VPN Gateway に関する FAQVPN Gateway FAQ

仮想ネットワークへの接続Connecting to virtual networks

仮想ネットワークは異なる Azure リージョン間でも接続できますか。Can I connect virtual networks in different Azure regions?

はい。Yes. リージョンにより制限されることはありません。In fact, there is no region constraint. 特定の仮想ネットワークから、同一リージョン内の別の仮想ネットワーク、または別の Azure リージョンに存在する別の仮想ネットワークに接続できます。One virtual network can connect to another virtual network in the same region, or in a different Azure region.

異なるサブスクリプションの仮想ネットワークに接続することはできますか。Can I connect virtual networks in different subscriptions?

はい。Yes.

1 つの仮想ネットワークから複数のサイトに接続できますか。Can I connect to multiple sites from a single virtual network?

Windows PowerShell および Azure REST API を使用して複数のサイトに接続することができます。You can connect to multiple sites by using Windows PowerShell and the Azure REST APIs. 詳細については、「 マルチサイトと VNet 間接続 」の FAQ を参照してください。See the Multi-Site and VNet-to-VNet Connectivity FAQ section.

VPN ゲートウェイをアクティブ/アクティブとして設定する場合、追加のコストがかかりますか。Is there an additional cost for setting up a VPN gateway as active-active?

いいえ。No.

クロスプレミス接続にはどのようなオプションがありますか。What are my cross-premises connection options?

次のようなクロスプレミス接続がサポートされています。The following cross-premises connections are supported:

  • サイト間接続 - IPsec (IKE v1 および IKE v2) 経由での VPN 接続。Site-to-Site – VPN connection over IPsec (IKE v1 and IKE v2). この種類の接続には、VPN デバイスまたは RRAS が必要です。This type of connection requires a VPN device or RRAS. 詳細については、サイト間接続に関するページを参照してください。For more information, see Site-to-Site.
  • ポイント対サイト接続 – SSTP (Secure Socket トンネリング プロトコル) 経由での VPN 接続または IKE v2。Point-to-Site – VPN connection over SSTP (Secure Socket Tunneling Protocol) or IKE v2. この接続では、VPN デバイスは不要です。This connection does not require a VPN device. 詳細については、ポイント対サイト接続に関するページを参照してください。For more information, see Point-to-Site.
  • VNet 間接続 - この種類の接続は、サイト間構成の場合と同じです。VNet-to-VNet – This type of connection is the same as a Site-to-Site configuration. VNet 間接続では IPsec (IKE v1 および IKE v2) 経由で VPN 接続を確立します。VNet to VNet is a VPN connection over IPsec (IKE v1 and IKE v2). VPN デバイスは不要です。It does not require a VPN device. 詳細については、VNet 間接続に関するページを参照してください。For more information, see VNet-to-VNet.
  • マルチサイト接続 - これはサイト間構成の一種で、複数のオンプレミス サイトから仮想ネットワークに接続するものです。Multi-Site – This is a variation of a Site-to-Site configuration that allows you to connect multiple on-premises sites to a virtual network. 詳細については、マルチサイト接続に関するページを参照してください。For more information, see Multi-Site.
  • ExpressRoute 接続 - ExpressRoute 接続は、パブリックなインターネットを経由した VPN 接続ではなく、WAN から Azure へのプライベート接続です。ExpressRoute – ExpressRoute is a private connection to Azure from your WAN, not a VPN connection over the public Internet. 詳細については、「ExpressRoute の技術概要」および「ExpressRoute の FAQ」をご覧ください。For more information, see the ExpressRoute Technical Overview and the ExpressRoute FAQ.

VPN Gateway の接続の詳細については、「VPN Gateway について」をご覧ください。For more information about VPN gateway connections, see About VPN Gateway.

サイト間接続とポイント対サイト接続の違いを教えてください。What is the difference between a Site-to-Site connection and Point-to-Site?

サイト間 (IPsec/IKE VPN トンネル) 構成は、オンプレミスの場所と Azure の間で行われます。Site-to-Site (IPsec/IKE VPN tunnel) configurations are between your on-premises location and Azure. つまり、ルーティングとアクセス許可の構成に従って、オンプレミスの場所に存在する任意のコンピューターと仮想ネットワーク内に存在する任意の仮想マシンやロール インスタンスを接続できます。This means that you can connect from any of your computers located on your premises to any virtual machine or role instance within your virtual network, depending on how you choose to configure routing and permissions. このオプションはクロスプレミス接続として常に使用可能で、ハイブリッド構成にも適しています。It's a great option for an always-available cross-premises connection and is well-suited for hybrid configurations. この種類の接続は IPsec VPN アプライアンス (ハードウェア デバイスまたはソフト アプライアンス) に依存します。このアプライアンスは、ネットワークの境界にデプロイされる必要があります。This type of connection relies on an IPsec VPN appliance (hardware device or soft appliance), which must be deployed at the edge of your network. この種類の接続を作成するには、外部に公開された IPv4 アドレスが必要です。To create this type of connection, you must have an externally facing IPv4 address.

ポイント対サイト (VPN over SSTP) 構成では、任意の場所に存在する 1 台のコンピューターから仮想ネットワーク内に存在する任意のデバイスに接続できます。Point-to-Site (VPN over SSTP) configurations let you connect from a single computer from anywhere to anything located in your virtual network. この接続では、Windows に組み込み済みの VPN クライアントを使用します。It uses the Windows in-box VPN client. ポイント対サイト構成の一部として、証明書と VPN クライアント構成パッケージをインストールします。このパッケージには、コンピューターを仮想ネットワーク内の任意の仮想マシンまたはロール インスタンスに接続できるようにする設定が含まれています。As part of the Point-to-Site configuration, you install a certificate and a VPN client configuration package, which contains the settings that allow your computer to connect to any virtual machine or role instance within the virtual network. これは仮想ネットワークに接続する場合には適していますが、オンプレミスに存在している場合は適していません。It's great when you want to connect to a virtual network, but aren't located on-premises. また、このオプションは VPN ハードウェアにアクセスできない場合や外部に公開された IPv4 アドレスが存在しない場合にも便利ですが、このどちらでもサイト間接続が必須となります。It's also a good option when you don't have access to VPN hardware or an externally facing IPv4 address, both of which are required for a Site-to-Site connection.

VPN の種類がルート ベースのゲートウェイを使用してサイト間接続を作成すれば、サイト間接続とポイント対サイト接続の両方を同時に使用するように仮想ネットワークを構成できます。You can configure your virtual network to use both Site-to-Site and Point-to-Site concurrently, as long as you create your Site-to-Site connection using a route-based VPN type for your gateway. VPN の種類がルート ベースのゲートウェイは、クラシック デプロイ モデルでは動的ゲートウェイと呼ばれます。Route-based VPN types are called dynamic gateways in the classic deployment model.

仮想ネットワーク ゲートウェイVirtual network gateways

VPN ゲートウェイは仮想ネットワーク ゲートウェイですか。Is a VPN gateway a virtual network gateway?

VPN ゲートウェイは仮想ネットワーク ゲートウェイの一種です。A VPN gateway is a type of virtual network gateway. VPN ゲートウェイは、仮想ネットワークとオンプレミスの場所の間でパブリック接続を使って暗号化されたトラフィックを送信します。A VPN gateway sends encrypted traffic between your virtual network and your on-premises location across a public connection. 仮想ネットワーク間のトラフィックの送信に VPN Gateway を使うこともできます。You can also use a VPN gateway to send traffic between virtual networks. VPN ゲートウェイを作成するときは、GatewayType に値 'Vpn' を使用します。When you create a VPN gateway, you use the -GatewayType value 'Vpn'. 詳細については、「VPN Gateway の設定について」をご覧ください。For more information, see About VPN Gateway configuration settings.

ポリシーベース (静的ルーティング) ゲートウェイとは何ですか。What is a policy-based (static-routing) gateway?

ポリシー ベースのゲートウェイとは、ポリシー ベースの VPN を実装したものです。Policy-based gateways implement policy-based VPNs. ポリシー ベースの VPN では、パケットを暗号化し、オンプレミス ネットワークと Azure VNet の間でアドレスのプレフィックスの組み合わせに基づいて IPsec トンネル経由でそのパケットを送信します。Policy-based VPNs encrypt and direct packets through IPsec tunnels based on the combinations of address prefixes between your on-premises network and the Azure VNet. ポリシー (またはトラフィック セレクター) は、通常、VPN の構成でアクセス リストとして定義されます。The policy (or Traffic Selector) is usually defined as an access list in the VPN configuration.

ルートベース (動的ルーティング) ゲートウェイとは何ですか。What is a route-based (dynamic-routing) gateway?

ルート ベースのゲートウェイは、ルート ベースの VPN を実装したものです。Route-based gateways implement the route-based VPNs. ルート ベースの VPN は、「ルート」を使用して、IP 転送やルーティング テーブルを使用してパケットを対応するトンネル インターフェイスに直接送信します。Route-based VPNs use "routes" in the IP forwarding or routing table to direct packets into their corresponding tunnel interfaces. その後、トンネル インターフェイスではトンネルの内部または外部でパケットを暗号化または復号します。The tunnel interfaces then encrypt or decrypt the packets in and out of the tunnels. ルート ベースの VPN に向けたポリシーまたはトラフィック セレクターは任意の環境間 (またはワイルドカード) として構成されます。The policy or traffic selector for route-based VPNs are configured as any-to-any (or wild cards).

ポリシー ベースの VPN ゲートウェイをルート ベースに更新できますか。Can I update my Policy-based VPN gateway to Route-based?

いいえ。No. Azure Vnet ゲートウェイのタイプをポリシー ベースからルート ベース (またはその逆) に変更することはできません。 An Azure Vnet gateway type cannot be changed from policy-based to route-based or the other way. ゲートウェイを削除して再作成する必要があります。この処理には約 60 分かかります。The gateway must be deleted and recreated, a process taking around 60 minutes. ゲートウェイの IP アドレスは保存されず、事前共有キー (PSK) も保持されません。The IP address of the gateway will not be preserved nor will the Pre-Shared Key (PSK).

  1. 削除するゲートウェイに関連付けられているすべての接続を削除します。Delete any connections associated with the gateway to be deleted.
  2. ゲートウェイを削除します。Delete the gateway:
  3. Azure PortalAzure portal
  4. Azure PowerShellAzure PowerShell
  5. Azure PowerShell - クラシックAzure Powershell - classic
  6. 目的のタイプの新しいゲートウェイを作成し、VPN 設定を完了しますCreate a new gateway of desired type and complete the VPN setup

'GatewaySubnet' は必要ですか。Do I need a 'GatewaySubnet'?

はい。Yes. ゲートウェイ サブネットには、仮想ネットワーク ゲートウェイ サービスが使用する IP アドレスが含まれます。The gateway subnet contains the IP addresses that the virtual network gateway services use. 仮想ネットワーク ゲートウェイを構成するには、VNet のゲートウェイ サブネットを作成する必要があります。You need to create a gateway subnet for your VNet in order to configure a virtual network gateway. すべてのゲートウェイ サブネットを正常に動作させるには、'GatewaySubnet' という名前を付ける必要があります。All gateway subnets must be named 'GatewaySubnet' to work properly. ゲートウェイ サブネットに他の名前を付けないでください。Don't name your gateway subnet something else. また、ゲートウェイ サブネットには VM などをデプロイしないでください。And don't deploy VMs or anything else to the gateway subnet.

ゲートウェイ サブネットを作成するときに、サブネットに含まれる IP アドレスの数を指定します。When you create the gateway subnet, you specify the number of IP addresses that the subnet contains. ゲートウェイ サブネット内の IP アドレスは、ゲートウェイ サービスに割り当てられます。The IP addresses in the gateway subnet are allocated to the gateway service. 一部の構成では、他の構成よりも多くの IP アドレスをゲートウェイ サービスに割り当てる必要があります。Some configurations require more IP addresses to be allocated to the gateway services than do others. ゲートウェイ サブネットには、将来の拡大や新しい接続構成の追加に対応できる十分な IP アドレスが含まれるようにしてください。You want to make sure your gateway subnet contains enough IP addresses to accommodate future growth and possible additional new connection configurations. そのため、/29 のような小さいゲートウェイ サブネットを作成できますが、/27 以上 (/27、/26、/25 など) のゲートウェイ サブネットを作成することをお勧めします。So, while you can create a gateway subnet as small as /29, we recommend that you create a gateway subnet of /27 or larger (/27, /26, /25 etc.). 作成する構成の要件を調べて、ゲートウェイ サブネットがその要件を満たしていることを確認してください。Look at the requirements for the configuration that you want to create and verify that the gateway subnet you have will meet those requirements.

ゲートウェイ サブネットに仮想マシンやロール インスタンスをデプロイできますか。Can I deploy Virtual Machines or role instances to my gateway subnet?

いいえ。No.

ゲートウェイを作成する前に VPN ゲートウェイの IP アドレスを取得できますか。Can I get my VPN gateway IP address before I create it?

いいえ。No. IP アドレスを取得する前にゲートウェイを作成する必要があります。You have to create your gateway first to get the IP address. VPN ゲートウェイを削除してもう一度作成すると、IP アドレスは変更されます。The IP address changes if you delete and recreate your VPN gateway.

VPN Gateway に静的なパブリック IP アドレスを指定することはできますか。Can I request a Static Public IP address for my VPN gateway?

いいえ。No. サポートされるのは、動的な IP アドレスの割り当てのみです。Only Dynamic IP address assignment is supported. もっとも、VPN ゲートウェイに割り当てられた IP アドレスが後から変わることは基本的にありません。However, this does not mean that the IP address changes after it has been assigned to your VPN gateway. VPN ゲートウェイの IP アドレスが変更されるのは、ゲートウェイが削除され、再度作成されたときのみです。The only time the VPN gateway IP address changes is when the gateway is deleted and re-created. VPN Gateway のパブリック IP アドレスは、VPN Gateway のサイズ変更、リセット、その他の内部メンテナンス/アップグレードの際には変更されません。The VPN gateway public IP address doesn't change across resizing, resetting, or other internal maintenance/upgrades of your VPN gateway.

VPN トンネルの認証を取得する方法を教えてください。How does my VPN tunnel get authenticated?

Azure の VPN では PSK (事前共有キー) の認証を使用します。Azure VPN uses PSK (Pre-Shared Key) authentication. 事前共有キー (PSK) は VPN トンネルを作成したときに生成されます。We generate a pre-shared key (PSK) when we create the VPN tunnel. 自分で使用するために自動生成した PSK は、PowerShell コマンドレットまたは REST API の Set Pre-Shared Key を使用して変更できます。You can change the auto-generated PSK to your own with the Set Pre-Shared Key PowerShell cmdlet or REST API.

ポリシー ベース (静的ルーティング) ゲートウェイ VPN を構成する際に Set Pre-Shared Key API を使用できますか。Can I use the Set Pre-Shared Key API to configure my policy-based (static routing) gateway VPN?

はい。Set Pre-Shared Key API および PowerShell コマンドレットは、Azure のポリシー ベース (静的ルーティング) VPN とルート ベース (動的ルーティング) VPN のどちらを構成する場合にも使用できます。Yes, the Set Pre-Shared Key API and PowerShell cmdlet can be used to configure both Azure policy-based (static) VPNs and route-based (dynamic) routing VPNs.

ほかの認証オプションを使用することはできますかCan I use other authentication options?

事前共有キー (PSK) による認証のみに制限されています。We are limited to using pre-shared keys (PSK) for authentication.

VPN ゲートウェイを通過するトラフィックの種類は、どのようにすれば指定できますか。How do I specify which traffic goes through the VPN gateway?

Resource Manager デプロイ モデルResource Manager deployment model

  • PowerShell: "AddressPrefix" を使用してローカル ネットワーク ゲートウェイのトラフィックを指定します。PowerShell: use "AddressPrefix" to specify traffic for the local network gateway.
  • Azure Portal: ローカル ネットワーク ゲートウェイ、[構成]、[アドレス空間] の順に移動します。Azure portal: navigate to the Local network gateway > Configuration > Address space.

クラシック デプロイ モデルClassic deployment model

  • Azure Portal: クラシック仮想ネットワーク、[VPN 接続]、[サイト対サイト VPN 接続]、ローカル サイト名、[ローカル サイト]、[クライアント アドレス空間] の順に移動します。Azure portal: navigate to the classic virtual network > VPN connections > Site-to-site VPN connections > Local site name > Local site > Client address space.

強制トンネリングを構成できますか。Can I configure Force Tunneling?

はい。Yes. 強制トンネリングの構成に関するページを参照してください。See Configure force tunneling.

Azure で自社の VPN サーバーをセットアップし、オンプレミス ネットワークへの接続に使用することはできますか。Can I set up my own VPN server in Azure and use it to connect to my on-premises network?

はい。Azure Marketplace から、または自社の VPN ルーターを作成して、自社の VPN ゲートウェイやサーバーを Azure 内にデプロイできます。Yes, you can deploy your own VPN gateways or servers in Azure either from the Azure Marketplace or creating your own VPN routers. 仮想ネットワーク内でユーザー定義ルートを構成して、オンプレミス ネットワークと仮想ネットワークのサブネットの間でトラフィックが適切にルーティングされるようにする必要があります。You need to configure user-defined routes in your virtual network to ensure traffic is routed properly between your on-premises networks and your virtual network subnets.

仮想ネットワーク ゲートウェイで特定のポートが開かれているのはなぜですか。Why are certain ports opened on my virtual network gateway?

Azure インフラストラクチャの通信に必要です。They are required for Azure infrastructure communication. これらのポートは、Azure の証明書によって保護 (ロックダウン) されます。They are protected (locked down) by Azure certificates. 対象のゲートウェイの顧客を含め、適切な証明書を持たない外部エンティティは、これらのエンドポイントに影響を与えることはできません。Without proper certificates, external entities, including the customers of those gateways, will not be able to cause any effect on those endpoints.

仮想ネットワーク ゲートウェイは基本的に、1 枚の NIC が顧客のプライベート ネットワークに接続され、1 枚の NIC がパブリック ネットワークに面しているマルチホーム デバイスです。A virtual network gateway is fundamentally a multi-homed device with one NIC tapping into the customer private network, and one NIC facing the public network. Azure インフラストラクチャのエンティティは、コンプライアンス上の理由から顧客のプライベート ネットワークに接続できないため、インフラストラクチャの通信用にパブリック エンドポイントを使用する必要があります。Azure infrastructure entities cannot tap into customer private networks for compliance reasons, so they need to utilize public endpoints for infrastructure communication. パブリック エンドポイントは、Azure のセキュリティ監査によって定期的にスキャンされます。The public endpoints are periodically scanned by Azure security audit.

ゲートウェイの種類、要件、およびスループットの詳細について教えてください。More information about gateway types, requirements, and throughput

詳細については、「VPN Gateway の設定について」をご覧ください。For more information, see About VPN Gateway configuration settings.

サイト間接続と VPN デバイスSite-to-Site connections and VPN devices

VPN デバイスを選択する場合の考慮事項について教えてください。What should I consider when selecting a VPN device?

Microsoft では、デバイス ベンダーと協力して複数の標準的なサイト間 VPN デバイスを検証しました。We have validated a set of standard Site-to-Site VPN devices in partnership with device vendors. 互換性が確認されている VPN デバイス、それに対応する構成の手順またはサンプル、デバイスの仕様の一覧は VPN デバイスに関する記事で確認できます。A list of known compatible VPN devices, their corresponding configuration instructions or samples, and device specs can be found in the About VPN devices article. 互換性が確認されているデバイス ファミリに属するすべてのデバイスも仮想ネットワークで動作します。All devices in the device families listed as known compatible should work with Virtual Network. VPN デバイスを構成するには、デバイスの構成サンプル、または適切なデバイス ファミリに対応するリンクを参照してください。To help configure your VPN device, refer to the device configuration sample or link that corresponds to appropriate device family.

VPN デバイスの構成設定はどこにありますか。Where can I find VPN device configuration settings?

VPN デバイス構成スクリプトをダウンロードするにはTo download VPN device configuration scripts:

ご利用の VPN デバイスによっては、VPN デバイス構成スクリプトをダウンロードできる場合があります。Depending on the VPN device that you have, you may be able to download a VPN device configuration script. 詳細については、VPN デバイス構成スクリプトのダウンロードに関するページを参照してください。For more information, see Download VPN device configuration scripts.

その他の構成情報については、次のリンクを参照してくださいSee the following links for additional configuration information:

VPN デバイス構成サンプルは、どのように編集すればよいですか。How do I edit VPN device configuration samples?

デバイス構成サンプルの編集については、サンプルの編集に関するセクションを参照してください。For information about editing device configuration samples, see Editing samples.

IPsec および IKE パラメーターはどこにありますか。Where do I find IPsec and IKE parameters?

IPsec/IKE のパラメーターについては、パラメーターに関するセクションを参照してください。For IPsec/IKE parameters, see Parameters.

トラフィックがアイドル状態のときにポリシー ベースの VPN トンネルがダウンするのはなぜですか。Why does my policy-based VPN tunnel go down when traffic is idle?

これは、ポリシー ベースの (静的ルーティングとも呼ばれる) VPN ゲートウェイの予期される動作です。This is expected behavior for policy-based (also known as static routing) VPN gateways. トンネル経由のトラフィックが 5 分以上アイドル状態になると、トンネルは破棄されます。When the traffic over the tunnel is idle for more than 5 minutes, the tunnel will be torn down. どちらかの方向のトラフィック フローが開始されると、トンネルはすぐに再び確立されます。When traffic starts flowing in either direction, the tunnel will be reestablished immediately.

ソフトウェア VPN を使用して Azure に接続することはできますか。Can I use software VPNs to connect to Azure?

Windows Server 2012 ルーティングとリモート アクセス (RRAS) サーバーでは、クロスプレミス構成のサイト間接続をサポートしています。We support Windows Server 2012 Routing and Remote Access (RRAS) servers for Site-to-Site cross-premises configuration.

その他のソフトウェア VPN ソリューションについては、業界標準の IPsec の実装に準拠していればマイクロソフトのゲートウェイで動作します。Other software VPN solutions should work with our gateway as long as they conform to industry standard IPsec implementations. 構成とサポートの手順については、ソフトウェアのベンダーにお問い合わせください。Contact the vendor of the software for configuration and support instructions.

ネイティブ Azure 証明書認証を使用したポイント対サイトPoint-to-Site using native Azure certificate authentication

このセクションは、Resource Manager デプロイ モデルに適用されます。This section applies to the Resource Manager deployment model.

ポイント対サイト構成で保持できる VPN クライアント エンドポイントの最大数を教えてください。How many VPN client endpoints can I have in my Point-to-Site configuration?

それは、ゲートウェイ SKU によって異なります。It depends on the gateway SKU. サポートされる接続の数の詳細については、「ゲートウェイの SKU」を参照してください。For more information on the number of connections supported, see Gateway SKUs.

ポイント対サイト接続で使用できるクライアント オペレーティング システムを教えてください。What client operating systems can I use with Point-to-Site?

次のクライアント オペレーティング システムがサポートされています。The following client operating systems are supported:

  • Windows 7 (32 ビットと 64 ビット)Windows 7 (32-bit and 64-bit)
  • Windows Server 2008 R2 (64 ビットのみ)Windows Server 2008 R2 (64-bit only)
  • Windows 8.1 (32 ビットと 64 ビット)Windows 8.1 (32-bit and 64-bit)
  • Windows Server 2012 (64 ビットのみ)Windows Server 2012 (64-bit only)
  • Windows Server 2012 R2 (64 ビットのみ)Windows Server 2012 R2 (64-bit only)
  • Windows Server 2016 (64 ビットのみ)Windows Server 2016 (64-bit only)
  • Windows 10Windows 10
  • Mac OS X バージョン 10.11 以降Mac OS X version 10.11 or above
  • Linux (StrongSwan)Linux (StrongSwan)
  • iOSiOS

注意

2018 年 7 月 1 日以降、Azure VPN Gateway では TLS 1.0 および 1.1 のサポートが終了します。Starting July 1, 2018, support is being removed for TLS 1.0 and 1.1 from Azure VPN Gateway. VPN Gateway では、TLS 1.2 のみがサポートされるようになります。VPN Gateway will support only TLS 1.2. サポートを維持するには、TLS1.2 のサポートを有効にする更新プログラムに関するページを参照してください。To maintain support, see the updates to enable support for TLS1.2.

さらに、次の TLS 用レガシ アルゴリズムも 2018 年 7 月 1 日に廃止される予定です。Additionally, the following legacy algorithms will also be deprecated for TLS on July 1, 2018:

  • RC4 (Rivest Cipher 4)RC4 (Rivest Cipher 4)
  • DES (データ暗号化アルゴリズム)DES (Data Encryption Algorithm)
  • 3DES (トリプル データ暗号化アルゴリズム)3DES (Triple Data Encryption Algorithm)
  • MD5 (Message Digest 5)MD5 (Message Digest 5)

Windows 7 および Windows 8.1 で TLS 1.2 のサポートを有効にするにはどうすればよいですか。How do I enable support for TLS 1.2 in Windows 7 and Windows 8.1?

  1. 右クリックし、昇格した特権でコマンド プロンプトを開きコマンド プロンプト選択管理者として実行します。 Open a command prompt with elevated privileges by right-clicking on Command Prompt and selecting Run as administrator.

  2. コマンド プロンプトで次のコマンドを実行します。 Run the following commands in the command prompt:

    reg add HKLM\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13 /v TlsVersion /t REG_DWORD /d 0xfc0
    reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0
    if %PROCESSOR_ARCHITECTURE% EQU AMD64 reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0
    
  3. 次の更新プログラムをインストールします。Install the following updates:

  4. コンピューターを再起動します。 Reboot the computer.

  5. VPN に接続します。 Connect to the VPN.

注意

以前のバージョンの Windows 10 (10240) を実行している場合は、上記のレジストリ キーを設定する必要があります。You will have to set the above registry key if you are running an older version of Windows 10 (10240).

プロキシやファイアウォールを経由してポイント対サイト接続の機能を使用できますか。Can I traverse proxies and firewalls using Point-to-Site capability?

Azure では、ポイント対サイト VPN のオプションを 2 種類サポートしています:Azure supports two types of Point-to-site VPN options:

  • Secure Socket Tunneling Protocol (SSTP)。Secure Socket Tunneling Protocol (SSTP). SSTP は Microsoft 独自の SSL ベースのソリューションです。このソリューションは、ほとんどのファイアウォールが 443 SSL で使用する TCP ポートを開いていることを利用し、ファイアウォールを通過することができるようになっています。SSTP is a Microsoft proprietary SSL-based solution that can penetrate firewalls since most firewalls open the TCP port that 443 SSL uses.

  • IKEv2 VPN。IKEv2 VPN. IKEv2 VPN は、標準ベースの IPsec VPN ソリューションであり、UDP ポート 500 と 4500 のほか、IP プロトコル番号 IKEv2 VPN is a standards-based IPsec VPN solution that uses UDP port 500 and 4500 and IP protocol no. 50 を使用しています。50. ファイアウォールでここに挙げたポートが必ずしも開いているとは限りません。このため、IKEv2 VPN ではプロキシとファイアウォールを通過できないことがあります。Firewalls do not always open these ports, so there is a possibility of IKEv2 VPN not being able to traverse proxies and firewalls.

ポイント対サイト接続用に構成されたクライアント コンピューターを再起動した場合、VPN は自動的に再接続されますか。If I restart a client computer configured for Point-to-Site, will the VPN automatically reconnect?

既定では、クライアント コンピューターの再起動時には VPN の自動再接続は行われません。By default, the client computer will not reestablish the VPN connection automatically.

ポイント対サイトの自動再接続と VPN クライアントの DDNS はサポートされていますか。Does Point-to-Site support auto-reconnect and DDNS on the VPN clients?

ポイント対サイト VPN では、自動再接続と DDNS は現時点ではサポートされていません。Auto-reconnect and DDNS are currently not supported in Point-to-Site VPNs.

サイト間接続およびポイント対サイト接続の構成は、同一仮想ネットワークに共存させることはできますか。Can I have Site-to-Site and Point-to-Site configurations coexist for the same virtual network?

はい。Yes. Resource Manager デプロイ モデルの場合には、ゲートウェイにルートベースの VPN が必要になります。For the Resource Manager deployment model, you must have a RouteBased VPN type for your gateway. クラシック デプロイ モデルの場合は、動的ゲートウェイが必要です。For the classic deployment model, you need a dynamic gateway. 静的ルーティング VPN ゲートウェイと、ポリシーベースの VPN ゲートウェイでは、ポイント対サイト接続はサポートされません。We do not support Point-to-Site for static routing VPN gateways or PolicyBased VPN gateways.

ポイント対サイト接続のクライアントを同時に複数の仮想ネットワークに接続するように構成することはできますか。Can I configure a Point-to-Site client to connect to multiple virtual networks at the same time?

いいえ。No. ポイント対サイト接続のクライアントは、仮想ネットワーク ゲートウェイが存在する VNet にあるリソースに接続できるにとどまります。A Point-to-Site client can only connect to resources in the VNet in which the virtual network gateway resides.

サイト間接続またはポイント対サイト接続ではどの程度のスループットが得られますか。How much throughput can I expect through Site-to-Site or Point-to-Site connections?

VPN トンネルのスループットを正確に一定レベルに維持することは困難です。It's difficult to maintain the exact throughput of the VPN tunnels. IPsec と SSTP は、VPN プロトコルの中でも暗号化処理の負荷が高いものです。IPsec and SSTP are crypto-heavy VPN protocols. また、スループットはオンプレミスとインターネットの間の待機時間や帯域幅によっても制限されます。Throughput is also limited by the latency and bandwidth between your premises and the Internet. IKEv2 ポイント対サイト VPN 接続のみを使用する VPN ゲートウェイでは、期待できるスループットの総量がゲートウェイの SKU に応じて変わります。For a VPN Gateway with only IKEv2 Point-to-Site VPN connections, the total throughput that you can expect depends on the Gateway SKU. スループットの詳細については、「ゲートウェイの SKU」を参照してください。For more information on throughput, see Gateway SKUs.

SSTP や IKEv2 をサポートしているポイント対サイト接続では、ソフトウェア VPN クライアントを使用できますか。Can I use any software VPN client for Point-to-Site that supports SSTP and/or IKEv2?

いいえ。No. SSTP については Windows のネイティブ VPN クライアント、IKEv2 については Mac のネイティブ VPN クライアントのみ使用できます。You can only use the native VPN client on Windows for SSTP, and the native VPN client on Mac for IKEv2. サポートされているクライアント オペレーティング システムの一覧を参照してください。Refer to the list of supported client operating systems.

Azure は、Windows で IKEv2 VPN をサポートしていますか。Does Azure support IKEv2 VPN with Windows?

IKEv2 は、Windows 10 および Windows Server 2016 でサポートされています。IKEv2 is supported on Windows 10 and Server 2016. ただし、IKEv2 を使用するには、更新プログラムをインストールして、ローカルでレジストリ キーの値を設定する必要があります。However, in order to use IKEv2, you must install updates and set a registry key value locally. Windows 10 以前の OS バージョンはサポートされておらず、それらのバージョンで使用できるのは SSTP または OpenVPN® プロトコルのみです。OS versions prior to Windows 10 are not supported and can only use SSTP or OpenVPN® Protocol.

Windows 10 または Windows Server 2016 を IKEv2 用に準備するには:To prepare Windows 10 or Server 2016 for IKEv2:

  1. 更新プログラムをインストールします。Install the update.

    OS バージョンOS version DateDate 数/リンクNumber/Link
    Windows Server 2016Windows Server 2016
    Windows 10 バージョン 1607Windows 10 Version 1607
    2018 年 1 月 17 日January 17, 2018 KB4057142KB4057142
    Windows 10 バージョン 1703Windows 10 Version 1703 2018 年 1 月 17 日January 17, 2018 KB4057144KB4057144
    Windows 10 バージョン 1709Windows 10 Version 1709 2018 年 3 月 22 日March 22, 2018 KB4089848KB4089848
  2. レジストリ キーの値を設定します。Set the registry key value. レジストリの "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload" REG_DWORD キーを作成するか、または 1 に設定します。Create or set “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload” REG_DWORD key in the registry to 1.

P2S VPN 接続に対して SSTP と IKEv2 の両方を構成した場合、何が起こりますか。What happens when I configure both SSTP and IKEv2 for P2S VPN connections?

Windows デバイスと Mac デバイスが混在する環境で SSTP と IKEv2 の両方を構成すると、Windows VPN クライアントは必ず最初に IKEv2 トンネルを試行します。ただし、IKEv2 接続が成功しなかった場合 SSTP にフォールバックします。When you configure both SSTP and IKEv2 in a mixed environment (consisting of Windows and Mac devices), the Windows VPN client will always try IKEv2 tunnel first, but will fall back to SSTP if the IKEv2 connection is not successful. MacOSX は IKEv2 経由のみで接続します。MacOSX will only connect via IKEv2.

Windows と Mac 以外に、Azure が P2S VPN 向けにサポートしている他のプラットフォームはありますか。Other than Windows and Mac, which other platforms does Azure support for P2S VPN?

Azure では、P2S VPN 向けに Windows、Mac、および Linux をサポートしています。Azure supports Windows, Mac and Linux for P2S VPN.

Azure VPN Gateway を既にデプロイしています。I already have an Azure VPN Gateway deployed. ここで RADIUS または IKEv2 VPN または両方を有効にできますか。Can I enable RADIUS and/or IKEv2 VPN on it?

はい。Powershell または Azure Portal を使用して、既にデプロイされているゲートウェイでこれらの新機能を有効にできます。ただし、ご利用のゲートウェイ SKU が、RADIUS と IKEv2 のいずれかまたは両方をサポートしている必要があります。Yes, you can enable these new features on already deployed gateways using Powershell or the Azure portal, provided that the gateway SKU that you are using supports RADIUS and/or IKEv2. たとえば VPN Gateway Basic SKU は、RADIUS と IKEv2 のどちらもサポートしていません。For example, the VPN gateway Basic SKU does not support RADIUS or IKEv2.

ポイント対サイト接続で自社の内部 PKI ルート CA を使用できますか。Can I use my own internal PKI root CA for Point-to-Site connectivity?

はい。Yes. 以前は、自己署名ルート証明書のみを使用できました。Previously, only self-signed root certificates could be used. 現在も 20 ルート証明書までアップロードできます。You can still upload 20 root certificates.

証明書の作成にどのようなツールを使用できますか。What tools can I use to create certificates?

エンタープライズ PKI ソリューション (内部 PKI)、Azure PowerShell、MakeCert、OpenSSL を使用できます。You can use your Enterprise PKI solution (your internal PKI), Azure PowerShell, MakeCert, and OpenSSL.

証明書の設定およびパラメーターに関する指示はありますか。Are there instructions for certificate settings and parameters?

  • 内部 PKI/エンタープライズ PKI ソリューション: 証明書を生成する手順を参照してください。Internal PKI/Enterprise PKI solution: See the steps to Generate certificates.

  • Azure PowerShell: 手順については、Azure PowerShell の記事を参照してください。Azure PowerShell: See the Azure PowerShell article for steps.

  • MakeCert: 手順については、MakeCert の記事を参照してください。MakeCert: See the MakeCert article for steps.

  • OpenSSL:OpenSSL:

    • 証明書をエクスポートするときは、ルート証明書を Base64 に変換してください。When exporting certificates, be sure to convert the root certificate to Base64.

    • クライアント証明書の場合:For the client certificate:

      • 秘密キーを作成する際は、長さを 4096 として指定します。When creating the private key, specify the length as 4096.
      • 証明書を作成する際は、-extensions パラメーターに usr_cert を指定します。When creating the certificate, for the -extensions parameter, specify usr_cert.

RADIUS 認証を使用したポイント対サイトPoint-to-Site using RADIUS authentication

このセクションは、Resource Manager デプロイ モデルに適用されます。This section applies to the Resource Manager deployment model.

ポイント対サイト構成で保持できる VPN クライアント エンドポイントの最大数を教えてください。How many VPN client endpoints can I have in my Point-to-Site configuration?

それは、ゲートウェイ SKU によって異なります。It depends on the gateway SKU. サポートされる接続の数の詳細については、「ゲートウェイの SKU」を参照してください。For more information on the number of connections supported, see Gateway SKUs.

ポイント対サイト接続で使用できるクライアント オペレーティング システムを教えてください。What client operating systems can I use with Point-to-Site?

次のクライアント オペレーティング システムがサポートされています。The following client operating systems are supported:

  • Windows 7 (32 ビットと 64 ビット)Windows 7 (32-bit and 64-bit)
  • Windows Server 2008 R2 (64 ビットのみ)Windows Server 2008 R2 (64-bit only)
  • Windows 8.1 (32 ビットと 64 ビット)Windows 8.1 (32-bit and 64-bit)
  • Windows Server 2012 (64 ビットのみ)Windows Server 2012 (64-bit only)
  • Windows Server 2012 R2 (64 ビットのみ)Windows Server 2012 R2 (64-bit only)
  • Windows Server 2016 (64 ビットのみ)Windows Server 2016 (64-bit only)
  • Windows 10Windows 10
  • Mac OS X バージョン 10.11 以降Mac OS X version 10.11 or above
  • Linux (StrongSwan)Linux (StrongSwan)
  • iOSiOS

注意

2018 年 7 月 1 日以降、Azure VPN Gateway では TLS 1.0 および 1.1 のサポートが終了します。Starting July 1, 2018, support is being removed for TLS 1.0 and 1.1 from Azure VPN Gateway. VPN Gateway では、TLS 1.2 のみがサポートされるようになります。VPN Gateway will support only TLS 1.2. サポートを維持するには、TLS1.2 のサポートを有効にする更新プログラムに関するページを参照してください。To maintain support, see the updates to enable support for TLS1.2.

さらに、次の TLS 用レガシ アルゴリズムも 2018 年 7 月 1 日に廃止される予定です。Additionally, the following legacy algorithms will also be deprecated for TLS on July 1, 2018:

  • RC4 (Rivest Cipher 4)RC4 (Rivest Cipher 4)
  • DES (データ暗号化アルゴリズム)DES (Data Encryption Algorithm)
  • 3DES (トリプル データ暗号化アルゴリズム)3DES (Triple Data Encryption Algorithm)
  • MD5 (Message Digest 5)MD5 (Message Digest 5)

Windows 7 および Windows 8.1 で TLS 1.2 のサポートを有効にするにはどうすればよいですか。How do I enable support for TLS 1.2 in Windows 7 and Windows 8.1?

  1. 右クリックし、昇格した特権でコマンド プロンプトを開きコマンド プロンプト選択管理者として実行します。 Open a command prompt with elevated privileges by right-clicking on Command Prompt and selecting Run as administrator.

  2. コマンド プロンプトで次のコマンドを実行します。 Run the following commands in the command prompt:

    reg add HKLM\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13 /v TlsVersion /t REG_DWORD /d 0xfc0
    reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0
    if %PROCESSOR_ARCHITECTURE% EQU AMD64 reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0
    
  3. 次の更新プログラムをインストールします。Install the following updates:

  4. コンピューターを再起動します。 Reboot the computer.

  5. VPN に接続します。 Connect to the VPN.

注意

以前のバージョンの Windows 10 (10240) を実行している場合は、上記のレジストリ キーを設定する必要があります。You will have to set the above registry key if you are running an older version of Windows 10 (10240).

プロキシやファイアウォールを経由してポイント対サイト接続の機能を使用できますか。Can I traverse proxies and firewalls using Point-to-Site capability?

Azure では、ポイント対サイト VPN のオプションを 2 種類サポートしています:Azure supports two types of Point-to-site VPN options:

  • Secure Socket Tunneling Protocol (SSTP)。Secure Socket Tunneling Protocol (SSTP). SSTP は Microsoft 独自の SSL ベースのソリューションです。このソリューションは、ほとんどのファイアウォールが 443 SSL で使用する TCP ポートを開いていることを利用し、ファイアウォールを通過することができるようになっています。SSTP is a Microsoft proprietary SSL-based solution that can penetrate firewalls since most firewalls open the TCP port that 443 SSL uses.

  • IKEv2 VPN。IKEv2 VPN. IKEv2 VPN は、標準ベースの IPsec VPN ソリューションであり、UDP ポート 500 と 4500 のほか、IP プロトコル番号 IKEv2 VPN is a standards-based IPsec VPN solution that uses UDP port 500 and 4500 and IP protocol no. 50 を使用しています。50. ファイアウォールでここに挙げたポートが必ずしも開いているとは限りません。このため、IKEv2 VPN ではプロキシとファイアウォールを通過できないことがあります。Firewalls do not always open these ports, so there is a possibility of IKEv2 VPN not being able to traverse proxies and firewalls.

ポイント対サイト接続用に構成されたクライアント コンピューターを再起動した場合、VPN は自動的に再接続されますか。If I restart a client computer configured for Point-to-Site, will the VPN automatically reconnect?

既定では、クライアント コンピューターの再起動時には VPN の自動再接続は行われません。By default, the client computer will not reestablish the VPN connection automatically.

ポイント対サイトの自動再接続と VPN クライアントの DDNS はサポートされていますか。Does Point-to-Site support auto-reconnect and DDNS on the VPN clients?

ポイント対サイト VPN では、自動再接続と DDNS は現時点ではサポートされていません。Auto-reconnect and DDNS are currently not supported in Point-to-Site VPNs.

サイト間接続およびポイント対サイト接続の構成は、同一仮想ネットワークに共存させることはできますか。Can I have Site-to-Site and Point-to-Site configurations coexist for the same virtual network?

はい。Yes. Resource Manager デプロイ モデルの場合には、ゲートウェイにルートベースの VPN が必要になります。For the Resource Manager deployment model, you must have a RouteBased VPN type for your gateway. クラシック デプロイ モデルの場合は、動的ゲートウェイが必要です。For the classic deployment model, you need a dynamic gateway. 静的ルーティング VPN ゲートウェイと、ポリシーベースの VPN ゲートウェイでは、ポイント対サイト接続はサポートされません。We do not support Point-to-Site for static routing VPN gateways or PolicyBased VPN gateways.

ポイント対サイト接続のクライアントを同時に複数の仮想ネットワークに接続するように構成することはできますか。Can I configure a Point-to-Site client to connect to multiple virtual networks at the same time?

いいえ。No. ポイント対サイト接続のクライアントは、仮想ネットワーク ゲートウェイが存在する VNet にあるリソースに接続できるにとどまります。A Point-to-Site client can only connect to resources in the VNet in which the virtual network gateway resides.

サイト間接続またはポイント対サイト接続ではどの程度のスループットが得られますか。How much throughput can I expect through Site-to-Site or Point-to-Site connections?

VPN トンネルのスループットを正確に一定レベルに維持することは困難です。It's difficult to maintain the exact throughput of the VPN tunnels. IPsec と SSTP は、VPN プロトコルの中でも暗号化処理の負荷が高いものです。IPsec and SSTP are crypto-heavy VPN protocols. また、スループットはオンプレミスとインターネットの間の待機時間や帯域幅によっても制限されます。Throughput is also limited by the latency and bandwidth between your premises and the Internet. IKEv2 ポイント対サイト VPN 接続のみを使用する VPN ゲートウェイでは、期待できるスループットの総量がゲートウェイの SKU に応じて変わります。For a VPN Gateway with only IKEv2 Point-to-Site VPN connections, the total throughput that you can expect depends on the Gateway SKU. スループットの詳細については、「ゲートウェイの SKU」を参照してください。For more information on throughput, see Gateway SKUs.

SSTP や IKEv2 をサポートしているポイント対サイト接続では、ソフトウェア VPN クライアントを使用できますか。Can I use any software VPN client for Point-to-Site that supports SSTP and/or IKEv2?

いいえ。No. SSTP については Windows のネイティブ VPN クライアント、IKEv2 については Mac のネイティブ VPN クライアントのみ使用できます。You can only use the native VPN client on Windows for SSTP, and the native VPN client on Mac for IKEv2. サポートされているクライアント オペレーティング システムの一覧を参照してください。Refer to the list of supported client operating systems.

Azure は、Windows で IKEv2 VPN をサポートしていますか。Does Azure support IKEv2 VPN with Windows?

IKEv2 は、Windows 10 および Windows Server 2016 でサポートされています。IKEv2 is supported on Windows 10 and Server 2016. ただし、IKEv2 を使用するには、更新プログラムをインストールして、ローカルでレジストリ キーの値を設定する必要があります。However, in order to use IKEv2, you must install updates and set a registry key value locally. Windows 10 以前の OS バージョンはサポートされておらず、それらのバージョンで使用できるのは SSTP または OpenVPN® プロトコルのみです。OS versions prior to Windows 10 are not supported and can only use SSTP or OpenVPN® Protocol.

Windows 10 または Windows Server 2016 を IKEv2 用に準備するには:To prepare Windows 10 or Server 2016 for IKEv2:

  1. 更新プログラムをインストールします。Install the update.

    OS バージョンOS version DateDate 数/リンクNumber/Link
    Windows Server 2016Windows Server 2016
    Windows 10 バージョン 1607Windows 10 Version 1607
    2018 年 1 月 17 日January 17, 2018 KB4057142KB4057142
    Windows 10 バージョン 1703Windows 10 Version 1703 2018 年 1 月 17 日January 17, 2018 KB4057144KB4057144
    Windows 10 バージョン 1709Windows 10 Version 1709 2018 年 3 月 22 日March 22, 2018 KB4089848KB4089848
  2. レジストリ キーの値を設定します。Set the registry key value. レジストリの "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload" REG_DWORD キーを作成するか、または 1 に設定します。Create or set “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload” REG_DWORD key in the registry to 1.

P2S VPN 接続に対して SSTP と IKEv2 の両方を構成した場合、何が起こりますか。What happens when I configure both SSTP and IKEv2 for P2S VPN connections?

Windows デバイスと Mac デバイスが混在する環境で SSTP と IKEv2 の両方を構成すると、Windows VPN クライアントは必ず最初に IKEv2 トンネルを試行します。ただし、IKEv2 接続が成功しなかった場合 SSTP にフォールバックします。When you configure both SSTP and IKEv2 in a mixed environment (consisting of Windows and Mac devices), the Windows VPN client will always try IKEv2 tunnel first, but will fall back to SSTP if the IKEv2 connection is not successful. MacOSX は IKEv2 経由のみで接続します。MacOSX will only connect via IKEv2.

Windows と Mac 以外に、Azure が P2S VPN 向けにサポートしている他のプラットフォームはありますか。Other than Windows and Mac, which other platforms does Azure support for P2S VPN?

Azure では、P2S VPN 向けに Windows、Mac、および Linux をサポートしています。Azure supports Windows, Mac and Linux for P2S VPN.

Azure VPN Gateway を既にデプロイしています。I already have an Azure VPN Gateway deployed. ここで RADIUS または IKEv2 VPN または両方を有効にできますか。Can I enable RADIUS and/or IKEv2 VPN on it?

はい。Powershell または Azure Portal を使用して、既にデプロイされているゲートウェイでこれらの新機能を有効にできます。ただし、ご利用のゲートウェイ SKU が、RADIUS と IKEv2 のいずれかまたは両方をサポートしている必要があります。Yes, you can enable these new features on already deployed gateways using Powershell or the Azure portal, provided that the gateway SKU that you are using supports RADIUS and/or IKEv2. たとえば VPN Gateway Basic SKU は、RADIUS と IKEv2 のどちらもサポートしていません。For example, the VPN gateway Basic SKU does not support RADIUS or IKEv2.

RADIUS 認証はすべての Azure VPN Gateway SKU でサポートされていますか。Is RADIUS authentication supported on all Azure VPN Gateway SKUs?

RADIUS 認証は VpnGw1、VpnGw2、VpnGw3 の 3 つの SKU でサポートされています。RADIUS authentication is supported for VpnGw1, VpnGw2, and VpnGw3 SKUs. 従来の SKU を使用している場合は、Standard と High Performance の SKU に限り RADIUS 認証をサポートしています。If you are using legacy SKUs, RADIUS authentication is supported on Standard and High Performance SKUs. Basic Gateway SKU ではサポートされていません。It is not supported on the Basic Gateway SKU. 

クラシック デプロイ モデルでは RADIUS 認証がサポートされていますか。Is RADIUS authentication supported for the classic deployment model?

いいえ。No. クラシック デプロイ モデルでは、RADIUS 認証がサポートされていません。RADIUS authentication is not supported for the classic deployment model.

サードパーティ製の RADIUS サーバーはサポートされていますか。Are 3rd-party RADIUS servers supported?

はい。サードパーティ製の RADIUS サーバーはサポートされています。Yes, 3rd-party RADIUS servers are supported.

Azure ゲートウェイがオンプレミスの RADIUS サーバーに到達するための接続の要件は何ですか。What are the connectivity requirements to ensure that the Azure gateway is able to reach an on-premises RADIUS server?

オンプレミスのサイトに対する VPN サイト対サイト接続が必要です (適切なルートが構成されている必要があります)。A VPN Site-to-Site connection to the on-premises site, with the proper routes configured, is required.  

ExpressRoute 接続を使って (Azure VPN ゲートウェイから) オンプレミスの RADIUS サーバーに対するトラフィックをルーティングすることはできますか。Can traffic to an on-premises RADIUS server (from the Azure VPN gateway) be routed over an ExpressRoute connection?

いいえ。No. そのようなトラフィックは、サイト対サイト接続でのみルーティングできます。It can only be routed over a Site-to-Site connection.

RADIUS 認証でサポートされる SSTP 接続の数に変更はありますか。Is there a change in the number of SSTP connections supported with RADIUS authentication? サポートされる SSTP 接続と IKEv2 接続の最大数はそれぞれどのくらいですか。What is the maximum number of SSTP and IKEv2 connections supported?

RADIUS 認証を使用するゲートウェイでサポートされる SSTP 接続の最大数には変更ありません。There is no change in the maximum number of SSTP connections supported on a gateway with RADIUS authentication. SSTP に対しては 128 のままですが、IKEv2 のゲートウェイ SKU によって異なります。It remains 128 for SSTP, but depends on the gateway SKU for IKEv2. サポートされる接続の数の詳細については、「ゲートウェイの SKU」を参照してください。 For more information on the number of connections supported, see Gateway SKUs.

RADIUS サーバーを使った証明書認証と Azure ネイティブ証明書認証を使った証明書認証 (信頼された証明書を Azure にアップロードする) の違いは何ですか。What is the difference between doing certificate authentication using a RADIUS server vs. using Azure native certificate authentication (by uploading a trusted certificate to Azure).

RADIUS による証明書認証では、認証要求が実際に証明書の検証処理を担当する RADIUS サーバーに転送されます。In RADIUS certificate authentication, the authentication request is forwarded to a RADIUS server that handles the actual certificate validation. このオプションは、RADIUS を使用する証明書認証インフラストラクチャが既にあり、それを統合したい場合に有用です。This option is useful if you want to integrate with a certificate authentication infrastructure that you already have through RADIUS.

証明書認証に Azure を使用する場合には、Azure VPN ゲートウェイが証明書の検証を担当します。When using Azure for certificate authentication, the Azure VPN gateway performs the validation of the certificate. ユーザーの側では、ゲートウェイに証明書の公開キーをアップロードする必要があります。You need to upload your certificate public key to the gateway. このほか、接続を許可してはならない失効した証明書の一覧を指定することもできます。You can also specify list of revoked certificates that shouldn’t be allowed to connect.

RADIUS 認証は、IKEv2 と SSTP VPN の両方で機能しますか。Does RADIUS authentication work with both IKEv2, and SSTP VPN?

はい、RADIUS 認証は、IKEv2 と SSTP VPN の両方でサポートされています。Yes, RADIUS authentication is supported for both IKEv2, and SSTP VPN. 

VNet 間接続とマルチサイト接続VNet-to-VNet and Multi-Site connections

VNet 間接続の FAQ は VPN ゲートウェイ接続が対象となります。The VNet-to-VNet FAQ applies to VPN gateway connections. VNet ピアリングについては、「仮想ネットワーク ピアリング」を参照してください。For information about VNet peering, see Virtual network peering.

Azure では VNet 間のトラフィックに対して料金が発生しますか。Does Azure charge for traffic between VNets?

VPN ゲートウェイ接続を使用している場合は、同じリージョン内の VNet 間トラフィックは双方向で無料です。VNet-to-VNet traffic within the same region is free for both directions when you use a VPN gateway connection. リージョンを越えて送信される VNet 間エグレス トラフィックには、ソース リージョンに基づき、アウトバウンド VNet 内データ転送料金が課せられます。Cross-region VNet-to-VNet egress traffic is charged with the outbound inter-VNet data transfer rates based on the source regions. 詳細については、VPN Gateway の価格に関するページを参照してください。For more information, see VPN Gateway pricing page. VPN ゲートウェイではなく VNet ピアリングを使用して VNet を接続している場合は、Virtual Network の価格に関するページを参照してください。If you're connecting your VNets by using VNet peering instead of a VPN gateway, see Virtual network pricing.

VNet 間のトラフィックは、インターネット経由で送信されますか。Does VNet-to-VNet traffic travel across the internet?

いいえ。No. VNet 間のトラフィックは、インターネットではなく Microsoft Azure のバックボーンを経由して送信されます。VNet-to-VNet traffic travels across the Microsoft Azure backbone, not the internet.

Azure Active Directory (AAD) テナント間で VNet 間接続を確立できますか。Can I establish a VNet-to-VNet connection across Azure Active Directory (AAD) tenants?

はい、Azure VPN ゲートウェイを使用する VNet 間接続は、AAD テナント間で動作します。Yes, VNet-to-VNet connections that use Azure VPN gateways work across AAD tenants.

VNet 間のトラフィックはセキュリティで保護されていますか。Is VNet-to-VNet traffic secure?

はい、IPsec/IKE 暗号化で保護されます。Yes, it's protected by IPsec/IKE encryption.

VNet 同士を接続するには VPN デバイスが必要ですか。Do I need a VPN device to connect VNets together?

いいえ。No. 複数の Azure 仮想ネットワークを接続するときに、VPN デバイスは必要ありません (クロスプレミス接続が必要な場合を除く)。Connecting multiple Azure virtual networks together doesn't require a VPN device unless cross-premises connectivity is required.

VNet は同じリージョンに属している必要がありますか。Do my VNets need to be in the same region?

いいえ。No. 仮想ネットワークが属している Azure リージョン (場所) は異なっていてもかまいません。The virtual networks can be in the same or different Azure regions (locations).

VNet が同じサブスクリプションに存在しない場合、サブスクリプションが同じ Active Directory テナントに関連付けられている必要がありますか。If the VNets aren't in the same subscription, do the subscriptions need to be associated with the same Active Directory tenant?

いいえ。No.

別々の Azure インスタンスに存在する仮想ネットワークを VNet 間接続で接続することはできますか。Can I use VNet-to-VNet to connect virtual networks in separate Azure instances?

いいえ。No. VNet 間接続でサポートされるのは、同じ Azure インスタンス内の仮想ネットワークの接続だけです。VNet-to-VNet supports connecting virtual networks within the same Azure instance. たとえば、グローバル Azure と中国/ドイツ/米国政府の Azure インスタンスとの間で接続を作成することはできません。For example, you can’t create a connection between global Azure and Chinese/German/US government Azure instances. これらのシナリオについては、サイト間 VPN 接続の使用をご検討ください。Consider using a Site-to-Site VPN connection for these scenarios.

VNet 間接続はマルチサイト接続と併用できますか。Can I use VNet-to-VNet along with multi-site connections?

はい。Yes. 仮想ネットワーク接続は、マルチサイト VPN と同時に使用することができます。Virtual network connectivity can be used simultaneously with multi-site VPNs.

1 つの仮想ネットワークから接続できるオンプレミス サイトと仮想ネットワークの数を教えてください。How many on-premises sites and virtual networks can one virtual network connect to?

ゲートウェイの要件」の表を参照してください。See the Gateway requirements table.

VNet 間接続を使用して VNet の外部の VM やクラウド サービスを接続することはできますか。Can I use VNet-to-VNet to connect VMs or cloud services outside of a VNet?

いいえ。No. VNet 間接続によって仮想ネットワークを接続できます。VNet-to-VNet supports connecting virtual networks. 仮想ネットワーク内に存在しない仮想マシンやクラウド サービスを接続することはできません。It doesn't support connecting virtual machines or cloud services that aren't in a virtual network.

クラウド サービスや負荷分散エンドポイントは複数の VNet にまたがることができますか。Can a cloud service or a load-balancing endpoint span VNets?

いいえ。No. クラウド サービスや負荷分散エンドポイントは、仮にそれらが相互に接続されていたとしても、仮想ネットワークの境界を越えることはできません。A cloud service or a load-balancing endpoint can't span across virtual networks, even if they're connected together.

VNet 間接続やマルチサイト接続にポリシー ベースの VPN の種類を使用することはできますか。Can I use a PolicyBased VPN type for VNet-to-VNet or Multi-Site connections?

いいえ。No. VNet 間接続とマルチサイト接続には、VPN の種類がルート ベース (以前は "動的ルーティング" と呼ばれていました) である Azure VPN Gateway が必要です。VNet-to-VNet and Multi-Site connections require Azure VPN gateways with RouteBased (previously called dynamic routing) VPN types.

VPN の種類がルート ベースの VNet を VPN の種類がポリシー ベースの VNet に接続できますか。Can I connect a VNet with a RouteBased VPN Type to another VNet with a PolicyBased VPN type?

いいえ、両方の仮想ネットワークでルート ベース (以前は "動的ルーティング" と呼ばれていました) の VPN を使用している必要があります。No, both virtual networks MUST use route-based (previously called dynamic routing) VPNs.

VPN トンネルは帯域幅を共有しますか。Do VPN tunnels share bandwidth?

はい。Yes. 仮想ネットワークのすべての VPN トンネルは、Azure VPN ゲートウェイ上の使用可能な帯域幅を共有し、Azure 内の同じ VPN ゲートウェイ アップタイム SLA を共有します。All VPN tunnels of the virtual network share the available bandwidth on the Azure VPN gateway and the same VPN gateway uptime SLA in Azure.

冗長トンネルはサポートされますか。Are redundant tunnels supported?

1 つの仮想ネットワーク ゲートウェイがアクティブ/アクティブ構成になっている場合、仮想ネットワークのペア間の冗長トンネルがサポートされます。Redundant tunnels between a pair of virtual networks are supported when one virtual network gateway is configured as active-active.

VNet 間接続の構成で、重複するアドレス空間を使用できますか。Can I have overlapping address spaces for VNet-to-VNet configurations?

いいえ。No. 重複する IP アドレス範囲は使用できません。You can't have overlapping IP address ranges.

接続されている仮想ネットワークとオンプレミスのローカル サイトで、重複するアドレス空間を使用できますか。Can there be overlapping address spaces among connected virtual networks and on-premises local sites?

いいえ。No. 重複する IP アドレス範囲は使用できません。You can't have overlapping IP address ranges.

オンプレミス サイトや別の仮想ネットワークに向けてトラフィックを通過させるときに、Azure VPN Gateway を使用できますか。Can I use Azure VPN gateway to transit traffic between my on-premises sites or to another virtual network?

Resource Manager デプロイ モデルResource Manager deployment model
はい。Yes. 詳細については、「BGP」セクションを参照してください。See the BGP section for more information.

クラシック デプロイ モデルClassic deployment model
クラシック デプロイ モデルを使用して Azure VPN Gateway 経由でトラフィックを通過させることは可能です。この場合、ネットワーク構成ファイル内の静的に定義されたアドレス空間が使用されます。Transit traffic via Azure VPN gateway is possible using the classic deployment model, but relies on statically defined address spaces in the network configuration file. BGP はまだ、クラシック デプロイ モデルを使用した Azure Virtual Network と VPN Gateway ではサポートされていません。BGP is not yet supported with Azure Virtual Networks and VPN gateways using the classic deployment model. BGP が使用できない場合、手動で通過アドレス空間を定義すると非常にエラーが発生しやすいため、これは推奨していません。Without BGP, manually defining transit address spaces is very error prone, and not recommended.

Azure では、同一仮想ネットワークのすべての VPN 接続に対して同一の IPsec/IKE 事前共有キーが生成されるのですか。Does Azure generate the same IPsec/IKE pre-shared key for all my VPN connections for the same virtual network?

いいえ、既定では、Azure は異なる VPN 接続に対してそれぞれ異なる事前共有キーを生成します。No, Azure by default generates different pre-shared keys for different VPN connections. ただし、Set VPN Gateway Key REST API または PowerShell コマンドレットを使用すると、お好みのキー値を設定することができます。However, you can use the Set VPN Gateway Key REST API or PowerShell cmdlet to set the key value you prefer. キーは、1 ~ 128 文字の長さの英数字の文字列である必要があります。The key MUST be alphanumerical string of length between 1 to 128 characters.

1 つの仮想ネットワークのよりも多くのサイト間 VPN を確立した方がより広い帯域幅を得られるのでしょうか。Do I get more bandwidth with more Site-to-Site VPNs than for a single virtual network?

いいえ、ポイント対サイト VPN を含むすべての VPN トンネルは、同一の Azure VPN Gateway とそこで利用可能な帯域幅を共有します。No, all VPN tunnels, including Point-to-Site VPNs, share the same Azure VPN gateway and the available bandwidth.

仮想ネットワークとオンプレミス サイトの間に、マルチサイト VPN を使用して複数のトンネルを構成できますか。Can I configure multiple tunnels between my virtual network and my on-premises site using multi-site VPN?

はい。ただし、両方のトンネルの BGP を同じ場所に構成する必要があります。Yes, but you must configure BGP on both tunnels to the same location.

仮想ネットワークを持つポイント対サイト VPN を複数の VPN トンネルで使用できますか。Can I use Point-to-Site VPNs with my virtual network with multiple VPN tunnels?

はい、ポイント対サイト (P2S) VPN は複数のオンプレミス サイトおよび他の仮想ネットワークに接続されている VPN ゲートウェイで使用できます。Yes, Point-to-Site (P2S) VPNs can be used with the VPN gateways connecting to multiple on-premises sites and other virtual networks.

IPsec VPN を使用している仮想ネットワークを自社の ExpressRoute 回線に接続できますか。Can I connect a virtual network with IPsec VPNs to my ExpressRoute circuit?

はい、これはサポートされています。Yes, this is supported. 詳細については、 共存する ExpressRoute とサイト間 VPN の接続の構成を参照してください。For more information, see Configure ExpressRoute and Site-to-Site VPN connections that coexist.

IPsec/IKE ポリシーIPsec/IKE policy

カスタム IPsec/IKE ポリシーはすべての Azure VPN Gateway SKU でサポートされていますか。Is Custom IPsec/IKE policy supported on all Azure VPN Gateway SKUs?

カスタム IPsec/IKE ポリシーは、Azure の VpnGw1、VpnGw2、VpnGw3、Standard および HighPerformance VPN ゲートウェイでサポートされています。Custom IPsec/IKE policy is supported on Azure VpnGw1, VpnGw2, VpnGw3, Standard, and HighPerformance VPN gateways. Basic SKU はサポートされていませんThe Basic SKU is not supported.

1 つの接続に対してポリシーはいくつ指定できますか。How many policies can I specify on a connection?

ある特定の接続に対して指定できるポリシーの組み合わせは 1 つだけです。You can only specify one policy combination for a given connection.

接続に対してポリシーを部分的に指定することはできますか Can I specify a partial policy on a connection? (IKE アルゴリズムのみ指定し、IPsec は指定しないなど)。(for example, only IKE algorithms, but not IPsec)

いいえ。IKE (メイン モード) と IPsec (クイック モード) の両方について、すべてのアルゴリズムとパラメーターを指定する必要があります。No, you must specify all algorithms and parameters for both IKE (Main Mode) and IPsec (Quick Mode). ポリシーを部分的に指定することはできません。Partial policy specification is not allowed.

カスタム ポリシーでサポートされるアルゴリズムとキーの強度を教えてください。What are the algorithms and key strengths supported in the custom policy?

以下の表は、サポートされている暗号アルゴリズムと、ユーザーが構成できるキーの強度を一覧にしたものです。The following table lists the supported cryptographic algorithms and key strengths configurable by the customers. 各フィールドについて、オプションを 1 つ選択する必要があります。You must select one option for every field.

IPsec/IKEv2IPsec/IKEv2 オプションOptions
IKEv2 暗号化IKEv2 Encryption AES256、AES192、AES128、DES3、DESAES256, AES192, AES128, DES3, DES
IKEv2 整合性IKEv2 Integrity SHA384、SHA256、SHA1、MD5SHA384, SHA256, SHA1, MD5
DH グループDH Group DHGroup24、ECP384、ECP256、DHGroup14 (DHGroup2048)、DHGroup2、DHGroup1、なしDHGroup24, ECP384, ECP256, DHGroup14 (DHGroup2048), DHGroup2, DHGroup1, None
IPsec 暗号化IPsec Encryption GCMAES256、GCMAES192、GCMAES128、AES256、AES192、AES128、DES3、DES、なしGCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, None
IPsec 整合性IPsec Integrity GCMAES256、GCMAES192、GCMAES128、SHA256、SHA1、MD5GCMAES256, GCMAES192, GCMAES128, SHA256, SHA1, MD5
PFS グループPFS Group PFS24、ECP384、ECP256、PFS2048、PFS2、PFS1、なしPFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, None
QM SA の有効期間QM SA Lifetime 秒 (整数: 最小 300/既定値 27,000 秒)Seconds (integer; min. 300/default 27000 seconds)
キロバイト数 (整数: 最小 1024/既定値 102,400,000 キロバイト)KBytes (integer; min. 1024/default 102400000 KBytes)
トラフィック セレクターTraffic Selector UsePolicyBasedTrafficSelectors ($True/$False - 既定値 $False)UsePolicyBasedTrafficSelectors ($True/$False; default $False)

重要

  1. DHGroup2048 および PFS2048 は、IKE および IPsec PFS の Diffie-Hellman グループ 14 と同じです。DHGroup2048 & PFS2048 are the same as Diffie-Hellman Group 14 in IKE and IPsec PFS. 完全なマッピングについては、Diffie-Hellman グループに関するセクションを参照してください。See Diffie-Hellman Groups for the complete mappings.
  2. GCMAES アルゴリズムでは、IPSec 暗号化と整合性の両方に同じ GCMAES アルゴリズムとキーの長さを指定する必要があります。For GCMAES algorithms, you must specify the same GCMAES algorithm and key length for both IPsec Encryption and Integrity.
  3. Azure VPN ゲートウェイでは、IKEv2 メイン モード SA の有効期間が 28,800 秒に固定されます。IKEv2 Main Mode SA lifetime is fixed at 28,800 seconds on the Azure VPN gateways
  4. QM SA の有効期間は省略可能なパラメーターです。QM SA Lifetimes are optional parameters. 指定されていない場合は、既定値の 27,000 秒 (7.5 時間) および 102,400,000 キロバイト (102 GB) が使用されます。If none was specified, default values of 27,000 seconds (7.5 hrs) and 102400000 KBytes (102GB) are used.
  5. UsePolicyBasedTrafficSelector は接続に関する省略可能なパラメーターです。UsePolicyBasedTrafficSelector is an option parameter on the connection. "UsePolicyBasedTrafficSelectors" については、次の FAQ 項目を参照してください。See the next FAQ item for "UsePolicyBasedTrafficSelectors"

Azure VPN Gateway のポリシーとオンプレミス VPN デバイスの構成とが、すべて一致してる必要はありますか。Does everything need to match between the Azure VPN gateway policy and my on-premises VPN device configurations?

ご使用のオンプレミス VPN デバイスの構成は、Azure IPsec/IKE ポリシーで指定した次のアルゴリズムおよびパラメーターと一致している (または含んでいる) 必要があります。Your on-premises VPN device configuration must match or contain the following algorithms and parameters that you specify on the Azure IPsec/IKE policy:

  • IKE 暗号化アルゴリズムIKE encryption algorithm
  • IKE 整合性アルゴリズムIKE integrity algorithm
  • DH グループDH Group
  • IPsec 暗号化アルゴリズムIPsec encryption algorithm
  • IPsec 整合性アルゴリズムIPsec integrity algorithm
  • PFS グループPFS Group
  • トラフィック セレクター (*)Traffic Selector (*)

SA の有効期間は、ローカルの指定のみとなります。一致している必要はありません。The SA lifetimes are local specifications only, do not need to match.

UsePolicyBasedTrafficSelectors を有効にした場合は、Azure Virtual Network プレフィックスとの間で双方向に、オンプレミス ネットワーク (ローカル ネットワーク ゲートウェイ) プレフィックスのすべての組み合わせに対応するトラフィック セレクターがご使用の VPN デバイスに定義されている必要があります (any-to-any は不可)。If you enable UsePolicyBasedTrafficSelectors, you need to ensure your VPN device has the matching traffic selectors defined with all combinations of your on-premises network (local network gateway) prefixes to/from the Azure virtual network prefixes, instead of any-to-any. たとえば、オンプレミス ネットワークのプレフィックスが 10.1.0.0/16 と 10.2.0.0/16 で、仮想ネットワークのプレフィックスが 192.168.0.0/16 と 172.16.0.0/16 である場合、次のトラフィック セレクターを指定する必要があります。For example, if your on-premises network prefixes are 10.1.0.0/16 and 10.2.0.0/16, and your virtual network prefixes are 192.168.0.0/16 and 172.16.0.0/16, you need to specify the following traffic selectors:

  • 10.1.0.0/16 <====> 192.168.0.0/1610.1.0.0/16 <====> 192.168.0.0/16
  • 10.1.0.0/16 <====> 172.16.0.0/1610.1.0.0/16 <====> 172.16.0.0/16
  • 10.2.0.0/16 <====> 192.168.0.0/1610.2.0.0/16 <====> 192.168.0.0/16
  • 10.2.0.0/16 <====> 172.16.0.0/1610.2.0.0/16 <====> 172.16.0.0/16

詳細については、複数のオンプレミスのポリシーベース VPN デバイスへの接続に関する記事を参照してください。For more information, see Connect multiple on-premises policy-based VPN devices.

どの Diffie-Hellman グループがサポートされていますか。Which Diffie-Hellman Groups are supported?

次の表に、IKE (DHGroup) と IPsec (PFSGroup) でサポートされている Diffie-Hellman グループを示します。The table below lists the supported Diffie-Hellman Groups for IKE (DHGroup) and IPsec (PFSGroup):

Diffie-Hellman グループDiffie-Hellman Group DHGroupDHGroup PFSGroupPFSGroup キーの長さKey length
11 DHGroup1DHGroup1 PFS1PFS1 768 ビット MODP768-bit MODP
22 DHGroup2DHGroup2 PFS2PFS2 1024 ビット MODP1024-bit MODP
1414 DHGroup14DHGroup14
DHGroup2048DHGroup2048
PFS2048PFS2048 2048 ビット MODP2048-bit MODP
1919 ECP256ECP256 ECP256ECP256 256 ビット ECP256-bit ECP
2020 ECP384ECP384 ECP384ECP384 384 ビット ECP384-bit ECP
2424 DHGroup24DHGroup24 PFS24PFS24 2048 ビット MODP2048-bit MODP

詳細については、RFC3526 および RFC5114 を参照してください。For more information, see RFC3526 and RFC5114.

Azure VPN ゲートウェイに対する既定の IPsec/IKE ポリシー セットは、カスタム ポリシーによって置き換えられるのでしょうか。Does the custom policy replace the default IPsec/IKE policy sets for Azure VPN gateways?

はい。特定の接続に対してカスタム ポリシーが指定されると、Azure VPN ゲートウェイは、IKE イニシエーターと IKE レスポンダーのどちらとして機能する場合も、その接続に対してそのポリシーのみを使用するようになります。Yes, once a custom policy is specified on a connection, Azure VPN gateway will only use the policy on the connection, both as IKE initiator and IKE responder.

カスタム IPsec/IKE ポリシーを削除した場合、接続は保護されなくなるのですか。If I remove a custom IPsec/IKE policy, does the connection become unprotected?

いいえ。接続は引き続き IPsec/IKE によって保護されます。No, the connection will still be protected by IPsec/IKE. 接続からカスタム ポリシーが削除されると、Azure VPN ゲートウェイは、既定の IPsec/IKE 候補リストに復帰し、オンプレミス VPN デバイスとの間で再度 IKE ハンドシェイクを開始します。Once you remove the custom policy from a connection, the Azure VPN gateway reverts back to the default list of IPsec/IKE proposals and restart the IKE handshake again with your on-premises VPN device.

IPsec/IKE ポリシーを追加または更新した場合、VPN 接続は中断されますか。Would adding or updating an IPsec/IKE policy disrupt my VPN connection?

はい。短時間 (数秒) の中断が生じる可能性があります。Azure VPN ゲートウェイは、既存の接続を破棄します。そのうえで、IKE ハンドシェイクを再開し、新しい暗号アルゴリズムとパラメーターで IPsec トンネルを再度確立します。Yes, it could cause a small disruption (a few seconds) as the Azure VPN gateway tears down the existing connection and restarts the IKE handshake to re-establish the IPsec tunnel with the new cryptographic algorithms and parameters. 中断を最小限に抑えるために、対応するアルゴリズムおよびキーの強度を使ってオンプレミス VPN デバイスが構成されていることを確認してください。Ensure your on-premises VPN device is also configured with the matching algorithms and key strengths to minimize the disruption.

接続ごとに異なるポリシーを使用することはできますか。Can I use different policies on different connections?

はい。Yes. カスタム ポリシーは接続ごとに適用されます。Custom policy is applied on a per-connection basis. 接続ごとに異なる IPsec/IKE ポリシーを作成して適用することができます。You can create and apply different IPsec/IKE policies on different connections. また、接続の一部に対してカスタム ポリシーを適用することもできます。You can also choose to apply custom policies on a subset of connections. それ以外の部分では、Azure の既定の IPsec/IKE ポリシー セットが使用されます。The remaining ones use the Azure default IPsec/IKE policy sets.

カスタム ポリシーは VNet 間接続にも使用できますか。Can I use the custom policy on VNet-to-VNet connection as well?

はい。カスタム ポリシーは、IPsec クロスプレミス接続と VNet 間接続のどちらにでも適用できます。Yes, you can apply custom policy on both IPsec cross-premises connections or VNet-to-VNet connections.

VNet 間接続の両方のリソースに同じポリシーを指定する必要はありますか。Do I need to specify the same policy on both VNet-to-VNet connection resources?

はい。Yes. VNet 間トンネルは、Azure 内の 2 つの接続リソースで構成されます (1 方向につき 1 つ)。A VNet-to-VNet tunnel consists of two connection resources in Azure, one for each direction. 両方の接続リソースに同じポリシーを適用する必要があります。それ以外の場合、VNet 間接続は確立されません。Make sure both connection resources have the same policy, otherwise the VNet-to-VNet connection won't establish.

ExpressRoute 接続でカスタム IPsec/IKE ポリシーは機能しますか。Does custom IPsec/IKE policy work on ExpressRoute connection?

いいえ。No. IPsec/IKE ポリシーは、Azure VPN ゲートウェイを介した VNet 間接続と S2S VPN 接続でのみ機能します。IPsec/IKE policy only works on S2S VPN and VNet-to-VNet connections via the Azure VPN gateways.

IPsec の詳細な構成情報はどこで入手できますか。Where can I find more configuration information for IPsec?

S2S または VNet-to-VNet 接続の IPsec/IKE ポリシーの構成に関するページを参照してくださいSee Configure IPsec/IKE policy for S2S or VNet-to-VNet connections

BGPBGP

BGP はすべての Azure VPN Gateway SKU でサポートされていますか。Is BGP supported on all Azure VPN Gateway SKUs?

いいえ、BGP は Azure VpnGw1VpnGw2VpnGw3StandardHighPerformance の各 VPN ゲートウェイでサポートされています。No, BGP is supported on Azure VpnGw1, VpnGw2, VpnGw3, Standard and HighPerformance VPN gateways. Basic SKU はサポートされていません。Basic SKU is NOT supported.

Azure のポリシーベースの VPN ゲートウェイでは BGP を使用できますか。Can I use BGP with Azure Policy-Based VPN gateways?

いいえ、BGP は、ルートベースの VPN ゲートウェイでのみサポートされています。No, BGP is supported on Route-Based VPN gateways only.

プライベート ASN (自律システム番号) は使用できますか。Can I use private ASNs (Autonomous System Numbers)?

はい、オンプレミスのネットワークと Azure 仮想ネットワークの両方に対して独自のパブリック ASN またはプライベート ASN を使用できます。Yes, you can use your own public ASNs or private ASNs for both your on-premises networks and Azure virtual networks.

32 ビットの ASN (自律システム番号) は使用できますか。Can I use 32-bit ASNs (Autonomous System Numbers)?

いいえ。現時点で Azure VPN Gateway がサポートしているのは 16 ビットの ASN となります。No, the Azure VPN Gateways support 16-Bit ASNs today.

Azure によって予約済みの ASN はありますか。Are there ASNs reserved by Azure?

はい、次の ASN は、内外両方のピアリング用に Azure によって予約されています。Yes, the following ASNs are reserved by Azure for both internal and external peerings:

  • パブリック ASN: 8074、8075、12076Public ASNs: 8074, 8075, 12076
  • プライベート ASN: 65515、65517、65518、65519、65520Private ASNs: 65515, 65517, 65518, 65519, 65520

これらの ASN は、Azure VPN ゲートウェイに接続する際にオンプレミスの VPN デバイスには指定できません。You cannot specify these ASNs for your on premises VPN devices when connecting to Azure VPN gateways.

使用できないその他の ASN はありますか。Are there any other ASNs that I can't use?

はい。以下の ASN は IANA によって予約済みであり、Azure VPN Gateway では構成できません。Yes, the following ASNs are reserved by IANA and can't be configured on your Azure VPN Gateway:

23456、64496 ~ 64511、65535 ~ 65551、および 42949672923456, 64496-64511, 65535-65551 and 429496729

オンプレミスの VPN ネットワークと Azure Vnet の両方に同じ ASN を使用できますか。Can I use the same ASN for both on-premises VPN networks and Azure VNets?

いいえ、BGP を使用して接続している場合は、オンプレミスのネットワークと Azure Vnet に異なる ASN を割り当てる必要があります。No, you must assign different ASNs between your on-premises networks and your Azure VNets if you are connecting them together with BGP. Azure VPN Gateway には、クロスプレミス接続向けに BGP が有効になっているかどうかにかかわらず、ASN の既定値として 65515 が割り当てられています。Azure VPN Gateways have a default ASN of 65515 assigned, whether BGP is enabled or not for your cross-premises connectivity. VPN ゲートウェイを作成する際に異なる ASN を割り当てて既定値をオーバーライドするか、ゲートウェイの作成後に ASN を変更することができます。You can override this default by assigning a different ASN when creating the VPN gateway, or change the ASN after the gateway is created. 対応する Azure ローカル ネットワーク ゲートウェイにオンプレミスの ASN を割り当てる必要があります。You will need to assign your on-premises ASNs to the corresponding Azure Local Network Gateways.

Azure VPN ゲートウェイはどのようなアドレス プレフィックスをアドバタイズしますか。What address prefixes will Azure VPN gateways advertise to me?

Azure VPN ゲートウェイでは、オンプレミスの BGP デバイスに次のルートをアドバタイズします。Azure VPN gateway will advertise the following routes to your on-premises BGP devices:

  • VNet のアドレス プレフィックスYour VNet address prefixes
  • Azure VPN ゲートウェイに接続されている各ローカル ネットワーク ゲートウェイのアドレス プレフィックスAddress prefixes for each Local Network Gateways connected to the Azure VPN gateway
  • Azure VPN Gateway に接続されている他の BGP ピアリング セッションから学習したルート。ただし、VNet プレフィックスと重複している既定のルートは除外されます。Routes learned from other BGP peering sessions connected to the Azure VPN gateway, except default route or routes overlapped with any VNet prefix.

何個のプレフィックスを Azure VPN ゲートウェイにアドバタイズできますか。How many prefixes can I advertise to Azure VPN gateway?

最大 4,000 プレフィックスがサポートされています。We support up to 4000 prefixes. プレフィックスの数がこの制限を超えると、BGP セッションは切断されます。The BGP session is dropped if the number of prefixes exceeds the limit.

Azure VPN ゲートウェイへの既定のルート (0.0.0.0/0) をアドバタイズすることはできますか。Can I advertise default route (0.0.0.0/0) to Azure VPN gateways?

はい。Yes.

その場合、すべてのオンプレミス サイトへの VNet エグレス トラフィックが強制され、インターネットから VM への RDP や SSH など、インターネットからのパブリックな通信を VNet VM が直接受信できなくなることに注意してください。Please note this will force all VNet egress traffic towards your on-premises site, and will prevent the VNet VMs from accepting public communication from the Internet directly, such RDP or SSH from the Internet to the VMs.

自分の仮想ネットワーク プレフィックスとまったく同じプレフィックスをアドバタイズすることはできますか。Can I advertise the exact prefixes as my Virtual Network prefixes?

いいえ、お使いの仮想ネットワーク アドレス プレフィックスのいずれかと同じプレフィックスのアドバタイズは、Azure プラットフォームによってブロックされるか、フィルター処理されます。No, advertising the same prefixes as any one of your Virtual Network address prefixes will be blocked or filtered by the Azure platform. ただし、仮想ネットワークの内部に存在するアドレス空間のスーパーセットであるプレフィックスをアドバタイズすることができます。However you can advertise a prefix that is a superset of what you have inside your Virtual Network.

たとえば、仮想ネットワークでアドレス空間 10.0.0.0/16 を使用した場合、10.0.0.0/8 をアドバタイズすることができます。For example, if your virtual network used the address space 10.0.0.0/16, you could advertise 10.0.0.0/8. しかし、10.0.0.0/16 や 10.0.0.0/24 をアドバタイズすることはできません。But you cannot advertise 10.0.0.0/16 or 10.0.0.0/24.

VNet 間の接続で BGP を使用できますか。Can I use BGP with my VNet-to-VNet connections?

はい、クロスプレミス接続と VNet 間接続の両方で BGP を使用できます。Yes, you can use BGP for both cross-premises connections and VNet-to-VNet connections.

Azure VPN ゲートウェイで BGP 接続を BGP 以外の接続と混在させることはできますか。Can I mix BGP with non-BGP connections for my Azure VPN gateways?

はい、同じ Azure VPN ゲートウェイに対して BGP 接続と非 BGP 接続の両方を混在させることができます。Yes, you can mix both BGP and non-BGP connections for the same Azure VPN gateway.

Azure VPN ゲートウェイでは、BGP トランジット ルーティングをサポートしていますか。Does Azure VPN gateway support BGP transit routing?

はい。BGP トランジット ルーティングはサポートされています。ただし、Azure VPN Gateway は既定のルートを他の BGP ピアにアドバタイズしませんYes, BGP transit routing is supported, with the exception that Azure VPN gateways will NOT advertise default routes to other BGP peers. 複数の Azure VPN ゲートウェイでトランジット ルーティングを有効にするには、中間にあるすべての VNet 接続で BGP を有効にする必要があります。To enable transit routing across multiple Azure VPN gateways, you must enable BGP on all intermediate VNet-to-VNet connections. 詳細については、BGP に関する記事を参照してください。For more information, see About BGP.

Azure VPN ゲートウェイとオンプレミス ネットワークの間で複数のトンネルを確立することはできますか。Can I have more than one tunnel between Azure VPN gateway and my on-premises network?

はい、Azure VPN ゲートウェイとオンプレミス ネットワークの間に複数の S2S VPN トンネルを確立することができます。Yes, you can establish more than one S2S VPN tunnel between an Azure VPN gateway and your on-premises network. これらのトンネルはすべて Azure VPN ゲートウェイのトンネルの合計数にカウントされる点に注意してください。さらに、両方のトンネルの BGP を有効にする必要があります。Please note that all these tunnels will be counted against the total number of tunnels for your Azure VPN gateways and you must enable BGP on both tunnels.

たとえば、Azure VPN ゲートウェイとオンプレミス ネットワークのいずれかの間に 2 つの冗長トンネルがある場合は、Azure VPN ゲートウェイの合計クォータ (Standard の場合は 10、HighPerformance の場合は 30) から 2 つのトンネルが消費されることになります。For example, if you have two redundant tunnels between your Azure VPN gateway and one of your on-premises networks, they will consume 2 tunnels out of the total quota for your Azure VPN gateway (10 for Standard and 30 for HighPerformance).

BGP で 2 つの Azure Vnet の間に複数のトンネルを確立することはできますか。Can I have multiple tunnels between two Azure VNets with BGP?

はい。ただし、少なくとも 1 つの仮想ネットワーク ゲートウェイが、アクティブ/アクティブ構成になっている必要があります。Yes, but at least one of the virtual network gateways must be in active-active configuration.

ExpressRoute/S2S VPN 共存構成で S2S VPN に BGP を使用することはできますか。Can I use BGP for S2S VPN in an ExpressRoute/S2S VPN co-existence configuration?

はい。Yes.

Azure VPN ゲートウェイでは、BGP ピア IP にどのようなアドレスが使用されますか。What address does Azure VPN gateway use for BGP Peer IP?

Azure VPN ゲートウェイでは、仮想ネットワークに対して定義されている GatewaySubnet 範囲から 1 つの IP アドレスを割り当てます。The Azure VPN gateway will allocate a single IP address from the GatewaySubnet range defined for the virtual network. 既定では、範囲内で最後から 2 つ目のアドレスが使用されます。By default, it is the second last address of the range. たとえば、GatewaySubnet が 10.12.255.0/27 で、範囲が 10.12.255.0 から 10.12.255.31 となる場合、Azure VPN ゲートウェイの BGP ピア IP アドレスは 10.12.255.30 になります。For example, if your GatewaySubnet is 10.12.255.0/27, ranging from 10.12.255.0 to 10.12.255.31, the BGP Peer IP address on the Azure VPN gateway will be 10.12.255.30. Azure VPN ゲートウェイの情報を表示すると、この情報を確認できます。You can find this information when you list the Azure VPN gateway information.

VPN デバイスの BGP ピア IP アドレスに関する要件はどんなものですか。What are the requirements for the BGP Peer IP addresses on my VPN device?

オンプレミスの BGP ピア アドレスを VPN デバイスのパブリック IP アドレスと 同じにすることはできませんYour on-premises BGP peer address MUST NOT be the same as the public IP address of your VPN device. VPN デバイスでは BGP ピア IP に別の IP アドレスを使用してください。Use a different IP address on the VPN device for your BGP Peer IP. デバイス上のループバック インターフェイスに割り当てられたアドレスを使用することもできますが、APIPA (169.254.x.x) アドレスは使用できません。It can be an address assigned to the loopback interface on the device, but please note that it cannot be an APIPA (169.254.x.x) address. この場所を表している、対応するローカル ネットワーク ゲートウェイにこのアドレスを指定します。Specify this address in the corresponding Local Network Gateway representing the location.

BGP を使用する際、ローカル ネットワーク ゲートウェイのアドレス プレフィックスとして何を指定する必要がありますか。What should I specify as my address prefixes for the Local Network Gateway when I use BGP?

Azure のローカル ネットワーク ゲートウェイでは、オンプレミス ネットワークに初期アドレス プレフィックスが指定されます。Azure Local Network Gateway specifies the initial address prefixes for the on-premises network. BGP を使用する際は、BGP ピア IP アドレスのホスト プレフィックス (/32 プレフィックス) をオンプレミス ネットワークのアドレス空間として割り当てる必要があります。With BGP, you must allocate the host prefix (/32 prefix) of your BGP Peer IP address as the address space for that on-premises network. BGP ピア IP アドレスが 10.52.255.254 の場合は、このオンプレミス ネットワークを表しているローカル ネットワーク ゲートウェイの localNetworkAddressSpace として "10.52.255.254/32" を指定します。If your BGP Peer IP is 10.52.255.254, you should specify "10.52.255.254/32" as the localNetworkAddressSpace of the Local Network Gateway representing this on-premises network. これにより、Azure VPN ゲートウェイで S2S VPN トンネルを経由する BGP セッションが確立されます。This is to ensure that the Azure VPN gateway establishes the BGP session through the S2S VPN tunnel.

BGP ピアリング セッション向けにオンプレミスの VPN デバイスに何を追加する必要がありますか。What should I add to my on-premises VPN device for the BGP peering session?

IPsec S2S VPN トンネルを示す Azure BGP ピア IP アドレスのホスト ルートを VPN デバイスに追加する必要があります。You should add a host route of the Azure BGP Peer IP address on your VPN device pointing to the IPsec S2S VPN tunnel. たとえば、Azure VPN ピア IP が "10.12.255.30" の場合は、"10.12.255.30" のホスト ルートを VPN デバイスに追加し、対応する IPsec トンネル インターフェイスの次ホップ インターフェイスを指定する必要があります。For example, if the Azure VPN Peer IP is "10.12.255.30", you should add a host route for "10.12.255.30" with a nexthop interface of the matching IPsec tunnel interface on your VPN device.

クロスプレミス接続と VMCross-premises connectivity and VMs

仮想ネットワーク内に仮想マシンが存在し、クロスプレミス接続が使用できる場合、その VM にはどのように接続できますか。If my virtual machine is in a virtual network and I have a cross-premises connection, how should I connect to the VM?

いくつかの方法を使用できます。You have a few options. ご利用の VM で RDP を有効にしている場合、プライベート IP アドレスを使って自分の仮想マシンに接続することができます。If you have RDP enabled for your VM, you can connect to your virtual machine by using the private IP address. この場合、接続先のプライベート IP アドレスとポート (通常 3389) を指定します。In that case, you would specify the private IP address and the port that you want to connect to (typically 3389). このため、このトラフィックで使用するポートを仮想マシンで構成する必要があります。You'll need to configure the port on your virtual machine for the traffic.

また、同一仮想ネットワークに存在する別の仮想マシンからプライベート IP アドレスで仮想マシンに接続することもできます。You can also connect to your virtual machine by private IP address from another virtual machine that's located on the same virtual network. 仮想ネットワークの外部から接続している場合は、プライベート IP アドレスを使用して仮想マシンに RDP 接続することはできません。You can't RDP to your virtual machine by using the private IP address if you are connecting from a location outside of your virtual network. たとえば、ポイント対サイト仮想ネットワークが構成済みで、使用中のコンピューターからの接続が確立されていない場合は、プライベート IP アドレスを使用して仮想マシンに接続することはできません。For example, if you have a Point-to-Site virtual network configured and you don't establish a connection from your computer, you can't connect to the virtual machine by private IP address.

クロスプレミス接続が確立されている仮想ネットワーク内に仮想マシンが存在する場合、VM からのトラフィックはすべてその接続を経由しますか。If my virtual machine is in a virtual network with cross-premises connectivity, does all the traffic from my VM go through that connection?

いいえ。No. 仮想ネットワーク ゲートウェイを経由して送信されるのは、仮想ネットワークのローカル ネットワークの IP アドレス範囲内に存在する送信先 IP が指定されているトラフィックのみです。Only the traffic that has a destination IP that is contained in the virtual network Local Network IP address ranges that you specified will go through the virtual network gateway. 送信先 IP が同一仮想ネットワーク内に存在する場合は、その仮想ネットワーク内のみで通信が行われます。Traffic has a destination IP located within the virtual network stays within the virtual network. それ以外のトラフィックは、ロード バランサーを経由してパブリック ネットワークに送信されます。ただし、強制トンネリングを使用する場合は Azure VPN ゲートウェイを経由して送信されます。Other traffic is sent through the load balancer to the public networks, or if forced tunneling is used, sent through the Azure VPN gateway.

VM に対する RDP 接続をトラブルシューティングする方法How do I troubleshoot an RDP connection to a VM

VPN 接続を使って仮想マシンに接続する際に問題が発生した場合には、次のことを確認してください。If you are having trouble connecting to a virtual machine over your VPN connection, check the following:

  • VPN 接続が成功したことを確認します。Verify that your VPN connection is successful.
  • VM のプライベート IP アドレスに接続できていることを確認します。Verify that you are connecting to the private IP address for the VM.
  • プライベート IP アドレスを使って VM に接続できるものの、コンピューター名では接続できない場合には、DNS が正しく構成されているかどうかを確認します。If you can connect to the VM using the private IP address, but not the computer name, verify that you have configured DNS properly. VM の名前解決の動作について詳しくは、VM の名前解決に関するページを参照してください。For more information about how name resolution works for VMs, see Name Resolution for VMs.

ポイント対サイトで接続している場合は、さらに次の事柄を確認してください。When you connect over Point-to-Site, check the following additional items:

  • 接続元のコンピューターのイーサネット アダプターに割り当てられている IPv4 アドレスを "ipconfig" でチェックします。Use 'ipconfig' to check the IPv4 address assigned to the Ethernet adapter on the computer from which you are connecting. その IP アドレスが、接続先の VNet のアドレス範囲内または VPNClientAddressPool のアドレス範囲内にある場合、これを "アドレス空間の重複" といいます。If the IP address is within the address range of the VNet that you are connecting to, or within the address range of your VPNClientAddressPool, this is referred to as an overlapping address space. アドレス空間がこのように重複していると、ネットワーク トラフィックが Azure に到達せずローカル ネットワーク上に留まることになります。When your address space overlaps in this way, the network traffic doesn't reach Azure, it stays on the local network.
  • VNet に対して DNS サーバーの IP アドレスが指定された後に VPN クライアント構成パッケージが生成されたことを確認します。Verify that the VPN client configuration package was generated after the DNS server IP addresses were specified for the VNet. DNS サーバーの IP アドレスを更新した場合は、新しい VPN クライアント構成パッケージを生成してインストールしてください。If you updated the DNS server IP addresses, generate and install a new VPN client configuration package.

RDP 接続のトラブルシューティングの詳細については、VM に対するリモート デスクトップ接続のトラブルシューティングに関するページを参照してください。For more information about troubleshooting an RDP connection, see Troubleshoot Remote Desktop connections to a VM.

Virtual Network FAQVirtual Network FAQ

Virtual Network FAQ」で、仮想ネットワークの情報をさらに詳しく参照できます。You view additional virtual network information in the Virtual Network FAQ.

次の手順Next steps

"OpenVPN" は OpenVPN Inc. の商標です。"OpenVPN" is a trademark of OpenVPN Inc.