SSL-VPNコネクション(SSL-VPN接続)の作成

SSL-VPNコネクションを作成します。

図: SSL-VPNコネクション(SSL-VPN接続)の作成
参考:

ネットワークに関する制限は、 IaaS 機能説明書 「付録 制限値」 ページ内の 「ネットワークに関する制限値」-「表 8 : ネットワークに関する制限値一覧」を参照してください。

以下の手順で作成します。

  1. [VPN サービス詳細]画面を表示させます。
    [VPNサービス一覧]画面において、コネクションを作成したいVPNサービス名をクリックします。
    図: [VPNサービス一覧]画面
  2. [VPN サービス詳細]画面が表示されます。[VPNサービス詳細]画面下部の[SSL-VPN接続]欄の右側にある作成ボタン([+])をクリックします。
    図: [VPNサービス詳細]画面
  3. [SSL-VPN接続作成]画面が表示されます。
    図: [SSL-VPN接続作成]画面
    1. 以下を指定します。
      表 1.
      No 項目 説明 本ガイドでの設定値
      1 SSL-VPN接続名 任意の名称を1-255バイト以内で入力します。 Test-SSL-VPN
      2 プロトコル 「TCP/UDP」 を選択できます。初期値:TCP TCP
      3 管理状態 「true/false」を選択できます。初期値:true true
      4 証明書

      使用する証明書を選択します。

      注意: 本サービスで提供される証明書以外の証明書を使用する場合は、事前にAPIで証明書を登録してください。
      		証明書(デフォルト)
      5 セキュリティグループ

      使用するセキュリティグループにチェックを入れます。

      注意: 何もチェックしない場合は、SSL-VPN接続用に全ての通信が許可されたセキュリティグループが自動的に作成されます。
      注意: 指定可能なセキュリティグループは6個以下です。
      		-
    2. [次へ]ボタンをクリックします。
  4. アクセスポイントを設定します。
    図: [SSL-VPN接続作成 アクセスポイント設定]画面
    1. 以下を指定します。
      表 2.
      No 項目 説明 本ガイドでの設定値
      1 グローバルIP 使用するグローバルIPアドレスを選択します。 自動割当
      2 クライアントIPプール SSL-VPNクライアントに割り当てるIP アドレスの範囲をCIDR 形式で設定します。
      注意:
      • クライアントIPプールのネットワークアドレス(CIDR形式)のプレフィックス長は 16~29ビットを指定してください。
      • IaaSで使用しているネットワークアドレスやクライアントPCが接続しているローカルネットワークアドレスと競合しないネットワークアドレスを指定してください。 誤って設定した場合に、VPNサービスを設定した仮想ルータ経由の通信ができなくなることがあります。その場合はヘルプデスクへ連絡してください。
      • 「192.168.122.0/24」は利用できません。
      		 192.168.246.0/24
    2. [次へ]ボタンをクリックします。
  5. [確認]画面が表示されます。内容を確認し問題がなければ、[作成]ボタンをクリックします。
    図: [SSL-VPN接続作成 確認]画面
  6. 以下の画面が表示されます。[閉じる]ボタンをクリックします。
    図:
    以上でSSL-VPNコネクションの作成作業は完了です。
  7. SSL-VPN接続の状態を確認します。
    1. 作成直後はSSL-VPN接続の状態は「PENDING_CREATE」です。
      ポイント: SSL-VPN接続作成後、SSL-VPN接続の状態が「PENDING_CREATE」から「ACTIVE」になるまでに10分程度かかります(待機時間は場合によって変化します)。
      図: [VPNサービス詳細]画面 SSL-VPN接続の状態
    2. 1分程度待機した後、[VPNサービス詳細]画面の右上部の[更新]ボタンをクリックします。作成したSSL-VPN接続の状態が「ACTIVE」になっていることを確認します 。待機時間は環境・状態により異なります。「ACTIVE」にならない場合は時間を空けてリトライしてください。
      図: [VPNサービス詳細]画面 SSL-VPN接続 ACTIVE状態
      ポイント:VPNクライアントの設定」 時に使用するため、SSL-VPN Connection(SSL-VPN 接続)のグローバルIPアドレスを控えておいてください。
  8. VPNサービスの状態を確認します。
    [VPNサービス一覧]画面を表示させます。

    右上部の[更新]ボタンをクリックし、作成したVPNサービスの状態が「ACTIVE」になることを確認します。

    ポイント: SSL-VPN接続の状態が「ACTIVE」になるまで、VPNサービスの接続状態は「PENDING_CREATE」のままです。
    図: [VPNサービス詳細]画面 VPNサービス ACTIVE状態
注意: 本ガイドの手順でSSL-VPNコネクションを作成した場合、以下の設定が自動的に追加されます。
  • スタティックルーティング

    SSL-VPN接続用にSSL-VPNコネクションに設定したクライアントIPプールのルーティング設定が仮想ルータに追加されます。

  • グローバルIPアドレス

    SSL-VPNコネクションに割り当てられるグローバルIPアドレスが払い出されます。(グローバルIPを「自動割当」に設定したため)

  • セキュリティグループ

    SSL-VPN接続用に全ての通信許可が設定されたセキュリティグループが作成されます。(セキュリティグループ設定時にセキュリティグループを指定しなかったため)

    注: SSL-VPNコネクションのセキュリティグループには以下の許可ルールが必要です。自動的に作成されたSSL-VPNコネクションのセキュリティグループのルールを変更する場合や、既存のセキュリティグループを指定してSSL-VPNコネクションを作成する場合はご注意ください。
    表 3.
    方向 通信相手 プロトコル種別 開始ポート番号 終了ポート番号
    インバウンド(Ingress) SSL-VPNクライアント tcpまたはudp(本ガイドでは「tcp」を設定) 443または1194(本ガイドでは「443」を設定) 開始ポート番号と同じ値
    アウトバウンド(Egress) 仮想サーバ(接続先サーバ) SSL-VPNコネクション通過後の通信プロトコル SSL-VPNコネクション通過後の通信ポート番号 開始ポート番号と同じ値
注意: ファイアーウォール
  • SSL-VPNコネクション作成前にファイアーウォールを作成済の場合

    SSL-VPNコネクションへのアクセスを許可するファイアーウォールルール(443/TCP または1194/UDP)が自動的に追加されます(「送信元IPアドレス」は「省略」と設定され、すべてのIPアドレスからの通信が許可されます)

    SSL-VPN接続用のファイアーウォールルール名の例:ssl-vpn-connection-343ed159-7248-433d-92dc-ad1ab2bf964c

    参考: 必要に応じて「送信元IPアドレス」を指定してください。
  • SSL-VPNコネクション作成後にファイアーウォールを作成する場合

    SSL-VPN接続のために、以下のルールを手動で追加してください。

    表 4.
    送信元IPアドレス 送信元ポート番号 宛先IPアドレス 宛先ポート番号 プロトコル
    SSL-VPNクライアントのIPアドレス 省略 SSL-VPN コネクションリソースのIPアドレス(SSL-VPNコネクションリソースの「internal_gateway」の値) 443または1194(本ガイドでは「443」を設定) *1 tcpまたはudp(本ガイドでは「tcp」を設定) *1

    *1: 使用するプロトコル種別に合わせて、以下のように設定する必要があります。

    表 5.
    SSL-VPN接続のプロトコル種別 ファイアーウォールの宛先ポート番号 ファイアーウォールのプロトコル
    tcp 443 tcp
    udp 1194 udp

SSL-VPNコネクションの作成方法の詳細は、 IaaS ポータルユーザーズガイド 「22.2 SSL-VPN接続の利用方法」-「2. VPNサービス構築」-「2.2 SSL-VPN接続の作成」 を参照してください。