--- title: 20260324_AzureVirtualWANでS2SVPNを試した内容共有 tags: author: [マスダカズキ](https://docswell.com/user/5592427366) site: [Docswell](https://www.docswell.com/) thumbnail: https://bcdn.docswell.com/page/L71YKL6LJG.jpg?width=480 description: 20260324_AzureVirtualWANでS2SVPNを試した内容共有 by マスダカズキ published: March 24, 26 canonical: https://docswell.com/s/5592427366/5JWLNN-2026-03-24-204251 --- # Page. 1 ![Page Image](https://bcdn.docswell.com/page/L71YKL6LJG.jpg) Azure Virtual WAN で S2SVPN 接続を試した内容共有 NTTドコモビジネス株式会社 増田 和己 2026/3/23 # Page. 2 ![Page Image](https://bcdn.docswell.com/page/G7WGDVWQE2.jpg) 本日お伝えしたいこと Azure の Network 構成に関わるご担当者様向けに、以下を共有させていた だきたい。 ・Azure Virtual WAN の基本機能共有 ・Azure Virtual WAN を用いた S2SVPN サイト間接続手順の共有 2 # Page. 3 ![Page Image](https://bcdn.docswell.com/page/4JZLG453E3.jpg) 目次 1. Azure Virtual WANとは 2. Azure Virtual WAN を用いた S2SVPN サイト間接続手順共有 3. まとめ 3 # Page. 4 ![Page Image](https://bcdn.docswell.com/page/YE6WY39ZEV.jpg) 1. Azure Virtual WAN とは Azure Virtual WAN は、ネットワーク、セキュリテイ、ルーテイングのさまざまな機能をまとめて、1つの 運用インターフェイスを提供するネットワーク サービスである (ハブ – スポーク構成)。 Azure Virtual WAN の概要 | Microsoft Learn 4 # Page. 5 ![Page Image](https://bcdn.docswell.com/page/GE5MGLN9E4.jpg) 1. Azure Virtual WAN とは(特徴1) 世界のリージョンに仮想ハブ (Azure Virtual WAN Hub) を設置した WAN 構成実現が可能。 東日本 東南アジア 東日本 東南 アジア 5 # Page. 6 ![Page Image](https://bcdn.docswell.com/page/9729YL55JR.jpg) 1. Azure Virtual WAN とは(特徴2) 仮想ハブ (Azure Virtual WAN Hub) から各拠点(スポーク)への接続方法として、主に以下が可能。 ①VNET接続、②Site to Site VPN接続、③ExpressRoute接続 etc On-Premise On-Premise 2 3 スポーク VP N VPN Gateway ER Gateway 仮想ハブ ハブ 仮想ハブ 1 スポーク 6 # Page. 7 ![Page Image](https://bcdn.docswell.com/page/DJY4GQK67M.jpg) 1. Azure Virtual WAN とは(特徴2) 仮想ハブ (Azure Virtual WAN Hub) から各拠点(スポーク)への接続方法として、主に以下が可能。 ①VNET接続、②Site to Site VPN接続、③ExpressRoute接続 etc 7 # Page. 8 ![Page Image](https://bcdn.docswell.com/page/V7NYGKZ1E8.jpg) 1. Azure Virtual WAN とは(特徴3) ハブ - スポーク間は BGP プロトコルを用いた自動ルーティング設定が可能。 On-Premise On-Premise スポーク VP N VPN Gateway 仮想ハブ ER Gateway ハブ B G P 仮想ハブ スポーク 8 # Page. 9 ![Page Image](https://bcdn.docswell.com/page/YJ9PWVZY73.jpg) 1. Azure Virtual WAN とは(特徴3) ハブ - スポーク間は BGP プロトコルを用いた自動ルーティング設定が可能。 ※前頁の東日本リージョンの仮想ハブから見たルーティング一覧 VNET 接続先 仮想ハブ VPN Gateway 9 # Page. 10 ![Page Image](https://bcdn.docswell.com/page/GJ8DNP1KJD.jpg) 1. Azure Virtual WAN とは(特徴4) 仮想ハブを通過する通信を Azure Firewall で制御が可能。 On-Premise On-Premise スポーク VP N VPN Gateway 仮想ハブ ER Gateway ハブ B G P 仮想ハブ スポーク 10 # Page. 11 ![Page Image](https://bcdn.docswell.com/page/LJLMP1QPER.jpg) 1. Azure Virtual WAN とは(特徴4) 仮想ハブを通過する通信を Azure Firewall で制御が可能。 ※当該機能を用いると Azure Virtual WAN Hub 料金が5倍($0.25/時 → $1.25 /時)になる点は注意 ※ただし当該機能有効後、削除や停止は可能 (嘗ては削除できなかった?) 11 # Page. 12 ![Page Image](https://bcdn.docswell.com/page/47MY4W127W.jpg) 1. Azure Virtual WAN とは(特徴4補足) Azure Firewall は通常利用版と同様にインターネットへの接続元としても利用が可能。 On-Premise On-Premise Internet スポーク VP N VPN Gateway 仮想ハブ ER Gateway ハブ B G P 仮想ハブ スポーク 12 # Page. 13 ![Page Image](https://bcdn.docswell.com/page/P7R9WYL5E9.jpg) 目次 1. Azure Virtual WANとは 2. Azure Virtual WAN ⇔ S2SVPN(Site to Site VPN)接続構成例 3. まとめ 13 # Page. 14 ![Page Image](https://bcdn.docswell.com/page/PJXQPGWX7X.jpg) 2. Azure Virtual WAN を用いたサイト間接続手順共有 簡単に S2SVPN サイトを含めたハブ – スポーク構成を検証されたい方向けに構成手順を共有する(以下赤枠)。 VP N 14 # Page. 15 ![Page Image](https://bcdn.docswell.com/page/3JK9D4V9JD.jpg) 2. Azure Virtual WAN を用いたサイト間接続手順共有 実現したいこと:それぞれのVNET上にあるVM同士でRDP接続ができること。 VP N R D P R D P 15 # Page. 16 ![Page Image](https://bcdn.docswell.com/page/LE3WRLM9E5.jpg) 2. Azure Virtual WAN を用いたサイト間接続手順共有 作業の流れは以下の通り。 a. Azure Virtual WAN を作成する b. Azure Virtual WAN Hubを構成する c. VPN ゲートウェイを構成する d. S2SVPN サイトを構成する e. Azure Virtual WAN Hub と VPN ゲートウェイを紐づけする f. VPN接続(IPsec /BGP)を有効化する g. VM間接続(RDP)を確認する チュートリアル: Virtual WANを使用してサイト間接続を作成する - Azure Virtual WAN | Microsoft Learn 16 # Page. 17 ![Page Image](https://bcdn.docswell.com/page/8EDKYN687G.jpg) 2. Azure Virtual WAN を用いたサイト間接続手順共有 前提:仮想ハブ – VNET間構成は完了していることとする(作業手順a,bは済)。 参考 : VNet を Virtual WAN ハブに接続する - ポータル - Azure Virtual WAN | Microsoft Learn 17 # Page. 18 ![Page Image](https://bcdn.docswell.com/page/V7PK65YWJ8.jpg) 2. Azure Virtual WAN を用いたサイト間接続手順共有 a. Azure Virtual WAN を作成する 済 b. Azure Virtual WAN Hubを構成する 済 c. VPN ゲートウェイを構成する d. S2SVPN サイトを構成する e. Azure Virtual WAN Hub と VPN ゲートウェイを紐づけする f. VPN接続(IPsec /BGP)を有効化する g. VM間接続(RDP)を確認する チュートリアル: Virtual WANを使用してサイト間接続を作成する - Azure Virtual WAN | Microsoft Learn 18 # Page. 19 ![Page Image](https://bcdn.docswell.com/page/2JVV3PG9JQ.jpg) 2-c. VPN ゲートウェイを構成する C VPNGW1 VPNGW2 ASN 65515 19 # Page. 20 ![Page Image](https://bcdn.docswell.com/page/5EGL3P84JL.jpg) 2-c. VPN ゲートウェイを構成する 1. [仮想ハブ] ページで [VPN(サイトからサイトへ)] の “作成” をクリックし、VPNゲートウェイを作成 ※ デフォルトで2台のゲートウェイが作成、BGP プロトコル用 AS 番号は 65515 固定 20 # Page. 21 ![Page Image](https://bcdn.docswell.com/page/4JQY529R7P.jpg) 2. Azure Virtual WAN を用いたサイト間接続手順共有 a. Azure Virtual WAN を作成する 済 b. Azure Virtual WAN Hubを構成する 済 c. VPN ゲートウェイを構成する 済 d. S2SVPN サイトを構成する e. Azure Virtual WAN Hub と VPN ゲートウェイを紐づけする f. VPN接続(IPsec /BGP)を有効化する g. VM間接続(RDP)を確認する チュートリアル: Virtual WANを使用してサイト間接続を作成する - Azure Virtual WAN | Microsoft Learn 21 # Page. 22 ![Page Image](https://bcdn.docswell.com/page/K74W9LXQE1.jpg) 2-d. S2SVPN サイトを構成する(NVA作成) ※事前準備としてNVAとVNETの作成を行う VNET VM(ext) VM(int) Pip d 準備 VPNGW1 :172.17.8.0/22 :172.17.8.4 :172.17.8.68 :20.89.224.229 VPNGW2 22 # Page. 23 ![Page Image](https://bcdn.docswell.com/page/LJ1YKLNLEG.jpg) 2-d. S2SVPN サイトを構成する(NVA作成) Network Virtual Appliance(NVA)として、Market Place から Fortigate 7.6.6(Single VM) を利用する。 2022年度 Firewall シェア 国内/世界1位 23 # Page. 24 ![Page Image](https://bcdn.docswell.com/page/GJWGDV4Q72.jpg) 2-d. S2SVPN サイトを構成する(NVA作成) Fortigate 構成例。以下画像以外はデフォルト設定。 PAYG 7.6.6選択 Enabledでは 構築に失敗 24 # Page. 25 ![Page Image](https://bcdn.docswell.com/page/4EZLG42373.jpg) 2-d. S2SVPN サイトを構成する(NVA作成補足) NVA デプロイ後にセキュリティの緩い NSG が、NVA の NIC に紐づいて自動作成される。 → 外部からコンソールログオン可能だが更新要。 25 # Page. 26 ![Page Image](https://bcdn.docswell.com/page/Y76WY3VZ7V.jpg) 2-d. S2SVPN サイトを構成する(NVA作成補足) NVA 初回ログオン後、HTTPS ポートは 443 から変更推奨(一定時間後接続不可)。 26 # Page. 27 ![Page Image](https://bcdn.docswell.com/page/G75MGLD974.jpg) 2-d. S2SVPN サイトを構成する(サイト作成) ASN 65001 ・リンク IPアドレス :20.89.224.229(*) ・リンク BGP IPアドレス :169.254.21.2 * NVAのPublic IPアドレス d VPNGW1 ・Public IPアドレス :自動 ・Private IPアドレス :自動 ・BGP IPアドレス :169.254.21.1 VPNGW1 VPNGW2 ASN 65515 VPNGW2 ・Public IPアドレス :自動 ・Private IPアドレス :自動 ・BGP IPアドレス :169.254.21.5 27 # Page. 28 ![Page Image](https://bcdn.docswell.com/page/9J29YL85ER.jpg) 2-d. S2SVPN サイトを構成する(サイト作成) Virtual WAN -> VPN サイト に移動して、VPN サイト ページを開く。その後 [VPN サイト] ページで [+ VPN サイトの新規作成] をクリック。 28 # Page. 29 ![Page Image](https://bcdn.docswell.com/page/DEY4GQ66JM.jpg) 2-d. S2SVPN サイトを構成する(サイト作成) 以下設定でVPNサイト作成(拠点側の設定内容を登録)。 29 # Page. 30 ![Page Image](https://bcdn.docswell.com/page/VJNYG21178.jpg) 2-d. S2SVPN サイトを構成する(サイト作成) VPN サイト作成後、自身の VPN Gateway の BGP IP アドレスを固定。 → Azure で予約されるカスタム BGP IP アドレスは 169.254.21.0 - 169.254.22.255 内 ※公式Webページには無い手順 VPN Gateway に BGP を構成する: ポータル - Azure VPN Gateway | Microsoft Learn 30 # Page. 31 ![Page Image](https://bcdn.docswell.com/page/YE9PW15YJ3.jpg) 2. Azure Virtual WAN を用いたサイト間接続手順共有 a. Azure Virtual WAN を作成する 済 b. Azure Virtual WAN Hubを構成する 済 c. VPN ゲートウェイを構成する 済 d. S2SVPN サイトを構成する 済 e. Azure Virtual WAN Hub と VPN ゲートウェイを紐づけする f. VPN接続(IPsec /BGP)を有効化する g. VM間接続(RDP)を確認する チュートリアル: Virtual WANを使用してサイト間接続を作成する - Azure Virtual WAN | Microsoft Learn 31 # Page. 32 ![Page Image](https://bcdn.docswell.com/page/GE8DN4YKED.jpg) 2-e. Azure Virtual WAN Hub と VPN ゲートウェイを紐づけする VPNGW1 VPNGW2 e 32 # Page. 33 ![Page Image](https://bcdn.docswell.com/page/LELMP64P7R.jpg) 2-e. Azure Virtual WAN Hub と VPN ゲートウェイを紐づけする Virtual WAN -> VPN サイト に移動して、VPN サイト ページを開く。その後 [VPN サイト] ページで [+ VPN サイトの接続] をクリック。 その後、事前共有キーに任意の値(パスワード値)を入力し接続。 33 # Page. 34 ![Page Image](https://bcdn.docswell.com/page/4JMY45K2JW.jpg) 2. Azure Virtual WAN を用いたサイト間接続手順共有 a. Azure Virtual WAN を作成する 済 b. Azure Virtual WAN Hubを構成する 済 c. VPN ゲートウェイを構成する 済 d. S2SVPN サイトを構成する 済 e. Azure Virtual WAN Hub と VPN ゲートウェイを紐づけする 済 f. VPN接続(IPsec /BGP)を有効化する g. VM間接続(RDP)を確認する チュートリアル: Virtual WANを使用してサイト間接続を作成する - Azure Virtual WAN | Microsoft Learn 34 # Page. 35 ![Page Image](https://bcdn.docswell.com/page/PJR9W3X579.jpg) 2-f. VPN接続(IPsec /BGP)を有効化する IPsec/BGP有効化 f AzureVPN1 VPNGW1 ・Public IPアドレス :自動 ・Private IPアドレス :自動 ・BGP IPアドレス :169.254.21.1 VPNGW1 ASN 65001 ・リンク IPアドレス :20.89.224.229(*) ・リンク BGP IPアドレス :169.254.21.2 * NVAのPublic IPアドレス AzureVPN2 VPNGW2 ASN 65515 VPNGW2 ・Public IPアドレス :自動 ・Private IPアドレス :自動 ・BGP IPアドレス :169.254.21.5 35 # Page. 36 ![Page Image](https://bcdn.docswell.com/page/PEXQP46XJX.jpg) 2-f. VPN接続(IPsec /BGP)を有効化する Virtual WAN -> VPN サイトに移動して、VPN サイトページからダウンロードできる構成ファイルや、 FORTINET社の Web ページを参考に、VPNデバイス(Fortigate)への設定コマンドを準備する。 IPsec VPN to an Azure with virtual WAN | FortiGate / FortiOS 7.6.6 | Fortinet Document Library 36 # Page. 37 ![Page Image](https://bcdn.docswell.com/page/3EK9DZ19ED.jpg) 2-f. VPN接続(IPsec /BGP)を有効化する 1. IPsec Phase1設定コマンド例 ※赤字はこれまでの構成を踏まえた参考値 config vpn ipsec phase1-interface edit "AzureVPN1" set interface "port1" set ike-version 2 set keylife 28800 set peertype any set proposal aes256-sha256 set dhgrp 2 set net-device enable set transport auto set dpd on-idle set nattraversal enable set remote-gw 172.192.179.121 set psksecret “事前共有キーの値" next edit "AzureVPN2" set interface "port1" set ike-version 2 set keylife 28800 set peertype any set proposal aes256-sha256 set dhgrp 2 set net-device enable set transport auto set dpd on-idle set nattraversal enable set remote-gw 74.226.0.162 set psksecret "事前共有キーの値" next end ★VPNGW1 の Public IPアドレス ★VPNGW2 の Public IPアドレス 37 # Page. 38 ![Page Image](https://bcdn.docswell.com/page/L73WRDQ975.jpg) 2-f. VPN接続(IPsec /BGP)を有効化する 2. IPsec Phase2設定コマンド例 config vpn ipsec phase2-interface edit "AzureVPN1Ph2" set phase1name "AzureVPN1" set proposal aes256-sha256 set dhgrp 2 set keylifeseconds 27000 next edit "AzureVPN2Ph2" set phase1name "AzureVPN2" set proposal aes256-sha256 set dhgrp 2 set keylifeseconds 27000 next end 38 # Page. 39 ![Page Image](https://bcdn.docswell.com/page/87DKYP98JG.jpg) 2-f. VPN接続(IPsec /BGP)を有効化する 3. サブネット重複許可 → Azure側、Fortigate側で同一サブネットのBPG IP アドレス (169.254.xx.xx) を利用するため。 config system settings set allow-subnet-overlap enable end 39 # Page. 40 ![Page Image](https://bcdn.docswell.com/page/VJPK6NZWE8.jpg) 2-f. VPN接続(IPsec /BGP)を有効化する 4. Fortigate インタフェース設定(IPアドレス設定) ※赤字はこれまでの構成を踏まえた参考値 config system interface edit "AzureVPN1" set vdom "root" set ip 169.254.21.2 255.255.255.255 set allowaccess ping set type tunnel set remote-ip 169.254.21.1 255.255.255.255 set snmp-index 8 set interface "port1" next edit "AzureVPN2" set vdom "root" set ip 169.254.21.2 255.255.255.255 set allowaccess ping set type tunnel set remote-ip 169.254.21.5 255.255.255.255 set snmp-index 8 set interface "port1" next end ★FortigateのBGP IPアドレス ★VPNGW1のBGP IPアドレス ★FortigateのBGP IPアドレス ★VPNGW2のBGP IPアドレス 40 # Page. 41 ![Page Image](https://bcdn.docswell.com/page/2EVV3KW9EQ.jpg) 2-f. VPN接続(IPsec /BGP)を有効化する 5. BGP設定 ※赤字はこれまでの構成を踏まえた参考値 config router bgp set as 65001 set router-id 169.254.21.2 set ebgp-multipath enable config neighbor edit "169.254.21.1“ set remote-as 65515 set update-source "AzureVPN1" set weight 100 next edit “169.254.21.5“ set remote-as 65515 set update-source "AzureVPN2" set weight 1000 next end config network edit 1 set prefix 172.17.8.0 255.255.252.0 next end config redistribute "connected" set status enable end config redistribute "rip" end config redistribute "ospf" end config redistribute "static" end config redistribute "isis" end ★S2SVPN側のAS番号 ★FortigateのBGP IPアドレス ★VPNGW1のBGP IPアドレス ★仮想ハブのAS番号 ★VPNGW2のBGP IPアドレス ★仮想ハブのAS番号 ★S2SVPN側のVNET NWアドレス 41 # Page. 42 ![Page Image](https://bcdn.docswell.com/page/57GL3QD4EL.jpg) 2-f. VPN接続(IPsec /BGP)を有効化する 6. Firewall Policy設定例 ※公式Webページには無い手順 config firewall policy edit 1 set name "All-allow" set srcintf “port1” set dstintf “port1” set action accept set srcaddr “all” set dstaddr “all” set schedule “always” set service “ALL” next edit 2 set name “AllowAzureVPN1” set srcintf “AzureVPN1” set dstintf “AzureVPN1” set action accept set srcaddr “all” set dstaddr “all” set schedule “always” set service “ALL” next edit 3 set name “AllowAzureVPN2” set srcintf "AzureVPN2" set dstintf "AzureVPN2" set action accept set srcaddr "all" set dstaddr "all" set schedule "always" set service "ALL" next edit 10 set name "LAN-to-AzureVPN1" set srcintf "port2" set dstintf "AzureVPN1" set action accept set srcaddr "all" set dstaddr "all" set schedule "always" set service "ALL" next edit 11 set name "LAN-to-AzureVPN2" set srcintf "port2" set dstintf "AzureVPN2" set action accept set srcaddr "all" set dstaddr "all" set schedule "always" set service "ALL" next edit 12 set name "AzureVPN1-to-LAN" set srcintf "AzureVPN1" set dstintf "port2" set action accept set srcaddr "all" set dstaddr "all" set schedule "always" set service "ALL" set nat enable next edit 13 set name "AzureVPN2-to-LAN" set srcintf "AzureVPN2" set dstintf "port2" set action accept set srcaddr "all" set dstaddr "all" set schedule "always" set service "ALL" set nat enable next edit 20 set name "port1-to-port2" set srcintf "port1" set dstintf "port2" set action accept set srcaddr "all" set dstaddr "all" set schedule "always" set service "ALL" next edit 21 set name "port2-to-port1" set srcintf "port2" set dstintf "port1" set action accept set srcaddr "all" set dstaddr "all" set schedule "always" set service "ALL" next end 42 # Page. 43 ![Page Image](https://bcdn.docswell.com/page/4EQY5K1RJP.jpg) 2-f. VPN接続(IPsec /BGP)を有効化する diagnose vpn tunnel list 実行後、以下表示(status=up)になれば仮想ハブ – Fortigate 間 VPN 接続は成功。 AzureVPN1 (Fortigate → VPNGW1) AzureVPN2 (Fortigate → VPNGW2) 43 # Page. 44 ![Page Image](https://bcdn.docswell.com/page/KJ4W9PRQ71.jpg) 2-f. VPN接続(IPsec /BGP)を有効化する Azure上で接続性の状態が “接続済み” であれば、仮想ハブ – Fortigate 間 VPN 接続は成功。 44 # Page. 45 ![Page Image](https://bcdn.docswell.com/page/LE1YK9QL7G.jpg) 2. Azure Virtual WAN を用いたサイト間接続手順共有 a. Azure Virtual WAN を作成する 済 b. Azure Virtual WAN Hubを構成する 済 c. VPN ゲートウェイを構成する 済 d. S2SVPN サイトを構成する 済 e. Azure Virtual WAN Hub と VPN ゲートウェイを紐づけする 済 f. VPN接続(IPsec /BGP)を有効化する 済 g. VM間接続(RDP)を確認する チュートリアル: Virtual WANを使用してサイト間接続を作成する - Azure Virtual WAN | Microsoft Learn 45 # Page. 46 ![Page Image](https://bcdn.docswell.com/page/GEWGDQMQJ2.jpg) 2-g. VM間接続(RDP)を確認する 検証用VMのOS : Windows Server 2022 ※VNET側のNW構成手順は割愛 検証用VM : IPアドレス 172.17.10.4 R D P VPNGW1 VPNGW2 R D P 検証用VM : IPアドレス 10.206.0.4 46 # Page. 47 ![Page Image](https://bcdn.docswell.com/page/47ZLGWQ3J3.jpg) 2-g. VM間接続(RDP)を確認する 47 # Page. 48 ![Page Image](https://bcdn.docswell.com/page/YJ6WYG6ZJV.jpg) 2-g. VM間接続(RDP)を確認する 48 # Page. 49 ![Page Image](https://bcdn.docswell.com/page/GJ5MGV69J4.jpg) 目次 1. Azure Virtual WANとは 2. Azure Virtual WAN ⇔ S2SVPN(Site to Site VPN)接続構成例 3. まとめ 49 # Page. 50 ![Page Image](https://bcdn.docswell.com/page/LE3WRDQ2E5.jpg) まとめ ・Azure Virtual WAN の基本機能共有 → 以下特徴を共有 仮想ハブ (Azure Virtual WAN Hub) から各拠点(スポーク)への接続方法 仮想ハブと Azure Firewall との連携 (設定削除は適宜可能) ・Azure Virtual WAN を用いた S2SVPN サイト間接続手順の共有 → 公式手順から以下作業を追加することで接続可能となった VPN Gateway にカスタムBGP IPアドレス設定 Fortigate の Firewall Policy設定 50 # Page. 51 ![Page Image](https://bcdn.docswell.com/page/8EDKYP967G.jpg) 51