20260324_AzureVirtualWANでS2SVPNを試した内容共有

Azure Virtual WAN で S2SVPN 接続を試した内容共有 NTTドコモビジネス株式会社 増田 和己 2026/3/23

本日お伝えしたいこと Azure の Network 構成に関わるご担当者様向けに、以下を共有させていた だきたい。 ・Azure Virtual WAN の基本機能共有 ・Azure Virtual WAN を用いた S2SVPN サイト間接続手順の共有 2

目次 1. Azure Virtual WANとは 2. Azure Virtual WAN を用いた S2SVPN サイト間接続手順共有 3. まとめ 3

1. Azure Virtual WAN とは Azure Virtual WAN は、ネットワーク、セキュリテイ、ルーテイングのさまざまな機能をまとめて、1つの 運用インターフェイスを提供するネットワーク サービスである (ハブ – スポーク構成)。 Azure Virtual WAN の概要 | Microsoft Learn 4

• https://learn.microsoft.com/ja-jp/azure/virtual-wan/virtual-wan-about

1. Azure Virtual WAN とは(特徴1) 世界のリージョンに仮想ハブ (Azure Virtual WAN Hub) を設置した WAN 構成実現が可能。 東日本 東南アジア 東日本 東南 アジア 5

1. Azure Virtual WAN とは(特徴2) 仮想ハブ (Azure Virtual WAN Hub) から各拠点(スポーク)への接続方法として、主に以下が可能。 ①VNET接続、②Site to Site VPN接続、③ExpressRoute接続 etc On-Premise On-Premise 2 3 スポーク VP N VPN Gateway ER Gateway 仮想ハブ ハブ 仮想ハブ １ スポーク 6

1. Azure Virtual WAN とは(特徴2) 仮想ハブ (Azure Virtual WAN Hub) から各拠点(スポーク)への接続方法として、主に以下が可能。 ①VNET接続、②Site to Site VPN接続、③ExpressRoute接続 etc 7

1. Azure Virtual WAN とは(特徴3) ハブ - スポーク間は BGP プロトコルを用いた自動ルーティング設定が可能。 On-Premise On-Premise スポーク VP N VPN Gateway 仮想ハブ ER Gateway ハブ B G P 仮想ハブ スポーク 8

1. Azure Virtual WAN とは(特徴3) ハブ - スポーク間は BGP プロトコルを用いた自動ルーティング設定が可能。 ※前頁の東日本リージョンの仮想ハブから見たルーティング一覧 VNET 接続先 仮想ハブ VPN Gateway 9

1. Azure Virtual WAN とは(特徴4) 仮想ハブを通過する通信を Azure Firewall で制御が可能。 On-Premise On-Premise スポーク VP N VPN Gateway 仮想ハブ ER Gateway ハブ B G P 仮想ハブ スポーク 10

1. Azure Virtual WAN とは(特徴4) 仮想ハブを通過する通信を Azure Firewall で制御が可能。 ※当該機能を用いると Azure Virtual WAN Hub 料金が5倍($0.25/時 → $1.25 /時)になる点は注意 ※ただし当該機能有効後、削除や停止は可能 (嘗ては削除できなかった？) 11

1. Azure Virtual WAN とは(特徴4補足) Azure Firewall は通常利用版と同様にインターネットへの接続元としても利用が可能。 On-Premise On-Premise Internet スポーク VP N VPN Gateway 仮想ハブ ER Gateway ハブ B G P 仮想ハブ スポーク 12

目次 1. Azure Virtual WANとは 2. Azure Virtual WAN ⇔ S2SVPN(Site to Site VPN)接続構成例 3. まとめ 13

2. Azure Virtual WAN を用いたサイト間接続手順共有 簡単に S2SVPN サイトを含めたハブ – スポーク構成を検証されたい方向けに構成手順を共有する(以下赤枠)。 VP N 14

2. Azure Virtual WAN を用いたサイト間接続手順共有 実現したいこと：それぞれのVNET上にあるVM同士でRDP接続ができること。 VP N R D P R D P 15

2. Azure Virtual WAN を用いたサイト間接続手順共有 作業の流れは以下の通り。 a. Azure Virtual WAN を作成する b. Azure Virtual WAN Hubを構成する c. VPN ゲートウェイを構成する d. S2SVPN サイトを構成する e. Azure Virtual WAN Hub と VPN ゲートウェイを紐づけする f. VPN接続(IPsec /BGP)を有効化する g. VM間接続(RDP)を確認する チュートリアル: Virtual WANを使用してサイト間接続を作成する - Azure Virtual WAN | Microsoft Learn 16

• https://learn.microsoft.com/ja-jp/azure/virtual-wan/virtual-wan-site-to-site-portal

2. Azure Virtual WAN を用いたサイト間接続手順共有 前提：仮想ハブ – VNET間構成は完了していることとする(作業手順a,bは済)。 参考 : VNet を Virtual WAN ハブに接続する - ポータル - Azure Virtual WAN | Microsoft Learn 17

• https://learn.microsoft.com/ja-jp/azure/virtual-wan/howto-connect-vnet-hub

2. Azure Virtual WAN を用いたサイト間接続手順共有 a. Azure Virtual WAN を作成する 済 b. Azure Virtual WAN Hubを構成する 済 c. VPN ゲートウェイを構成する d. S2SVPN サイトを構成する e. Azure Virtual WAN Hub と VPN ゲートウェイを紐づけする f. VPN接続(IPsec /BGP)を有効化する g. VM間接続(RDP)を確認する チュートリアル: Virtual WANを使用してサイト間接続を作成する - Azure Virtual WAN | Microsoft Learn 18

• https://learn.microsoft.com/ja-jp/azure/virtual-wan/virtual-wan-site-to-site-portal

2-c. VPN ゲートウェイを構成する C VPNGW1 VPNGW2 ASN 65515 19

2-c. VPN ゲートウェイを構成する 1. [仮想ハブ] ページで [VPN(サイトからサイトへ)] の “作成” をクリックし、VPNゲートウェイを作成 ※ デフォルトで2台のゲートウェイが作成、BGP プロトコル用 AS 番号は 65515 固定 20

2. Azure Virtual WAN を用いたサイト間接続手順共有 a. Azure Virtual WAN を作成する 済 b. Azure Virtual WAN Hubを構成する 済 c. VPN ゲートウェイを構成する 済 d. S2SVPN サイトを構成する e. Azure Virtual WAN Hub と VPN ゲートウェイを紐づけする f. VPN接続(IPsec /BGP)を有効化する g. VM間接続(RDP)を確認する チュートリアル: Virtual WANを使用してサイト間接続を作成する - Azure Virtual WAN | Microsoft Learn 21

• https://learn.microsoft.com/ja-jp/azure/virtual-wan/virtual-wan-site-to-site-portal

2-d. S2SVPN サイトを構成する(NVA作成) ※事前準備としてNVAとVNETの作成を行う VNET VM(ext) VM(int) Pip d 準備 VPNGW1 :172.17.8.0/22 :172.17.8.4 :172.17.8.68 :20.89.224.229 VPNGW2 22

2-d. S2SVPN サイトを構成する(NVA作成) Network Virtual Appliance(NVA)として、Market Place から Fortigate 7.6.6(Single VM) を利用する。 2022年度 Firewall シェア 国内/世界1位 23

2-d. S2SVPN サイトを構成する(NVA作成) Fortigate 構成例。以下画像以外はデフォルト設定。 PAYG 7.6.6選択 Enabledでは 構築に失敗 24

2-d. S2SVPN サイトを構成する(NVA作成補足) NVA デプロイ後にセキュリティの緩い NSG が、NVA の NIC に紐づいて自動作成される。 → 外部からコンソールログオン可能だが更新要。 25

2-d. S2SVPN サイトを構成する(NVA作成補足) NVA 初回ログオン後、HTTPS ポートは 443 から変更推奨(一定時間後接続不可)。 26

2-d. S2SVPN サイトを構成する(サイト作成) ASN 65001 ・リンク IPアドレス :20.89.224.229(*) ・リンク BGP IPアドレス :169.254.21.2 * NVAのPublic IPアドレス d VPNGW1 ・Public IPアドレス :自動 ・Private IPアドレス :自動 ・BGP IPアドレス :169.254.21.1 VPNGW1 VPNGW2 ASN 65515 VPNGW2 ・Public IPアドレス :自動 ・Private IPアドレス :自動 ・BGP IPアドレス :169.254.21.5 27

2-d. S2SVPN サイトを構成する(サイト作成) Virtual WAN -> VPN サイト に移動して、VPN サイト ページを開く。その後 [VPN サイト] ページで [+ VPN サイトの新規作成] をクリック。 28

2-d. S2SVPN サイトを構成する(サイト作成) 以下設定でVPNサイト作成(拠点側の設定内容を登録)。 29

2-d. S2SVPN サイトを構成する(サイト作成) VPN サイト作成後、自身の VPN Gateway の BGP IP アドレスを固定。 → Azure で予約されるカスタム BGP IP アドレスは 169.254.21.0 - 169.254.22.255 内 ※公式Webページには無い手順 VPN Gateway に BGP を構成する: ポータル - Azure VPN Gateway | Microsoft Learn 30

• https://learn.microsoft.com/ja-jp/azure/vpn-gateway/bgp-howto

2. Azure Virtual WAN を用いたサイト間接続手順共有 a. Azure Virtual WAN を作成する 済 b. Azure Virtual WAN Hubを構成する 済 c. VPN ゲートウェイを構成する 済 d. S2SVPN サイトを構成する 済 e. Azure Virtual WAN Hub と VPN ゲートウェイを紐づけする f. VPN接続(IPsec /BGP)を有効化する g. VM間接続(RDP)を確認する チュートリアル: Virtual WANを使用してサイト間接続を作成する - Azure Virtual WAN | Microsoft Learn 31

• https://learn.microsoft.com/ja-jp/azure/virtual-wan/virtual-wan-site-to-site-portal

2-e. Azure Virtual WAN Hub と VPN ゲートウェイを紐づけする VPNGW1 VPNGW2 e 32

2-e. Azure Virtual WAN Hub と VPN ゲートウェイを紐づけする Virtual WAN -> VPN サイト に移動して、VPN サイト ページを開く。その後 [VPN サイト] ページで [+ VPN サイトの接続] をクリック。 その後、事前共有キーに任意の値(パスワード値)を入力し接続。 33

2. Azure Virtual WAN を用いたサイト間接続手順共有 a. Azure Virtual WAN を作成する 済 b. Azure Virtual WAN Hubを構成する 済 c. VPN ゲートウェイを構成する 済 d. S2SVPN サイトを構成する 済 e. Azure Virtual WAN Hub と VPN ゲートウェイを紐づけする 済 f. VPN接続(IPsec /BGP)を有効化する g. VM間接続(RDP)を確認する チュートリアル: Virtual WANを使用してサイト間接続を作成する - Azure Virtual WAN | Microsoft Learn 34

• https://learn.microsoft.com/ja-jp/azure/virtual-wan/virtual-wan-site-to-site-portal

2-f. VPN接続(IPsec /BGP)を有効化する IPsec/BGP有効化 f AzureVPN1 VPNGW1 ・Public IPアドレス :自動 ・Private IPアドレス :自動 ・BGP IPアドレス :169.254.21.1 VPNGW1 ASN 65001 ・リンク IPアドレス :20.89.224.229(*) ・リンク BGP IPアドレス :169.254.21.2 * NVAのPublic IPアドレス AzureVPN2 VPNGW2 ASN 65515 VPNGW2 ・Public IPアドレス :自動 ・Private IPアドレス :自動 ・BGP IPアドレス :169.254.21.5 35

2-f. VPN接続(IPsec /BGP)を有効化する Virtual WAN -> VPN サイトに移動して、VPN サイトページからダウンロードできる構成ファイルや、 FORTINET社の Web ページを参考に、VPNデバイス(Fortigate)への設定コマンドを準備する。 IPsec VPN to an Azure with virtual WAN | FortiGate / FortiOS 7.6.6 | Fortinet Document Library 36

• https://docs.fortinet.com/document/fortigate/7.6.6/administration-guide/281360/ipsec-vpn-to-an-azure-with-virtual-wan

2-f. VPN接続(IPsec /BGP)を有効化する 1. IPsec Phase1設定コマンド例 ※赤字はこれまでの構成を踏まえた参考値 config vpn ipsec phase1-interface edit "AzureVPN1" set interface "port1" set ike-version 2 set keylife 28800 set peertype any set proposal aes256-sha256 set dhgrp 2 set net-device enable set transport auto set dpd on-idle set nattraversal enable set remote-gw 172.192.179.121 set psksecret “事前共有キーの値" next edit "AzureVPN2" set interface "port1" set ike-version 2 set keylife 28800 set peertype any set proposal aes256-sha256 set dhgrp 2 set net-device enable set transport auto set dpd on-idle set nattraversal enable set remote-gw 74.226.0.162 set psksecret "事前共有キーの値" next end ★VPNGW1 の Public IPアドレス ★VPNGW2 の Public IPアドレス 37

2-f. VPN接続(IPsec /BGP)を有効化する 2. IPsec Phase2設定コマンド例 config vpn ipsec phase2-interface edit "AzureVPN1Ph2" set phase1name "AzureVPN1" set proposal aes256-sha256 set dhgrp 2 set keylifeseconds 27000 next edit "AzureVPN2Ph2" set phase1name "AzureVPN2" set proposal aes256-sha256 set dhgrp 2 set keylifeseconds 27000 next end 38

2-f. VPN接続(IPsec /BGP)を有効化する 3. サブネット重複許可 → Azure側、Fortigate側で同一サブネットのBPG IP アドレス (169.254.xx.xx) を利用するため。 config system settings set allow-subnet-overlap enable end 39

2-f. VPN接続(IPsec /BGP)を有効化する 4. Fortigate インタフェース設定(IPアドレス設定) ※赤字はこれまでの構成を踏まえた参考値 config system interface edit "AzureVPN1" set vdom "root" set ip 169.254.21.2 255.255.255.255 set allowaccess ping set type tunnel set remote-ip 169.254.21.1 255.255.255.255 set snmp-index 8 set interface "port1" next edit "AzureVPN2" set vdom "root" set ip 169.254.21.2 255.255.255.255 set allowaccess ping set type tunnel set remote-ip 169.254.21.5 255.255.255.255 set snmp-index 8 set interface "port1" next end ★FortigateのBGP IPアドレス ★VPNGW1のBGP IPアドレス ★FortigateのBGP IPアドレス ★VPNGW2のBGP IPアドレス 40

2-f. VPN接続(IPsec /BGP)を有効化する 5. BGP設定 ※赤字はこれまでの構成を踏まえた参考値 config router bgp set as 65001 set router-id 169.254.21.2 set ebgp-multipath enable config neighbor edit "169.254.21.1“ set remote-as 65515 set update-source "AzureVPN1" set weight 100 next edit “169.254.21.5“ set remote-as 65515 set update-source "AzureVPN2" set weight 1000 next end config network edit 1 set prefix 172.17.8.0 255.255.252.0 next end config redistribute "connected" set status enable end config redistribute "rip" end config redistribute "ospf" end config redistribute "static" end config redistribute "isis" end ★S2SVPN側のAS番号 ★FortigateのBGP IPアドレス ★VPNGW1のBGP IPアドレス ★仮想ハブのAS番号 ★VPNGW2のBGP IPアドレス ★仮想ハブのAS番号 ★S2SVPN側のVNET NWアドレス 41

2-f. VPN接続(IPsec /BGP)を有効化する 6. Firewall Policy設定例 ※公式Webページには無い手順 config firewall policy edit 1 set name "All-allow" set srcintf “port1” set dstintf “port1” set action accept set srcaddr “all” set dstaddr “all” set schedule “always” set service “ALL” next edit 2 set name “AllowAzureVPN1” set srcintf “AzureVPN1” set dstintf “AzureVPN1” set action accept set srcaddr “all” set dstaddr “all” set schedule “always” set service “ALL” next edit 3 set name “AllowAzureVPN2” set srcintf "AzureVPN2" set dstintf "AzureVPN2" set action accept set srcaddr "all" set dstaddr "all" set schedule "always" set service "ALL" next edit 10 set name "LAN-to-AzureVPN1" set srcintf "port2" set dstintf "AzureVPN1" set action accept set srcaddr "all" set dstaddr "all" set schedule "always" set service "ALL" next edit 11 set name "LAN-to-AzureVPN2" set srcintf "port2" set dstintf "AzureVPN2" set action accept set srcaddr "all" set dstaddr "all" set schedule "always" set service "ALL" next edit 12 set name "AzureVPN1-to-LAN" set srcintf "AzureVPN1" set dstintf "port2" set action accept set srcaddr "all" set dstaddr "all" set schedule "always" set service "ALL" set nat enable next edit 13 set name "AzureVPN2-to-LAN" set srcintf "AzureVPN2" set dstintf "port2" set action accept set srcaddr "all" set dstaddr "all" set schedule "always" set service "ALL" set nat enable next edit 20 set name "port1-to-port2" set srcintf "port1" set dstintf "port2" set action accept set srcaddr "all" set dstaddr "all" set schedule "always" set service "ALL" next edit 21 set name "port2-to-port1" set srcintf "port2" set dstintf "port1" set action accept set srcaddr "all" set dstaddr "all" set schedule "always" set service "ALL" next end 42

2-f. VPN接続(IPsec /BGP)を有効化する diagnose vpn tunnel list 実行後、以下表示(status=up)になれば仮想ハブ – Fortigate 間 VPN 接続は成功。 AzureVPN1 (Fortigate → VPNGW1) AzureVPN2 (Fortigate → VPNGW2) 43

2-f. VPN接続(IPsec /BGP)を有効化する Azure上で接続性の状態が “接続済み” であれば、仮想ハブ – Fortigate 間 VPN 接続は成功。 44

2. Azure Virtual WAN を用いたサイト間接続手順共有 a. Azure Virtual WAN を作成する 済 b. Azure Virtual WAN Hubを構成する 済 c. VPN ゲートウェイを構成する 済 d. S2SVPN サイトを構成する 済 e. Azure Virtual WAN Hub と VPN ゲートウェイを紐づけする 済 f. VPN接続(IPsec /BGP)を有効化する 済 g. VM間接続(RDP)を確認する チュートリアル: Virtual WANを使用してサイト間接続を作成する - Azure Virtual WAN | Microsoft Learn 45

• https://learn.microsoft.com/ja-jp/azure/virtual-wan/virtual-wan-site-to-site-portal

2-g. VM間接続(RDP)を確認する 検証用VMのOS : Windows Server 2022 ※VNET側のNW構成手順は割愛 検証用VM : IPアドレス 172.17.10.4 R D P VPNGW1 VPNGW2 R D P 検証用VM : IPアドレス 10.206.0.4 46

2-g. VM間接続(RDP)を確認する 47

2-g. VM間接続(RDP)を確認する 48

目次 1. Azure Virtual WANとは 2. Azure Virtual WAN ⇔ S2SVPN(Site to Site VPN)接続構成例 3. まとめ 49

まとめ ・Azure Virtual WAN の基本機能共有 → 以下特徴を共有 仮想ハブ (Azure Virtual WAN Hub) から各拠点(スポーク)への接続方法 仮想ハブと Azure Firewall との連携 (設定削除は適宜可能) ・Azure Virtual WAN を用いた S2SVPN サイト間接続手順の共有 → 公式手順から以下作業を追加することで接続可能となった VPN Gateway にカスタムBGP IPアドレス設定 Fortigate の Firewall Policy設定 50

51