メニュー
Amazon Virtual Private Cloud
ネットワーク管理者ガイド

Windows Server 2012 R2 のカスタマーゲートウェイとしての設定

Windows Server 2012 R2 を VPC 用のカスタマーゲートウェイとして設定できます。Windows Server 2012 R2 を VPC 内の EC2 インスタンスで実行しているか独自のサーバーで実行しているかに関わらず、次のプロセスを使用します。

Windows Server の設定

Windows Server をカスタマーゲートウェイとして設定するには、Windows Server 2012 R2 を独自のネットワーク上に配置するか、VPC の EC2 インスタンス上に配置します。Windows AMI から起動した EC2 インスタンスを使用している場合は、以下の作業を行います。

  • インスタンスの送信元/送信先チェックを無効にします。

    1. https://console.aws.amazon.com/ec2/) にある Amazon EC2 コンソールを開きます。

    2. Windows Server インスタンスを選択して、[Actions] を選択し、次に [Networking] を選択して、[Change Source/Dest.Check] を選択します。[Yes, Disable] を選択します。

  • 他のインスタンスからトラフィックをルーティングできるように、アダプタの設定を更新します。

    1. Windows インスタンスに接続します。詳細については、「Windows インスタンスへの接続」を参照してください。

    2. [コントロールパネル] を開き、[デバイスマネージャー] を起動します。

    3. [ネットワークアダプター] ノードを展開します。

    4. AWS PV ネットワークデバイスを選択して [アクション] を選択し、次に [プロパティ] を選択します。

    5. [詳細設定] タブで、[IPv4 Checksum Offload]、[TCP Checksum Offload (IPv4)]、および [UDP Checksum Offload (IPv4)] の各プロパティを無効にし、[OK] を選択します。

  • Elastic IP アドレスとインスタンスを関連付けます。

    1. https://console.aws.amazon.com/ec2/) にある Amazon EC2 コンソールを開きます。

    2. ナビゲーションペインで [Elastic IP] を選択します。[Allocate new address] を選択します。

    3. Elastic IP アドレスを選択し、[Actions]、[Associate Address] の順に選択します。

    4. [Instance] で、Windows Server インスタンスを選択します。[Associate] を選択します。

    このアドレスは書き留めておきます。VPC でカスタマーゲートウェイを作成する際に必要になります。

  • インスタンスのセキュリティグループのルールでアウトバウンドの IPsec トラフィックが許可されていることを確認します。デフォルトでは、セキュリティグループはすべてのアウトバウンドトラフィックを許可します。ただし、セキュリティグループのアウトバウンドルールが元の状態から変更されている場合、IPsec トラフィック用にアウトバウンドのカスタムプロトコルルール (IP プロトコル 50、IP プロトコル 51、UDP 500) を作成する必要があります。

Windows Server が存在するネットワークの CIDR 範囲 (たとえば、172.31.0.0/16) をメモしておきます。

ステップ 1: VPN 接続を作成し、VPC を設定する

VPC から VPN 接続を作成するには、まず仮想プライベートゲートウェイを作成し、それを VPC にアタッチする必要があります。その後、VPN 接続を作成し、VPC を設定することができます。Windows Server が存在するネットワークの CIDR 範囲 (たとえば、172.31.0.0/16) も指定する必要があります。

仮想プライベートゲートウェイを作成するには

  1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。

  2. ナビゲーションペインで [Virtual Private Gateways] を選択してから、[Create Virtual Private Gateway] をクリックします。

  3. 任意で仮想プライベートゲートウェイの名前を入力し、[Yes, Create] を選択します。

  4. 作成した仮想プライベートゲートウェイを選択して、[Attach to VPC] を選択します。

  5. [Attach to VPC] ダイアログボックスのリストから VPC を選択してから、[Yes, Attach] を選択します。

VPN 接続を作成するには

  1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。

  2. ナビゲーションペインで [VPN 接続] を選択し、[VPN 接続の作成] を選択します。

  3. リストから仮想プライベートゲートウェイを選択します。

  4. [Customer Gateway] で、[New] を選択します。[IP address] で、Windows サーバーのパブリック IP アドレスを指定します。

    注記

    この IP アドレスは静的である必要があります。また、ネットワークアドレス変換 (NAT) を実行するデバイスの背後のアドレスを使用することができます。NAT トラバーサル (NAT-T) を正しく機能させるには、UDP ポート 4500 のブロックを解除するようにファイアウォールのルールを調整する必要があります。カスタマーゲートウェイが EC2 Windows Server インスタンスである場合は、その Elastic IP アドレスを使用します。

  5. ルーティングオプションとして [静的] を選択し、ネットワークの [静的 IP プレフィックス] の値を CIDR 表記で入力して、[作成] を選択します。

VPC を設定するには

  • Windows サーバーと通信するインスタンスを起動するためのプライベートサブネットを VPC で作成します (まだ、ない場合)。詳細については、「VPC にサブネットを追加する」を参照してください。

    注記

    プライベートサブネットは、インターネットゲートウェイへのルートがないサブネットです。このサブネットのルーティングについては、次の項目で説明します。

  • VPN 接続のルートテーブルを更新します。

    • 仮想プライベートゲートウェイをターゲットに指定し、Windows Server のネットワーク (CIDR 範囲) を宛先に指定して、プライベートサブネットのルートテーブルにルートを追加します。

    • 仮想プライベートゲートウェイのルート伝達を有効にします。詳細については、Amazon VPC ユーザーガイド の「ルートテーブル」を参照してください。

  • VPC とネットワーク間の通信を許可する、インスタンスのセキュリティグループ設定を作成します。

    • ネットワークからのインバウンド RDP または SSH アクセスを許可するルールを追加します。これにより、ネットワークから VPC のインスタンスに接続できます。たとえば、ネットワークのコンピュータが VPC 内の Linux インスタンスにアクセスできるようにするには、SSH タイプのインバウンドルールを作成し、ソースをネットワークの CIDR 範囲 (172.31.0.0/16 など) に設定します。詳細については、「Amazon VPC ユーザーガイド」の「VPC のセキュリティグループ」を参照してください。

    • ネットワークからのインバウンド ICMP アクセスを許可するルールを追加します。これにより、Windows Server から VPC 内のインスタンスへの ping を実行して、VPN 接続をテストできます。

ステップ 2: VPN 接続の設定ファイルをダウンロードする

Amazon VPC コンソールを使用して、VPN 接続用の Windows Server 設定ファイルをダウンロードできます。

設定ファイルをダウンロードするには

  1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。

  2. ナビゲーションペインで [VPN 接続] を選択します。

  3. VPN 接続を選択し、[設定のダウンロード] を選択します。

  4. ベンダーとして [Microsoft]、プラットフォームとして [Windows Server]、ソフトウェアとして [2012 R2] を選択します。[ダウンロード] を選択します。ファイルを開くか保存できます。

設定ファイルには、次の例のような情報のセクションが含まれます。この情報は、2 回 (トンネルごとに 1 回ずつ) 記述されています。Windows Server 2012 R2 サーバーを設定するときに、この情報を使用します。

Copy
vgw-1a2b3c4d Tunnel1 -------------------------------------------------------------------- Local Tunnel Endpoint:       203.0.113.1 Remote Tunnel Endpoint:      203.83.222.237 Endpoint 1:                  [Your_Static_Route_IP_Prefix] Endpoint 2:                  [Your_VPC_CIDR_Block] Preshared key:               xCjNLsLoCmKsakwcdoR9yX6GsEXAMPLE
Local Tunnel Endpoint

ネットワーク側の VPN 接続を停止するカスタマーゲートウェイ (この場合は Windows Server) の IP アドレスです。カスタマーゲートウェイが Windows サーバーインスタンスである場合、これはインスタンスのプライベート IP アドレスです。

Remote Tunnel Endpoint

仮想プライベートゲートウェイの 2 つの IP アドレスのうちの 1 つで、AWS 側の VPN 接続の終端です。

Endpoint 1

VPN 接続を作成したときに静的ルートとして指定した IP プレフィックスです。VPN 接続を使用して VPC にアクセスすることを許可された、ネットワークの IP アドレスです。

Endpoint 2

仮想プライベートゲートウェイにアタッチされた VPC の IP アドレス範囲 (CIDR ブロック) (たとえば、10.0.0.0/16) です。

Preshared key

Local Tunnel EndpointRemote Tunnel Endpoint との間で IPsec VPN 接続を確立するために使用される事前共有キーです。

両方のトンネルを VPN 接続の一部として設定することをお勧めします。各トンネルは、VPN 接続の Amazon 側にある別個の VPN コネクタに接続します。一度に起動できるトンネルは 1 つだけですが、1 番目のトンネルが停止すると、2 番目のトンネルが自動的に接続を確立します。冗長なトンネルを設定することで、デバイス障害の発生時にも可用性を継続的に維持できます。一度に使用できるトンネルは 1 つだけであるため、その 1 つのトンネルが停止したことが Amazon VPC コンソールに表示されます。これは予期されている動作のため、お客様が操作を行う必要はありません。

トンネルを 2 つ設定しておけば、AWS でデバイス障害が発生した場合、VPN 接続は AWS 仮想プライベートゲートウェイの 2 番目のトンネルに数分以内に自動的にフェイルオーバーします。カスタマーゲートウェイを設定するときは、両方のトンネルを設定することが重要です。

注記

AWS はときどき、仮想プライベートゲートウェイに対して定期的にメンテナンスを実行します。このメンテナンスによって VPN の 2 つのトンネルのうち 1 つが短時間無効になることがあります。このメンテナンスの実行中、VPN 接続は自動的に 2 番目のトンネルにフェイルオーバーします。

Internet Key Exchange (IKE) および IPsec Security Associations (SA) についての追加情報が、ダウンロードした設定ファイルに記述されています。VPC VPN の推奨設定は Windows Server 2012 R2 のデフォルトの IPsec 構成の設定と同じなので、ユーザー側の作業は最小限で済みます。

Copy
MainModeSecMethods: DHGroup2-AES128-SHA1 MainModeKeyLifetime: 480min,0sess QuickModeSecMethods: ESP:SHA1-AES128+60min+100000kb QuickModePFS: DHGroup2
MainModeSecMethods

IKE SA 用の暗号化および認証のアルゴリズムです。これらは、VPN 接続用の推奨設定と、Windows Server 2012 R2 IPsec VPN 接続用のデフォルト設定です。

MainModeKeyLifetime

IKE SA キーの有効期間です。これは VPN 接続用の推奨設定であり、Windows Server 2012 R2 IPsec VPN 接続用のデフォルト設定です。

QuickModeSecMethods

IPsec SA 用の暗号化および認証のアルゴリズムです。これらは、VPN 接続用の推奨設定と、Windows Server 2012 R2 IPsec VPN 接続用のデフォルト設定です。

QuickModePFS

IPsec セッションにはマスターキー PFS (Perfect Forward Secrecy) を使用することを推奨します。

ステップ 3: Windows Server を設定する

VPN トンネルを設定する前に、リモートユーザーがネットワーク上のリソースにアクセスできるように、Windows Server でルーティングとリモート アクセス サービスをインストールして設定する必要があります。

ルーティングとリモートアクセスサービスを Windows Server 2012 R2 にインストールするには

  1. Windows Server 2012 R2 サーバーにログオンします。

  2. [Start] メニューに移動し、[Server Manager] を選択します。

  3. ルーティングおよびリモートアクセスサービスをインストールします。

    1. [Manage]メニューから、[Add Roles and Features] を選択します。

    2. [Before You Begin] ページで、サーバーが前提条件を満たしていることを確認し、[Next] を選択します。

    3. [Role-based or feature-based installation] を選択し、次に [Next] を選択します。

    4. [Select a server from the server pool] を選択し、Windows 2012 R2 サーバーを選択して [Next] を選択します。

    5. リストで [Network Policy and Access Services] を選択します。表示されるダイアログボックスで、[Add Features] を選択してこのロールに必要な機能を確認します。

    6. 同じリストで、[Remote Access] を選択し、次に [Next] を選択します。

    7. [Select features] ページで、[Next] を選択します。

    8. [Network Policy and Access Services] ページで、[Next] を選択します。[Network Policy Server] は選択されたままにして、[Next] を選択します。

    9. [Remote Access] ページで、[Next] を選択します。次のページで、[DirectAccess and VPN (RAS)] を選択します。表示されるダイアログボックスで、[Add Features] を選択してこのロールサービスに必要な機能を確認します。同じリストで、[Routing] を選択し、次に [Next] を選択します。

    10. [Web Server Role (IIS)] ページで、[Next] を選択します。デフォルトの選択のまま残して、[Next] を選択します。

    11. [Install] を選択します。インストールが完了したら、[Close] を選択します。

ルーティングおよびリモートアクセスサーバーを設定して有効にするには

  1. ダッシュボードで、[Notifications] (フラグのアイコン) を選択します。デプロイ後の設定を完了するためのタスクが必要になる場合があります。[Open the Getting Started Wizard] リンクを選択します。

  2. [Deploy VPN only] を選択します。

  3. [Routing and Remote Access] ダイアログボックスで、サーバー名を選択します。さらに [Action] を選択して [Configure and Enable Routing and Remote Access] を選択します。

  4. [Routing and Remote Access Server Setup Wizard] の最初のページで、[Next] を選択します。

  5. [Configuration] ページで、[Custom Configuration] を選択し、[Next] を選択します。

  6. [LAN routing]、[Next]、[Finish] の順に選択します。

  7. [Routing and Remote Access] ダイアログボックスにメッセージが表示されたら、[Start service] を選択します。

ステップ 4: VPN トンネルを設定する

ダウンロードした設定ファイルに含まれている netsh スクリプトを実行するか、Windows Server で新規の接続セキュリティのルールウィザードを使用して、VPN トンネルを設定できます。

重要

IPsec セッションにはマスターキー PFS (Perfect Forward Secrecy) を使用することを推奨します。詳細については、Microsoft TechNet ライブラリの「キー交換の設定」を参照してください。netsh スクリプトを実行することを選択した場合、スクリプトには PFSを有効にするためのパラメータ (qmpfs=dhgroup2) が含まれています。Windows Server 2012 R2 ユーザーインターフェイスを使用して PFS を有効にすることはできません。この設定を有効にするにはコマンドラインを使う必要があります。

オプション 1: netsh スクリプトを実行する

ダウンロードした設定ファイルから netsh スクリプトをコピーし、変数を置き換えます。スクリプトの例を次に示します。

Copy
netsh advfirewall consec add rule Name="vgw-1a2b3c4d Tunnel 1" ^ Enable=Yes Profile=any Type=Static Mode=Tunnel ^ LocalTunnelEndpoint=Windows_Server_Private_IP_address ^ RemoteTunnelEndpoint=203.83.222.236 Endpoint1=Your_Static_Route_IP_Prefix ^ Endpoint2=Your_VPC_CIDR_Block Protocol=Any Action=RequireInClearOut ^ Auth1=ComputerPSK Auth1PSK=xCjNLsLoCmKsakwcdoR9yX6GsEXAMPLE ^ QMSecMethods=ESP:SHA1-AES128+60min+100000kb ^ ExemptIPsecProtectedConnections=No ApplyAuthz=No QMPFS=dhgroup2

[Name]: 推奨された名前 (vgw-1a2b3c4d Tunnel 1)) を選択した名前で置き換えることができます。

[LocalTunnelEndpoint]: ネットワークの Windows Server のプライベート IP アドレスを入力します。

[Endpoint1]: Windows Server が存在するネットワークの CIDR ブロック (たとえば、172.31.0.0/16) です。

[Endpoint2]: VPC または VPC のサブネットの CIDR ブロック (たとえば、10.0.0.0/16) です。

更新したスクリプトを Windows Server のコマンドプロンプトウィンドウで実行します。 (^ を使用すると、コマンド行で折り返しテキストの切り取りと貼り付けができます)。この VPN 接続に 2 番目の VPN トンネルを設定するには、設定ファイルにある 2 番目の netsh スクリプトを使用してこのプロセスを繰り返します。

作業が終了したら、「2.4: Windows ファイアウォールを設定する」を参照してください。

netsh パラメーターの詳細については、Microsoft TechNet ライブラリの「Netsh AdvFirewall Consec コマンド」を参照してください。

オプション 2: Windows Server ユーザーインターフェイスを使用する

Windows Server ユーザーインターフェイスを使用して VPN トンネルを設定することもできます。このセクションでは、その手順を説明します。

重要

Windows Server 2012 R2 ユーザーインターフェイスを使用してマスターキー PFS (Perfect Forward Secrecy) を有効にすることはできません。PFS を有効にするには、「マスターキー PFS (Perfect Forward Secrecy) を有効にする。」で説明されているように、コマンドラインを使う必要があります。

2.1: VPN トンネル用のセキュリティルールを設定する

このセクションでは、Windows Server のセキュリティルールを設定して VPN トンネルを作成します。

VPN トンネル用のセキュリティルールを設定するには

  1. Server Manager を開き、[Tools] を選択し、[Windows Firewall with Advanced Security] を選択します。

  2. [Connection Security Rules] を選択し、[Action] を選択して [New Rule] を選択します。

  3. [New Connection Security Rule] ウィザードの [Rule Type] ページで、[Tunnel] を選択し、[Next] を選択します。

  4. [Tunnel Type] ページの [What type of tunnel would you like to create] で、[Custom Configuration] を選択します。[Would you like to exempt IPsec-protected connections from this tunnel] で、デフォルト値を選択したまま ([No. Send all network traffic that matches this connection security rule through the tunnel]) にして、[Next] を選択します。

  5. [Requirements] ページで、[Require authentication for inbound connections. Do not establish tunnels for outbound connections] を選択し、[Next] を選択します。

  6. [Tunnel Endpoints] ページの [Which computers are in Endpoint 1] で、[Add] を選択します。ネットワーク (Windows Server カスタマーゲートウェイの背後にある) の CIDR 範囲 (172.31.0.0/16 など) を入力し、[OK] をクリックします (この範囲にはカスタマーゲートウェイの IP アドレスを含めることができます)。

  7. [What is the local tunnel endpoint (closest to computer in Endpoint 1)] で、[Edit] を選択します。[IPv4 address] フィールドに Windows Server のプライベート IP アドレスを入力し、[OK] を選択します。

  8. [What is the remote tunnel endpoint (closest to computers in Endpoint 2)] で、[Edit] を選択します。[IPv4 address] フィールドに、設定ファイルにあるトンネル 1 の仮想プライベートゲートウェイの IP アドレス (「Remote Tunnel Endpoint」を参照) を入力し、[OK] を選択します。

    重要

    トンネル 2 に対してこの手順を繰り返す場合は、トンネル 2 のエンドポイントを選択してください。

  9. [Which computers are in Endpoint 2] で、[Add] を選択します。[This IP address or subnet field] に VPC の CIDR ブロックを入力して、[OK] を選択します。

    重要

    [Which computers are in Endpoint 2] が表示されるまでダイアログボックスをスクロールします。このステップが完了するまで、[Next] を選択しないでください。サーバーに接続できなくなります。

     新しい接続セキュリティのルールウィザード: トンネルエンドポイント
  10. 指定したすべての設定が正しいことを確認し、[Next] を選択します。

  11. [Authentication Method] ページで、[Advanced] を選択し、次に [Customize] を選択します。

  12. [First authentication methods] で、[Add] を選択します。

  13. [Preshared key] を選択し、設定ファイルにある事前共有キーの値を入力して、[OK] を選択します。

    重要

    トンネル 2 に対してこの手順を繰り返す場合は、トンネル 2 の事前共有キーを選択してください。

  14. [First authentication is optional] が選択されていないことを確認し、[OK] を選択します。

  15. [Next] を選択します。

  16. [Profile] ページで、[Domain]、[Private]、[Public] の 3 つのチェックボックスをすべてオンにして、[Next] を選択します。

  17. [Name] ページで、接続ルールの名前 (VPN to AWS Tunnel 1 など) を入力し、[Finish] を選択します。

上記の手順を繰り返し、設定ファイルにあるトンネル 2 のデータを指定します。

完了すると、VPN 接続に 2 つのトンネルが設定されます。

2.3: トンネルの設定を確認する

トンネルの設定を確認するには

  1. Server Manager を開き、[Tools] を選択して、[Windows Firewall with Advanced Security] を選択します。次に [Connection Security Rules] を選択します。

  2. 両方のトンネルについて次の設定を確認します。

    • [Enabled] は Yes

    • [Endpoint 1] はネットワークの CIDR ブロックです。

    • [Endpoint 2] は VPC の CIDR ブロックです。

    • [Authentication mode] は Require inbound and clear outbound

    • [Authentication method] は Custom

    • [Endpoint 1 port] は Any

    • [Endpoint 2 port] は Any

    • [Protocol] は Any

  3. 最初のルールを選択し、[Properties] を選択します。

  4. [Authentication] タブの [Method] で、[Customize] を選択し、[First authentication methods] に、設定ファイルにあるトンネルの正しい事前共有キーが指定されていることを確認し、[OK] を選択します。

  5. [Advanced] タブで、[Domain]、[Private]、および [Public] がすべて選択されていることを確認します。

  6. [IPsec tunneling] の [Customize] を選択します。IPsec トンネリングが次のように設定されていることを確認して [OK] を選択します。再度 [OK] を選択してダイアログボックスを閉じます。

    • [Use IPsec tunneling] が選択されている。

    • [Local tunnel endpoint (closest to Endpoint 1)] に、Windows Server の IP アドレスが設定されている。カスタマーゲートウェイが EC2 インスタンスである場合、これはインスタンスのプライベート IP アドレスです。

    • [Remote tunnel endpoint (closest to Endpoint 2)] に、このトンネルの仮想プライベートゲートウェイの IP アドレスが設定されている。

  7. 2 番目のトンネルのプロパティを開きます。このトンネルに対してステップ 4 から 7 までを繰り返します。

マスターキー PFS (Perfect Forward Secrecy) を有効にする。

マスターキー PFS (Perfect Forward Secrecy) を有効にするにはコマンドラインを使用できます。ユーザーインターフェイスを使用してこの機能を有効にすることはできません。

マスターキー PFS (Perfect Forward Secrecy) を有効にするには

  1. Windows Server で、新しいコマンドプロンプトウィンドウを開きます。

  2. 次のコマンドを入力します。rule_name は最初の接続ルールに指定した名前に置き換えます。

    Copy
    netsh advfirewall consec set rule name="rule_name" new QMPFS=dhgroup2 QMSecMethods=ESP:SHA1-AES128+60min+100000kb
  3. 2 番目のトンネルにステップ 2 を繰り返します。今回は rule_name を 2 番目の接続ルールに指定した名前に置き換えます。

2.4: Windows ファイアウォールを設定する

サーバーのセキュリティルールを設定した後、仮想プライベートゲートウェイと連動するように基本的な IPsec 設定を行います。

Windows ファイアウォールを設定するには

  1. Server Manager を開き、[Tools] を選択して [Windows Firewall with Advanced Security] を選択します。次に [Properties] を選択します。

  2. [IPsec Settings] タブの [IPsec exemptions] で、[Exempt ICMP from IPsec] が [No (default)] になっていることを確認します。[IPsec tunnel authorization] が [None] であることを確認します。

  3. [IPsec defaults] の [Customize] を選択します。

  4. [Key exchange (Main Mode)] の [Advanced] を選択し、[Customize] を選択します。

  5. [Customize Advanced Key Exchange Settings] の [Security Method] で、最初のエントリに次のデフォルト値が使用されていることを確認します。

    • 整合性: SHA-1

    • 暗号化: AES-CBC 128

    • キー交換アルゴリズム: Diffie-Hellman Group 2

    • [Key lifetimes] で、[Minutes] が 480 で [Sessions] が 0 であることを確認します。

    これらの設定は、設定ファイルの次のエントリに対応します。

    Copy
    MainModeSecMethods: DHGroup2-AES128-SHA1,DHGroup2-3DES-SHA1 MainModeKeyLifetime: 480min,0sec
  6. [Key exchange options] の [Use Diffie-Hellman for enhanced security] を選択し、[OK] を選択します。

  7. [Data protection (Quick Mode)] の [Advanced] を選択し、[Customize] を選択します。

  8. [Require encryption for all connection security rules that use these settings] を選択します。

  9. [Data integrity and encryption ] は次のようにデフォルト値のままにします。

    • プロトコル: ESP

    • 整合性: SHA-1

    • 暗号化: AES-CBC 128

    • 有効期間: 60 分

    これらの値は、設定ファイルの次のエントリに対応します。

    Copy
    QuickModeSecMethods: ESP:SHA1-AES128+60min+100000kb
  10. [OK] を選択して [Customize IPsec Settings] ダイアログボックスに戻り、再度 [OK] を選択して設定を保存します。

ステップ 5: 停止しているゲートウェイを検出する

次に、ゲートウェイが使用できなくなったら検出するように TCP を設定する必要があります。それには、レジストリキー HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters を変更します。このステップは、これより前のセクションを完了してから実行してください。レジストリキーの変更後、サーバーを再起動する必要があります。

停止しているゲートウェイを検出するには

  1. Windows Server でコマンドプロンプトまたは PowerShell セッションを起動し、「regedit」と入力してレジストリエディタを起動します。

  2. [HKEY_LOCAL_MACHINE]、[SYSTEM]、[CurrentControlSet]、[Services]、[Tcpip]、[Parameters] の順に展開します。

  3. [Edit] メニューの [New] を選択し、[DWORD (32-bit) Value] を選択します。

  4. 名前として [EnableDeadGWDetect] を入力します。

  5. [EnableDeadGWDetect] を選択し、[Edit] メニューの [Modify] を選択します。

  6. [Value data] に「1」と入力し、[OK] を選択します。

  7. レジストリエディタを終了し、サーバーを再起動します。

詳細については、Microsoft TechNet Library の「EnableDeadGWDetect」を参照してください。

ステップ 6: VPN 接続をテストする

VPN 接続が正常に動作していることテストするには、インスタンスを VPC 内で起動し、インターネットに接続されていないことを確認します。インスタンスを起動した後、Windows Server からプライベート IP アドレスに対して ping を実行します。トラフィックがカスタマーゲートウェイから生成されると VPN 接続が開始されるため、ping コマンドによっても VPN トンネルが開始されます。

VPC 内でインスタンスを起動し、そのプライベート IP アドレスを取得するには

  1. Amazon EC2 コンソールを開き、[インスタンスの作成] を選択します。

  2. Amazon Linux AMI を選択し、インスタンスタイプを選択します。

  3. [ステップ 3: インスタンスの詳細の設定] ページで、[ネットワーク] のリストから VPC を選択し、[サブネット] のリストからサブネットを選択します。「 ステップ 1: VPN 接続を作成し、VPC を設定する」で設定したプライベートサブネットを選択していることを確認します。

  4. [自動割り当てパブリック IP] リストで、[無効化] が設定されていることを確認します。

  5. [Step 6: Configure Security Group] ページが表示されるまで、[Next] を選択します。「 ステップ 1: VPN 接続を作成し、VPC を設定する」で設定した既存のセキュリティグループを選択するか、または新しいセキュリティグループを作成し、Windows Server の IP アドレスからの ICMP トラフィックをすべて許可するルールがあることを確認します。

  6. ウィザードの残りの手順を完了し、インスタンスを起動します。

  7. [Instances] ページで、 インスタンスを選択します。詳細ペインの [Private IPs] フィールドでプライベート IP アドレスを取得します。

Windows Server に接続またはログオンし、コマンドプロンプトを開いて、ping コマンドでインスタンスのプライベート IP アドレスを使用してインスタンスに ping を実行します。以下に例を示します。

Copy
ping 10.0.0.4
Pinging 10.0.0.4 with 32 bytes of data:
Reply from 10.0.0.4: bytes=32 time=2ms TTL=62
Reply from 10.0.0.4: bytes=32 time=2ms TTL=62
Reply from 10.0.0.4: bytes=32 time=2ms TTL=62
Reply from 10.0.0.4: bytes=32 time=2ms TTL=62
		
Ping statistics for 10.0.0.4:
	Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
	Minimum = 2ms, Maximum = 2ms, Average = 2ms

ping コマンドが失敗した場合、次の情報を確認します。

  • VPC 内のインスタンスに対して ICMP が許容されるように、セキュリティグループのルールが設定されていることを確認します。Windows Server が EC2 インスタンスである場合は、セキュリティグループのアウトバウンドルールで IPsec トラフィックが許可されていることを確認します。詳細については、「Windows Server の設定」を参照してください。

  • ping 対象のインスタンスのオペレーティングシステムが ICMP に応答するように設定されていることを確認します。Amazon Linux AMI のいずれかを使用することをお勧めします。

  • ping 対象のインスタンスが Windows インスタンスである場合は、そのインスタンスに接続し、Windows ファイアウォールでインバウンド ICMPv4 を有効にします。

  • VPC またはサブネットのルートテーブルが正しく設定されていることを確認します。詳細については、「 ステップ 1: VPN 接続を作成し、VPC を設定する」を参照してください。

  • カスタマーゲートウェイが Windows サーバーインスタンスである場合は、インスタンスに対して送信元/送信先チェックが無効になっていることを確認します。詳細については、「Windows Server の設定」を参照してください。

Amazon VPC コンソールの [VPN Connections] ページで、使用している VPN 接続を選択します。1 番目のトンネルは起動状態です。2 番目のトンネルは、最初のトンネルが停止するまで使用されませんが、設定は必要です。暗号化されたトンネルを確立するのに数分かかることがあります。