VPN ゲートウェイを使用するサイト間 (S2S) クロスプレミス VPN 接続を構成するには、VPN デバイスが必要です。 サイト間接続は、ハイブリッド ソリューションを作成するときに使用できるほか、オンプレミスのネットワークと仮想ネットワークとの間にセキュリティで保護された接続が必要な場合に使用できます。 この記事には、VPN ゲートウェイ用の検証済みの VPN デバイスの一覧と IPsec/IKE パラメーターの一覧が掲載されています。
表を確認するときの注意事項:
- Azure VPN ゲートウェイの用語が変更されました。 名前だけが変わった。 機能の変更はありません。
- 静的ルーティング = ポリシーベース
- 動的ルーティング = ルートベース
- HighPerformance VPN ゲートウェイと RouteBased VPN ゲートウェイの仕様は、特に記載がない限り同じです。 たとえば、RouteBased VPN ゲートウェイと互換性がある検証済みの VPN デバイスは、HighPerformance VPN ゲートウェイとも互換性があります。
検証済みの VPN デバイスとデバイス構成ガイド
Microsoft では、デバイス ベンダーと協力して一連の標準的な VPN デバイスを検証しました。 以下の一覧に含まれているデバイス ファミリ内のすべてのデバイスは、VPN ゲートウェイで動作します。 これらは、デバイス構成に推奨されるアルゴリズムです。
| 推奨されるアルゴリズム | 暗号化 | 誠実 | DH グループ |
|---|---|---|---|
| IKE | AES256 | SHA256の | DH2 |
| IPsec | AES256GCM | AES256GCM | なし |
VPN デバイスを構成するには、適切なデバイス ファミリに対応するリンクを参照してください。 構成手順へのリンクはベスト エフォートベースで提供されており、構成ガイドに記載されている既定値には最適な暗号化アルゴリズムが含まれている必要はありません。 VPN デバイスのサポートについては、デバイスの製造元に問い合わせてください。
| ベンダー名 | デバイス ファミリ | OS の最小バージョン | PolicyBased の構成手順 | RouteBased の構成手順 |
|---|---|---|---|---|
| A10 Networks, Inc. | Thunder CFW | ACOS 4.1.1 | 互換性なし | 構成ガイド |
| AhnLab | TrusGuard | TG 2.7.6 TG 3.5.x |
テストなし | 構成ガイド |
| 連合テレシス | AR シリーズ VPN ルーター | AR-Series 5.4.7 以降 | 構成ガイド | 構成ガイド |
| アリスタ | CloudEOS ルーター | vEOS 4.24.0FX | テストなし | 構成ガイド |
| Barracuda Networks, Inc. | Barracuda CloudGen Firewall | ポリシーベース: 5.4.3 RouteBased:6.2.0 |
構成ガイド | 構成ガイド |
| チェックポイント | セキュリティ ゲートウェイ | R80.10 | 構成ガイド | 構成ガイド |
| シスコ | ASA (アサ) | 8.3 8.4 以降 (IKEv2*) |
サポートされています | 構成ガイド* |
| シスコ | 自動音声認識 (ASR) | ポリシーベース: IOS 15.1 ルートベース: iOS 15.2 |
サポートされています | サポートされています |
| シスコ | 企業の社会的責任 | RouteBased: IOS-XE 16.10 | テストなし | 構成スクリプト |
| シスコ | ISR | PolicyBased: IOS 15.0 ルートベース*: IOS 15.1 |
サポートされています | サポートされています |
| シスコ | Meraki (MX) | MX v15.12 | 互換性なし | 構成ガイド |
| シスコ | vEdge(Viptela OS) | 18.4.0 (アクティブ/パッシブ モード) | 互換性なし | 手動構成 (アクティブ/パッシブ) |
| Citrix | NetScaler MPX、SDX、VPX | 10.1 以降 | 構成ガイド | 互換性なし |
| F5 キー | BIG-IP シリーズ | 12.0 | 構成ガイド | 構成ガイド |
| Fortinet | FortiGate | FortiOS 5.6 | テストなし | 構成ガイド |
| Fsas Technologies | Si-R G シリーズ | V04: V04.12 V20: V20.14 |
構成ガイド | 構成ガイド |
| Hillstone Networks | 次世代ファイアウォール (NGFW) | 5.5R7 | テストなし | 構成ガイド |
| HPEアルバ | EdgeConnect SDWAN ゲートウェイ | ECOS リリース v9.2 Orchestrator OS v9.2 |
構成ガイド | 構成ガイド |
| インターネットイニシアティブジャパン(IIJ) | SEIL シリーズ | SEIL/X 4.60 SEIL/B1 4.60 SEIL/x86 3.20 |
構成ガイド | 互換性なし |
| ビャクシン | SRX | PolicyBased: JunOS 10.2 Routebased: JunOS 11.4 |
サポートされています | 構成スクリプト |
| ビャクシン | J シリーズ | ポリシーベース: JunOS 10.4r9 RouteBased: JunOS 11.4 |
サポートされています | 構成スクリプト |
| ビャクシン | ISG | ScreenOS 6.3 | サポートされています | 構成スクリプト |
| ビャクシン | SSG | ScreenOS 6.2 | サポートされています | 構成スクリプト |
| ビャクシン | MX | JunOS 12.x | サポートされています | 構成スクリプト |
| Microsoft | ルーティングとリモート アクセス サービス | Windows Server 2012 | 互換性なし | サポートされています |
| Open Systems AG | ミッションコントロールセキュリティゲートウェイ | 該当なし | サポートされています | 互換性なし |
| パロアルトネットワークス | PAN-OS を実行しているすべてのデバイス | PAN-OS PolicyBased: 6.1.5 以降 RouteBased:7.1.4 |
サポートされています | 構成ガイド |
| Sentrium (開発者) | VyOS | VyOS 1.2.2 | テストなし | 構成ガイド |
| ShareTech | Next Generation UTM (NU シリーズ) | 9.0.1.3 | 互換性なし | 構成ガイド |
| SonicWall | TZ シリーズ、NSA シリーズ SuperMassive シリーズ E-class NSA シリーズ |
SonicOS 5.8.x SonicOS 5.9.x SonicOS 6.x |
互換性なし | 構成ガイド |
| Sophos | XG Next Gen Firewall | XG v17 | テストなし |
構成ガイド 構成ガイド - 複数 SA |
| Synology(NASデバイスを製造する企業) | MR2200ac RT2600ac RT1900ac |
SRM1.1.5/VpnPlusServer-1.2.0 | テストなし | 構成ガイド |
| ユビキティ | EdgeRouter | EdgeOS v1.10 | テストなし |
IKEv2/IPsec 経由の BGP IKEv2/IPsec 経由の VTI |
| ウルトラ | 3E-636L3 | 5.2.0.T3 Build-13 | テストなし | 構成ガイド |
| ウォッチガード | すべて | Fireware XTM PolicyBased: v11.11.x RouteBased: v11.12.x |
構成ガイド | 構成ガイド |
| Zyxel | ZyWALL USG シリーズ ZyWALL ATP シリーズ ZyWALL VPN シリーズ |
ZLD v4.32 以降 | テストなし |
IKEv2/IPsec 経由の VTI IKEv2/IPsec 経由の BGP |
注
(*) Cisco ASA バージョン 8.4 以降では IKEv2 のサポートが追加されており、"UsePolicyBasedTrafficSelectors" オプションでカスタム IPsec/IKE ポリシーを使用して、Azure VPN ゲートウェイに接続できます。 こちらのハウツー記事を参照してください。
(**) ISR 7200 シリーズのルーターでは、PolicyBased の VPN のみがサポートあり。
Azure からの VPN デバイス構成スクリプトのダウンロード
特定のデバイスについて、構成スクリプトを Azure から直接ダウンロードできます。 詳細およびダウンロードの手順については、「VPN デバイス構成スクリプトのダウンロード」に関するページをご覧ください。
未検証の VPN デバイス
[検証済み VPN デバイス] テーブルにデバイスが表示されない場合でも、デバイスはサイト間接続で動作する可能性があります。 サポートと構成手順については、デバイスの製造元にお問い合わせください。
デバイス構成のサンプルの編集
提供されている VPN デバイス構成のサンプルをダウンロードしてから、一部の値を置換してご自分環境の設定を反映させる必要があります。
サンプルを編集するには:
- メモ帳を使用してサンプルを開きます。
- お使いの環境に関連する値を含む <text> 文字列をすべて検索して置き換えます。 < and > を必ず含めてください。 名前を指定する場合、選択する名前は一意である必要があります。 コマンドが機能しない場合は、デバイスの製造元のドキュメントを参照してください。
| サンプル テキスト | に変更 |
|---|---|
| <RP_OnPremisesNetwork> | このオブジェクトに選択した名前。 例: myOnPremisesNetwork |
| <RP_AzureNetwork> | このオブジェクトに選択した名前。 例: myAzureNetwork |
| <RP_アクセスリスト> | このオブジェクトに選択した名前。 例: myAzureAccessList |
| <RP_IPSecTransformSet> | このオブジェクトに選択した名前。 例: myIPSecTransformSet |
| <RP_IPSecCryptoMap> | このオブジェクトに選択した名前。 例: myIPSecCryptoMap |
| <SP_AzureNetworkIpRange> | 範囲を指定します。 例: 192.168.0.0 |
| <SP_Azureネットワークサブネットマスク> | サブネット マスクを指定します。 例: 255.255.0.0 |
| <SP_OnPremisesNetworkIpRange> | オンプレミスの範囲を指定します。 例: 10.2.1.0 |
| <SP_OnPremisesNetworkSubnetMask> | オンプレミスのサブネット マスクを指定します。 例: 255.255.255.0 |
| <SP_AzureGatewayIpAddress> | この情報は仮想ネットワークに固有であり、 ゲートウェイの IP アドレスとして管理ポータルに存在しています。 |
| <SP_PresharedKey> | この情報はご利用の仮想ネットワークに固有であり、キーの管理として管理ポータルに存在しています。 |
既定の IPsec/IKE パラメーター
下の表には、Azure VPN ゲートウェイが既定の構成で使用するアルゴリズムとパラメーターの組み合わせが示されています (既定のポリシー)。 Azure Resource Manager デプロイメント モデルで作成されたルートベースの VPN ゲートウェイでは、個別の接続ごとにカスタム ポリシーを指定できます。 詳細な手順については、「IPsec/IKE ポリシーの構成」に関するページを参照してください。
以下の表では、次のようになっています。
- SA = セキュリティ アソシエーション (Security Association)
- IKE フェーズ 1 は "メイン モード" と呼ばれることもあります。
- IKE フェーズ 2 は "クイック モード" と呼ばれることもあります。
IKE フェーズ 1 (メイン モード) のパラメーター
| プロパティ | PolicyBased | RouteBased |
|---|---|---|
| IKE のバージョン | IKEv1 | IKEv1 および IKEv2 |
| Diffie-hellman グループ | グループ 2 (1024 ビット) | グループ 2 (1024 ビット) |
| 認証方法 | 事前共有キー | 事前共有キー |
| 暗号化とハッシュ アルゴリズム | 1.AES256、SHA256 2.AES256、SHA1 3.AES128、SHA1 4. 3DES、SHA1 |
1.AES256、SHA1 2.AES256、SHA256 3.AES128、SHA1 4.AES128、SHA256 5. 3DES、SHA1 6. 3DES、SHA256 |
| SA の有効期間 | 28,800 秒 | 28,800 秒 |
| クイック モード SA の数 | 100 | 100 |
IKE フェーズ 2 (クイック モード) のパラメーター
| プロパティ | PolicyBased | RouteBased |
|---|---|---|
| IKE のバージョン | IKEv1 | IKEv1 および IKEv2 |
| 暗号化とハッシュ アルゴリズム | 1.AES256、SHA256 2.AES256、SHA1 3.AES128、SHA1 4. 3DES、SHA1 |
RouteBased QM SA プラン |
| SA の有効期間 (時間) | 3,600 秒 | 27,000 秒 |
| SA の有効期間 (バイト) | 102,400,000 KB | 102,400,000 KB |
| Perfect Forward Secrecy (PFS) | いいえ | RouteBased QM SA プラン |
| デッド ピア検出 (DPD) | サポートされていません | サポートされています |
Azure VPN Gateway TCP MSS クランプ
MSS クランプは、Azure VPN Gateway 上で双方向に実行されます。 次の表に、さまざまなシナリオにおけるパケット サイズを示します。
| パケット フロー | IPv4 | IPv6 |
|---|---|---|
| インターネット経由 | 1360 バイト | 1340バイト |
| Express Route ゲートウェイ経由 | 1250 バイト | 1250 バイト |
RouteBased VPN IPsec セキュリティ アソシエーション (IKE クイック モード SA) プラン
以下の表は、IPsec SA (IKE クイック モード) プランの一覧です。 プランは、提示される順または受け入れられる順で優先的に表示されます。
発信側としての Azure ゲートウェイ
| - | 暗号化 | 認証 | PFS グループ |
|---|---|---|---|
| 1 | GCM AES256 | GCM (AES256) | なし |
| 2 | AES256 | SHA1 | なし |
| 3 | 3DES | SHA1 | なし |
| 4 | AES256 | SHA256の | なし |
| 5 | AES128 | SHA1 | なし |
| 6 | 3DES | SHA256の | なし |
応答側としての Azure ゲートウェイ
| - | 暗号化 | 認証 | PFS グループ |
|---|---|---|---|
| 1 | GCM AES256 | GCM (AES256) | なし |
| 2 | AES256 | SHA1 | なし |
| 3 | 3DES | SHA1 | なし |
| 4 | AES256 | SHA256の | なし |
| 5 | AES128 | SHA1 | なし |
| 6 | 3DES | SHA256の | なし |
| 7 | データ暗号化標準 (DES) | SHA1 | なし |
| 8 | AES256 | SHA1 | 1 |
| 9 | AES256 | SHA1 | 2 |
| 10 | AES256 | SHA1 | 14 |
| 11 | AES128 | SHA1 | 1 |
| 12 | AES128 | SHA1 | 2 |
| 13 | AES128 | SHA1 | 14 |
| 14 | 3DES | SHA1 | 1 |
| 15 | 3DES | SHA1 | 2 |
| 16 | 3DES | SHA256の | 2 |
| 十七 | AES256 | SHA256の | 1 |
| 18 | AES256 | SHA256の | 2 |
| 19 | AES256 | SHA256の | 14 |
| 20 | AES256 | SHA1 | 二十四 |
| 21 (二十一) | AES256 | SHA256の | 二十四 |
| 22 | AES128 | SHA256の | なし |
| 23 | AES128 | SHA256の | 1 |
| 二十四 | AES128 | SHA256の | 2 |
| 二十五 | AES128 | SHA256の | 14 |
| 26 | 3DES | SHA1 | 14 |
- RouteBased および HighPerformance VPN ゲートウェイで IPsec ESP NULL 暗号化を指定することができます。 Null ベースの暗号化では、転送中のデータ保護は提供されません。そのため、最大のスループットおよび最小の待機時間が必要な場合にのみ使用する必要があります。 クライアントは、VNet 間通信シナリオ、またはソリューション内の別の場所で暗号化が適用されている場合に、これを使用することを選択できます。
- インターネット経由のクロスプレミス接続では、重要な通信のセキュリティを確保するため、上記の表にある暗号化およびハッシュ アルゴリズムによる既定の Azure VPN Gateway 設定を使用してください。