メニュー
Amazon Virtual Private Cloud
ユーザーガイド

VPC へのハードウェア仮想プライベートゲートウェイの追加

デフォルトでは、Virtual Private Cloud (VPC) 内に起動されるインスタンスとユーザー独自のネットワークとの通信はできません。VPC から独自のネットワークへのアクセスを可能にするには、仮想プライベートゲートウェイを VPC に関連付け、カスタムルートテーブルを作成して、セキュリティグループ規則を更新します。

このプロセスは、このページの説明にしたがって手動で実行することも、VPC 作成ウィザードを使用して多くのステップを自動的に実行することもできます。VPC 作成ウィザードを使用して仮想プライベートゲートウェイを設定する方法の詳細については、「シナリオ 3: パブリックおよびプライベートのサブネットを持つ VPC とハードウェア VPN アクセス」または「シナリオ 4: プライベートサブネットのみを持つ VPC とハードウェア VPN アクセス」を参照してください。

VPN 接続という用語は一般的な用語ですが、Amazon VPC のドキュメントにおいては、VPN 接続は VPC とユーザー独自のネットワーク間の接続を指します。AWS は、インターネットプロトコルセキュリティ (IPsec) VPN 接続をサポートしています。

重要

現在、VPN 接続による IPv6 トラフィックはサポートされていません。

お客様の VPC で VPN 接続を使用する場合の料金について詳しくは、「Amazon VPC 製品のページ」を参照してください。

VPN のコンポーネント

VPN 接続は次のコンポーネントで構成されます。

仮想プライベートゲートウェイ

仮想プライベートゲートウェイは、VPN 接続の Amazon 側にある VPN コンセントレータです。

リージョン当たりの仮想プライベートゲートウェイの最大数や、VPC 内の他のコンポーネントに適用される制限については、「Amazon VPC の制限」を参照してください。

カスタマーゲートウェイ

カスタマーゲートウェイは、VPN 接続のユーザー側にある物理的なデバイスまたはソフトウェアアプリケーションです。VPN 接続を作成すると、VPN 接続のユーザー側からトラフィックが生成されると VPN トンネルが開始されます。仮想プライベートゲートウェイはイニシエータではないため、カスタマーゲートウェイがトンネルを開始する必要があります。VPN 接続でアイドル時間 (通常は 10 秒ですが設定によって異なる) が生じた場合、トンネルがダウンすることがあります。アイドル時間が生じないように、ネットワーク監視ツール (IP SLA など) を使用してキープアライブ ping を生成できます。

カスタマーゲートウェイの詳細については、Amazon VPC ネットワーク管理者ガイド の「カスタマーゲートウェイ」を参照してください。

Amazon VPC でテスト済みのカスタマーゲートウェイの一覧を確認するには、「Amazon Virtual Private Cloud のよくある質問」を参照してください。

VPN の設定例

次の図に単一および複数の VPN 接続を示します。VPC には仮想プライベートゲートウェイが関連付けられていて、ネットワークにはカスタマーゲートウェイが使用されています。カスタマーゲートウェイは、VPN 接続を有効にするように設定する必要があります。ルーティングを設定して、VPC からユーザーネットワークに向けてのトラフィックが仮想プライベートゲートウェイにルーティングされるようにします。

単一の VPC に対して複数の VPN 接続を作成する場合、2 番目のカスタマーゲートウェイを設定して、外部にある同一の場所への冗長な接続を作成できます。また、複数の地理的な場所への VPN 接続を作成することもできます。

単一の VPN 接続

 VPN のレイアウト

複数の VPN 接続

 複数 VPN のレイアウト

VPN のルーティングオプション

VPN 接続を作成する場合、使用を計画しているルーティングのタイプを指定し、サブネットのルートテーブルを更新する必要があります。ルートテーブルによって、ネットワークトラフィックの宛先が決定されます。したがって、VPC の 1 つ以上の VPN 接続に向けられたトラフィックは、仮想プライベートゲートウェイにルーティングされる必要があります。

選択するルーティングのタイプは、VPN デバイスの構成とモデルによって異なります。VPN デバイスがボーダーゲートウェイプロトコル (BGP) をサポートしている場合は、VPN 接続を設定するときに動的ルーティングを指定します。デバイスが BGP をサポートしていない場合は、静的ルーティングを指定します。Amazon VPC でテスト済みの静的ルーティングデバイスと動的ルーティングデバイスの一覧を確認するには、「Amazon Virtual Private Cloud のよくある質問」を参照してください。

BGP デバイスを使用する場合は、BGP を使用してデバイスから仮想プライベートゲートウェイにルートがアドバタイズされるので、VPN 接続への静的ルートを指定する必要はありません。BGP をサポートしていないデバイスを使用する場合は、静的ルーティングを選択し、仮想プライベートゲートウェイに通知するネットワークのルート (IP プレフィックス) を入力する必要があります。BGP アドバタイズを使用するか静的ルートエントリを使用するかにかかわらず、VPC からのトラフィックを受信できるのは、仮想プライベートゲートウェイに対して既知の IP プレフィックスのみです。仮想プライベートゲートウェイは、受信した BGP アドバタイズ、静的なルートエントリ、またはそのアタッチされた VPC CIDR の外部に向けられたその他のトラフィックをルーティングしません。

使用可能な場合は BGP に対応したデバイスを使用することをお勧めします。BGP プロトコルは安定したライブ状態検出チェックが可能であり、1 番目のトンネル停止時の 2 番目の VPN トンネルへのフェイルオーバーに役立ちます。BGP をサポートしていないデバイスでも、ヘルスチェックを実行することによって、必要時に 2 番目のトンネルへのフェイルオーバーを支援できます。

VPN 接続に必要なもの

VPN 接続で Amazon VPC を使用するには、ユーザー自身またはネットワーク管理者が物理的なアプライアンスをカスタマーゲートウェイとして指定し、設定する必要があります。VPN 事前共有キーおよび VPN 接続の設定に関連したその他のパラメータを含む必須の設定情報は、Amazon から提供されます。この設定はネットワーク管理者が行うのが一般的です。カスタマーゲートウェイの要件および設定については、「Amazon VPC ネットワーク管理者ガイド」を参照してください。

次の表は、VPN 接続を確立するために必要な情報の一覧です。

項目 用途 コメント

カスタマーゲートウェイのタイプ (例: Cisco ASA、Juniper J-Series、Juniper SSG、Yamaha)

返される情報 (カスタマーゲートウェイの設定に使用する) の形式を指定します。

当社でテスト済みのデバイスの詳細については、Amazon VPC よくある質問で「Amazon VPC で機能することが知られているカスタマーゲートウェイ装置にはどのようなものがありますか?」を参照してください。

カスタマーゲートウェイの外部インターフェイスの、インターネットでルーティング可能な IP アドレス (静的)

カスタマーゲートウェイを作成して設定するために使用されます。YOUR_UPLINK_ADDRESS と呼ばれます。

パブリック IP アドレスの値は静的な値である必要があります。カスタマーゲートウェイが NAT トラバーサル (NAT-T) が有効になっているネットワークアドレス変換 (NAT) の内側にある場合は、NAT デバイスのパブリック IP アドレスを使用し、UDP ポート 4500 をブロックしないようにファイアウォールルールを調整します。

(オプション) 動的にルーティングされる VPN 接続を作成する場合は、カスタマーゲートウェイのボーダーゲートウェイプロトコル (BGP) 自律システム番号 (ASN)。

カスタマーゲートウェイを作成して設定するために使用されます。YOUR_BGP_ASN と呼ばれます。

コンソールの VPC ウィザードを使用して VPC を設定すると、ASN として自動的に 65000 が使用されます。

ネットワークに割り当てられている既存の ASN を使用できます。既存の ASN がない場合は、プライベート ASN (64512 から 65534 までの範囲) を使用できます。ASN の詳細については、「Wikipedia の記事」を参照してください。

Amazon VPC は 2 バイトの ASN 番号をサポートしています。

VPC への VPN 接続を通してアドバタイズする内部ネッ ワーク IP の範囲。

静的ルーターを指定するために使用されます。

VPN 接続用に 2 つの VPN トンネルを設定する

ネットワークを VPC に接続するには、VPN 接続を使用します。各 VPN 接続には 2 つのトンネルがあり、それぞれのトンネルが固有の仮想プライベートゲートウェイのパブリック IP アドレスを使用します。冗長性を確保するために両方のトンネルを設定することが重要です。1 つのトンネルが使用できなくなったとき (例えばメンテナンスのために停止)、ネットワークトラフィックはその特定の VPN 接続用に使用可能なトンネルへ自動的にルーティングされます。

次の図は、VPN 接続の 2 つのトンネルを示しています。

冗長な VPN 接続を使用してフェイルオーバーを提供する

前述のように、VPN 接続では、接続の 1 つが使用できなくなった場合に備えて 2 つのトンネルを設定します。カスタマーゲートウェイが使用できなくなった場合に接続が失われるのを防ぐために、2 番目のカスタマーゲートウェイを使用して、VPC および仮想プライベートゲートウェイへの 2 番目の VPN 接続を設定できます。冗長な VPN 接続とカスタマーゲートウェイを使用すれば、1 つのカスタマーゲートウェイでメンテナンスを実行しながら、2 番目のカスタマーゲートウェイの VPN 接続を通してトラフィックの送信を継続することができます。冗長な VPN 接続とカスタマーゲートウェイをネットワークに確立するには、2 番目の VPN 接続をセットアップする必要があります。2 番目の VPN 接続用カスタマーゲートウェイの IP アドレスは、パブリックにアクセス可能である必要があります。

次の図は、各 VPN 接続の 2 つのトンネルと 2 つのカスタマーゲートウェイを示しています。

動的にルーティングされる VPN 接続では、ボーダーゲートウェイプロトコル (BGP) を使用して、カスタマーゲートウェイと仮想プライベートゲートウェイ間で情報をルーティングします。静的にルーティングされる VPN 接続では、カスタマーゲートウェイのユーザー側でネットワークの静的ルートを入力する必要があります。BGP でアドバタイズされ、静的に入力されたルート情報によって、双方のゲートウェイで使用可能なトンネルが判別され、障害発生時にトラフィックが再ルーティングされます。BGP (使用可能な場合) で提供されるルーティング情報を使用して使用可能なパスを選択するようネットワークを設定することをお勧めします。正確な設定はネットワークのアーキテクチャーによって異なります。

VPN 接続を設定する

VPN 接続を手動でセットアップするには、次の手順を実行します。また、VPC およびサブネットを作成してから、VPC ウィザードを使用してこの手順の最初の 5 つのステップを実行することもできます。詳細については、「シナリオ 3 を実装する」または「シナリオ 4 を実装する」を参照してください。

VPN 接続をセットアップするには、以下のステップを完了する必要があります。

この手順は、1 つ以上のサブネットがある VPC を使用しており、必要なネットワーク情報 (VPN 接続に必要なもの を参照) を理解していることを前提にしています。

カスタマーゲートウェイを作成する

To create a customer gateway

  1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。

  2. In the navigation pane, choose Customer Gateways, and then Create Customer Gateway.

  3. In the Create Customer Gateway dialog box, complete the following and then choose Yes, Create:

    • In the Name tag field, optionally enter a name for your customer gateway. Doing so creates a tag with a key of Name and the value that you specify.

    • Select the routing type from the Routing list.

    • If you selected dynamic routing, enter the Border Gateway Protocol (BGP) Autonomous System Number (ASN) in the BGP ASN field.

    • Enter the static, Internet-routable IP address for your customer gateway device in the IP Address field. If your customer gateway is behind a NAT device that's enabled for NAT-T, use the public IP address of the NAT device.

仮想プライベートゲートウェイを作成する

To create a virtual private gateway

  1. In the navigation pane, choose Virtual Private Gateways, and then Create Virtual Private Gateway.

  2. You can optionally enter a name for your virtual private gateway, and then choose Yes, Create.

  3. Select the virtual private gateway that you created, and then choose Attach to VPC.

  4. In the Attach to VPC dialog box, select your VPC from the list, and then choose Yes, Attach.

ルートテーブルでルート伝達を有効にする

VPC で、インスタンスがカスタマーゲートウェイに到達できるようにするには、VPN 接続で使用されるルートを含め、仮想プライベートゲートウェイを指すようにルートテーブルを設定する必要があります。ルート伝達を有効にして、これらのルートを自動的にテーブルに伝達することができます。

静的ルーティングでは、VPN 接続の状態が UP であるときに、VPN 設定に指定した静的 IP プレフィックスがルートテーブルに伝達されます。同様に、動的なルーティングでは、VPN 接続の状態が UP のときに、BGP でアドバタイズされたルートがカスタマーゲートウェイからルートテーブルに伝達されます。

To enable route propagation

  1. In the navigation pane, choose Route Tables, and then select the route table that's associated with the subnet; by default, this is the main route table for the VPC.

  2. On the Route Propagation tab in the details pane, choose Edit, select the virtual private gateway that you created in the previous procedure, and then choose Save.

注記

静的ルーティングでは、ルート伝達を有効にしない場合、VPN 接続で使用される静的ルートを手動で入力する必要があります。そのためには、ルートテーブルを選択し、詳細ペインの [Routes] タブで、[Edit] を選択します。VPN 接続で使用される静的ルートを [Destination] フィールドに追加し、[Target] リストから仮想プライベートゲートウェイ ID を選択して、[Save] を選択します。

セキュリティグループを更新して、インバウンド SSH、RDP、ICMP アクセスを有効にする

To add rules to your security group to enable inbound SSH, RDP and ICMP access

  1. In the navigation pane, choose Security Groups, and then select the default security group for the VPC.

  2. On the Inbound tab in the details pane, add rules that allow inbound SSH, RDP, and ICMP access from your network, and then choose Save. For more information about adding inbound rules, see ルールを追加および削除する.

VPN 接続を作成して、カスタマーゲートウェイを設定する

To create a VPN connection and configure the customer gateway

  1. In the navigation pane, choose VPN Connections, and then Create VPN Connection.

  2. In the Create VPN Connection dialog box, do the following, and then choose Yes, Create:

    • In the Name tag field, optionally enter a name for your VPN connection. Doing so creates a tag with a key of Name and the value that you specify.

    • Select the virtual private gateway that you created earlier.

    • Select the customer gateway that you created earlier.

    • Select one of the routing options based on whether your VPN router supports Border Gateway Protocol (BGP):

      • If your VPN router supports BGP, select Dynamic (requires BGP).

      • If your VPN router does not support BGP, select Static. In the Static IP Prefixes field, specify each IP prefix for the private network of your VPN connection, separated by commas.

  3. It may take a few minutes to create the VPN connection. When it's ready, select the connection, and then choose Download Configuration.

  4. In the Download Configuration dialog box, select the vendor, platform, and software that corresponds to your customer gateway device or software, and then choose Yes, Download.

  5. Give the configuration file to your network administrator, along with this guide: Amazon VPC ネットワーク管理者ガイド. After the network administrator configures the customer gateway, the VPN connection is operational.

サブネット内にインスタンスを起動する

To launch an instance into your subnet

  1. https://console.aws.amazon.com/ec2/) にある Amazon EC2 コンソールを開きます。

  2. On the dashboard, choose Launch Instance.

  3. On the Choose an Amazon Machine Image (AMI) page, choose an AMI, and then choose Select.

  4. Choose an instance type, and then choose Next: Configure Instance Details.

  5. On the Configure Instance Details page, select your VPC from the Network list, and your subnet from the Subnet list. Choose Next until you reach the Configure Security Group page.

  6. Select the Select an existing security group option, and then select the default group that you modified earlier. Choose Review and Launch.

  7. Review the settings that you've chosen. Make any changes that you need, and then choose Launch to select a key pair and launch the instance.

インスタンスのエンドツーエンド接続のテスト

VPN 接続を設定してインスタンスを起動した後、インスタンスへの ping を実行して接続をテストします。ping リクエストに応答する AMI を使用し、インスタンスのセキュリティグループが、インバウンド ICMP を有効にするように設定されていることを確認する必要があります。Amazon Linux AMI のいずれかを使用することをお勧めします。ご使用のインスタンスで Windows Server を実行している場合、インスタンスへの ping を実行するには、インスタンスにログインし、Windows ファイアウォールでインバウンド ICMPv4 を有効にする必要があります。

重要

インバウンドおよびアウトバウンドの ICMP トラフィックを許可するために、インスタンスへのトラフィックをフィルタするセキュリティグループまたはネットワーク ACL を VPC 内に設定する必要があります。

Amazon VPC コンソールまたは Amazon EC2 API/CLI を使用して、VPN 接続のステータスをモニタリングできます。VPN 接続について、接続の状態、最後の状態変化からの経過時間、エラー説明のテキストなどの情報を確認できます。

To test end-to-end connectivity

  1. After the instance is running, get its private IP address (for example, 10.0.0.4). The Amazon EC2 console displays the address as part of the instance's details.

  2. From a computer in your network that is behind the customer gateway, use the ping command with the instance's private IP address. A successful response is similar to the following:

    Copy
    ping 10.0.0.4
    Pinging 10.0.0.4 with 32 bytes of data:
    
    Reply from 10.0.0.4: bytes=32 time<1ms TTL=128
    Reply from 10.0.0.4: bytes=32 time<1ms TTL=128
    Reply from 10.0.0.4: bytes=32 time<1ms TTL=128
    
    Ping statistics for 10.0.0.4:
    Packets: Sent = 3, Received = 3, Lost = 0 (0% loss),
    
    Approximate round trip times in milliseconds:
    Minimum = 0ms, Maximum = 0ms, Average = 0ms

これで SSH または RDP を使用して、VPC のインスタンスに接続できるようになりました。Linux インスタンスに接続する方法については、「Linux インスタンス用 Amazon EC2 ユーザーガイド」の Connect to Your Linux Instance を参照してください。Windows インスタンスに接続する方法については、「Windows インスタンスの Amazon EC2 ユーザーガイド」の Connect to Your Windows Instance を参照してください。

漏洩した認証情報の置き換え

VPN 接続のトンネル認証情報が漏洩したと思われる場合は、IKE 事前共有キーを変更できます。そのためには、VPN 接続を削除し、同じ仮想プライベートゲートウェイを使用して新しい接続を作成して、カスタマーゲートウェイに新しいキーを設定します。また、トンネルの内部のアドレスと外部のアドレスが一致することを確認することも必要です。VPN 接続を再作成するとアドレスが変更されることがあるためです。この手順を実行する間、VPC 内のインスタンスとの通信は停止しますが、インスタンスは中断されずに実行を継続します。ネットワーク管理者が新しい設定情報を実装した後、VPN 接続に新しい認証情報が使用されるようになり、VPC 内のインスタンスへのネットワーク接続が再開されます。

重要

この手順にはネットワーク管理者グループの助けが必要です。

To change the IKE pre-shared key

  1. Delete the VPN connection. For more information, see VPN 接続を削除する. You don't need to delete the VPC or the virtual private gateway.

  2. Create a new VPN connection and download the new configuration file. For more information, see VPN 接続を作成して、カスタマーゲートウェイを設定する.

VPN 接続の静的ルートの編集

静的ルーティングでは、VPN 設定の静的ルートを追加、変更、または削除できます。

To add, modify, or remove a static route

  1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。

  2. In the navigation pane, choose VPN Connections.

  3. In the Static Routes tab, choose Edit.

  4. Modify your existing static IP prefixes, or choose Remove to delete them. Choose Add Another Route to add a new IP prefix to your configuration. When you are done, choose Save.

注記

ルートテーブルでルート伝達を有効にしていない場合、ルートテーブルで手動でルートを更新し、更新された静的 IP プレフィックスを VPN 接続に反映する必要があります。詳細については、「ルートテーブルでルート伝達を有効にする」を参照してください。

VPN 接続を削除する

VPN 接続が不要になった場合には、それを削除することができます。

重要

VPN 接続を削除し、新しい VPN 接続を作成する場合は、新しい設定情報をダウンロードし、ネットワーク管理者にカスタマーゲートウェイを再設定してもらう必要があります。

To delete a VPN connection

  1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。

  2. In the navigation pane, choose VPN Connections.

  3. Select the VPN connection and choose Delete.

  4. In the Delete VPN Connection dialog box, choose Yes, Delete.

カスタマーゲートウェイが不要になった場合には、それを削除することができます。VPN 接続で使用中のカスタマーゲートウェイを削除することはできません。

To delete a customer gateway

  1. In the navigation pane, choose Customer Gateways.

  2. Select the customer gateway to delete and choose Delete.

  3. In the Delete Customer Gateway dialog box, choose Yes, Delete.

VPC 用の仮想プライベートゲートウェイが不要になった場合には、それをアタッチ解除することができます。

To detach a virtual private gateway

  1. In the navigation pane, choose Virtual Private Gateways.

  2. Select the virtual private gateway and choose Detach from VPC.

  3. In the Detach from VPC dialog box, choose Yes, Detach.

デタッチした仮想プライベートゲートウェイが不要になった場合は、削除することができます。VPC にアタッチされている仮想プライベートゲートウェイを削除することはできません。

To delete a virtual private gateway

  1. In the navigation pane, choose Virtual Private Gateways.

  2. Select the virtual private gateway to delete and choose Delete.

  3. In the Delete Virtual Private Gateway dialog box, choose Yes, Delete.

API と CLI の概要

コマンドラインまたは API アクションを使用して、VPN 接続をセットアップし、管理できます。使用できる API アクションのリストを含む詳細については、「Amazon VPC へのアクセス」を参照してください。

カスタマーゲートウェイを作成する

仮想プライベートゲートウェイの作成

ルート伝達を有効にする

セキュリティグループを更新する

  • CLI を使ったセキュリティグループの使用の詳細については、「API と CLI の概要」を参照してください。

VPN 接続を作成する

静的ルートを追加する

静的ルートを削除する

VPN 接続を削除する

カスタマーゲートウェイを削除する

仮想プライベートゲートウェイをデタッチする

仮想プライベートゲートウェイを削除する