メニュー
Amazon Virtual Private Cloud
ユーザーガイド

AWS マネージド VPN 接続

デフォルトでは、Virtual Private Cloud (VPC) 内に起動されるインスタンスとユーザー独自のネットワークとの通信はできません。VPC から独自のネットワークへのアクセスを可能にするには、仮想プライベートゲートウェイを VPC に関連付け、カスタムルートテーブルを作成して、セキュリティグループ規則を更新し、AWS マネージド VPN 接続を作成します。

VPN 接続という用語は一般的な用語ですが、Amazon VPC のドキュメントにおいては、VPN 接続は VPC とユーザー独自のネットワーク間の接続を指します。AWS は、インターネットプロトコルセキュリティ (IPsec) VPN 接続をサポートしています。

AWS マネージド VPN 接続は、AWS Classic VPN または AWS VPN のいずれかです。詳細については、「AWS マネージド VPN カテゴリ」を参照してください。

重要

現在、VPN 接続による IPv6 トラフィックはサポートされていません。

お客様の VPC で VPN 接続を使用する場合の料金について詳しくは、「Amazon VPC 製品のページ」を参照してください。

VPN のコンポーネント

VPN 接続は次のコンポーネントで構成されます。VPN の制限事項の詳細については、「Amazon VPC の制限」を参照してください。

仮想プライベートゲートウェイ

仮想プライベートゲートウェイは、VPN 接続の Amazon 側にある VPN コンセントレータです。仮想プライベートゲートウェイを作成し、VPN 接続を作成する VPC にアタッチします。

仮想プライベートゲートウェイを作成するとき、Amazon 側のゲートウェイのプライベート自律システム番号 (ASN) 指定できます。ASN を指定しない場合、仮想プライベートゲートウェイはデフォルトの ASN (64512) で作成されます。仮想プライベートゲートウェイの作成後に ASN を変更することはできません。仮想プライベートゲートウェイの ASN を確認するには、Amazon VPC コンソールの [Virtual Private Gateways] 画面で詳細を表示するか、または、describe-vpn-gateways AWS CLI コマンドを使用します。

注記

2018 年 6 月 30 日以前に仮想プライベートゲートウェイを作成した場合、デフォルトの ASN は アジアパシフィック (シンガポール) リージョンで 17493、アジアパシフィック (東京) リージョンで 10124、欧州 (アイルランド) リージョンで 9059、その他すべてのリージョンでは 7224 となります。

カスタマーゲートウェイ

カスタマーゲートウェイは、VPN 接続のユーザー側にある物理的なデバイスまたはソフトウェアアプリケーションです。

VPN 接続を作成するには、AWS にカスタマーゲートウェイリソースを作成し、AWS にカスタマーゲートウェイデバイスに関する情報を提供する必要があります。次の表は、カスタマーゲートウェイリソースを作成するのに必要な情報を示しています。

項目 説明

カスタマーゲートウェイの外部インターフェイスの、インターネットでルーティング可能な IP アドレス (静的)

パブリック IP アドレスの値は静的な値である必要があります。カスタマーゲートウェイが NAT トラバーサル (NAT-T) が有効になっているネットワークアドレス変換 (NAT) の内側にある場合は、NAT デバイスのパブリック IP アドレスを使用し、UDP ポート 4500 をブロックしないようにファイアウォールルールを調整します。

ルーティングのタイプ — 静的または動的。

詳細については、「VPN のルーティングオプション」を参照してください。

(動的ルーティングのみ) カスタマーゲートウェイのボーダーゲートウェイプロトコル (BGP) 自律システム番号 (ASN) です。

ネットワークに割り当てられている既存の ASN を使用できます。既存の ASN がない場合は、プライベート ASN (64512 から 65534 までの範囲) を使用できます。

コンソールの VPC ウィザードを使用して VPC を設定すると、ASN として自動的に 65000 が使用されます。

また、VPN 接続で Amazon VPC を使用するには、ユーザー自身またはネットワーク管理者がカスタマーゲートウェイデバイスまたはアプリケーションを設定する必要があります。VPN 接続を作成するときに、設定に必要な情報が提供され、通常はネットワーク管理者がこの設定を行います。カスタマーゲートウェイの要件および設定については、Amazon VPC ネットワーク管理者ガイド の「カスタマーゲートウェイ」を参照してください。

VPN トンネルは、VPN 接続のユーザー側からトラフィックが生成されると開始されます。仮想プライベートゲートウェイはイニシエータではないため、カスタマーゲートウェイがトンネルを開始する必要があります。VPN 接続でアイドル時間 (通常は 10 秒ですが設定によって異なる) が生じた場合、トンネルがダウンすることがあります。アイドル時間が生じないように、ネットワーク監視ツール (IP SLA など) を使用してキープアライブ ping を生成できます。

Amazon VPC でテスト済みのカスタマーゲートウェイの一覧を確認するには、「Amazon Virtual Private Cloud のよくある質問」を参照してください。

AWS マネージド VPN カテゴリ

AWS マネージド VPN 接続は、AWS Classic VPN 接続または AWS VPN 接続のいずれかです。新たに作成する VPN 接続はすべて AWS VPN 接続です。以下の機能は AWS VPN 接続でのみサポートされています。

  • NAT トラバーサル

  • 4 バイト ASN (2 バイト ASN に加えて)

  • CloudWatch メトリクス

  • カスタマーゲートウェイのための再利用可能な IP アドレス

  • 追加の暗号化オプション (AES 256 ビット暗号化、SHA-2 ハッシュ、および追加の Diffie-Hellman グループ)

  • 設定可能なトンネルオプション

  • Amazon 側の BGP セッションのためのカスタムプライベート ASN

AWS マネージド VPN 接続のカテゴリを見つけるには、Amazon VPC コンソール、またはコマンドラインツールを使用します。

コンソールを使用して VPN カテゴリを識別するには

  1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。

  2. ナビゲーションペインで [VPN 接続] を選択します。

  3. VPN 接続を選択し、詳細ペインの [Category] の値を確認します。VPN の値が、AWS VPN 接続を指しています。VPN-Classic の値が、AWS Classic VPN 接続を指しています。

コマンドラインツールを使用して VPN カテゴリを識別するには

  • describe-vpn-connections AWS CLI コマンドを使用できます。返される出力で示された Category の値を書き留めます。VPN の値が、AWS VPN 接続を指しています。VPN-Classic の値が、AWS Classic VPN 接続を指しています。

    次の例では、VPN 接続は AWS VPN 接続です。

    Copy
    aws ec2 describe-vpn-connections --vpn-connection-ids vpn-1a2b3c4d
    {
        "VpnConnections": [
            {
                "VpnConnectionId": "vpn-1a2b3c4d", 
    
                ...
    
                "State": "available", 
                "VpnGatewayId": "vgw-11aa22bb", 
                "CustomerGatewayId": "cgw-ab12cd34", 
                "Type": "ipsec.1",
                "Category": "VPN"
            }
        ]
    }

または、以下のコマンドの 1 つを使用します。

AWS VPN への移行

既存の VPN 接続が AWS Classic VPN 接続の場合、新しい仮想プライベートゲートウェイと VPN 接続を作成し、古い仮想プライベートゲートウェイを VPC からデタッチして、新しい仮想プライベートゲートウェイを VPC にアタッチすることで、AWS VPN 接続に移行することができます。

既存の仮想プライベートゲートウェイが複数の VPN 接続に関連付けられている場合は、新しい仮想プライベートゲートウェイのためにそれぞれの VPN 接続を再作成する必要があります。仮想プライベートゲートウェイに複数の AWS Direct Connect プライベート仮想インターフェイスがアタッチされている場合は、新しい仮想プライベートゲートウェイのためにそれぞれの プライベート仮想インターフェイスを再作成する必要があります。詳細については、AWS Direct Connect ユーザーガイド の「仮想インターフェイスの作成」を参照してください。

既存の AWS マネージド VPN 接続が AWS VPN 接続である場合、AWS Classic VPN 接続に移行することはできません。

注記

この手順の間に、ルート伝達を無効にして古い仮想プライベートゲートウェイを VPC からデタッチするとき、現在の VPC 接続による接続は中断されます。新しい仮想プライベートゲートウェイが VPC にアタッチされ、新しい VPN 接続が有効になると、接続は回復します。予期されるダウンタイムのために必ず計画を立ててください。

AWS VPN 接続へ移行するには

  1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。

  2. ナビゲーションペインで [Virtual Private Gateways]、[Create Virtual Private Gateway] を選択して、仮想プライベートゲートウェイを作成します。

  3. ナビゲーションペインで [VPN Connections]、[Create VPN Connection] を選択します。以下の情報を指定し、[Yes, Create] を選択します。

    • [Virtual Private Gateway]: 前のステップで作成した仮想プライベートゲートウェイを選択します。

    • [Customer Gateway]: [Existing] を選択し、現在の AWS Classic VPN 接続の既存のカスタマーゲートウェイを選択します。

    • 必要に応じてルーティングオプションを指定します。

  4. 新しい VPN 接続を選択し、[Download Configuration] を選択します。カスタマーゲートウェイデバイスに適した設定ファイルをダウンロードします。

  5. 設定ファイルを使用して、カスタマーゲートウェイデバイスの VPN トンネルを設定します。例については、Amazon VPC ネットワーク管理者ガイド を参照してください。トンネルはまだ有効にしないでください。新しく設定したトンネルを無効にしておくためのガイダンスが必要な場合は、ベンダーにお問い合わせください。

  6. (オプション) テスト VPC を作成し、仮想プライベートゲートウェイをテスト VPC にアタッチします。必要に応じて、暗号化ドメイン/ソース送信先アドレスを変更して、ローカルネットワークのホストからテスト VPC 内のテストインスタンスへの接続をテストします。

  7. ルートテーブルでルート伝達を使用している場合は、ナビゲーションペインで、[Route Tables] を選択します。VPC のルートテーブルを選択し、[Route Propagation]、[Edit] の順に選択します。古い仮想プライベートゲートウェイのチェックボックスをオフにし、[Save] を選択します。

    注記

    このステップ以降、新しい仮想プライベートゲートウェイがアタッチされ、新しい VPN 接続が有効になるまで接続が中断します。

  8. ナビゲーションペインで [Virtual Private Gateways] を選択します。古い仮想プライベートゲートウェイを選択し、[Detach from VPC]、[Yes, Detach] を選択します。新しい仮想プライベートゲートウェイを選択し、[Attach to VPC] を選択します。VPN 接続の VPC を指定し、[Yes, Attach] を選択します。

  9. ナビゲーションペインで、[Route Tables] を選択します。VPC のルートテーブルを選択し、次のいずれか 1 つを実行します。

    • ルート伝達を使用している場合は、[Route Propagation]、[Edit] の順に選択します。VPC にアタッチされた新しい仮想プライベートゲートウェイを選択して、[Save] を選択します。

    • 静的ルートを使用している場合は、[Route]、[Edit] の順に選択します。新しい仮想プライベートゲートウェイを指すようにルートを変更して、[Save] を選択します。

  10. カスタマーゲートウェイデバイスの新しいトンネルを有効にして、古いトンネルを無効にします。トンネルを起動するには、ローカルネットワークから接続を開始する必要があります。

    該当する場合は、ルートテーブルをチェックしルートが伝達していることを確認します。VPN トンネルのステータスが UP の場合、ルートはルートテーブルに伝達しています。

    注記

    以前の設定に戻す必要がある場合は、新しい仮想プライベートゲートウェイをデタッチし、ステップ 8 と 9 に従って古い仮想プライベートゲートウェイに再度アタッチしてルートを更新します。

  11. AWS Classic VPN を今後必要とせず、その料金が引き続き発生するのを避けるには、カスタマーゲートウェイデバイスから以前のトンネル設定を取り除き、VPN 接続を削除します。これを行うには、[VPN Connections] へ移動し、VPN 接続を選択して、[Delete] を選択します。

    重要

    AWS Classic VPN 接続を削除した後に、新しい AWS VPN 接続を元の AWS Classic VPN 接続に戻す、または移行することはできません。

VPN の設定例

次の図に単一および複数の VPN 接続を示します。VPC には仮想プライベートゲートウェイが関連付けられていて、ネットワークにはカスタマーゲートウェイが使用されています。カスタマーゲートウェイは、VPN 接続を有効にするように設定する必要があります。ルーティングを設定して、VPC からユーザーネットワークに向けてのトラフィックが仮想プライベートゲートウェイにルーティングされるようにします。

単一の VPC に対して複数の VPN 接続を作成する場合、2 番目のカスタマーゲートウェイを設定して、外部にある同一の場所への冗長な接続を作成できます。また、複数の地理的な場所への VPN 接続を作成することもできます。

単一の VPN 接続

 VPN のレイアウト

複数の VPN 接続

 複数 VPN のレイアウト

VPN のルーティングオプション

VPN 接続を作成する場合、使用を計画しているルーティングのタイプを指定し、サブネットのルートテーブルを更新する必要があります。ルートテーブルによって、ネットワークトラフィックの宛先が決定されます。したがって、VPC の 1 つ以上の VPN 接続に向けられたトラフィックは、仮想プライベートゲートウェイにルーティングされる必要があります。

選択するルーティングのタイプは、VPN デバイスの構成とモデルによって異なります。VPN デバイスがボーダーゲートウェイプロトコル (BGP) をサポートしている場合は、VPN 接続を設定するときに動的ルーティングを指定します。デバイスが BGP をサポートしていない場合は、静的ルーティングを指定します。Amazon VPC でテスト済みの静的ルーティングデバイスと動的ルーティングデバイスの一覧を確認するには、「Amazon Virtual Private Cloud のよくある質問」を参照してください。

BGP デバイスを使用する場合は、BGP を使用してデバイスから仮想プライベートゲートウェイにルートがアドバタイズされるので、VPN 接続への静的ルートを指定する必要はありません。BGP をサポートしていないデバイスを使用する場合は、静的ルーティングを選択し、仮想プライベートゲートウェイに通知するネットワークのルート (IP プレフィックス) を入力する必要があります。BGP アドバタイズを使用するか静的ルートエントリを使用するかにかかわらず、VPC からのトラフィックを受信できるのは、仮想プライベートゲートウェイに対して既知の IP プレフィックスのみです。仮想プライベートゲートウェイは、受信した BGP アドバタイズ、静的なルートエントリ、またはそのアタッチされた VPC CIDR の外部に向けられたその他のトラフィックをルーティングしません。

使用可能な場合は BGP に対応したデバイスを使用することをお勧めします。BGP プロトコルは安定したライブ状態検出チェックが可能であり、1 番目のトンネル停止時の 2 番目の VPN トンネルへのフェイルオーバーに役立ちます。BGP をサポートしていないデバイスでも、ヘルスチェックを実行することによって、必要時に 2 番目のトンネルへのフェイルオーバーを支援できます。

VPN 接続用に VPN トンネルを設定する

ネットワークを VPC に接続するには、VPN 接続を使用します。各 VPN 接続には 2 つのトンネルがあり、それぞれのトンネルが固有の仮想プライベートゲートウェイのパブリック IP アドレスを使用します。冗長性を確保するために両方のトンネルを設定することが重要です。1 つのトンネルが使用できなくなったとき (例えばメンテナンスのために停止)、ネットワークトラフィックはその特定の VPN 接続用に使用可能なトンネルへ自動的にルーティングされます。

次の図は、VPN 接続の 2 つのトンネルを示しています。

VPN 接続を作成するとき、カスタマーゲートウェイデバイスに固有の、デバイスを設定するための情報、および各トンネルの設定のための情報を含んだ設定ファイルをダウンロードします。VPN 接続を作成するとき、オプションで、いくつかのトンネルオプションを独自に指定することができます。そうしない場合、AWS によりデフォルト値が指定されます。

次の表に、設定できるトンネルオプションを示します。

項目 説明 AWS により指定されたデフォルト値

トンネル内部の CIDR

VPN トンネルの内部 IP アドレスの範囲です。169.254.0.0/16 の範囲から CIDR ブロックのサイズを /30 に指定できます。CIDR ブロックは、同じ仮想プライベートゲートウェイを使用するすべての VPN 接続にわたって一意である必要があります。

以下の CIDR ブロックは予約済みで使用できません。

  • 169.254.0.0/30

  • 169.254.1.0/30

  • 169.254.2.0/30

  • 169.254.3.0/30

  • 169.254.4.0/30

  • 169.254.5.0/30

  • 169.254.169.252/30

169.254.0.0/16 の範囲からのサイズ /30 の CIDR ブロック。

事前共有キー (PSK)

仮想プライベートゲートウェイとカスタマーゲートウェイ間に最初の IKE Security Association を確立するための事前共有キー (PSK)。

PSK は、8 ~ 64 文字の長さにする必要があり、ゼロ (0) から始めることはできません。使用できる文字は、英数字、ピリオド (.)、および下線 (_) です。

32 文字の英数字の文字列。

VPN 接続を作成した後にトンネルオプションを変更することはできません。既存の接続の初期の内部トンネル IP アドレスまたは PSK を変更するには、VPN 接続を削除し、新しく作成する必要があります。AWS Classic VPN 接続のトンネルオプションを設定することはできません。

冗長な VPN 接続を使用してフェイルオーバーを提供する

前述のように、VPN 接続では、接続の 1 つが使用できなくなった場合に備えて 2 つのトンネルを設定します。カスタマーゲートウェイが使用できなくなった場合に接続が失われるのを防ぐために、2 番目のカスタマーゲートウェイを使用して、VPC および仮想プライベートゲートウェイへの 2 番目の VPN 接続を設定できます。冗長な VPN 接続とカスタマーゲートウェイを使用すれば、1 つのカスタマーゲートウェイでメンテナンスを実行しながら、2 番目のカスタマーゲートウェイの VPN 接続を通してトラフィックの送信を継続することができます。冗長な VPN 接続とカスタマーゲートウェイをネットワークに確立するには、2 番目の VPN 接続をセットアップする必要があります。2 番目の VPN 接続用カスタマーゲートウェイの IP アドレスは、パブリックにアクセス可能である必要があります。

次の図は、各 VPN 接続の 2 つのトンネルと 2 つのカスタマーゲートウェイを示しています。

動的にルーティングされる VPN 接続では、ボーダーゲートウェイプロトコル (BGP) を使用して、カスタマーゲートウェイと仮想プライベートゲートウェイ間で情報をルーティングします。静的にルーティングされる VPN 接続では、カスタマーゲートウェイのユーザー側でネットワークの静的ルートを入力する必要があります。BGP でアドバタイズされ、静的に入力されたルート情報によって、双方のゲートウェイで使用可能なトンネルが判別され、障害発生時にトラフィックが再ルーティングされます。BGP (使用可能な場合) で提供されるルーティング情報を使用して使用可能なパスを選択するようネットワークを設定することをお勧めします。正確な設定はネットワークのアーキテクチャーによって異なります。