IPsec VPN機能

対象リージョン:東日本第3/西日本第3

オンプレミス環境との接続、またはリージョン間のシステム接続のために、IPsec VPNゲートウェイ機能を提供します。

仮想ルータにIPsec VPN機能を追加設定すると、対向のIPsec VPNゲートウェイと接続できるようになります。

IPsec VPN機能は、VPNサービスとIPsecサイトコネクションによって構成されます。

ヒント:

IPsecサイトコネクションは、対向IPSecゲートウェイとの接続に使用します。IPsecサイトコネクションの機能には以下があります。

  • 作成:vpn service/ike policy/ipsec policy等のパラメータを指定し、IPSec site connectionを作成します。
  • 更新:psk/admin_state_up/dpd/peer情報等のパラメータを指定し、IPSec site connectionを更新します。
  • 再作成:vpn service/ike policy/ipsec policy等のパラメータを指定し、IPSec site connectionを再作成します。

    同一のvpn_serviceを使用して、同時に最大で20個のIPSec site connectionを作成できます。

  • 削除:IPSec site connectionを指定し、削除します。

詳細については、APIリファレンスを参照してください。

図: IPsec VPN機能を利用したネットワーク接続イメージ
注:

対向IPsecゲートウェイ関連

  • 対向IPsecゲートウェイでは、リプレイチェック機能(アンチリプレイ機能)を無効にしてください。
  • 対向IPsecゲートウェイのremote addressには、IPsecサイトコネクション作成時のレスポンスボディに含まれるipsec_endpoint_addressの値を設定してください。
  • IPSec VPN機能の通信制限により、対向IPsecゲートウェイのMTUは1500以下、かつDF bit = 1(フラグメントを許可しない)を設定してください。
  • 対向IPsecゲートウェイに直接接続されるサブネットで通信ができます。L3スイッチを介して接続されたサブネットを指定した場合、IPsecサイトコネクションのステータスが「ACTIVE」になりますが、通信はできません。

IPsecサイトコネクション関連

  • 1つのIPsec VPNトンネルでIaaSの仮想ルータに直接接続される1つのサブネットと、対向IPsecゲートウェイに直接接続される1つのサブネット間の通信ができます。これら2つのサブネットアドレスは重複しないようにしてください。作成したIPsecサイトコネクションがこれら2つのサブネットアドレスと重複している場合、IPsecサイトコネクションを更新せず、このIPsecサイトコネクションを削除して、再作成してください。
  • 1つの仮想ルータにつき、作成できるVPNサービスは1つ(IPsec VPN、またはSSL-VPN)だけです。複数のIPsec VPNトンネルを作成したい場合は、1つのVPNサービス上に複数のIPsecサイトコネクションを作成してください。
  • 1つのVPNサービスに、複数のIPsecサイトコネクションを作成する場合、対向側の接続先ネットワーク peer_cidrsの値を重複しないようにしてください。万一 peer_cidrsを重複させてしまった場合は、IPsecサイトコネクションをすべて削除し、再作成してください。
  • IPsecサイトコネクションの再作成や更新によって、ipsec_endpoint_addressの値が変わることがあります。それらの操作を実施した場合は、ipsec_endpoint_addressの値を確認してください。
  • IPsecサイトコネクション通過後の通信に関しては、ファイアーウォールサービスで明示的に許可する必要があります。

その他

  • 同一リージョンのIPsec VPN接続はサポートしていません。異なるドメインであっても、同一リージョンのIPsec VPN接続はサポートしていません。
  • IPSec VPN機能は、HEATテンプレートなどのスタック機能の定義をサポートしません。

設定内容

表 1. VPN接続に関する設定項目
項目 サポートする方式
認証方式 事前共有鍵方式(128 文字以内のASCII文字列)
DPD Peer検出時のアクション hold / restart
DPD検出間隔 10~3600秒(デフォルト値:30秒)
DPD検出タイムアウト 120秒(固定値:120秒)

サポートする暗号化関連設定項目

表 2. IKEポリシー
項目 サポートする方式
認可アルゴリズム sha1 / sha2
暗号化アルゴリズム AES-128 / AES-192 / AES-256
IKE version V1
ライフタイム 120~946080000(秒)
PFS group2 / group5 / group14
鍵交換モード main
鍵交換方式 DH(固定・設定不可)
暗号利用モード HMAC(固定・設定不可)
表 3. IPsecポリシー
項目 サポートする方式
認可アルゴリズム sha1 / sha2
カプセルモード tunnel
暗号化アルゴリズム AES-128 / AES-192 / AES-256
ライフタイム 120~946080000(秒)
PFS group2 / group5 / group14
トランスフォームプロトコル esp
鍵交換方式 DH(固定・設定不可)
暗号利用モード HMAC(固定・設定不可)
イニシエータモード bi-directional / response-only

仮想サーバがPath MTU Discovery機能を使用する場合

仮想サーバがPath MTU Discovery機能を使用する場合、以下のセキュリティグループルールとファイアーウォールルールが必要です。

表 4. セキュリティグループルール
方向 通信相手 プロトコル 種別 コード
Ingress 100.96.0.11 ICMP 3 4
Ingress 100.96.0.12 ICMP 3 4
表 5. ファイアーウォールルール
アクション プロトコル 送信元 IP アドレス
ALLOW ICMP 100.96.0.11
ALLOW ICMP 100.96.0.12

FAQ

対象リージョン:全リージョン

VPN