SSL-VPN接続

対象リージョン:東日本第3/西日本第3

システム上に構築した仮想環境へセキュアーに接続し、仮想サーバにログインして管理操作をするために、SSL-VPN接続機能を提供します。

SSL-VPN接続環境の構築手順はSSL-VPN接続を利用した仮想サーバOSへの接続 [東日本第3/西日本第3]を参照してください。

重要:

SSL-VPNのクライアントアドレスプールには、以下のネットワークアドレスは指定しないでください。以下のネットワークアドレスを指定した場合、通信ができなくなる可能性があります。

  • 使用しているネットワークアドレス
  • クライアントPCが接続しているローカルネットワークアドレス
  • 192.168.122.0/24

通信ができなくなった場合は、ヘルプデスクまで連絡してください。

図: SSL-VPN接続の利用イメージ


セッション数の拡張

SSL-VPN接続のセッション数の上限を拡張できます。実行するAPIの詳細についてはSSL VPN V2 Connectionsを参照してください。

上限値 説明 課金対象
1コネクション当たり20セッション デフォルトの上限  
1コネクション当たり255セッション 拡張した場合の上限
注:
  • SSL-VPNに接続する場合、プロジェクト直下とプロジェクトに所属しているグループに登録するユーザーの総数の上限を255としてください。 
  • SSL-VPN接続しているユーザー数が制限値(SSL-VPN接続を利用するユーザー数)を超えた場合、セッション数の上限に達していなくても、SSL-VPN接続できないユーザーが出てきます。詳細は制限値ネットワークに関する制限値を参照してください。

注意事項

サブネット関連

  • 1つの仮想ルータにつき、作成できるVPNサービスは1つ(IPsec VPN、またはSSL-VPN)だけです。複数のサブネットにSSL-VPN接続をする場合は、仮想ルータ、SSL-VPN機能(VPNサービス、SSL-VPN Connection)をサブネットごとに作成してください。
  • SSL-VPNで接続するサブネットアドレスと、クライアントPCのサブネットアドレスは重複しないようにしてください。
  • SSL-VPNで接続するサブネットには、ゲートウェイアドレスを設定してください。なお、設定したゲートウェイアドレスは、SSL-VPNを使用している間は削除しないでください。

  • SSL-VPNで接続するサブネットも含め、仮想サーバに複数のサブネットを接続する場合は、仮想サーバには適切なルートを設定してください。

    • デフォルトゲートウェイの設定は、仮想サーバのOS上で、適切なサブネットのゲートウェイを設定してください。
    • SSL-VPNのクライアントアドレスプールに設定するサブネットへのルート設定は、お客様システムメンテナンス用ネットワークのサブネットに指定したゲートウェイを経由するように、サブネットのホストルートで設定してください。

  • SSL-VPN Connectionリソースを接続する仮想ルータには、以下のサブネットを接続しないでください。

    • 192.168.80.0/24
    • 192.168.90.0/24
  • SSL-VPN接続後、クライアントからSSL-VPNで接続するサブネットアドレスにだけアクセスできます。

SSL-VPNの仕様と作成関連

  • SSL-VPN Connection通過後の通信に関しては、ファイアーウォールサービスで明示的に許可する必要があります。
  • SSL-VPN機能は、HEATテンプレートなどのスタック機能の定義をサポートしません。
  • SSL-VPN接続はWindowsクライアントだけサポートします。
  • SSL-VPN接続にOpenVPNを利用できません。
  • SSL-VPN接続の作成時、仮想ルータへ自動的に追加された静的ルータ設定(Nexthop:192.168.80.4、Destination:クライアントアドレスプール)を削除しないでください。

SSL-VPNの接続と運用関連

  • SSL-VPNで接続するには、お客様システムメンテナンス用ネットワークに、SSL-VPN Connectionリソースを追加設定します。

  • SSL-VPN Connectionリソースに接続するには、クライアントPCにSSL-VPN用のクライアントソフトをインストールし、SSL-VPN接続のための設定をする必要があります。

  • SSL-VPN接続には、プロジェクト直下とプロジェクトに所属しているグループのユーザーの証明書を使用してください。

  • SSL-VPN接続中は、すべての通信がSSL-VPN経由になりますが、クライアント端末の設定状態によっては、DNS通信がSSL-VPNを経由しない場合があります。

    その場合は、クライアント端末で物理インターフェースに設定しているDNS設定を削除してください。

  • 1つの仮想ルータにおける同時に利用できないネットワークサービスについては、同時に利用できないネットワークサービスを参照してください。
  • SSL-VPN接続は、ユーザーのログアウト状態が365日に達したときに自動的にアカウントが無効化され、接続できなくなります。再度接続するには、対象のユーザーのアカウントを、プロジェクト直下とプロジェクトに所属しているグループから一旦削除したあと追加し、アカウントを復旧する必要があります。

    ただし、SSL-VPNを使用せずにポータルやAPIを使用する場合は、365日を超えてもアカウントはそのまま使用できます。

  • プロジェクト直下とプロジェクトに所属しているグループへのユーザーの追加、またはプロジェクト直下とプロジェクトに所属しているグループからの削除を実施する場合、情報が反映されるまでに最大1時間程度かかります。
  • 上限値を超えない複数のユーザーが同時に接続したときに、一部のユーザーが接続に失敗した場合は、次の対処を試行してください。
    1. SSL VPN V2のコネクション更新のAPIを実行し、 SSL VPN拡張オプション(値の変更は不要)を再設定します(Update SSL VPN V2 Connection)。
    2. 再度、接続します。
  • Windows メジャーアップデート後、SSL-VPNの接続が不安定になった場合、SSL-VPNクライアントのサービスを一度アンインストールしてから再接続してください。
サーバ証明関連
  • 公開キー:鍵長2048ビットのRSA
  • 署名アルゴリズム:RSA付きSHA256
  • ハッシュ関数:SHA256
ヒント: 暗号化スイートは「SSL-VPN接続がサポートする暗号スイート一覧」を参照してください。

FAQ

対象リージョン:全リージョン

VPN