAES192、GCMAES128、AES256、AES192、AES128、DES3、DES、なし
IPsec 整合性 GCMAES256、GCMAES192、GCMAES128、SHA256、SHA1、MD5
PFS グループ PFS24、ECP384、ECP256、PFS2048、PFS2、PFS1、なし
QM SA の有効期間 秒 (整数: 最小 300/既定値 27,000 秒)
キロバイト数 (整数: 最小 1024/既定値 102,400,000 キロバイト)
トラフィック セレクター UsePolicyBasedTrafficSelectors ($True/$False - 既定値 $False)

重要

  • DHGroup2048 および PFS2048 は、IKE および IPsec PFS の Diffie-Hellman グループ 14 と同じです。 完全なマッピングについては、Diffie-Hellman グループに関するセクションを参照してください。
  • GCMAES アルゴリズムでは、IPSec 暗号化と整合性の両方に同じ GCMAES アルゴリズムとキーの長さを指定する必要があります。
  • Azure VPN ゲートウェイでは、IKEv2 メイン モード SA の有効期間が 28,800 秒に固定されます
  • QM SA の有効期間は省略可能なパラメーターです。 指定されていない場合は、既定値の 27,000 秒 (7.5 時間) および 102,400,000 キロバイト (102 GB) が使用されます。
  • UsePolicyBasedTrafficSelector は接続に関する省略可能なパラメーターです。 "UsePolicyBasedTrafficSelectors" については、次の FAQ 項目を参照してください。

Azure VPN Gateway のポリシーとオンプレミス VPN デバイスの構成とが、すべて一致してる必要はありますか。

ご使用のオンプレミス VPN デバイスの構成は、Azure IPsec/IKE ポリシーで指定した次のアルゴリズムおよびパラメーターと一致している (または含んでいる) 必要があります。

  • IKE 暗号化アルゴリズム
  • IKE 整合性アルゴリズム
  • DH グループ
  • IPsec 暗号化アルゴリズム
  • IPsec 整合性アルゴリズム
  • PFS グループ
  • トラフィック セレクター (*)

SA の有効期間は、ローカルの指定のみとなります。一致している必要はありません。

UsePolicyBasedTrafficSelectors を有効にした場合は、Azure Virtual Network プレフィックスとの間で双方向に、オンプレミス ネットワーク (ローカル ネットワーク ゲートウェイ) プレフィックスのすべての組み合わせに対応するトラフィック セレクターがご使用の VPN デバイスに定義されている必要があります (any-to-any は不可)。 たとえば、オンプレミス ネットワークのプレフィックスが 10.1.0.0/16 と 10.2.0.0/16 で、仮想ネットワークのプレフィックスが 192.168.0.0/16 と 172.16.0.0/16 である場合、次のトラフィック セレクターを指定する必要があります。

  • 10.1.0.0/16 <====> 192.168.0.0/16
  • 10.1.0.0/16 <====> 172.16.0.0/16
  • 10.2.0.0/16 <====> 192.168.0.0/16
  • 10.2.0.0/16 <====> 172.16.0.0/16

詳細については、複数のオンプレミスのポリシーベース VPN デバイスへの接続に関する記事を参照してください。

どの Diffie-Hellman グループがサポートされていますか。

次の表に、IKE (DHGroup) と IPsec (PFSGroup) でサポートされている Diffie-Hellman グループを示します。

Diffie-Hellman グループ DHGroup PFSGroup キーの長さ
1 DHGroup1 PFS1 768 ビット MODP
2 DHGroup2 PFS2 1024 ビット MODP
14 DHGroup14
DHGroup2048
PFS2048 2048 ビット MODP
19 ECP256 ECP256 256 ビット ECP
20 ECP384 ECP384 384 ビット ECP
24 DHGroup24 PFS24 2048 ビット MODP

詳細については、RFC3526 および RFC5114 を参照してください。

Azure VPN ゲートウェイに対する既定の IPsec/IKE ポリシー セットは、カスタム ポリシーによって置き換えられるのでしょうか。

はい。特定の接続に対してカスタム ポリシーが指定されると、Azure VPN ゲートウェイは、IKE イニシエーターと IKE レスポンダーのどちらとして機能する場合も、その接続に対してそのポリシーのみを使用するようになります。

カスタム IPsec/IKE ポリシーを削除した場合、接続は保護されなくなるのですか。

いいえ。接続は引き続き IPsec/IKE によって保護されます。 接続からカスタム ポリシーが削除されると、Azure VPN ゲートウェイは、既定の IPsec/IKE 候補リストに復帰し、オンプレミス VPN デバイスとの間で再度 IKE ハンドシェイクを開始します。

IPsec/IKE ポリシーを追加または更新した場合、VPN 接続は中断されますか。

はい。短時間 (数秒) の中断が生じる可能性があります。Azure VPN ゲートウェイは、既存の接続を破棄します。そのうえで、IKE ハンドシェイクを再開し、新しい暗号アルゴリズムとパラメーターで IPsec トンネルを再度確立します。 中断を最小限に抑えるために、対応するアルゴリズムおよびキーの強度を使ってオンプレミス VPN デバイスが構成されていることを確認してください。

接続ごとに異なるポリシーを使用することはできますか。

はい。 カスタム ポリシーは接続ごとに適用されます。 接続ごとに異なる IPsec/IKE ポリシーを作成して適用することができます。 また、接続の一部に対してカスタム ポリシーを適用することもできます。 それ以外の部分では、Azure の既定の IPsec/IKE ポリシー セットが使用されます。

カスタム ポリシーは VNet 間接続にも使用できますか。

はい。カスタム ポリシーは、IPsec クロスプレミス接続と VNet 間接続のどちらにでも適用できます。

VNet 間接続の両方のリソースに同じポリシーを指定する必要はありますか。

はい。 VNet 間トンネルは、Azure 内の 2 つの接続リソースで構成されます (1 方向につき 1 つ)。 両方の接続リソースに同じポリシーを適用する必要があります。それ以外の場合、VNet 間接続は確立されません。

DPD タイムアウトの既定値は何ですか。 別の DPD タイムアウトを指定できますか。

既定の DPD タイムアウトは 45 秒です。 各 IPsec または VNet 間接続で、9 秒から 3600 秒の間で異なる DPD タイムアウト値を指定できます。

ExpressRoute 接続でカスタム IPsec/IKE ポリシーは機能しますか。

いいえ。 IPsec/IKE ポリシーは、Azure VPN ゲートウェイを介した VNet 間接続と S2S VPN 接続でのみ機能します。

プロトコルの種類 IKEv1 または IKEv2 で接続を作成するにはどうすればよいですか?

IKEv1 接続は、Basic SKU、Standard SKU、およびその他のレガシ SKU を除く、VPN の種類が RouteBased のすべての SKU で作成できます。 接続の作成時に、接続プロトコルの種類として IKEv1 または IKEv2 を指定できます。 接続プロトコルの種類を指定しない場合は、IKEv2 が既定のオプションとして使用されます (該当する場合)。 詳細については、PowerShell コマンドレットのドキュメントを参照してください。 SKU の種類と IKEv1 または IKEv2 のサポートについては、ポリシーベースの VPN デバイスへのゲートウェイの接続に関するページを参照してください。

IKEv1 と IKEv2 の接続間での転送は許可されていますか?

はい。 IKEv1 と IKEv2 の接続間での転送はサポートされています。

VPN の種類が RouteBased の Basic SKU で IKEv1 のサイト間接続を利用できますか?

いいえ。 Basic SKU は、これをサポートしていません。

接続の作成後に接続プロトコルの種類を変更できますか (IKEv1 から IKEv2 またはその逆)?

いいえ。 接続が作成されたら、IKEv1 または IKEv2 プロトコルを変更することはできません。 削除し、必要なプロトコルの種類を使用して新しい接続を作成し直す必要があります。

IPsec の詳細な構成情報はどこで入手できますか。

S2S または VNet-to-VNet 接続の IPsec/IKE ポリシーの構成に関するページを参照してください。

BGP とルーティング

BGP はすべての Azure VPN Gateway SKU でサポートされていますか。

BGP は、Basic SKU を除くすべての Azure VPN Gateway SKU でサポートされています。

Azure Policy の VPN ゲートウェイでは BGP を使用できますか。

いいえ、BGP は、ルートベースの VPN ゲートウェイでのみサポートされています。

どの AS 番号 (自律システム番号) を使用できますか。

オンプレミスのネットワークと Azure 仮想ネットワークの両方に対して独自のパブリック AS 番号またはプライベート AS 番号を使用できます。 Azure または IANA によって予約されている範囲を使用することはできません。

次の ASN は、Azure または IANA によって予約されています。

  • Azure によって予約済みの ASN:

    • パブリック ASN: 8074、8075、12076
    • プライベート ASN: 65515、65517、65518、65519、65520
  • IANA によって予約済みの ASN:

    • 23456、64496 ~ 64511、65535 ~ 65551、および 429496729

これらの ASN は、Azure VPN ゲートウェイに接続する際にオンプレミスの VPN デバイスには指定できません。

32 ビット (4 バイト) の AS 番号を使用できますか。

はい、VPN Gateway では 32 ビット (4 バイト) の AS 番号がサポートされるようになりました。 10 進数形式の AS 番号を使用してを構成するには、PowerShell、Azure CLI、または Azure SDK を使用します。

どのプライベート AS 番号を使用できますか。

プライベート AS 番号の有効な範囲は次のとおりです。

  • 64512から 65514 および 65521 から 65534

これらの AS 番号は、IANA または Azure で使用するために予約されていないため、Azure VPN ゲートウェイに割り当てるために使用できます。

VPN Gateway では、BGP ピア IP にどのようなアドレスが使用されますか。

VPN Gateway は、既定では GatewaySubnet 範囲から 1 つの IP アドレスをアクティブ/スタンバイ VPN ゲートウェイに割り当てるか、2 つの IP アドレスをアクティブ/アクティブ VPN ゲートウェイに割り当てます。 これらのアドレスは、VPN ゲートウェイの作成時に自動的に割り当てられます。 PowerShell を使用するか、Azure portal で特定することによって、実際に割り当てられた BGP IP アドレスを取得できます。 PowerShell で Get-AzVirtualNetworkGateway を使用し、bgpPeeringAddress プロパティを探します。 Azure portal の [ゲートウェイの構成] ページで、 [BGP AS 番号の構成] プロパティを確認します。

オンプレミスの VPN ルーターが BGP IP アドレスとして APIPA IP アドレス (169.254.x.x) を使用している場合は、Azure VPN ゲートウェイで、追加の Azure APIPA BGP IP アドレス を指定する必要があります。 Azure VPN Gateway では、ローカル ネットワーク ゲートウェイに指定されているオンプレミスの APIPA BGP ピアで使用する APIPA アドレス、または非 APIPA のオンプレミス BGP ピア用のプライベート IP アドレスが選択されます。 詳細については、「BGP を構成する」を参照してください。

VPN デバイスの BGP ピア IP アドレスに関する要件はどんなものですか。

オンプレミスの BGP ピア アドレスを、ご使用の VPN デバイスまたは VPN ゲートウェイの VNet アドレス空間のパブリック IP アドレスと同じにすることはできません。 VPN デバイスでは BGP ピア IP に別の IP アドレスを使用してください。 デバイス上のループバック インターフェイスに割り当てられたアドレス (通常の IP アドレスまたは APIPA アドレス) を使用することができます。 デバイスで BGP に APIPA アドレスを使用する場合は、「BGP を構成する」の説明に従って、Azure VPN ゲートウェイで APIPA BGP IP アドレスを指定する必要があります。 この場所を表している、対応するローカル ネットワーク ゲートウェイにこのアドレスを指定します。

BGP を使用する際、ローカル ネットワーク ゲートウェイのアドレス プレフィックスとして何を指定する必要がありますか。

重要

これは、以前に記載された要件からの変更です。 接続に BGP を使用する場合は、対応するローカル ネットワーク ゲートウェイ リソースの [アドレス空間] フィールドを空のままにしておきます。 Azure VPN Gateway では、IPsec トンネルを介したオンプレミスの BGP ピア IP へのホスト ルートが内部的に追加されます。 [アドレス空間] フィールドに /32 ルートを追加しないでください。 これは冗長であり、APIPA アドレスをオンプレミスの VPN デバイスの BGP IP として使用する場合、このフィールドに追加することはできません。 [アドレス空間] フィールドにその他のプレフィックスを追加すると、BGP 経由で学習したルートに加えて、Azure VPN ゲートウェイで静的ルートとして追加されます。

オンプレミスの VPN ネットワークと Azure 仮想ネットワークの両方に同じ AS 番号を使用できますか。

いいえ、BGP を使用して接続している場合は、オンプレミスのネットワークと Azure 仮想ネットワークに異なる AS 番号を割り当てる必要があります。 Azure VPN ゲートウェイには、クロスプレミス接続向けに BGP が有効になっているかどうかにかかわらず、AS 番号の既定値として 65515 が割り当てられています。 VPN ゲートウェイを作成する際に異なる AS 番号を割り当てて既定値をオーバーライドするか、ゲートウェイの作成後に AS 番号を変更することができます。 対応する Azure ローカル ネットワーク ゲートウェイにオンプレミスの AS 番号を割り当てる必要があります。

Azure VPN ゲートウェイはどのようなアドレス プレフィックスをアドバタイズしますか。

ゲートウェイでは、オンプレミスの BGP デバイスに次のルートをアドバタイズします。

  • 仮想ネットワークのアドレス プレフィックス。
  • Azure VPN ゲートウェイに接続されている各ローカル ネットワーク ゲートウェイのアドレス プレフィックス。
  • Azure VPN ゲートウェイに接続されている他の BGP ピアリング セッションから学習したルート。ただし、既定のルートまたは仮想ネットワーク プレフィックスと重複しているルートは除外されます。

何個のプレフィックスを Azure VPN Gateway にアドバタイズできますか。

Azure VPN Gateway では最大 4,000 個のプレフィックスがサポートされます。 プレフィックスの数がこの制限を超えると、BGP セッションは切断されます。

Azure VPN ゲートウェイへの既定のルート (0.0.0.0/0) をアドバタイズすることはできますか。

はい。 これにより、すべての仮想ネットワークのエグレス トラフィックがオンプレミス サイトに強制的に送信されることに注意してください。 また、仮想ネットワーク VM が、インターネットからのパブリック通信 (RDP や SSH など) をインターネットから VM に直接受け入れなくなります。

自分の仮想ネットワーク プレフィックスとまったく同じプレフィックスをアドバタイズすることはできますか。

いいえ、お使いの仮想ネットワーク アドレス プレフィックスのいずれかと同じプレフィックスのアドバタイズは、Azure によってブロックされるか、フィルター処理されます。 ただし、仮想ネットワークの内部に存在するアドレス空間のスーパーセットであるプレフィックスをアドバタイズすることができます。

たとえば、仮想ネットワークでアドレス空間 10.0.0.0/16 を使用した場合、10.0.0.0/8 をアドバタイズすることができます。 しかし、10.0.0.0/16 や 10.0.0.0/24 をアドバタイズすることはできません。

仮想ネットワーク間の接続に BGP を使用できますか。

はい、クロスプレミス接続と仮想ネットワーク間接続の両方で BGP を使用できます。

Azure VPN ゲートウェイで BGP 接続を BGP 以外の接続と混在させることはできますか。

はい、同じ Azure VPN ゲートウェイに対して BGP 接続と非 BGP 接続の両方を混在させることができます。

Azure VPN Gateway では、BGP トランジット ルーティングをサポートしていますか。

はい。BGP トランジット ルーティングはサポートされています。ただし、Azure VPN ゲートウェイは既定のルートを他の BGP ピアにアドバタイズしません。 複数の Azure VPN ゲートウェイでトランジット ルーティングを有効にするには、仮想ネットワーク間のすべての中間接続で BGP を有効にする必要があります。 詳細については、BGP に関する記事を参照してください。

Azure VPN ゲートウェイとオンプレミス ネットワークの間で複数のトンネルを確立することはできますか。

はい、Azure VPN ゲートウェイとオンプレミス ネットワークの間に複数のサイト間 (S2S) VPN トンネルを確立することができます。 これらのトンネルはすべて Azure VPN ゲートウェイのトンネルの合計数にカウントされる点に注意してください。さらに、両方のトンネルの BGP を有効にする必要があります。

たとえば、Azure VPN ゲートウェイとオンプレミス ネットワークのいずれかの間に 2 つの冗長トンネルがある場合は、Azure VPN ゲートウェイの合計クォータから 2 つのトンネルが消費されることになります。

BGP で 2 つの Azure 仮想ネットワークの間に複数のトンネルを確立することはできますか。

はい。ただし、少なくとも 1 つの仮想ネットワーク ゲートウェイが、アクティブ/アクティブ構成になっている必要があります。

Azure ExpressRoute とサイト間 VPN の共存構成でサイト間 VPN に BGP を使用することはできますか。

はい。

BGP ピアリング セッション向けにオンプレミスの VPN デバイスに何を追加する必要がありますか。

VPN デバイスに Azure BGP ピア IP アドレスのホスト ルートを追加します。 このルートは、IPsec サイト間 VPN トンネルを指しています。 たとえば、Azure VPN ピア IP が 10.12.255.30 の場合は、10.12.255.30 のホスト ルートを VPN デバイスに追加し、対応する IPsec トンネル インターフェイスの次ホップ インターフェイスを指定する必要があります。

仮想ネットワーク ゲートウェイは、BGP を使用したサイト間接続用の BFD をサポートしていますか。

いいえ。 双方向転送検出 (BFD) は、標準の BGP "keepalive" を使用するよりも、近隣のダウンタイムを迅速に検出するために BGP で使用できるプロトコルです。 BFD では、LAN 環境で動作するように設計された秒未満タイマーが使用されますが、パブリック インターネットやワイド エリア ネットワーク接続向けであはりません。

パブリック インターネット経由の接続では、特定のパケットが遅延したりドロップされたりすることは珍しくありません。そのため、これらの積極的なタイマーの導入は不安定さを増長する可能性があります。 この不安定さによって、ルートが BGP によって抑制される可能性があります。 別の方法として、既定の 60 秒の "keepalive" 間隔と 180 秒のホールド タイマーより低いタイマーを使用してオンプレミスのデバイスを構成することができます。 その結果、収束時間が短縮されます。

Azure VPN ゲートウェイは、BGP ピアリング セッションまたは接続を開始しますか?

ゲートウェイは、VPN ゲートウェイのプライベート IP アドレスを使用して、ローカル ネットワーク ゲートウェイ リソースに指定されたオンプレミス BGP ピア IP アドレスに対する BGP ピアリング セッションを開始します。 オンプレミス BGP IP アドレスが APIPA 範囲内にあるか、通常のプライベート IP アドレスであるかは関係ありません。 オンプレミス VPN デバイスに BGP IP として APIPA アドレスが使用されている場合、接続を開始するための構成を BGP スピーカーに対して行う必要があります。

強制トンネリングを構成できますか。

はい。 強制トンネリングについてを参照してください。

NAT

NAT はすべての Azure VPN Gateway SKU でサポートされていますか?

NAT は、VpnGw2 から VpnGw5 および VpnGw2AZ から VpnGw5AZ でサポートされます。

VNet 間接続や P2S 接続で NAT は使用できますか?

いいえ。NAT は、IPsec クロスプレミス接続でのみサポートされます。

VPN ゲートウェイで使用できる NAT 規則はいくつですか?

VPN ゲートウェイには、最大 100 個の NAT 規則 (イングレス規則とエグレス規則の合計) を作成できます。

NAT は、VPN ゲートウェイのすべての接続に適用されるのですか?

NAT は、NAT 規則が設定されている接続に適用されます。 接続に NAT 規則が設定されていない場合、その接続では NAT は無効となります。 同じ VPN ゲートウェイに、NAT のある接続と NAT のない接続を混在させることができます。

Azure VPN ゲートウェイでは、どのような種類の NAT がサポートされていますか?

1 対 1 の静的 NAT のみです。 動的 NAT や NAT64 はサポートされていません。

アクティブ/アクティブの VPN ゲートウェイで NAT は機能しますか?

はい。 NAT は、アクティブ/アクティブとアクティブ/スタンバイの両方の VPN ゲートウェイで機能します。

NAT は BGP 接続で機能しますか?

はい。NAT で BGP を使用できます。 重要な考慮事項をいくつか以下に示します。

  • 学習済みのルートとアドバタイズされたルートが、接続に関連付けられている NAT 規則に基づいて NAT 後のアドレス プレフィックス (外部マッピング) に確実に変換されるよう、NAT 規則の構成ページで [Enable BGP Route Translation](BGP ルートの変換を有効にする) を選択します。 オンプレミスの BGP ルーターから、IngressSNAT 規則に定義されているとおりにプレフィックスがアドバタイズされるようにする必要があります。

  • オンプレミス VPN ルーターが BGP スピーカーとピアの IP として APIPA (169.254.x.x) を使用している場合、ローカル ネットワーク ゲートウェイの [BGP ピアの IP アドレス] フィールドで直接 APIPA アドレスを使用します。 APIPA ではない通常のアドレスがオンプレミス VPN ルーターで使用されていて、それが VNet アドレス空間や他のオンプレミス ネットワーク空間と競合する場合は、IngressSNAT 規則で BGP ピア IP を重複しない一意のアドレスに変換し、ローカル ネットワーク ゲートウェイの [BGP ピアの IP アドレス] フィールドには NAT 後のアドレスを設定するようにしてください。

SNAT 規則に対応する DNAT 規則を作成する必要はありますか?

いいえ。 1 つの SNAT 規則で、特定のネットワークの 両方向 の変換が定義されます。

  • IngressSNAT 規則では、オンプレミス ネットワークから Azure VPN ゲートウェイに 入ってくる 送信元 IP アドレスの変換が定義されます。 また、同じオンプレミス ネットワークに向かって VNet から出ていく送信先 IP アドレスの変換も処理されます。

  • EgressSNAT 規則では、オンプレミス ネットワークに向かって Azure VPN ゲートウェイから出ていく VNet の送信元 IP アドレスの変換が定義されます。 また、その接続を介して VNet に入ってくるパケットの送信先 IP アドレスの変換も EgressSNAT 規則によって処理されます。

  • どちらの場合も、DNAT 規則は必要ありません

VNet またはローカル ネットワーク ゲートウェイのアドレス空間に複数のプレフィックスがある場合は、どうすればよいでしょうか。 それらすべてに NAT を適用できますか? それとも、サブセットだけでしょうか?

NAT に必要なプレフィックスごとに NAT 規則を 1 つ作成する必要があります。各 NAT 規則に含めることができる NAT のアドレス プレフィックスは 1 つだけです。 たとえば、ローカル ネットワーク ゲートウェイのアドレス空間が 10.0.1.0/24 と 10.0.2.0/25 から成る場合、次のように 2 つの規則を作成できます。

  • IngressSNAT 規則 1: 10.0.1.0/24 を 100.0.1.0/24 にマップ
  • IngressSNAT 規則 2: 10.0.2.0/25 を 100.0.2.0/25 にマップ

2 つの規則で、対応するアドレス プレフィックスのプレフィックス長が一致している必要があります。 同じことは、VNet アドレス空間の EgressSNAT 規則にも言えます。

重要

上記の接続に 1 つしか規則をリンクさせなかった場合、もう一方のアドレス空間は変換 されません

複数の EgressSNAT 規則を使用して、VNet アドレス空間を異なるオンプレミス ネットワークの異なるプレフィックスに変換することはできますか?

はい。同じ VNet アドレス空間に複数の EgressSNAT 規則を作成し、その EgressSNAT 規則を異なる接続に適用することができます。 EgressSNAT 規則がない接続の場合、

同じ IngressSNAT 規則を異なる接続に使用できますか?

はい。冗長性を確保するために同じオンプレミス ネットワークに対する接続が複数ある場合に一般的に使用されています。 複数の接続が別々のオンプレミス ネットワーク用である場合は、同じイングレス規則を使用することはできません。

NAT 接続にはイングレスとエグレスの両方の規則が必要なのですか?

オンプレミス ネットワークのアドレス空間が VNet のアドレス空間と重複するときは、同じ接続にイングレス規則とエグレス規則の両方が必要です。 VNet のアドレス空間が、接続されているすべてのネットワークで一意である場合、それらの接続に EgressSNAT 規則は必要ありません。 イングレス規則を使用すると、オンプレミス ネットワーク間でのアドレスの重複を回避できます。

クロスプレミス接続と VM

仮想ネットワーク内に仮想マシンが存在し、クロスプレミス接続が使用できる場合、その VM にはどのように接続できますか。

いくつかの方法を使用できます。 ご利用の VM で RDP を有効にしている場合、プライベート IP アドレスを使って自分の仮想マシンに接続することができます。 この場合、接続先のプライベート IP アドレスとポート (通常 3389) を指定します。 このため、このトラフィックで使用するポートを仮想マシンで構成する必要があります。

また、同一仮想ネットワークに存在する別の仮想マシンからプライベート IP アドレスで仮想マシンに接続することもできます。 仮想ネットワークの外部から接続している場合は、プライベート IP アドレスを使用して仮想マシンに RDP 接続することはできません。 たとえば、ポイント対サイト仮想ネットワークが構成済みで、使用中のコンピューターからの接続が確立されていない場合は、プライベート IP アドレスを使用して仮想マシンに接続することはできません。

クロスプレミス接続が確立されている仮想ネットワーク内に仮想マシンが存在する場合、VM からのトラフィックはすべてその接続を経由しますか。

いいえ。 仮想ネットワーク ゲートウェイを経由して送信されるのは、仮想ネットワークのローカル ネットワークの IP アドレス範囲内に存在する送信先 IP が指定されているトラフィックのみです。 送信先 IP が同一仮想ネットワーク内に存在する場合は、その仮想ネットワーク内のみで通信が行われます。 それ以外のトラフィックは、ロード バランサーを経由してパブリック ネットワークに送信されます。ただし、強制トンネリングを使用する場合は Azure VPN ゲートウェイを経由して送信されます。

VM に対する RDP 接続をトラブルシューティングする方法

VPN 接続を使って仮想マシンに接続する際に問題が発生した場合には、次のことを確認してください。

  • VPN 接続が成功したことを確認します。
  • VM のプライベート IP アドレスに接続できていることを確認します。
  • プライベート IP アドレスを使って VM に接続できるものの、コンピューター名では接続できない場合には、DNS が正しく構成されているかどうかを確認します。 VM の名前解決の動作について詳しくは、VM の名前解決に関するページを参照してください。

ポイント対サイトで接続している場合は、さらに次の事柄を確認してください。

  • 接続元のコンピューターのイーサネット アダプターに割り当てられている IPv4 アドレスを "ipconfig" でチェックします。 その IP アドレスが、接続先の VNet のアドレス範囲内または VPNClientAddressPool のアドレス範囲内にある場合、これを "アドレス空間の重複" といいます。 アドレス空間がこのように重複していると、ネットワーク トラフィックが Azure に到達せずローカル ネットワーク上に留まることになります。
  • VNet に対して DNS サーバーの IP アドレスが指定された後に VPN クライアント構成パッケージが生成されたことを確認します。 DNS サーバーの IP アドレスを更新した場合は、新しい VPN クライアント構成パッケージを生成してインストールしてください。

RDP 接続のトラブルシューティングの詳細については、VM に対するリモート デスクトップ接続のトラブルシューティングに関するページを参照してください。

Virtual Network FAQ

Virtual Network FAQ」で、仮想ネットワークの情報をさらに詳しく参照できます。

次の手順

"OpenVPN" は OpenVPN Inc. の商標です。