VPNサービス(IPsecVPN)#

機能概要#

本機能では、システム上に構築した仮想環境へセキュアに接続するためのIPsec VPN接続機能を提供します。これにより、クライアント端末から仮想サーバへのアクセス、および仮想サーバ同士のアクセスをより安全に行うことができます。
以下の機能を提供します。

  • IPsec VPN接続の一覧表示および詳細表示
  • IPsec VPN接続の作成※、編集および削除
  • IKEポリシー / IPsecポリシーの一覧表示および詳細表示
  • IKEポリシー / IPsecポリシーの作成、編集および削除

※ 東日本第1/第2、西日本第1/第2の場合の IPsec VPN接続の作成については、「IaaS 設計・構築ガイド(デザインパターン・実装サンプル集)」の「IPSecVPN接続パターン」を参照してください。

IPsec VPN接続の利用方法#

IPsec VPN接続の利用には、事前準備が必要です。事前準備からIPsec VPN接続を作成するまでの流れを以下に示します。

image229
図: VPN環境構築の流れ(IPsec VPN)

事前準備(必須)#

「VPNサービス(SSL-VPN)」と同じ設定であるため、「SSL-VPN接続の利用方法」(1)事前準備(必須)を参照してください。設定済みの環境を利用する場合は、追加設定は不要です。

VPNサービス構築#

事前準備の完了後、VPNサービスやIPsec VPN接続を作成します。

VPNサービスの作成#

「VPNサービス(SSL-VPN)」の「VPNサービスの作成」を参照してください。

IPsec VPN接続の作成#

IPsec VPN接続一覧情報は、VPNサービス詳細画面から参照できます。
image230-1
図: VPNサービス詳細画面 (東日本第1/第2、西日本第1/第2)

image230-2
図: VPNサービス詳細画面 (東日本第3、西日本第3)

1.IPsec VPN接続の「+」ボタンをクリックし、IPsec VPN接続作成画面にて以下の項目を設定します。

  • IPsec VPN接続の作成
  • IKEポリシーおよびIPsecポリシーの設定
  • 接続先情報の設定

2.IPsec VPN接続を作成します。
image500
図: IPsec VPN接続作成画面(IPsec VPN接続)

IPsec VPN接続を作成する際に必要な設定項目を以下に示します。

表: IPsec VPN接続作成IPsec VPN接続の設定項目

No. 項目名 設定内容 対象リージョン
東日本第1/第2
西日本第1/第2
対象リージョン
東日本第3
西日本第3
1 IPsec VPN接続名 IPsec VPN接続の名前を入力します
2 説明 IPsec VPN接続の説明を入力します
3 AZ アベイラビリティゾーンを表示します -
4 管理状態 VPN接続の管理状態を選択します
※"false"(停止中)の場合、VPN接続はパケットを転送しません。
5 Pre Shared Key (PSK) 事前共有鍵 (PSK)を入力します
6 Initiator イニシエータモードを選択します
・"bi-directional": 双方向にて接続を確認します
・"response-only": 応答側にて接続を確認します
-
7 DPD-Action DPDによる接続先との疎通確認に失敗した場合のアクションを選択します
・"hold":
DPDによる確認を行い、再度通信が可能な場合は再接続します
・"restart":
DPDによる確認を行い、切断時には直ちに再接続します
8 DPD-Interval DPD検出間隔を秒単位で入力します
9 DPD-Timeout DPD検出タイムアウトを秒単位で入力します
※東日本第3/西日本第3の場合120秒固定です。
10 IKEバージョン IKEバージョンを入力します(初期値:v1) -

3.IKEポリシーおよびIPsecポリシーを選択します。
 IKEまたは IPsecポリシーが存在しない場合、「図: IPsec VPN接続作成画面(ポリシー)」の「+」ボタンから作成します。
 作成時の設定項目については「IKEポリシー作成」、または「IPsecポリシー作成」をご確認ください。

 
image232
図: IPsec VPN接続作成画面(ポリシー)

4.対向の接続情報を設定します。

image235
図: IPsec VPN接続作成画面(接続先情報)

IPsec VPN接続の接続先情報を作成する際に必要な設定項目を以下に示します。

表: IPsec VPN接続作成の接続先情報の設定項目

項目名 設定内容
対向のグローバルIPアドレス 対向のグローバルIPアドレスを指定します
※入力方式にはIaaS契約内から選択するリスト方式、または直接IPアドレスを入力する方式が指定可能です。
対向のプライベートIPアドレス(CIDR) 対向のプライベートIPアドレスをCIDR形式で入力します

5. 設定内容を確認し、最後に「作成」ボタンをクリックするとIPsec VPN接続が作成されます。

image236
図: IPsec VPN接続作成画面(確認)

IPsecポリシーの利用方法#

IPsecポリシー一覧#

プロジェクト内に作成されたIPsecポリシーの一覧が確認できます。
また、各ポリシーに対する編集・削除の操作ができます。
image510
図: IPsecポリシー一覧画面

表: IPsecポリシー一覧テーブル表示内容

No. 項目名 表示内容 対象リージョン
東日本第1/第2
西日本第1/第2
対象リージョン
東日本第3
西日本第3
1 IPsecポリシー名 IPsecポリシーの名前
2 AZ IPsecポリシーが存在するアベイラビリティゾーン -
3 状態 IPsecポリシーの状態 -
4 イニシエータ 鍵交換の開始方向 -
5 認可アルゴリズム 利用する認証アルゴリズム
6 暗号化アルゴリズム 利用する暗号化アルゴリズム
7 PFS Perfect Forward Secrecyで利用するグループ
8 説明 IPsecポリシーに任意設定する文言

アクションについて#

IPsecポリシー一覧のアクションとして以下を提供します。※1

image510
図: IPsecポリシーアクション

  1. 編集 ※2
    IPsecポリシー編集」を参照してください。
  2. 削除
    IPsecポリシーを削除します。

※1 IPsecポリシーの状態が「BUILD」「DELETING」の時、アクションは非活性となります。
※2 IPsecポリシーの状態が「CREATE_ERROR」の時、編集は非表示となります。

IPsecポリシー詳細#

IPsecポリシー一覧のIPsecポリシー名をクリックすることで、IPsecポリシー詳細を開くことができます。
クリックしたIPsecポリシーの詳細な情報が確認できます。
image510
図: IPsecポリシー詳細画面

表: IPsecポリシー詳細テーブル表示内容

No. 項目名 表示内容 対象リージョン
東日本第1/第2
西日本第1/第2
対象リージョン
東日本第3
西日本第3
1 IPsecポリシー名 IPsecポリシーの名前
2 IPsecポリシーID IPsecポリシー作成時に自動設定されるID
3 説明 IPsecポリシーに任意設定する文言
4 AZ IPsecポリシーが存在するアベイラビリティゾーン -
5 状態 IPsecポリシーの状態 -
6 イニシエータ 鍵交換の開始する方向 -
7 トランスフォームプロトコル IPsecで利用する暗号プロトコル
8 認可アルゴリズム 利用する認証アルゴリズム
9 カプセルモード IPsecの通信モード
10 暗号化アルゴリズム 利用する暗号化アルゴリズム
11 Perfect Forward Secrecy (PFS) Perfect Forward Secrecyで利用するグループ
12 ライフタイム セキュリティアソシエーション(SA)のライフタイム
13 詳細 IPsecポリシーの詳細情報 -

 

IPsecポリシー作成#

新規にIPsecポリシーを作成することができます。
image510
図: IPsecポリシー作成画面

IPsecポリシーを作成する際に必要な設定項目を以下に示します。

表: IPsecポリシー作成時の設定項目

No. 項目名 設定内容 対象リージョン
東日本第1/第2
西日本第1/第2
対象リージョン
東日本第3
西日本第3
1 IPsecポリシー名 IPsecポリシー名を入力します
2 説明 IPsecポリシーの説明を入力します
3 AZ アベイラビリティゾーンを選択します
IPsecVPN接続作成画面から遷移してきた場合は、IPsecVPN接続のアベイラビリティゾーンと同じ値が自動設定されます
-
4 イニシエータ 鍵交換を開始する方向を選択します
・"bi-directional": 双方向にて接続を確認します
・"response-only": 応答側にて接続を確認します
-
5 トランスフォームプロトコル 使用する変換プロトコルを表示します。espが自動設定されます
6 認可アルゴリズム 認証アルゴリズムを選択します。東日本第1/西日本第1/西日本第2ではsha1が自動設定されます
7 カプセルモード カプセル化モードを表示します。tunnelが自動設定されます
8 暗号化アルゴリズム 暗号アルゴリズムを選択します
9 Perfect Forward Secrecy (PFS) Perfect Forward Secrecyで利用するグループを選択します
10 ライフタイム セキュリティアソシエーション(SA)のライフタイムを入力します(初期値:2000)

 

IPsecポリシー編集#

作成したIPsecポリシーを編集することができます。
以下を編集することができます。編集後「更新」をクリックします。

  • 東日本第1/第2、西日本第1/第2の場合

    • IPsecポリシー名
    • 説明
    • 暗号化アルゴリズム
    • Perfect Forward Secrecy (PFS)  
    • ライフタイム
  • 東日本第3/西日本第3の場合

    • IPsecポリシー名
    • 説明
    • イニシエータ
    • 認可アルゴリズム
    • 暗号化アルゴリズム
    • Perfect Forward Secrecy (PFS)  
    • ライフタイム

image510
図: IPsecポリシー編集画面

IKEポリシーの利用方法#

IKEポリシー一覧#

プロジェクト内に作成されたIKEポリシーの一覧が確認できます。
また、各ポリシーに対する編集・削除の操作ができます。
image510
図: IKEポリシー一覧画面

表: IKEポリシー詳細テーブル表示内容

No. 項目名 表示内容 対象リージョン
東日本第1/第2
西日本第1/第2
対象リージョン
東日本第3
西日本第3
1 IKEポリシー名 IKEポリシーの名前
2 AZ IKEポリシーが存在するアベイラビリティゾーン -
3 状態 IKEポリシーの状態 -
4 認可アルゴリズム 利用する認証アルゴリズム
5 暗号化アルゴリズム 利用する暗号化アルゴリズム
6 Perfect Forward Secrecy (PFS) Perfect Forward Secrecyで利用するグループ
7 説明 IKEポリシーに任意設定する文言

アクションについて#

IKEポリシー一覧のアクションとして以下を提供します。※1

image510
図: IKEポリシーアクション

  1. 編集 ※2
    IKEポリシー編集」を参照してください。
  2. 削除
    IKEポリシーを削除します。

※1 IKEポリシーの状態が「BUILD」「DELETING」の時、アクションは非活性です。
※2 IKEポリシーの状態が「CREATE_ERROR」の時、編集は非表示となります。

IKEポリシー詳細#

IKEポリシー一覧のIKEポリシー名をクリックすることで、IKEポリシー詳細を開くことができます。
クリックしたIKEポリシーの詳細な情報が確認できます。

image510
図: IKEポリシー詳細画面

表: IKEポリシー詳細テーブル表示内容

No. 項目名 表示内容 対象リージョン
東日本第1/第2
西日本第1/第2
対象リージョン
東日本第3
西日本第3
1 IKEポリシー名 IKEポリシーの名前
2 IKEポリシーID IKEポリシー作成時に自動設定されるID
3 説明 IKEポリシーに任意設定する文言
4 AZ IKEポリシーが存在するアベイラビリティゾーン -
5 状態 IKEポリシーの状態 -
7 鍵交換モード IKEの実行モード
8 認可アルゴリズム 利用する認証アルゴリズム
9 暗号化アルゴリズム 利用する暗号化アルゴリズム
10 Perfect Forward Secrecy (PFS) Perfect Forward Secrecyで利用するグループ
11 ライフタイム セキュリティアソシエーション(SA)のライフタイム
12 IKEバージョン IKEポリシーのバージョン -
13 詳細 IKEポリシーの詳細情報 -

 

IKEポリシー作成#

新規にIKEポリシーを作成することができます。

image510
図: IKEポリシー作成画面

IKEポリシーを作成する際に必要な設定項目を以下に示します。

表: IKEポリシー作成時の設定項目

No. 項目名 設定内容 対象リージョン
東日本第1/第2
西日本第1/第2
対象リージョン
東日本第3
西日本第3
1 IKEポリシー名 IKEポリシー名を入力します
2 説明 IKEポリシーの説明を入力します
3 AZ アベイラビリティゾーンを選択します
IPsecVPN接続作成画面から遷移してきた場合は、IPsecVPN接続のアベイラビリティゾーンと同じ値が自動設定されます
-
4 鍵交換モード 鍵交換モードを表示します。mainが自動設定されます
5 認可アルゴリズム 認証ハッシュアルゴリズムを入力します。東日本第1/西日本第1/西日本第2ではsha1が自動設定されます
6 暗号化アルゴリズム 暗号アルゴリズムを選択します
7 Perfect Forward Secrecy (PFS) Perfect Forward Secrecyで利用するグループを選択します
8 ライフタイム セキュリティアソシエーション(SA)のライフタイムを入力します(初期値:2000)
9 IKE バージョン IKE バージョンを表示します。v1が自動設定されます -

 

IKEポリシー編集#

作成したIKEポリシーを編集することができます。
以下を編集することができます。編集後「更新」をクリックします。

  • 東日本第1/第2、西日本第1/第2の場合

    • IKEポリシー名
    • 説明
    • 暗号化アルゴリズム
    • Perfect Forward Secrecy (PFS)
    • ライフタイム
  • 東日本第3/西日本第3の場合

    • IKEポリシー名
    • 説明
    • 認可アルゴリズム
    • 暗号化アルゴリズム
    • Perfect Forward Secrecy (PFS)
    • ライフタイム

image510
図: IKEポリシー編集画面

留意事項#

IPsec VPN接続の状態がACTIVEでない場合は、API実行画面またはAPIから接続先の情報と設定情報が一致していることをご確認ください(詳細は「IaaS APIリファレンス(Network編)」参照)。