Amazon Virtual Private Cloud
ネットワーク管理者ガイド

例: ボーダーゲートウェイプロトコルを使用した一般的なカスタマーゲートウェイ

このガイドでこれまで説明したタイプとは異なるカスタマーゲートウェイを使用する場合、任意のカスタマーゲートウェイの設定に使用できる一般的な情報は、統合チームから提供可能です。このセクションでは、その情報の例を紹介します。

2 つの図で設定例を紹介します。最初の図はカスタマーゲートウェイのレイアウトの概要を表し、2 番目の図はこの設定例の詳細を表しています。統合チームから受け取った実際の設定情報を使用して、カスタマーゲートウェイに適用する必要があります。

カスタマーゲートウェイの概要

次の図は、カスタマーゲートウェイの全般的な説明を示しています。VPN 接続は 2 つの個別のトンネルで構成されています。冗長なトンネルを使用することで、デバイス障害の発生時にも可用性を継続的に維持できます。


          一般的な概要図

カスタマーゲートウェイの詳細と設定例

このセクションの図は、一般的なカスタマーゲートウェイの例を示しています。図の後には、統合チームから提供される設定情報の対応する例が示されています。この設定例には、各トンネルに設定する必要のある一連の情報が含まれています。

さらに、指定する必要ある以下の項目が示されています。

  • YOUR_UPLINK_ADDRESS — カスタマーゲートウェイ上のインターネットルーティングが可能な外部インターフェイスの IP アドレス。このアドレスは静的である必要があります。また、ネットワークアドレス変換 (NAT) を実行するデバイスの背後のアドレスを使用することができます。NAT トラバーサル (NAT-T) を正しく機能させるには、UDP ポート 4500 のブロックを解除するようにファイアウォールのルールを調整する必要があります。

  • YOUR_BGP_ASN — カスタマーゲートウェイの BGP ASN (デフォルトで 65000 を使用します)

この設定例には、設定がどのように機能するかを理解するために役立つサンプル値が含まれています。たとえば、VPN 接続 ID (vpn-44a8938f)、仮想プライベートゲートウェイ ID (vgw-8db04f81)、IP アドレス (72.21.209.*、169.254.255.*)、リモート ASN (7224) です。これらのサンプル値を、受け取った設定情報に含まれる実際の値で置き換えます。

次の図および設定例では、イタリックの赤い文字の項目を、特定の設定に適用される値で置き換える必要があります。


          一般的な詳細図
Amazon Web Services Virtual Private Cloud VPN Connection Configuration =============================================== AWS utilizes unique identifiers to manipulate the configuration of a VPN Connection. Each VPN Connection is assigned a VPN identifier and is associated with two other identifiers, namely the Customer Gateway Identifier and the Virtual Private Gateway Identifier. Your VPN Connection ID : vpn-44a8938f Your Virtual Private Gateway ID : vgw-8db04f81 Your Customer Gateway ID : cgw-b4dc3961 A VPN Connection consists of a pair of IPsec tunnel security associations (SAs). It is important that both tunnel security associations be configured. IPsec Tunnel #1 ================================================ #1: Internet Key Exchange Configuration Configure the IKE SA as follows: Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2. You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24. The address of the external interface for your customer gateway must be a static address. Your customer gateway may reside behind a device performing network address translation (NAT). To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T. - IKE version : IKEv1 - Authentication Method : Pre-Shared Key - Pre-Shared Key : plain-text-password1 - Authentication Algorithm : sha1 - Encryption Algorithm : aes-128-cbc - Lifetime : 28800 seconds - Phase 1 Negotiation Mode : main - Diffie-Hellman : Group 2 #2: IPsec Configuration Configure the IPsec SA as follows: Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24. - Protocol : esp - Authentication Algorithm : hmac-sha1-96 - Encryption Algorithm : aes-128-cbc - Lifetime : 3600 seconds - Mode : tunnel - Perfect Forward Secrecy : Diffie-Hellman Group 2 IPsec Dead Peer Detection (DPD) will be enabled on the AWS Endpoint. We recommend configuring DPD on your endpoint as follows: - DPD Interval : 10 - DPD Retries : 3 IPsec ESP (Encapsulating Security Payload) inserts additional headers to transmit packets. These headers require additional space, which reduces the amount of space available to transmit application data. To limit the impact of this behavior, we recommend the following configuration on your Customer Gateway: - TCP MSS Adjustment : 1387 bytes - Clear Don't Fragment Bit : enabled - Fragmentation : Before encryption #3: Tunnel Interface Configuration Your Customer Gateway must be configured with a tunnel interface that is associated with the IPsec tunnel. All traffic transmitted to the tunnel interface is encrypted and transmitted to the Virtual Private Gateway. The Customer Gateway and Virtual Private Gateway each have two addresses that relate to this IPsec tunnel. Each contains an outside address, upon which encrypted traffic is exchanged. Each also contain an inside address associated with the tunnel interface. The Customer Gateway outside IP address was provided when the Customer Gateway was created. Changing the IP address requires the creation of a new Customer Gateway. The Customer Gateway inside IP address should be configured on your tunnel interface. Outside IP Addresses: - Customer Gateway: : YOUR_UPLINK_ADDRESS - Virtual Private Gateway : 72.21.209.193 Inside IP Addresses - Customer Gateway : 169.254.255.2/30 - Virtual Private Gateway : 169.254.255.1/30 Configure your tunnel to fragment at the optimal size: - Tunnel interface MTU : 1436 bytes #4: Border Gateway Protocol (BGP) Configuration: The Border Gateway Protocol (BGPv4) is used within the tunnel, between the inside IP addresses, to exchange routes from the VPC to your home network. Each BGP router has an Autonomous System Number (ASN). Your ASN was provided to AWS when the Customer Gateway was created. BGP Configuration Options: - Customer Gateway ASN : YOUR_BGP_ASN - Virtual Private Gateway ASN : 7224 - Neighbor IP Address : 169.254.255.1 - Neighbor Hold Time : 30 Configure BGP to announce routes to the Virtual Private Gateway. The gateway will announce prefixes to your customer gateway based upon the prefix you assigned to the VPC at creation time. IPsec Tunnel #2 ===================================================== #1: Internet Key Exchange Configuration Configure the IKE SA as follows: Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2. You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24. The address of the external interface for your customer gateway must be a static address. Your customer gateway may reside behind a device performing network address translation (NAT). To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T. - IKE version : IKEv1 - Authentication Method : Pre-Shared Key - Pre-Shared Key : plain-text-password2 - Authentication Algorithm : sha1 - Encryption Algorithm : aes-128-cbc - Lifetime : 28800 seconds - Phase 1 Negotiation Mode : main - Diffie-Hellman : Group 2 #2: IPsec Configuration Configure the IPsec SA as follows: Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24. - Protocol : esp - Authentication Algorithm : hmac-sha1-96 - Encryption Algorithm : aes-128-cbc - Lifetime : 3600 seconds - Mode : tunnel - Perfect Forward Secrecy : Diffie-Hellman Group 2 IPsec Dead Peer Detection (DPD) will be enabled on the AWS Endpoint. We recommend configuring DPD on your endpoint as follows: - DPD Interval : 10 - DPD Retries : 3 IPsec ESP (Encapsulating Security Payload) inserts additional headers to transmit packets. These headers require additional space, which reduces the amount of space available to transmit application data. To limit the impact of this behavior, we recommend the following configuration on your Customer Gateway: - TCP MSS Adjustment : 1387 bytes - Clear Don't Fragment Bit : enabled - Fragmentation : Before encryption #3: Tunnel Interface Configuration Your Customer Gateway must be configured with a tunnel interface that is associated with the IPsec tunnel. All traffic transmitted to the tunnel interface is encrypted and transmitted to the Virtual Private Gateway. The Customer Gateway and Virtual Private Gateway each have two addresses that relate to this IPsec tunnel. Each contains an outside address, upon which encrypted traffic is exchanged. Each also contain an inside address associated with the tunnel interface. The Customer Gateway outside IP address was provided when the Customer Gateway was created. Changing the IP address requires the creation of a new Customer Gateway. The Customer Gateway inside IP address should be configured on your tunnel interface. Outside IP Addresses: - Customer Gateway: : YOUR_UPLINK_ADDRESS - Virtual Private Gateway : 72.21.209.193 Inside IP Addresses - Customer Gateway : 169.254.255.6/30 - Virtual Private Gateway : 169.254.255.5/30 Configure your tunnel to fragment at the optimal size: - Tunnel interface MTU : 1436 bytes " #4: Border Gateway Protocol (BGP) Configuration: The Border Gateway Protocol (BGPv4) is used within the tunnel, between the inside IP addresses, to exchange routes from the VPC to your home network. Each BGP router has an Autonomous System Number (ASN). Your ASN was provided to AWS when the Customer Gateway was created. BGP Configuration Options: - Customer Gateway ASN : YOUR_BGP_ASN - Virtual Private Gateway ASN : 7224 - Neighbor IP Address : 169.254.255.5 - Neighbor Hold Time : 30 Configure BGP to announce routes to the Virtual Private Gateway. The gateway will announce prefixes to your customer gateway based upon the prefix you assigned to the VPC at creation time.

カスタマーゲートウェイ設定をテストする方法

各トンネルに対して、ゲートウェイ設定をテストすることができます。

各トンネルのカスタマーゲートウェイ設定をテストするには

  1. カスタマーゲートウェイで、BGP ステータスが Active であるかどうかを確認します。

    BGP ピアがアクティブになるまでに約 30 秒かかります。

  2. カスタマーゲートウェイが仮想プライベートゲートウェイへのルートをアドバタイズしていることを確認します。このルートは、デフォルトルート (0.0.0.0/0) の場合と、任意で特定したルートの場合があります。

正しく設定されている場合、BGP ピアは、VPC 統合チームが VPC 用に指定したプレフィックス (たとえば、10.0.0.0/24) に対応する仮想プライベートゲートウェイから 1 つのルートを受け取ります。BGP ピアが確立された場合は、プレフィックスを受け取り、プレフィックスをアドバタイズして、トンネルが正しく設定されます。両方のトンネルがこの状態であることを確認します。

次に、VPC でインスタンスを起動し、ホームネットワークからインスタンスへの ping を実行して、各トンネルの接続をテストする必要があります。開始する前に、以下を確認してください。

  • ping リクエストに応答する AMI を使用します。Amazon Linux AMI のいずれかを使用することをお勧めします。

  • インスタンスのセキュリティグループとネットワーク ACL を設定し、インバウンド ICMP トラフィックを有効にします。

  • VPN 接続用のルーティングを設定していることを確認します。サブネットのルートテーブルに仮想プライベートゲートウェイへのルートが含まれている必要があります。詳細については、Amazon VPC ユーザーガイド の「ルートテーブルでルート伝達を有効にする」を参照してください。

各トンネルのエンドツーエンド接続をテストするには

  1. VPC で Amazon Linux AMI の 1 つのインスタンスを起動します。Amazon EC2 コンソールからインスタンスを起動すると、起動ウィザードのリストに Amazon Linux AMI が表示されます。詳細については、「Amazon VPC 入門ガイド」を参照してください。

  2. インスタンスが実行中になった後、そのプライベート IP アドレス (例えば 10.0.0.4) を取得します。 コンソールにインスタンスの詳細の一部としてアドレスが表示されます。

  3. ホームネットワークのシステムで、インスタンスの IP アドレスに対して ping コマンドを実行します。ping を実行するコンピューターがカスタマーゲートウェイの背後にないことを確認します。正常なレスポンスは次のようになります。

    ping 10.0.0.4
    Pinging 10.0.0.4 with 32 bytes of data: Reply from 10.0.0.4: bytes=32 time<1ms TTL=128 Reply from 10.0.0.4: bytes=32 time<1ms TTL=128 Reply from 10.0.0.4: bytes=32 time<1ms TTL=128 Ping statistics for 10.0.0.4: Packets: Sent = 3, Received = 3, Lost = 0 (0% loss), Approximate round trip times in milliseconds: Minimum = 0ms, Maximum = 0ms, Average = 0ms

    注記

    カスタマーゲートウェイルーターからインスタンスへの ping を実行する場合は、ping メッセージの送信元がトンネル IP アドレスではなく内部 IP アドレスになるようにしてください。一部の AMI は、トンネル IP アドレスからの ping メッセージに応答しません。

  4. (オプション) トンネル フェイルオーバーをテストするため、カスタマーゲートウェイのトンネルの 1 つを一時的に無効化し、上記の手順を繰り返すことができます。VPN 接続の AWS 側のトンネルを無効化することはできません。

トンネルのテストを正常に実施できない場合は、「ボーダーゲートウェイプロトコルを使用した一般的なデバイスのカスタマーゲートウェイ接続のトラブルシューティング」を参照してください。