サイト間 VPN Gateway 接続の VPN デバイスについて

次による: Cheryl McGuire 更新日: 04/25/2016

この記事の内容:

サイト間 (S2S) VPN 接続を構成するには、VPN デバイスが必要です。サイト間接続は、ハイブリッドソリューションを作成するときに、またはオンプレミスのネットワークと仮想ネットワークの間にセキュリティで保護された接続が必要な場合にいつでも使用することができます。この記事では、互換性のある VPN デバイス、および構成パラメーターについて説明します。サイト間接続を構成するときには、VPN デバイスに公開 IPv4 IP アドレスが必要であることに注意してください。

検証済みの VPN デバイスの表にデバイスが見つからない場合は、この記事の「未検証の VPN デバイス」セクションを参照してください。デバイスは引き続き Azure で動作する可能性があります。VPN デバイスのサポートは、デバイスの製造元に問い合わせてください。

表を確認するときの注意事項:

静的および動的ルーティングの用語に変更がありました。おそらく、両方の用語が見つかるでしょう。機能上の変更はありませんが、名前のみが変更されています。
- 静的ルーティング = ポリシーベース
- 動的ルーティング = ルートベース
高性能 VPN ゲートウェイとルートベース VPN ゲートウェイの仕様は、特に記載がない限り同じです。たとえば、ルートベース VPN ゲートウェイと互換性がある検証済みの VPN デバイスは、新しい Azure 高性能 VPN ゲートウェイとも互換性があります。

検証済みの VPN デバイス

Microsoft では、デバイスベンダーと協力して一連の標準的な VPN デバイスを検証しました。以下の一覧に含まれているデバイスファミリ内のすべてのデバイスは、Azure VPN ゲートウェイで動作します。「VPN ゲートウェイ」の記事を参照して、構成するソリューションで作成する必要があるゲートウェイの種類を確認してください。

VPN デバイスを構成するには、適切なデバイスファミリに対応するリンクを参照してください。

ベンダー名	デバイスファミリ	OS の最小バージョン	ポリシーベース	ルートベース
Allied Telesis	AR シリーズ VPN ルーター	2.9.2	近日対応予定	互換性なし
Barracuda Networks, Inc.	Barracuda NextGen Firewall F シリーズ	ポリシーベース: 5.4.3、ルートベース: 6.2.0	構成の手順	構成の手順
Barracuda Networks, Inc.	Barracuda NextGen Firewall X シリーズ	Barracuda Firewall 6.5	Barracuda Firewall	互換性なし
Brocade	Vyatta 5400 vRouter	仮想ルーター 6.6R3 GA	構成の手順	互換性なし
Check Point	セキュリティゲートウェイ	R75.40、R75.40VS	構成の手順	構成の手順
Cisco	ASA	8.3	Cisco のサンプル	互換性なし
Cisco	ASR	IOS 15.1 (ポリシーベース)、IOS 15.2 (ルートベース)	Cisco のサンプル	Cisco のサンプル
Cisco	ISR	IOS 15.0 (ポリシーベース)、IOS 15.1 (ルートベース)	Cisco のサンプル	Cisco のサンプル
Citrix	CloudBridge MPX アプライアンス、または VPX 仮想アプライアンス	該当なし	統合の手順	互換性なし
Dell SonicWALL	TZ シリーズ、NSA シリーズ、SuperMassive シリーズ、E-class NSA シリーズ	SonicOS 5.8.x、SonicOS 5.9.x、SonicOS 6.x	指示 - SonicOS 6.2 指示 - SonicOS 5.9	指示 - SonicOS 6.2 指示 - SonicOS 5.9
F5	BIG-IP シリーズ	該当なし	構成の手順	互換性なし
Fortinet	FortiGate	FortiOS 5.0.7	構成の手順	構成の手順
Internet Initiative Japan (IIJ)	SEIL シリーズ	SEIL/x 4.60、SEIL/B1 4.60、SEIL/x86 3.20	構成の手順	互換性なし
Juniper	SRX	JunOS 10.2 (ポリシーベース)、JunOS 11.4 (ルートベース)	Juniper のサンプル	Juniper のサンプル
Juniper	J シリーズ	JunOS 10.4r9 (ポリシーベース)、JunOS 11.4 (ルートベース)	Juniper のサンプル	Juniper のサンプル
Juniper	ISG	ScreenOS 6.3 (ポリシーベースおよびルートベース)	Juniper のサンプル	Juniper のサンプル
Juniper	SSG	ScreenOS 6.2 (ポリシーベースおよびルートベース)	Juniper のサンプル	Juniper のサンプル
Microsoft	ルーティングとリモートアクセスサービス	Windows Server 2012	互換性なし	Microsoft のサンプル
Open Systems AG	Mission Control Security Gateway	該当なし	インストールガイド	インストールガイド
Openswan	Openswan	2.6.32	(近日対応予定)	互換性なし
Palo Alto Networks	PAN-OS 5.0 またはそれ以上を実行しているすべてのデバイス	PAN-OS 5x またはそれ以上	Palo Alto Networks	互換性なし
Watchguard	すべて	Fireware XTM v11.x	構成の手順	互換性なし

未検証の VPN デバイス

検証済みの VPN デバイスの表 (上記) にデバイスが見つからない場合は、引き続きサイト間接続で動作する可能性があります。お使いの VPN デバイスが、「VPN ゲートウェイについて」の記事の「ゲートウェイの要件」セクションに記載されている最小要件を満たしていることを確認してください。最小要件を満たしていれば、そのデバイスは VPN ゲートウェイでも正常に動作します。詳細なサポートおよび構成手順については、デバイスの製造元にお問い合わせください。

デバイス構成のサンプルの編集

提供されている VPN デバイス構成のサンプルをダウンロードしたら、一部の値を使用している環境の設定を反映した値に置換する必要があります。

サンプルを編集するには:

メモ帳を使用してサンプルを開きます。
お使いの環境に関連する値を含む <テキスト> 文字列をすべて検索して置き換えます。< and > を必ず含めてください。名前を指定する場合、選択する名前は一意である必要があります。コマンドが機能しない場合は、デバイスの製造元のドキュメントを参照してください。

サンプルテキスト	次に変更
<RP_OnPremisesNetwork>	このオブジェクトに選択した名前。例: myOnPremisesNetwork
<RP_AzureNetwork>	このオブジェクトに選択した名前。例: myAzureNetwork
<RP_AccessList>	このオブジェクトに選択した名前。例: myAzureAccessList
<RP_IPSecTransformSet>	このオブジェクトに選択した名前。例: myIPSecTransformSet
<RP_IPSecCryptoMap>	このオブジェクトに選択した名前。例: myIPSecCryptoMap
<SP_AzureNetworkIpRange>	範囲を指定します。例：192.168.0.0
<SP_AzureNetworkSubnetMask>	サブネットマスクを指定します。例: 255.255.0.0
<SP_OnPremisesNetworkIpRange>	オンプレミスの範囲を指定します。例: 10.2.1.0
<SP_OnPremisesNetworkSubnetMask>	オンプレミスのサブネットマスクを指定します。例: 255.255.255.0
<SP_AzureGatewayIpAddress>	この情報は仮想ネットワークに固有であり、ゲートウェイの IP アドレスとして管理ポータルに存在しています。
<SP_PresharedKey>	この情報は仮想ネットワークに固有であり、[キーの管理] として管理ポータルに存在しています。

IPsec パラメーター

メモ:

以下の値は Azure VPN Gateway でサポートされていますが、現在、Azure VPN Gateway から特定の組み合わせを指定または選択する方法はありません。すべての制約は、オンプレミスの VPN デバイスから指定する必要があります。

IKE フェーズ 1 セットアップ

プロパティ	ポリシーベース	ルートベース、および Standard または高性能 VPN ゲートウェイ
IKE のバージョン	IKEv1	IKEv2
Diffie-hellman グループ	グループ 2 (1024 ビット)	グループ 2 (1024 ビット)
認証方法	事前共有キー	事前共有キー
暗号化アルゴリズム	AES256 AES128 3DES	AES256 3DES
ハッシュアルゴリズム	SHA1(SHA128)	SHA1(SHA128)、SHA2(SHA256)
フェーズ 1 のセキュリティアソシエーション (SA) の有効期間 (時間)	28,800 秒	10,800 秒

IKE フェーズ 2 セットアップ

プロパティ	ポリシーベース	ルートベース、および Standard または高性能 VPN ゲートウェイ
IKE のバージョン	IKEv1	IKEv2
ハッシュアルゴリズム	SHA1(SHA128)	SHA1(SHA128)
フェーズ 2 のセキュリティアソシエーション (SA) の有効期間 (時間)	3,600 秒	3,600 秒
フェーズ 2 のセキュリティアソシエーション (SA) の有効期間 (スループット)	102,400,000 KB	-
IPsec SA 暗号化および認証のプラン (優先度順)	1.ESP-AES256 2.ESP-AES128 3.ESP-3DES 4.該当なし	ルートベースゲートウェイ IPsec セキュリティアソシエーション (SA) のプラン (下記) を参照
Perfect Forward Secrecy (PFS)	なし	あり (DH Group1、2、5、14、24)
Dead Peer Detection	サポートなし	サポートあり

ルートベースゲートウェイ IPsec セキュリティアソシエーション (SA) のプラン

次の表は、IPsec SA 暗号化および認証のプランを一覧表示しています。プランは提示される、または受け入れられる優先度順に表示されています。

IPsec SA 暗号化および認証のプラン	発信側としての Azure ゲートウェイ	応答側としての Azure ゲートウェイ
1	ESP AES_256 SHA	ESP AES_128 SHA
2	ESP AES_128 SHA	ESP 3_DES MD5
3	ESP 3_DES MD5	ESP 3_DES SHA
4	ESP 3_DES SHA	AH SHA1 (ESP AES_128 null HMAC)
5	AH SHA1 (ESP AES_256 null HMAC)	AH SHA1 (ESP 3_DES null HMAC)
6	AH SHA1 (ESP AES_128 null HMAC)	AH MD5 (ESP 3_DES null HMAC)、有効期間の提示なし
7	AH SHA1 (ESP 3_DES null HMAC)	AH SHA1 (ESP 3_DES SHA1)、有効期間なし
8	AH MD5 (ESP 3_DES null HMAC)、有効期間の提示なし	AH MD5 (ESP 3_DES MD5)、有効期間なし
9	AH SHA1 (ESP 3_DES SHA1)、有効期間なし	ESP DES MD5
10	AH MD5 (ESP 3_DES MD5)、有効期間なし	ESP DES SHA1、有効期間なし
11	ESP DES MD5	AH SHA1 (ESP DES null HMAC)、有効期間の提示なし
12	ESP DES SHA1、有効期間なし	AH MD5 (ESP DES null HMAC)、有効期間の提示なし
13	AH SHA1 (ESP DES null HMAC)、有効期間の提示なし	AH SHA1 ( ESP DES SHA1)、有効期間なし
14	AH MD5 (ESP DES null HMAC)、有効期間の提示なし	AH MD5 (ESP DES MD5)、有効期間なし
15	AH SHA1 ( ESP DES SHA1)、有効期間なし	ESP SHA、有効期間なし
16	AH MD5 (ESP DES MD5)、有効期間なし	ESP MD5、有効期間なし
17	-	AH SHA、有効期間なし
18	-	AH MD5、有効期間なし

ルートベースおよび高性能 VPN ゲートウェイで IPsec ESP NULL 暗号化を指定することができます。Null ベースの暗号化では、転送中のデータ保護は提供されません。そのため、最大のスループットおよび最小の待機時間が必要な場合にのみ使用する必要があります。クライアントは、VNet 間の通信シナリオ、または暗号化がソリューションの他の場所に適用されている場合に、この暗号化の使用を選択することができます。
インターネット経由のクロスプレミス接続では、重要な通信のセキュリティを確保するため、上記の表にある暗号化およびハッシュアルゴリズムによる既定の Azure VPN Gateway 設定を使用してください。