IPsec VPN機能

対象リージョン:東日本第3/西日本第3

オンプレミス環境との接続、またはリージョン間のシステム接続のために、IPsec VPNゲートウェイ機能を提供します。

仮想ルータにIPsec VPN機能を追加設定すると、対向のIPsec VPNゲートウェイと接続できるようになります。

IPsec VPN機能は、VPNサービスとIPsecサイトコネクションによって構成されます。

図: IPsec VPN機能を利用したネットワーク接続イメージ
注:
  • 1つのIPsec VPNトンネルでIaaSの仮想ルータに直接接続される1つのサブネットと、対向IPsecゲートウェイに接続される1つのサブネット間の通信ができます。この2つのサブネットアドレスは重複しないようにしてください。
  • 1つの仮想ルータにつき、作成できるVPNサービスは1つ(IPsec VPNかSSL-VPN)だけです。複数のIPsec VPNトンネルを作成したい場合は、1つのVPNサービス上に複数のIPsecサイトコネクションを作成してください。
  • 同一リージョンにおけるIPsec VPN接続はサポートされていません。
  • 対向IPsecゲートウェイでは、リプレイチェック機能(アンチリプレイ機能)を無効にしてください。
  • 対向IPsecゲートウェイのremote addressには、IPsecサイトコネクション作成時のレスポンスボディに含まれるipsec_endpoint_addressの値を設定してください。
  • IPsecサイトコネクションの再作成や更新によって、ipsec_endpoint_addressの値が変わることがあります。それらの操作を実施した場合は、ipsec_endpoint_addressの値を確認してください。
  • IPSec VPN機能は、HEATテンプレートなどのスタック機能の定義をサポートしません。
  • IPsec サイトコネクション通過後の通信に関しては、ファイアーウォールサービスで明示的に許可する必要があります。
ヒント:

仮想サーバがPath MTU Discovery機能を使用する場合、以下のセキュリティグループルールとファイアーウォールルールが必要です。

表 1. セキュリティグループルール
方向 通信相手 プロトコル 種別 コード
Ingress 100.96.0.11 ICMP 3 4
Ingress 100.96.0.12 ICMP 3 4
表 2. ファイアーウォールルール
アクション プロトコル 送信元 IP アドレス
ALLOW ICMP 100.96.0.11
ALLOW ICMP 100.96.0.12

設定内容

表 3. VPN接続に関する設定項目
項目 サポートする方式
認証方式 事前共有鍵方式
DPD Peer検出時のアクション hold, restart
DPD検出間隔 10秒以上
DPD検出タイムアウト DPD検出間隔よりも大きな値
イニシエータモード bi-directional, response-only

サポートする暗号化関連設定項目

表 4. IKEポリシー
項目 サポートする方式
認可アルゴリズム sha1, sha2
暗号化アルゴリズム AES-128, AES-192, AES-256
IKE version V1
ライフタイム 120~946080000(秒)
PFS group2, 5, 14
鍵交換モード main
表 5. IPsecポリシー
項目 サポートする方式
認可アルゴリズム sha1, sha2
カプセルモード tunnel
暗号化アルゴリズム AES-128, AES-192, AES-256
ライフタイム 120~946080000(秒)
PFS group 2, 5, 14
トランスフォームプロトコル esp