IPsec VPN機能

オンプレミス環境との接続、またはリージョン間のシステム接続のために、IPsec VPNゲートウェイ機能を提供します。

仮想ルータにIPsec VPN機能を追加設定すると、対向のIPsec VPNゲートウェイと接続できるようになります。

IPsec VPN機能は、VPNサービスとIPsecサイトコネクションによって構成されます。

図: IPsec VPN機能を利用したネットワーク接続イメージ

注: 1つのIPsec VPNトンネルで仮想ルータに直接接続される1つのサブネットと、対向IPsecゲートウェイに接続される1つのサブネット間の通信ができます。
注: 1つの仮想ルータにつき、作成できるVPNサービスは1つだけです。複数のIPsec VPNトンネルを作成したい場合は、1つのVPNサービス上に複数のIPsecサイトコネクションを作成してください。
ヒント:

VPNサービスの作成時に指定した仮想ルータのポートにグローバルIPアドレスを設定してください。仮想ルータは、設定されたグローバルIPアドレスを用いてIPsecサイトコネクションの通信を実行します。

なお、東日本第2、UK、フィンランド、ドイツ、スペイン、USリージョンの仮想ルータの場合、外部ネットワークとの接続に使用しているポートのグローバルIPアドレスもIPsecサイトコネクションの通信に使用します。

設定内容

表 1. VPN接続に関する設定項目
項目 サポートする方式
認証方式 事前共有鍵方式
DPD Peer検出時のアクション hold, restart
DPD検出間隔 1秒以上
DPD検出タイムアウト DPD検出間隔よりも大きな値
イニシエータモード bi-directional, response-only

サポートする暗号化関連設定項目

表 2. IKEポリシー
項目 サポートする方式
認可アルゴリズム sha1,sha256 ※
暗号化アルゴリズム AES-128, AES-192, AES-256
IKE version V1
ライフタイム 60~86400(秒)
PFS group2, 5, 14
鍵交換モード main

※sha256は「東日本リージョン2(jp-east-2)」だけ提供されます。

表 3. IPsecポリシー
項目 サポートする方式
認可アルゴリズム sha1,sha256 ※
カプセルモード tunnel
暗号化アルゴリズム AES-128, AES-192, AES-256
ライフタイム 60~86400(秒)
PFS group 2, 5, 14
トランスフォームプロトコル esp

※sha256は「東日本リージョン2(jp-east-2)」だけ提供されます。

注意事項

IPsec VPN機能を有効にした場合、仮想ルータに設定済みのファイアーウォールルールと無関係に、以下の通信を許可します。なお、仮想ルータと対向IPsecゲートウェイ間のファイアーウォールに関しては、同様のルール設定が必要です。

表 4. 許可される通信ルール一覧
プロトコル ポート番号 説明
UDP 500 Internet Security Association and Key Management Protocol (ISAKMP)
UDP 4500 IPsec NAT Traversal