SSL-VPN接続

システム上に構築した仮想環境へセキュアーに接続し、仮想サーバにログインして管理操作をするために、SSL-VPN接続機能を提供します。

SSL-VPNで接続するには、お客様システムメンテナンス用ネットワークに、SSL-VPN Connectionリソースを追加設定します。

SSL-VPN接続環境の構築手順はSSL-VPN接続を利用した仮想サーバOSへの接続(東日本リージョン3/西日本リージョン3)を参照してください。

重要:

SSL-VPNのクライアントアドレスプールには、以下のネットワークアドレスは指定しないでください。以下のネットワークアドレスを指定した場合、通信ができなくなる可能性があります。

  • 使用しているネットワークアドレス
  • クライアントPCが接続しているローカルネットワークアドレス

通信ができなくなった場合は、ヘルプデスクまでご連絡ください。

重要: SSL-VPN Connectionリソースに接続するには、お手持ちのクライアントにSSL-VPN用のクライアントソフトをインストールし、SSL-VPN接続のための設定をする必要があります。
注:
  • 1つの仮想ルータにつき、作成できるVPNサービスは1つ(IPsec VPNかSSL-VPN)だけです。複数のサブネットにSSL-VPN接続をする場合は、仮想ルータ、SSL-VPN機能(VPNサービス、SSL-VPN Connection)をサブネットごとに作成してください。
  • SSL-VPNで接続するサブネットアドレスと、クライアントPCのサブネットアドレスは重複しないようにしてください。
  • SSL-VPNで接続するサブネットには、ゲートウェイアドレスを設定してください。なお、設定したゲートウェイアドレスは、SSL-VPNを使用している間は削除しないでください。
  • SSL-VPNで接続するサブネットも含め、仮想サーバに複数のサブネットを接続する場合は、仮想サーバには適切なルートを設定してください。

    • デフォルトゲートウェイの設定は、仮想サーバのOS上で、適切なサブネットのゲートウェイを設定してください。
    • SSL-VPNのクライアントアドレスプールに設定するサブネットへのルート設定は、お客様システムメンテナンス用ネットワークのサブネットに指定したゲートウェイを経由するように、サブネットのホストルートで設定してください。
  • SSL-VPNのクライアントアドレスプールには、192.168.122.0/24は指定しないでください。
  • SSL-VPN Connectionリソースを接続する仮想ルータには、以下のサブネットを接続しないでください。

    • 192.168.80.0/24
    • 192.168.90.0/24
  • SSL-VPN接続はWindowsクライアントだけサポートします。
  • SSL-VPN接続にOpenVPNを利用できません。
  • SSL-VPN接続の作成時、仮想ルータへ自動的に追加された静的ルータ設定(Nexthop:192.168.80.4、Destination:クライアントアドレスプール)を削除しないでください。
  • SSL-VPN接続中はすべての通信がSSL-VPN経由になります。
  • 1つの仮想ルータにおける同時に利用できないネットワークサービスについては、同時に利用できないネットワークサービス(東日本リージョン3/西日本リージョン3)を参照してください。
  • SSL-VPN接続には、プロジェクトに所属しているユーザーの証明書を使用してください。

    プロジェクトにユーザーを追加した場合、反映されるまでに最大1時間程度かかります。

  • SSL-VPN接続の作成時、VRRP(プロトコル番号:112)の通信を許可するセキュリティグループルールが自動的に設定されます。

図: SSL-VPN接続の利用イメージ



セッション数の拡張

SSL-VPN接続のセッション数の上限を拡張できます。実行するAPIの詳細についてはSSL VPN V2 Connectionsを参照してください。

上限値 説明 課金対象
1コネクション当たり20セッション デフォルトの上限です。  
1コネクション当たり255セッション 拡張した場合の上限です。

注意事項

注: SSL-VPN Connection通過後の通信に関しては、ファイアーウォールサービスで明示的に許可する必要があります。