SSL-VPN 接続 (SSL-VPN コネクション) の作成

SSL-VPNコネクションを作成します。

  1. [VPN サービス詳細]画面を表示させます。
    [VPNサービス一覧]画面において、コネクションを作成したいVPNサービス名をクリックします。

    図: [VPNサービス一覧]画面

  2. [VPN サービス詳細]画面が表示されます。[VPNサービス詳細]画面下部の[SSL-VPN接続]欄の右側にある作成ボタン([+])をクリックします。

    図: [VPNサービス詳細]画面

  3. [SSL-VPN接続作成]画面が表示されます。

    図: [SSL-VPN接続作成]画面

    1. 以下を指定します。
      表 1.
      No 項目 説明 本書での設定値
      1 SSL-VPN接続名 任意の名称を1-255バイト以内で入力します。 Test-SSL-VPN
      2 プロトコル 「TCP/UDP」 を選択できます。初期値:TCP TCP
      3 管理状態 「true/false」を選択できます。初期値:true true
      4 証明書

      使用する証明書を選択します。

      注意: K5 証明書以外の証明書を使用する場合は、事前にAPIで証明書を登録してください。
      		K5証明書(デフォルト)
      5 セキュリティグループ

      使用するセキュリティグループにチェックを入れます。

      注意: 何もチェックしない場合は、自動的にSSL-VPN接続専用に全ての通信が許可されたセキュリティグループが作成されます。
      注意: 指定可能なセキュリティグループは6個以下です。
      		-
    2. [次へ]ボタンをクリックします。
  4. アクセスポイントを設定します。

    図: [SSL-VPN接続作成 アクセスポイント設定]画面

    1. 以下を指定します。
      表 2.
      No 項目 説明 本書での設定値
      1 グローバルIP 使用するグローバルIPを選択します。 自動割当
      2 クライアントIPプール クライアントIPプールを CIDR 形式で設定します。
      ポイント: クライアントIPプールのネットワークアドレス(CIDR形式)のプレフィックス長は 24~29 ビットを指定してください。
      		192.168.246.0/24
    2. [次へ]ボタンをクリックします。
  5. [確認]画面が表示されます。内容を確認し問題がなければ、[作成]ボタンをクリックします。

    図: [SSL-VPN接続作成 確認]画面

  6. 以下の画面が表示されます。[閉じる]ボタンをクリックします。

    図:

    以上でSSL-VPNコネクションの作成作業は完了です。
  7. SSL-VPN接続の状態を確認します。
    1. 作成直後はSSL-VPN接続の状態は「PENDING_CREATE」です。
      ポイント: SSL-VPN接続作成後、実際にSSL-VPNが接続されるまで数十秒から1分程度時間がかかります(待機時間は場合によって変化します)。

      図: [VPNサービス詳細]画面 SSL-VPN接続の状態

    2. 1分程度待機した後、[VPNサービス詳細]画面の右上部の[更新]ボタンをクリックします。作成したSSL-VPN接続の状態が「ACTIVE」になっていることを確認します 。

      図: [VPNサービス詳細]画面 SSL-VPN接続 ACTIVE状態

  8. VPNサービスの状態を確認します。
    [VPNサービス一覧]画面を表示させます。

    右上部の[更新]ボタンをクリックし、作成したVPNサービスの状態が「ACTIVE」になることを確認します。

    ポイント: SSL-VPN接続の状態が「ACTIVE」になるまで、VPNサービスの接続状態は「PENDING_CREATE」のままです。

    図: [VPNサービス詳細]画面 VPNサービス ACTIVE状態

注意: 本書の手順でSSL-VPNコネクションを作成した場合、以下の設定が自動的に追加されます。
  • スタティックルーティング

    SSL-VPN接続専用にSSL-VPNコネクションに設定した「client_address_pool_cidr」へのルーティングが仮想ルータに追加されます。

  • グローバルIPアドレス

    SSL-VPNコネクションに割り当てられるグローバルIPアドレスが作成されます。(グローバルIPを「自動割当」に設定したため)

  • セキュリティグループ

    SSL-VPN接続専用に全ての通信許可が設定されたセキュリティグループが作成されます。(セキュリティグループ設定時にセキュリティグループを指定しなかったため)

    注: SSL-VPNコネクションのセキュリティグループには以下の許可ルールが必要です。セキュリティを高めるために自動的に作成されたSSL-VPNコネクションのセキュリティグループのルールを変更する場合や、既存のセキュリティグループを指定してSSL-VPNコネクションを作成する場合はご注意ください。
    表 3.
    方向 通信相手 プロトコル種別 開始ポート番号 終了ポート番号
    インバウンド(Ingress) SSL-VPNクライアント tcpまたはudp(本書では「tcp」を設定) 443または1194(本書では「443」を設定) 開始ポート番号と同じ値
    アウトバウンド(Egress) 仮想サーバ(接続先サーバ) SSL-VPNコネクション通過後の通信プロトコル SSL-VPNコネクション通過後の通信ポート番号 開始ポート番号と同じ値
注意: ファイアーウォール
  • SSL-VPNコネクション作成前にファイアーウォールを作成済の場合

    SSL-VPN接続専用のSSL-VPNコネクションへのアクセスを許可するファイアーウォールルール(443/TCP または1194/UDP *1)が自動的に追加されます。

    例:ssl-vpn-connection-343ed159-7248-433d-92dc-ad1ab2bf964c

  • SSL-VPNコネクション作成後にファイアーウォールを作成する場合

    SSL-VPN接続するために、以下のルールを手動で追加してください。

    表 4.
    送信元IPアドレス 送信元ポート番号 宛先IPアドレス 宛先ポート番号 プロトコル
    お客様のパソコンのIPアドレス (SSL-VPNクライアント) 省略 SSL-VPN コネクションリソースのIPアドレス(SSL-VPNコネクションリソースの「internal_gateway」の値) 443または1194(本書では「443」を設定) ※1 tcpまたはudp(本書では「tcp」を設定 ※1

    ※1: SSL-VPNConnectionに設定したプロトコル種別と合わせて設定されます。手動で設定する場合は、以下のようにプロトコル種別と合わせてファイアーウォールを設定してください。

    表 5.
    プロトコル種別 宛先ポート番号 プロトコル
    tcp 443 tcp
    udp 1194 udp

SSL-VPNコネクションの作成方法の詳細は、 IaaS サービスポータルユーザーズガイド 「20.2 SSL-VPN接続の利用方法」-「(2) VPNサービス構築」-「2.2 SSL-VPN接続の作成」 を参照してください。