ファイアーウォールサービスおよびセキュリティグループ機能との関係
対象リージョン:東日本第1/第2、西日本第1/第2
仮想ルータ上のファイアーウォールが有効になっている場合、ファイアーウォールとの関係は以下のようになります。SSL-VPN接続のための許可ルールが自動的に追加されますが、仮想サーバへのログインに利用するSSH通信などは、ファイアーウォールサービスで明示的に許可する必要があります。
- SSL-VPN Connectionリソースにはセキュリティグループの設定が可能です。設定を省略した場合は、通信を遮断しないセキュリティグループが自動的に設定されます。
- 「例2:サービス用とメンテナンス用でネットワークを同一にする構成」の場合は、ファイアーウォールとセキュリティグループに、両方のネットワークの通信を許可するルールを設定してください。
ファイアーウォールサービスおよびセキュリティグループ機能を使用したイメージは、以下のとおりです。
ファイアーウォールサービスを利用する場合、以下の許可ルールが必要です。
- SSL-VPN接続のためのファイアーウォールルール
- SSL-VPN Connection通過後の通信のためのファイアーウォールルール
SSL-VPN接続のためのファイアーウォールルール
SSL-VPN Connectionリソース作成前にファイアーウォールサービスが作成されている場合は、SSL-VPN Connectionリソース作成時に、「送信元IPアドレス」値が「省略」となるファイアーウォールルール(443/TCP または 1194/UDP)が自動的に追加されます。
SSL-VPN Connectionリソース作成後に、ファイアーウォールサービスを作成する場合は、本ルールを手動で追加してください。
送信元IPアドレス | 送信元ポート番号 | 宛先IPアドレス | 宛先ポート番号 | プロトコル |
---|---|---|---|---|
お客様のパソコンのIPアドレス (SSL-VPNクライアント) | 省略 | SSL-VPN ConnectionリソースのIPアドレス ※1 |
SSL-VPN接続ポート番 443または1194 ※2 |
SSL-VPN接続プロトコル tcpまたはudp ※2 |
※1: SSL-VPN Connectionリソースの「internal_gateway」の値です。
※2: SSL-VPN Connectionに設定したプロトコル種別と合わせて設定されます。手動で設定する場合は、プロトコル種別と合わせて設定してください。
-
プロトコル種別が「tcp」の場合
- 宛先ポート番号: 443
- プロトコル: tcp
-
プロトコル種別が「udp」の場合
- 宛先ポート番号: 1194
- プロトコル: udp
SSL-VPN Connection通過後の通信のためのファイアーウォールルール
SSL-VPN Connection通過後の通信のため、明示的に許可するルールを追加してください。
送信元IPアドレス | 送信元ポート番号 | 宛先IPアドレス | 宛先ポート番号 | プロトコル |
---|---|---|---|---|
SSL-VPNのクライアントアドレスプールCIDR ※3 | 省略 | 仮想サーバ (接続先のサーバ) | SSL-VPN Connection通過後の通信ポート番号 ※4 | SSL-VPN Connection 通過後の通信プロトコル ※4 |
※3: SSL-VPN ConnectionリソースのSSL-VPNクライアントが使用する仮想ネットワークCIDR(client_address_pool_cidr)です。詳細はAPIリファレンス(Network編)「Create SSL VPN V2 Connection」を参照してください。
※4: 例えば、仮想サーバにSSH接続をする場合は、以下を指定します。
- 宛先ポート番号: 22
- プロトコル: tcp
SSL-VPN接続のためのセキュリティグループルール
セキュリティグループを設定する場合、以下の許可ルールが必要です。
方向 | 通信相手 | プロトコル種別 | 開始ポート番号 | 終了ポート番号 |
---|---|---|---|---|
インバウンド (Ingress) | お客様のパソコン (SSL-VPNクライアント) | tcpまたはudp ※1 | 443または1194 ※1 | 開始ポート番号と同じ値 |
アウトバウンド (Egress) ※2 | 仮想サーバ (接続先サーバ) | SSL-VPN Connection通過後の通信プロトコル | SSL-VPN Connection通過後の通信ポート番号 | 開始ポート番号と同じ値 |
※1: SSL-VPN Connectionに設定したプロトコル種別と合わせて設定します。
-
プロトコル種別が「tcp」の場合
- プロトコル種別: tcp
- 開始ポート番号: 443
- 終了ポート番号: 443
-
プロトコル種別が「udp」の場合
- プロトコル種別: udp
- 開始ポート番号: 1194
- 終了ポート番号: 1194
※2: セキュリティグループを作成した時点でのデフォルトルールでは、アウトバウンド方向のすべての通信を許可するルールが設定されています。明示的にアウトバウンド方向の通信を制限するためには、デフォルトルールを削除した後に、本ルールを追加してください。
※3: 例えば、仮想サーバにSSH接続をする場合は、以下を指定します。
- プロトコル種別: tcp
- 開始ポート番号: 22
- 終了ポート番号: 22