VPN ゲートウェイのサイト間接続を追加または削除する
この記事は、VPN ゲートウェイのサイト間 (S2S) 接続を追加または削除する場合に役立ちます。 既にサイト間接続、ポイント対サイト接続、または VNet 間接続のある VPN ゲートウェイにサイト間接続を追加することもできます。 接続を追加する際には、制限があります。 構成を始める前に、この記事の「前提条件」セクションで確認してください。
ExpressRoute/サイト間共存接続
- この記事の手順を使用して、既存の ExpressRoute/サイト間共存接続に新しい VPN 接続を追加できます。
- この記事の手順を使用して、新しい ExpressRoute/サイト間共存接続を構成することはできません。 新しい共存接続を作成するには、ExpressRoute/S2S 共存接続に関する記事を参照してください。
前提条件
次の項目についてご確認ください。
- 新しい ExpressRoute と VPN Gateway サイト間の共存接続を構成するのではない。
- 既存の接続のある Resource Manager デプロイ モデルを使用して作成した仮想ネットワークがある。
- 仮想ネットワークの仮想ネットワーク ゲートウェイが RouteBased である。 VPN ゲートウェイがポリシーベースの場合は、仮想ネットワーク ゲートウェイを削除して、ルートベースとして新しい VPN ゲートウェイを作成する必要があります。
- この仮想ネットワークが接続する仮想ネットワークのアドレスの範囲がいずれも重複していない。
- 互換性のある VPN デバイスがあり、デバイスを構成できる人員がいる。 「 VPN デバイスについて」を参照してください。 VPN デバイスの構成に詳しくない場合や、オンプレミス ネットワーク構成の IP アドレス範囲を把握していない場合は、詳細な情報を把握している担当者と協力して作業を行ってください。
- VPN デバイスの外部接続用パブリック IP アドレスがある。
ローカル ネットワーク ゲートウェイの作成
ローカル ネットワーク ゲートウェイは、ルーティングの目的でオンプレミスの場所 (サイト) を表す、Azure に展開された特定のオブジェクトです。 サイトに Azure が参照できる名前を付け、接続を作成するオンプレミス VPN デバイスの IP アドレスを指定します。 また、VPN ゲートウェイを介して VPN デバイスにルーティングされる IP アドレスのプレフィックスも指定します。 指定するアドレスのプレフィックスは、オンプレミス ネットワークのプレフィックスです。 オンプレミスのネットワークが変更された場合、または VPN デバイスのパブリック IP アドレスを変更する必要がある場合、これらの値を後で簡単に更新できます。
次の例の値を使用して、ローカル ネットワーク ゲートウェイを作成します。
- [名前]: Site1
- [リソース グループ]: TestRG1
- [場所] :米国東部
構成に関する考慮事項:
- VPN Gateway では、FQDN ごとに 1 つの IPv4 アドレスのみがサポートされます。 ドメイン名が複数の IP アドレスに解決される場合、VPN Gateway では DNS サーバーから最初に返された IP アドレスが使用されます。 不確実性を解消するために、FQDN を常に単一の IPv4 アドレスに解決することをお勧めします。 IPv6 はサポートされていません。
- VPN Gateway には、5 分おきに更新される DNS キャッシュがあります。 ゲートウェイによって FQDN の解決が試行されるのは、切断されたトンネルの場合のみです。 ゲートウェイをリセットすると、FQDN 解決もトリガーされます。
- VPN Gateway では、異なる FQDN を持つ異なるローカル ネットワーク ゲートウェイへの複数の接続がサポートされていますが、すべての FQDN は異なる IP アドレスに解決される必要があります。
ポータル内で、[ローカル ネットワーク ゲートウェイ]に移動して [ローカル ネットワーク ゲートウェイの作成] ページを開きます。
[基本] タブで、ローカル ネットワーク ゲートウェイの値を入力します。
- サブスクリプション:正しいサブスクリプションが表示されていることを確認します。
- [リソース グループ]: 使用するリソース グループを選択します。 新しいリソース グループを作成することも、作成済みのリソース グループを選択することもできます。
- 地域: このオブジェクトのリージョンを選択します。 仮想ネットワークが存在する場所と同じ場所を選択できますが、必ずしもそうする必要はありません。
- [名前]: ローカル ネットワーク ゲートウェイ オブジェクトの名前を指定します。
- [エンドポイント]: オンプレミス VPN デバイスのエンドポイントの種類として、[IP アドレス]または [FQDN] (完全修飾ドメイン名) を選びます。
- [IP アドレス]: インターネット サービス プロバイダー (ISP) から割り当てられた VPN デバイスの静的パブリック IP アドレスがある場合は、IP アドレス オプションを選択します。 例に示されているように IP アドレスを入力します。 このアドレスは、Azure VPN Gateway の接続先となる VPN デバイスのパブリック IP アドレスです。 この時点で IP アドレスを持っていない場合は、例に示されている値を使用できます。 後で、この手順に戻り、プレースホルダーの IP アドレスを VPN デバイスのパブリック IP アドレスに置き換える必要があります。 そうしなければ、Azure は接続できません。
- [FQDN]: 一定期間が過ぎると変わる可能性がある動的パブリック IP アドレス (多くの場合、ISP によって決定されます) の場合は、動的 DNS サービスで DNS 定数名を使用して、VPN デバイスの現在のパブリック IP アドレスを指定することができます。 Azure VPN ゲートウェイは、FQDN を解決して接続先のパブリック IP アドレスを決定します。
- [アドレス空間] は、このローカル ネットワークが表すネットワークのアドレス範囲を指します。 複数のアドレス領域の範囲を追加することができます。 ここで指定した範囲が、接続先となる他のネットワークの範囲と重複しないようにしてください。 指定したアドレス範囲が、Azure によってオンプレミスの VPN デバイスの IP アドレスにルーティングされます。 "オンプレミスのサイトに接続する場合、例に示されている値を使用せず、ここで独自の値を使用します"。
[詳細設定] タブでは、必要に応じて BGP 設定を構成できます。
値の指定が完了したら、ページの下部にある [確認と作成] を選択して、ページを検証します。
[作成] を選択して、ローカル ネットワーク ゲートウェイ オブジェクトを作成します。
VPN デバイスの構成
オンプレミス ネットワークとのサイト間接続には VPN デバイスが必要です。 この手順では、VPN デバイスを構成します。 VPN デバイスを構成する場合は、次の値が必要です。
- 共有キー。 これは、サイト間 VPN 接続を作成するときに指定するのと同じ共有キーです。 ここで紹介している例では、基本的な共有キーを使用しています。 実際には、もっと複雑なキーを生成して使用することをお勧めします。
- 仮想ネットワーク ゲートウェイのパブリック IP アドレス。 パブリック IP アドレスは、Azure Portal、PowerShell、または CLI を使用して確認できます。 Azure portal を使用して VPN ゲートウェイのパブリック IP アドレスを調べるには、[仮想ネットワーク ゲートウェイ] に移動し、該当するゲートウェイの名前を選択します。
ご利用の VPN デバイスによっては、VPN デバイス構成スクリプトをダウンロードできる場合があります。 詳細については、VPN デバイス構成スクリプトのダウンロードに関するページを参照してください。
構成の詳細については、次のリンクを参照してください。
- 互換性のある VPN デバイスについては、VPN デバイスに関するページを参照してください。
- VPN デバイスを構成する前に、使用する VPN デバイスに関して、デバイスの互換性に関する既知の問題がないかどうかを確認してください。
- デバイスの構成設定へのリンクについては、検証済みの VPN デバイスに関するページを参照してください。 デバイスの構成に関するリンクは、入手できる範囲で記載しています。 最新の構成情報については必ず、デバイスの製造元にご確認ください。 掲載されている一覧は、テスト済みのバージョンを示しています。 一覧にない OS のバージョンでも、適合している可能性があります。 ご利用の VPN デバイスの OS バージョンに互換性があるかどうかを確認するには、デバイスの製造元に問い合わせてください。
- VPN デバイス構成の概要については、サード パーティの VPN デバイスの構成の概要に関するページを参照してください。
- デバイス構成サンプルの編集については、サンプルの編集に関するセクションを参照してください。
- 暗号化の要件については、「About cryptographic requirements and Azure VPN gateways」(暗号化要件と Azure VPN ゲートウェイについて) を参照してください。
- IPsec/IKE パラメーターの詳細については、「サイト間 VPN ゲートウェイ接続用の VPN デバイスと IPsec/IKE パラメーターについて」を参照してください。 このリンク先には、構成を完了するのに必要なその他のパラメーターに関する情報に加えて、IKE のバージョン、Diffie-hellman グループ、認証方法、暗号化とハッシュ アルゴリズム、SA の有効期間、PFS、DPD に関する情報が掲載されています。
- IPSEC/IKE ポリシーの構成手順については、サイト間 VPN または VNet 間の IPsec/IKE ポリシーの構成に関するページを参照してください。
- 複数のポリシーベース VPN デバイスを接続する方法については、「PowerShell を使って複数のオンプレミス ポリシー ベース VPN デバイスに VPN ゲートウェイを接続する」を参照してください。
接続の構成
仮想ネットワーク ゲートウェイとオンプレミス VPN デバイスとの間にサイト間 VPN 接続を作成します。 このセクションでは、次の例の値を使用します。
- ローカル ネットワーク ゲートウェイ名: Site1
- 接続名: VNet1toSite1
- 共有キー: この例では、abc123 を使用します。 ただし、お使いの VPN ハードウェアと互換性があれば何を使用してもかまいません。 重要なことは、接続の両側で値が一致していることです。
ポータルで仮想ネットワーク ゲートウェイに移動し、これを開きます。
ゲートウェイのページで、 [接続] を選択します。
[接続] ページの上部で、[+ 追加] を選択して [接続の作成] ページを開きます。
[接続の作成] ページの [基本] タブで、接続の値を構成します。
[プロジェクトの詳細] では、サブスクリプションと、リソースが配置されているリソース グループを選択します。
[インスタンスの詳細] で、次の設定を構成します。
- [接続の種類] : [サイト対サイト (IPsec)] を選択します。
- [名前]: 接続に名前を付けます。
- 地域: この接続のリージョンを選択します。
[設定] タブを選択して、次の値を構成します。
- [仮想ネットワーク ゲートウェイ]: ドロップダウン リストから仮想ネットワーク ゲートウェイを選びます。
- [ローカル ネットワーク ゲートウェイ]: ドロップダウン リストからローカル ネットワーク ゲートウェイを選びます。
- [共有キー]: この値は、ローカル環境のオンプレミス VPN デバイスに使っている値と一致している必要があります。 このフィールドがポータル ページに表示されない場合、または後でこのキーを更新する場合は、接続オブジェクトが作成されたらこれを行うことができます。 作成した接続オブジェクト (例: VNet1toSite1) に移動し、認証 ページでキーを更新します。
- [IKE プロトコル]: [IKEv2] を選びます。
- [Azure プライベート IP アドレスを使用する]: オンにしないでください。
- [BGP を有効にする]: オンにしないでください。
- [FastPath]: オンにしないでください。
- [IPsec/IKE ポリシー]: [既定] を選びます。
- [ポリシー ベースのトラフィック セレクターを使用する]: [無効] を選びます。
- [DPD タイムアウト (秒)]: [45] を選びます。
- [接続モード]: [既定] を選択します。 この設定は、接続を開始できるゲートウェイを指定するために使われます。 詳細については、VPN Gateway 設定に関するページの「接続モード」 を参照してください。
[NAT 規則の関連付け] では、[イングレス] と [エグレス] の両方を 0 が選択されたままにします。
[確認および作成] を選択して接続設定を検証します。
[作成] を選択して接続を作成します。
デプロイが完了したら、仮想ネットワーク ゲートウェイの [接続] ページで接続を表示できます。 状態は、[不明] から [接続中] に変わり、その後 [成功] に変わります。
VPN 接続の表示と確認
Azure portal で、接続に移動することで、VPN ゲートウェイの接続の状態を確認できます。 次の手順は、接続に移動して確認する 1 つの方法を示しています。
- Azure portal メニューで、[すべてのリソース] を選択するか、任意のページから [すべてのリソース] を検索して選択します。
- お使いの仮想ネットワーク ゲートウェイを選択します。
- 仮想ネットワーク ゲートウェイのペインで、[接続] を選択します。 各接続の状態が確認できます。
- 確認する接続の名前を選択すると、[要点] が開きます。 [要点] ペインで、接続に関する詳細情報を確認できます。 接続に成功すると、状態が [成功] と [接続済み] になります。
接続の削除
- ポータルで、VPN ゲートウェイの [接続] ページに移動します。
- 削除したい接続をクリックします。 接続のページが表示されます。
- [削除] をクリックして、接続を削除します。
次のステップ
サイト間 VPN ゲートウェイ構成の詳細については、「チュートリアル: Azure portal でサイト間 VPN 接続を作成する」を参照してください。