サイト間 VPN ゲートウェイ接続用の VPN デバイスと IPsec/IKE パラメーターについて
VPN ゲートウェイを使用するサイト間 (S2S) クロスプレミス VPN 接続を構成するには、VPN デバイスが必要です。 サイト間接続は、ハイブリッド ソリューションを作成するときに使用できるほか、オンプレミスのネットワークと仮想ネットワークとの間にセキュリティで保護された接続が必要な場合に使用できます。 この記事には、VPN ゲートウェイ用の検証済みの VPN デバイスの一覧と IPsec/IKE パラメーターの一覧が掲載されています。
重要
オンプレミスの VPN デバイスと VPN ゲートウェイの間で接続の問題が発生している場合は、「デバイスの互換性に関する既知の問題」を参照してください。
表を確認するときの注意事項:
- Azure VPN ゲートウェイに関する用語が変更されていますが、 名前の 機能の変更はありません。
- 静的ルーティング = PolicyBased
- 動的ルーティング = RouteBased
- HighPerformance VPN ゲートウェイと RouteBased VPN ゲートウェイの仕様は、特に記載がない限り同じです。 たとえば、RouteBased VPN ゲートウェイと互換性がある検証済みの VPN デバイスは、HighPerformance VPN ゲートウェイとも互換性があります。
検証済みの VPN デバイスとデバイス構成ガイド
Microsoft では、デバイス ベンダーと協力して一連の標準的な VPN デバイスを検証しました。 以下の一覧に含まれているデバイス ファミリ内のすべてのデバイスは、VPN ゲートウェイで動作します。 これらは、デバイス構成に推奨されるアルゴリズムです。
| 推奨されるアルゴリズム | 暗号化 | 整合性 | DH グループ |
|---|---|---|---|
| IKE | AES256 | SHA256 | DH2 |
| IPSec | AES256GCM | AES256GCM | なし |
VPN デバイスを構成するには、適切なデバイス ファミリに対応するリンクを参照してください。 構成手順へのリンクはベスト エフォートベースで提供されており、構成ガイドに記載されている既定値には最適な暗号化アルゴリズムが含まれている必要はありません。 VPN デバイスのサポートについては、デバイスの製造元に問い合わせてください。
| ベンダー名 | デバイス ファミリ | OS の最小バージョン | PolicyBased の構成手順 | RouteBased の構成手順 |
|---|---|---|---|---|
| A10 Networks, Inc. | Thunder CFW | ACOS 4.1.1 | 互換性なし | 構成ガイド |
| AhnLab | TrusGuard | TG 2.7.6 TG 3.5.x |
テストなし | 構成ガイド |
| Allied Telesis | AR シリーズ VPN ルーター | AR-Series 5.4.7 以降 | 構成ガイド | 構成ガイド |
| Arista | CloudEOS Router | vEOS 4.24.0FX | テストなし | 構成ガイド |
| Barracuda Networks, Inc. | Barracuda CloudGen Firewall | PolicyBased:5.4.3 RouteBased:6.2.0 |
構成ガイド | 構成ガイド |
| Check Point | セキュリティ ゲートウェイ | R80.10 | 構成ガイド | 構成ガイド |
| Cisco | ASA | 8.3 8.4 以降 (IKEv2*) |
サポートされています | 構成ガイド* |
| Cisco | ASR | PolicyBased:IOS 15.1 RouteBased:IOS 15.2 |
サポートされています | サポートされています |
| Cisco | CSR | RouteBased:IOS-XE 16.10 | テストなし | 構成スクリプト |
| Cisco | ISR | PolicyBased:IOS 15.0 RouteBased**:IOS 15.1 |
サポートされています | サポートされています |
| Cisco | Meraki (MX) | MX v15.12 | 互換性なし | 構成ガイド |
| Cisco | vEdge (Viptela OS) | 18.4.0 (アクティブ/パッシブ モード) | 互換性なし | 手動構成 (アクティブ/パッシブ) |
| Citrix | NetScaler MPX、SDX、VPX | 10.1 以降 | 構成ガイド | 互換性なし |
| F5 | BIG-IP シリーズ | 12.0 | 構成ガイド | 構成ガイド |
| Fortinet | FortiGate | FortiOS 5.6 | テストなし | 構成ガイド |
| Fsas Technologies | Si-R G シリーズ | V04: V04.12 V20: V20.14 |
構成ガイド | 構成ガイド |
| Hillstone Networks | Next-Gen Firewalls (NGFW) | 5.5R7 | テストなし | 構成ガイド |
| HPE Aruba | EdgeConnect SDWAN ゲートウェイ | ECOS リリース v9.2 Orchestrator OS v9.2 |
構成ガイド | 構成ガイド |
| Internet Initiative Japan (IIJ) | SEIL シリーズ | SEIL/X 4.60 SEIL/B1 4.60 SEIL/x86 3.20 |
構成ガイド | 互換性なし |
| Juniper | SRX | PolicyBased:JunOS 10.2 Routebased:JunOS 11.4 |
サポートされています | 構成スクリプト |
| Juniper | J シリーズ | PolicyBased:JunOS 10.4r9 RouteBased:JunOS 11.4 |
サポートされています | 構成スクリプト |
| Juniper | ISG | ScreenOS 6.3 | サポートされています | 構成スクリプト |
| Juniper | SSG | ScreenOS 6.2 | サポートされています | 構成スクリプト |
| Juniper | MX | JunOS 12.x | サポートされています | 構成スクリプト |
| Microsoft | ルーティングとリモート アクセス サービス | Windows Server 2012 | 互換性なし | サポートされています |
| Open Systems AG | Mission Control Security Gateway | 該当なし | サポートされています | 互換性なし |
| Palo Alto Networks | PAN-OS を実行しているすべてのデバイス | PAN-OS PolicyBased:6.1.5 以降 RouteBased:7.1.4 |
サポートされています | 構成ガイド |
| Sentrium (Developer) | VyOS | VyOS 1.2.2 | テストなし | 構成ガイド |
| ShareTech | Next Generation UTM (NU シリーズ) | 9.0.1.3 | 互換性なし | 構成ガイド |
| SonicWall | TZ シリーズ、NSA シリーズ SuperMassive シリーズ E-class NSA シリーズ |
SonicOS 5.8.x SonicOS 5.9.x SonicOS 6.x |
互換性なし | 構成ガイド |
| Sophos | XG Next Gen Firewall | XG v17 | テストなし | 構成ガイド 構成ガイド - 複数 SA |
| Synology | MR2200ac RT2600ac RT1900ac |
SRM1.1.5/VpnPlusServer-1.2.0 | テストなし | 構成ガイド |
| Ubiquiti | EdgeRouter | EdgeOS v1.10 | テストなし | BGP over IKEv2/IPsec VTI over IKEv2/IPsec |
| Ultra | 3E-636L3 | 5.2.0.T3 Build-13 | テストなし | 構成ガイド |
| WatchGuard | All | Fireware XTM PolicyBased: v11.11.x RouteBased: v11.12.x |
構成ガイド | 構成ガイド |
| Zyxel | ZyWALL USG シリーズ ZyWALL ATP シリーズ ZyWALL VPN シリーズ |
ZLD v4.32 以降 | テストなし | VTI over IKEv2/IPsec BGP over IKEv2/IPsec |
Note
(*) Cisco ASA バージョン 8.4 以降では IKEv2 のサポートが追加されており、"UsePolicyBasedTrafficSelectors" オプションでカスタム IPsec/IKE ポリシーを使用して、Azure VPN ゲートウェイに接続できます。 こちらのハウツー記事を参照してください。
(**) ISR 7200 シリーズのルーターでは、PolicyBased の VPN のみがサポートあり。
Azure からの VPN デバイス構成スクリプトのダウンロード
特定のデバイスについて、構成スクリプトを Azure から直接ダウンロードできます。 詳細およびダウンロードの手順については、「VPN デバイス構成スクリプトのダウンロード」に関するページをご覧ください。
未検証の VPN デバイス
[検証済み VPN デバイス] テーブルにデバイスが表示されない場合でも、デバイスはサイト間接続で動作する可能性があります。 サポートと構成手順については、デバイスの製造元にお問い合わせください。
デバイス構成のサンプルの編集
提供されている VPN デバイス構成のサンプルをダウンロードしてから、一部の値を置換してご自分環境の設定を反映させる必要があります。
サンプルを編集するには:
- メモ帳を使用してサンプルを開きます。
- お使いの環境に関連する値を含む <text> 文字列をすべて検索して置き換えます。 < and > を必ず含めてください。 名前を指定する場合、選択する名前は一意である必要があります。 コマンドが機能しない場合は、デバイスの製造元のドキュメントを参照してください。
| サンプル テキスト | 次に変更 |
|---|---|
| <RP_OnPremisesNetwork> | このオブジェクトに選択した名前。 例: myOnPremisesNetwork |
| <RP_AzureNetwork> | このオブジェクトに選択した名前。 例: myAzureNetwork |
| <RP_AccessList> | このオブジェクトに選択した名前。 例: myAzureAccessList |
| <RP_IPSecTransformSet> | このオブジェクトに選択した名前。 例: myIPSecTransformSet |
| <RP_IPSecCryptoMap> | このオブジェクトに選択した名前。 例: myIPSecCryptoMap |
| <SP_AzureNetworkIpRange> | 範囲を指定します。 例: 192.168.0.0 |
| <SP_AzureNetworkSubnetMask> | サブネット マスクを指定します。 例: 255.255.0.0 |
| <SP_OnPremisesNetworkIpRange> | オンプレミスの範囲を指定します。 例: 10.2.1.0 |
| <SP_OnPremisesNetworkSubnetMask> | オンプレミスのサブネット マスクを指定します。 例: 255.255.255.0 |
| <SP_AzureGatewayIpAddress> | この情報は仮想ネットワークに固有であり、 ゲートウェイの IP アドレスとして管理ポータルに存在しています。 |
| <SP_PresharedKey> | この情報はご利用の仮想ネットワークに固有であり、キーの管理として管理ポータルに存在しています。 |
既定の IPsec/IKE パラメーター
下の表には、Azure VPN ゲートウェイが既定の構成で使用するアルゴリズムとパラメーターの組み合わせが示されています (既定のポリシー)。 Azure Resource Manager デプロイメント モデルで作成されたルートベースの VPN ゲートウェイでは、個別の接続ごとにカスタム ポリシーを指定できます。 詳細な手順については、「IPsec/IKE ポリシーの構成」に関するページを参照してください。
以下の表では、次のようになっています。
- SA = セキュリティ アソシエーション (Security Association)
- IKE フェーズ 1 は "メイン モード" と呼ばれることもあります。
- IKE フェーズ 2 は "クイック モード" と呼ばれることもあります。
IKE フェーズ 1 (メイン モード) のパラメーター
| プロパティ | PolicyBased | RouteBased |
|---|---|---|
| IKE のバージョン | IKEv1 | IKEv1 および IKEv2 |
| Diffie-hellman グループ | グループ 2 (1024 ビット) | グループ 2 (1024 ビット) |
| 認証方法 | 事前共有キー | 事前共有キー |
| 暗号化とハッシュ アルゴリズム | 1.AES256、SHA256 2.AES256、SHA1 3.AES128、SHA1 4. 3DES、SHA1 |
1.AES256、SHA1 2.AES256、SHA256 3.AES128、SHA1 4.AES128、SHA256 5. 3DES、SHA1 6. 3DES、SHA256 |
| SA の有効期間 | 28,800 秒 | 28,800 秒 |
| クイック モード SA の数 | 100 | 100 |
IKE フェーズ 2 (クイック モード) のパラメーター
| プロパティ | PolicyBased | RouteBased |
|---|---|---|
| IKE のバージョン | IKEv1 | IKEv1 および IKEv2 |
| 暗号化とハッシュ アルゴリズム | 1.AES256、SHA256 2.AES256、SHA1 3.AES128、SHA1 4. 3DES、SHA1 |
RouteBased QM SA プラン |
| SA の有効期間 (時間) | 3,600 秒 | 27,000 秒 |
| SA の有効期間 (バイト) | 102,400,000 KB | 102,400,000 KB |
| Perfect Forward Secrecy (PFS) | いいえ | RouteBased QM SA プラン |
| Dead Peer Detection (DPD) | サポートされていません | サポートされています |
Azure VPN Gateway TCP MSS クランプ
MSS クランプは、Azure VPN Gateway 上で双方向に実行されます。 次の表に、さまざまなシナリオにおけるパケット サイズを示します。
| パケット フロー | IPv4 | IPv6 |
|---|---|---|
| インターネット経由 | 1340 バイト | 1360 バイト |
| Express Route ゲートウェイ経由 | 1250 バイト | 1250 バイト |
RouteBased VPN IPsec セキュリティ アソシエーション (IKE クイック モード SA) プラン
以下の表は、IPsec SA (IKE クイック モード) プランの一覧です。 プランは、提示される順または受け入れられる順で優先的に表示されます。
発信側としての Azure ゲートウェイ
| - | 暗号化 | 認証 | PFS グループ |
|---|---|---|---|
| 1 | GCM AES256 | GCM (AES256) | なし |
| 2 | AES256 | SHA1 | なし |
| 3 | 3DES | SHA1 | なし |
| 4 | AES256 | SHA256 | なし |
| 5 | AES128 | SHA1 | なし |
| 6 | 3DES | SHA256 | なし |
応答側としての Azure ゲートウェイ
| - | 暗号化 | 認証 | PFS グループ |
|---|---|---|---|
| 1 | GCM AES256 | GCM (AES256) | なし |
| 2 | AES256 | SHA1 | なし |
| 3 | 3DES | SHA1 | なし |
| 4 | AES256 | SHA256 | なし |
| 5 | AES128 | SHA1 | なし |
| 6 | 3DES | SHA256 | なし |
| 7 | DES | SHA1 | なし |
| 8 | AES256 | SHA1 | 1 |
| 9 | AES256 | SHA1 | 2 |
| 10 | AES256 | SHA1 | 14 |
| 11 | AES128 | SHA1 | 1 |
| 12 | AES128 | SHA1 | 2 |
| 13 | AES128 | SHA1 | 14 |
| 14 | 3DES | SHA1 | 1 |
| 15 | 3DES | SHA1 | 2 |
| 16 | 3DES | SHA256 | 2 |
| 17 | AES256 | SHA256 | 1 |
| 18 | AES256 | SHA256 | 2 |
| 19 | AES256 | SHA256 | 14 |
| 20 | AES256 | SHA1 | 24 |
| 21 | AES256 | SHA256 | 24 |
| 22 | AES128 | SHA256 | なし |
| 23 | AES128 | SHA256 | 1 |
| 24 | AES128 | SHA256 | 2 |
| 25 | AES128 | SHA256 | 14 |
| 26 | 3DES | SHA1 | 14 |
- RouteBased および HighPerformance VPN ゲートウェイで IPsec ESP NULL 暗号化を指定することができます。 Null ベースの暗号化では、転送中のデータ保護は提供されません。そのため、最大のスループットおよび最小の待機時間が必要な場合にのみ使用する必要があります。 クライアントは、VNet 間通信シナリオ、またはソリューション内の別の場所で暗号化が適用されている場合に、これを使用することを選択できます。
- インターネット経由のクロスプレミス接続では、重要な通信のセキュリティを確保するため、上記の表にある暗号化およびハッシュ アルゴリズムによる既定の Azure VPN Gateway 設定を使用してください。
デバイスの互換性に関する既知の問題
重要
この内容は、サード パーティの VPN デバイスと Azure VPN ゲートウェイの互換性に関する既知の問題です。 Azure チームは、ここに記載されている問題に対処するためにベンダーと積極的に連携しています。 問題が解決されると、このページが最新の情報で更新されるため、 定期的に確認してください。
2017 年 2 月 16 日
Azure ルートベースの VPN 用の Palo Alto Networks の 7.1.4 より前のバージョンのデバイス: Palo Alto Networks の PAN-OS のバージョンが 7.1.4 より前の VPN デバイスを使用している場合、Azure ルートベースの VPN ゲートウェイへの接続の問題が発生したときは次の手順を実行してください。
- Palo Alto Networks デバイスのファームウェアのバージョンを確認します。 PAN-OS バージョンが 7.1.4 よりも前の場合は、7.1.4 にアップグレードしてください。
- Palo Alto Networks デバイスで、Azure VPN ゲートウェイに接続しているときにフェーズ 2 SA (またはクイック モード SA) の有効期間を 28,800 秒 (8 時間) に変更します。
- 接続の問題が解消しない場合は、Azure Portal からサポート リクエストを作成してください。