SSL-VPN接続(SSL-VPN V2 Connection)
対象リージョン:東日本第3/西日本第3
システム上に構築した仮想環境へセキュアーに接続し、仮想サーバにログインして管理操作をするために、SSL-VPN接続機能を提供します。
重要事項
SSL-VPN V2 Connection は 2024年8月31日をもって新規申込を停止し、サポートを終了しました。
SSL-VPN接続の新規作成(Create SSL VPN V2 Connection)は利用できないため、 後継サービスであるSSL-VPN接続(SSL-VPN V3 Connection) を利用してください。一方、SSL-VPN接続の新規作成以外は引き続き利用できますが、サポート終了に伴い、不具合調査、セキュリティ修正などが提供されないことに留意してください。
なお、SSL-VPN V2 Connection は 2024年12月16日(予定)で提供を終了します。それまでに SSL-VPN V3 Connection への切替を実施してください。切替手順については SSL-VPNサービス 切替ガイドを参照してください。
SSL-VPN接続環境の構築手順は、SSL-VPN接続を利用した仮想サーバOSへの接続 [東日本第3/西日本第3]を参照してください。
SSL-VPNのクライアントアドレスプールには、以下のネットワークアドレスは指定しないでください。以下のネットワークアドレスを指定した場合、通信できなくなることが想定されます。
- 使用しているネットワークアドレス
- クライアントPCが接続しているローカルネットワークアドレス
- 192.168.122.0/24
通信ができなくなった場合は、ヘルプデスクまで連絡してください。
セッション数の拡張
SSL-VPN接続のセッション数の上限を拡張できます。実行するAPIの詳細についてはSSL VPN V2 Connectionsを参照してください。
| 上限値 | 説明 | 課金対象 |
|---|---|---|
| 1コネクション当たり20セッション | デフォルトの上限 | |
| 1コネクション当たり255セッション | 拡張した場合の上限 | ◯ |
- SSL-VPNに接続する場合、プロジェクト直下とプロジェクトに所属しているグループに登録するユーザーの総数の上限を255としてください。
- SSL-VPN接続しているユーザー数が制限値(SSL-VPN接続を利用するユーザー数)を超えた場合、セッション数の上限に達していなくても、SSL-VPN接続できないユーザーが出てきます。詳細は制限値のネットワークに関する制限値を参照してください。
注意事項
サブネット関連
- 1つの仮想ルータにつき、作成できるVPNサービスは1つ(IPsec VPN、またはSSL-VPN)だけです。複数のサブネットにSSL-VPN接続をする場合は、仮想ルータ、SSL-VPN機能(VPNサービス、SSL-VPN Connection)をサブネットごとに作成してください。
- SSL-VPNで接続するサブネットアドレスと、クライアントPCのサブネットアドレスは重複しないようにしてください。
- SSL-VPNで接続するサブネットには、ゲートウェイアドレスを設定してください。なお、設定したゲートウェイアドレスは、SSL-VPNを使用している間は削除しないでください。
-
SSL-VPNで接続するサブネットも含め、仮想サーバに複数のサブネットを接続する場合は、仮想サーバには適切なルートを設定してください。
- デフォルトゲートウェイの設定は、仮想サーバのOS上で、適切なサブネットのゲートウェイを設定してください。
- SSL-VPNのクライアントアドレスプールに設定するサブネットへのルート設定は、お客様システムメンテナンス用ネットワークのサブネットに指定したゲートウェイを経由するように、サブネットのホストルートで設定してください。
-
SSL-VPN Connectionリソースを接続する仮想ルータには、以下のサブネットを接続しないでください。
- 192.168.80.0/24
- 192.168.90.0/24
- SSL-VPN接続後、クライアントからSSL-VPNで接続するサブネットアドレスにだけアクセスできます。
SSL-VPNの仕様と作成関連
- SSL-VPN Connection通過後の通信に関しては、ファイアーウォールサービスで明示的に許可する必要があります。
- SSL-VPN機能は、HEATテンプレートなどのスタック機能の定義をサポートしません。
- SSL-VPN接続はWindowsクライアントだけサポートします。
- SSL-VPN接続にOpenVPNを利用できません。
- SSL-VPN接続の作成時、仮想ルータへ自動的に追加された静的ルート設定(Nexthop:192.168.80.4、Destination:クライアントアドレスプール)を削除しないでください。
- SSL-VPN V2 Connectionと SSL-VPN V3 Connectionを同時に同じ仮想ルータ/VPNサービスには設定できません。SSL-VPN V2 ConnectionとSSL-VPN V3 Connectionを同時に利用する場合は、それぞれ異なる仮想ルータ/VPNサービスを作成し、設定してください。
SSL-VPNの接続と運用関連
-
SSL-VPNで接続するには、お客様システムメンテナンス用ネットワークに、SSL-VPN Connectionリソースを追加設定します。
-
SSL-VPN Connectionリソースに接続するには、クライアントPCにSSL-VPN用のクライアントソフトをインストールし、SSL-VPN接続のための設定をする必要があります。
-
SSL-VPN接続には、プロジェクト直下とプロジェクトに所属しているグループのユーザーの証明書を使用してください。
- SSL-VPN接続中は、すべての通信がSSL-VPN経由になりますが、クライアント端末の設定状態によっては、DNS通信がSSL-VPNを経由しない場合があります。
その場合は、クライアント端末で物理インターフェースに設定しているDNS設定を削除してください。
- 1つの仮想ルータにおける同時に利用できないネットワークサービスについては、同時に利用できないネットワークサービスを参照してください。
- SSL-VPN接続は、ユーザーのログアウト状態が365日に達したときに自動的にアカウントが無効化され、接続できなくなります。再度接続するには、対象のユーザーのアカウントを、プロジェクト直下とプロジェクトに所属しているグループから一旦削除したあと追加し、アカウントを復旧する必要があります。
ただし、SSL-VPNを使用せずにポータルやAPIを使用する場合は、365日を超えてもアカウントはそのまま使用できます。
- プロジェクト直下とプロジェクトに所属しているグループへのユーザーの追加、またはプロジェクト直下とプロジェクトに所属しているグループからユーザーの削除を実施する場合、情報が反映されるまでに最大1時間程度かかります。
- 上限値を超えない複数のユーザーが同時に接続したときに、一部のユーザーが接続に失敗した場合は、次の対処を試行してください。
- SSL VPN V2のコネクション更新のAPIを実行し、 SSL VPN拡張オプション(値の変更は不要)を再設定します(Update SSL VPN V2 Connection)
- 再度、接続します。
- Windows メジャーアップデート後、SSL-VPNの接続が不安定になった場合、SSL-VPNクライアントのサービスを一度アンインストールしてから再接続してください。
- 公開キー:鍵長2048ビットのRSA
- 署名アルゴリズム:RSA付きSHA256
- ハッシュ関数:SHA256