ユーザー VPN (ポイント対サイト) の概念
次の記事では、Virtual WAN ユーザー VPN ポイント対サイト (P2S) の構成とゲートウェイに関連する概念と顧客が構成可能なオプションについて説明します。 この記事は、P2S VPN サーバー構成の概念に関するセクションや P2S VPN ゲートウェイの概念に関するセクションなど、複数のセクションに分かれています。
VPN サーバー構成の概念
VPN サーバー構成では、ユーザーの認証、IP アドレスの割り当て、トラフィックの暗号化に使用される認証、暗号化、ユーザー グループのパラメーターを定義します。 P2S ゲートウェイは P2S VPN サーバー構成に関連付けられています。
一般的な概念
| 概念 | 説明 | メモ |
|---|---|---|
| トンネルの種類 | P2S VPN ゲートウェイと接続ユーザーの間で使用されるプロトコル。 | 使用可能なパラメーター: IKEv2、OpenVPN、またはその両方。 IKEv2 サーバー構成の場合、RADIUS と証明書ベースの認証のみが使用できます。 Open VPN サーバーの構成では、RADIUS、証明書ベース、Microsoft Entra ID ベースの認証を使用できます。 さらに、同じサーバー構成での複数の認証方法 (たとえば、同じ構成での証明書と RADIUS) は、OpenVPN でのみサポートされています。 IKEv2 には 255 ルートのプロトコル レベルの制限もありますが、OpenVPN には 1000 ルートの制限があります。 |
| カスタム IPsec パラメーター | IKEv2 を使用するゲートウェイの P2S VPN ゲートウェイで使用される暗号化パラメーター。 | 使用可能なパラメーターについては、ポイント対サイト VPN のカスタム IPsec パラメーターに関するページを参照してください。 このパラメーターは、OpenVPN 認証を使用するゲートウェイには適用されません。 |
Azure 証明書認証の概念
次の概念は、証明書ベースの認証を使用するサーバー構成に関連しています。
| 概念 | 説明 | メモ |
|---|---|---|
| ルート証明書の名前 | 顧客のルート証明書を識別するために Azure によって使用される名前。 | 任意の名前に構成できます。 複数のルート証明書を使用することができます。 |
| 公開証明書データ | クライアント証明書の発行元のルート証明書。 | ルート証明書のパブリック データに対応する文字列を入力します。 ルート証明書のパブリック データを取得する方法の例については、証明書の生成に関する次のドキュメントの手順 8 を参照してください。 |
| 失効した証明書 | 失効する証明書を識別するために Azure によって使用される名前。 | 任意の名前に構成できます。 |
| 失効した証明書の拇印 | ゲートウェイに接続できないエンド ユーザー証明書の拇印。 | このパラメーターの入力は、1 つ以上の証明書の拇印です。 すべてのユーザー証明書を個別に取り消す必要があります。 中間証明書またはルート証明書を取り消しても、すべての子証明書が自動的に取り消されるわけではありません。 |
RADIUS 認証の概念
P2S VPN ゲートウェイが RADIUS ベースの認証を使用するように構成されている場合、P2S VPN ゲートウェイは、認証要求を顧客の RADIUS サーバーに転送するためのネットワーク ポリシー サーバー (NPS) プロキシとして機能します。 ゲートウェイは、1 つまたは 2 つの RADIUS サーバーを使用して認証要求を処理できます。 複数の RADIUS サーバーが指定されている場合、認証要求は自動的にそれらの間で負荷分散されます。
| 概念 | 説明 | メモ |
|---|---|---|
| プライマリ サーバーのシークレット | RADIUS プロトコルによる暗号化に使用される、顧客のプライマリ RADIUS サーバーで構成されたサーバー シークレット。 | 任意の共有シークレット文字列。 |
| プライマリ サーバーの IP アドレス | RADIUS サーバーのプライベート IP アドレス | この IP は、仮想ハブによって到達可能なプライベート IP である必要があります。 RADIUS サーバーをホストしている接続が、ゲートウェイを使用してハブの defaultRouteTable に伝達されていることを確認します。 |
| セカンダリ サーバーのシークレット | RADIUS プロトコルによる暗号化に使用される 2 番目の RADIUS サーバーで構成されたサーバー シークレット。 | 指定された共有シークレット文字列。 |
| セカンダリ サーバーの IP アドレス | RADIUS サーバーのプライベート IP アドレス | この IP は、仮想ハブによって到達可能なプライベート IP である必要があります。 RADIUS サーバーをホストしている接続が、ゲートウェイを使用してハブの defaultRouteTable に伝達されていることを確認します。 |
| RADIUS サーバー ルート証明書 | RADIUS サーバー ルート証明書のパブリック データ。 | このフィールドは省略可能です。 RADIUS ルート証明書のパブリック データに対応する文字列を入力します。 複数のルート証明書を入力できます。 認証のために提示されるすべてのクライアント証明書は、指定されたルート証明書から発行する必要があります。 証明書のパブリック データを取得する方法の例については、証明書の生成に関する次のドキュメントの手順 8 を参照してください。 |
| 失効したクライアント証明書 | 失効した RADIUS クライアント証明書の拇印。 失効した証明書を提示するクライアントは接続できません。 | このフィールドは省略可能です。 すべてのユーザー証明書を個別に取り消す必要があります。 中間証明書またはルート証明書を取り消しても、すべての子証明書が自動的に取り消されるわけではありません。 |
Microsoft Entra 認証の概念
次の概念は、Microsoft Entra ID ベースの認証を使用するサーバーの構成に関連しています。 Microsoft Entra ID ベースの認証は、トンネルの種類が OpenVPN の場合にのみ使用できます。
| 概念 | 説明 | 使用可能なパラメーター |
|---|---|---|
| 対象者 | Microsoft Entra テナントに登録されている Azure VPN エンタープライズ アプリケーションのアプリケーション ID。 | テナントに Azure VPN アプリケーションを登録し、アプリケーション ID を見つける方法の詳細については、P2S ユーザー VPN OpenVPN プロトコル接続用のテナントの構成に関するページを参照してください |
| 発行者 | Active Directory に関連付けられているセキュリティ トークン サービス (STS) に対応する完全な URL。 | 次の形式の文字列: https://sts.windows.net/<your Directory ID>/ |
| Microsoft Entra テナント | ゲートウェイでの認証に使用される Active Directory テナントに対応する完全な URL。 | Active Directory テナントがデプロイされているクラウドによって異なります。 クラウドごとの詳細については、以下を参照してください。 |
Microsoft Entra テナント ID
次の表では、Microsoft Entra ID がデプロイされているクラウドに基づく Microsoft Entra の URL の形式について説明します。
| クラウド | パラメーターの形式 |
|---|---|
| Azure パブリック クラウド | https://login.microsoftonline.com/{AzureAD TenantID} |
| Azure Government クラウド | https://login.microsoftonline.us/{AzureAD TenantID} |
| China 21Vianet クラウド | https://login.chinacloudapi.cn/{AzureAD TenantID} |
ユーザー グループ (マルチプール) の概念
次の概念は、Virtual WAN のユーザー グループ (マルチプール) に関連しています。 ユーザー グループを使用すると、ユーザーの資格情報に基づいて接続ユーザーに異なる IP アドレスを割り当てることができます。これにより、ワークロードをセキュリティで保護するためにアクセス制御リスト (ACL) とファイアウォール規則を構成できます。 詳細と例については、マルチプールの概念に関するページを参照してください。
サーバー構成にはグループの定義が含まれており、そのグループは、サーバー構成グループを IP アドレスにマップするためにゲートウェイで使用されます。
| 概念 | 説明 | メモ |
|---|---|---|
| ユーザー グループ/ポリシー グループ | ユーザー グループまたはポリシー グループは、同じアドレス プールから IP アドレスを割り当てる必要があるユーザーのグループの論理的な表現です。 | 詳細については、ユーザー グループについてのページを参照してください。 |
| 既定のグループ | ユーザーがユーザー グループ機能を使用してゲートウェイに接続しようとすると、ゲートウェイに割り当てられたどのグループとも一致しないユーザーは、自動的に既定のグループの一部であると見なされ、そのグループに関連付けられている IP アドレスが割り当てられます。 | サーバー構成内の各グループは、既定のグループまたは既定以外のグループとして指定できます。グループの作成後にこの設定を変更することはできません。 割り当てられたサーバー構成に複数の既定のグループがある場合でも、各 P2S VPN ゲートウェイに割り当てることができるのは、1 つの既定のグループだけです。 |
| グループの優先度 | ゲートウェイに複数のグループが割り当てられている場合、接続ユーザーは複数のグループに一致する資格情報を提示できます。 Virtual WAN では、ゲートウェイに割り当てられたグループが優先度の高い順に処理されます。 | 優先度は正の整数であり、優先度の数値が低いグループが最初に処理されます。 すべてのグループに個別の優先順位が必要です。 |
| グループ設定/メンバー | ユーザー グループはメンバーで構成されます。 メンバーは個々のユーザーに対応するのではなく、接続しているユーザーが属するグループを判別するために使用される基準または一致条件を定義します。 グループがゲートウェイに割り当てられると、資格情報がグループのいずれかのメンバーに指定された基準と一致する接続ユーザーは、そのグループの一員であると見なされ、適切な IP アドレスの割り当てを受けることができます。 | 使用可能な基準の完全な一覧については、使用可能なグループ設定に関するページを参照してください。 |
ゲートウェイ構成の概念
以降のセクションでは、P2S VPN ゲートウェイに関連する概念について説明します。 すべてのゲートウェイは 1 つの VPN サーバー構成に関連付けられており、他にも多くの構成可能なオプションがあります。
一般的なゲートウェイの概念
| 概念 | 説明 | メモ |
|---|---|---|
| ゲートウェイ スケール ユニット | ゲートウェイ スケール ユニットによって、P2S VPN ゲートウェイでサポートできる合計スループットと同時実行ユーザーの量が定義されます。 | ゲートウェイ スケール ユニットの範囲は 1 から 200 で、ゲートウェイあたり 500 から 100,000 人のユーザーをサポートします。 |
| P2S サーバーの構成 | P2S VPN ゲートウェイが受信ユーザーの認証に使用する認証パラメーターを定義します。 | Virtual WAN ゲートウェイに関連付けられている任意の P2S サーバー構成。 ゲートウェイで参照するためには、サーバー構成が正常に作成されている必要があります。 |
| ルーティング設定 | Azure とインターネットの間でトラフィックをルーティングする方法を選択できます。 | Microsoft ネットワーク経由または ISP ネットワーク (公衆ネットワーク) 経由のどちらでトラフィックをルーティングするかを選択できます。 この設定の詳細については、「ルーティング設定とは」を参照してください。ゲートウェイの作成後にこの設定を変更することはできません。 |
| カスタム DNS サーバー | 接続ユーザーが DNS 要求を転送する必要がある DNS サーバーの IP アドレス。 | ルーティング可能な任意の IP アドレス。 |
| 既定ルートの伝達 | Virtual WAN ハブが 0.0.0.0/0 の既定のルート (既定のルート テーブルの静的ルート、またはオンプレミスからアドバタイズされた 0.0.0.0/0) で構成されている場合、この設定により、0.0.0.0/0 ルートが接続ユーザーにアドバタイズされるかどうかが制御されます。 | このフィールドは true または false に設定できます。 |
RADIUS 固有の概念
| 概念 | 説明 | メモ |
|---|---|---|
| リモートまたはオンプレミスの RADIUS サーバー設定を使用する | Virtual WAN が RADIUS 認証パケットを、オンプレミスでホストされている RADIUS サーバーまたは別の仮想ハブに接続されている Virtual Network に転送できるかどうかを制御します。 | この設定には、true または false の 2 つの値があります。 Virtual WAN が RADIUS ベースの認証を使用するように構成されている場合、Virtual WAN P2S ゲートウェイは RADIUS サーバーに認証要求を送信する RADIUS プロキシとして機能します。 この設定 (true の場合) により、Virtual WAN ゲートウェイは、オンプレミスまたは別のハブに接続されている Virtual Network にデプロイされた RADIUS サーバーと通信できます。 false の場合、Virtual WAN は、ゲートウェイを使用してハブに接続された仮想ネットワークでホストされている RADIUS サーバーでのみ認証できます。 |
| RADIUS プロキシ IP | P2S VPN ゲートウェイによって RADIUS サーバーに送信される RADIUS 認証パケットには、RADIUS プロキシ IP のフィールドで指定されたソース IP があります。 これらの IP は、RADIUS サーバーで RADIUS クライアントとして許可リストに登録する必要があります。 | このパラメーターは直接構成できません。 [リモートまたはオンプレミスの RADIUS サーバーを使用する] が true に設定されている場合、RADIUS プロキシ IP は、ゲートウェイで指定されたクライアント アドレス プールの IP アドレスとして自動的に構成されます。 この設定が false の場合、IP はハブ アドレス空間内からの IP アドレスです。 RADIUS プロキシ IP は、Azure portal の P2S VPN ゲートウェイ ページにあります。 |
接続構成の概念
P2S VPN ゲートウェイには、1 つ以上の接続構成が存在する可能性があります。 各接続構成にはルーティング構成があり (注意事項については以下を参照)、同じアドレス プールから IP アドレスが割り当てられているユーザーのグループまたはセグメントを表します。
| 概念 | 説明 | メモ |
|---|---|---|
| 構成名 | P2S VPN 構成の名前 | 任意の名前を指定できます。 ユーザー グループまたはマルチプール機能を利用している場合は、ゲートウェイに複数の接続構成を設定できます。 この機能を使用していない場合は、ゲートウェイごとに構成を 1 つだけ指定できます。 |
| ユーザー グループ | 構成に対応するユーザー グループ | VPN サーバー構成で参照される任意のユーザー グループ。 このパラメーターは省略可能です。 詳細については、ユーザー グループについてのページを参照してください。 |
| アドレス プール | アドレス プールは、接続ユーザーに割り当てられるプライベート IP アドレスです。 | アドレス プールは、仮想ハブ アドレス空間、Virtual WAN に接続された Virtual Network で使用される IP アドレス、またはオンプレミスからアドバタイズされるアドレスと重複しない任意の CIDR ブロックとして指定できます。 ゲートウェイで指定されたスケール ユニットによっては、複数の CIDR ブロックが必要になる場合があります。 詳細については、アドレス プールについてのページを参照してください。 |
| ルーティング構成 | 仮想ハブへのすべての接続には、接続が関連付けられているルート テーブルとルート テーブルが伝達されるルート テーブルを定義するルーティング構成があります。 | 同じハブ (ExpressRoute、VPN、NVA) へのすべてのブランチ接続を defaultRouteTable に関連付け、同じルート テーブルのセットに伝達する必要があります。 Virtual WAN は 1 つのブランチのルーティング構成を選択し、それをすべてのブランチに適用して、オンプレミスから学習したルートを適用するため、ブランチ接続に対して異なる伝達を行うと、予期しないルーティング動作が発生する可能性があります。 |
次のステップ
次の手順のために、いくつかの記事へのリンクをここに追加してください。