Amazon Virtual Private Cloud
ネットワーク管理者ガイド

例: ボーダーゲートウェイプロトコルを使用しない一般的なカスタマーゲートウェイ

このガイドでこれまで説明したタイプとは異なるカスタマーゲートウェイを使用する場合、任意のカスタマーゲートウェイの設定に使用できる一般的な情報は、統合チームから提供可能です。このセクションでは、その情報の例を紹介します。

2 つの図で設定例を紹介します。最初の図はカスタマーゲートウェイのレイアウトの概要を表し、2 番目の図はこの設定例の詳細を表しています。統合チームから受け取った実際の設定情報を使用して、カスタマーゲートウェイに適用する必要があります。

カスタマーゲートウェイの概要

次の図は、カスタマーゲートウェイの全般的な説明を示しています。VPN 接続は 2 つの個別のトンネル (Tunnel 1Tunnel 2) で構成されています。冗長なトンネルを使用することで、デバイス障害の発生時にも可用性を継続的に維持できます。


          一般的な概要図

カスタマーゲートウェイの詳細と設定例

このセクションの図は、VPN 接続に静的ルーティングを使用する一般的なカスタマーゲートウェイを示しています。このゲートウェイは動的ルーティング、つまり BGP (Border Gateway Protocol) をサポートしていません。図の後には、統合チームから提供される設定情報の対応する例が示されています。この設定例には、2 個のトンネルに設定する必要のある一連の情報が含まれています。

さらに、指定する必要がある以下の項目についても示されています。

  • YOUR_UPLINK_ADDRESS — カスタマーゲートウェイ上のインターネットルーティングが可能な外部インターフェイスの IP アドレス。このアドレスは静的である必要があります。また、ネットワークアドレス変換 (NAT) を実行するデバイスの背後のアドレスを使用することができます。NAT トラバーサル (NAT-T) を正しく機能させるには、UDP ポート 4500 のブロックを解除するようにファイアウォールのルールを調整する必要があります。

この設定例には、設定がどのように機能するかを理解するために役立つサンプル値が含まれています。たとえば、VPN 接続 ID (vpn-44a8938f)、仮想プライベートゲートウェイ ID (vgw-8db04f81)、VGW IP アドレス (72.21.209.*、169.254.255.*) です。これらのサンプル値を、受け取った設定情報に含まれる実際の値で置き換えます。

次の図および設定例では、イタリックの赤い文字の項目を、特定の設定に適用される値で置き換える必要があります。


          一般的な詳細図

重要

以下の設定情報の例は、統合チームから提供されることが想定される内容です。この例に示された値の多くは、実際に受け取る設定情報とは異なります。ここに示されるサンプル値ではなく、実際の値を使用する必要があります。そうしないと、実装が失敗します。

Amazon Web Services Virtual Private Cloud VPN Connection Configuration ================================================================================ AWS utilizes unique identifiers to manipulate the configuration of a VPN Connection. Each VPN Connection is assigned a VPN Connection Identifier and is associated with two other identifiers, namely the Customer Gateway Identifier and the Virtual Private Gateway Identifier. Your VPN Connection ID : vpn-44a8938f Your Virtual Private Gateway ID : vgw-8db04f81 Your Customer Gateway ID : cgw-ff628496 A VPN Connection consists of a pair of IPSec tunnel security associations (SAs). It is important that both tunnel security associations be configured. IPSec Tunnel #1 ================================================================================ #1: Internet Key Exchange Configuration Configure the IKE SA as follows Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2. You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24. The address of the external interface for your customer gateway must be a static address. Your customer gateway may reside behind a device performing network address translation (NAT). To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T. - IKE version : IKEv1 - Authentication Method : Pre-Shared Key - Pre-Shared Key : PRE-SHARED-KEY-IN-PLAIN-TEXT - Authentication Algorithm : sha1 - Encryption Algorithm : aes-128-cbc - Lifetime : 28800 seconds - Phase 1 Negotiation Mode : main - Diffie-Hellman : Group 2 #2: IPSec Configuration Configure the IPSec SA as follows: Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24. - Protocol : esp - Authentication Algorithm : hmac-sha1-96 - Encryption Algorithm : aes-128-cbc - Lifetime : 3600 seconds - Mode : tunnel - Perfect Forward Secrecy : Diffie-Hellman Group 2 IPSec Dead Peer Detection (DPD) will be enabled on the AWS Endpoint. We recommend configuring DPD on your endpoint as follows: - DPD Interval : 10 - DPD Retries : 3 IPSec ESP (Encapsulating Security Payload) inserts additional headers to transmit packets. These headers require additional space, which reduces the amount of space available to transmit application data. To limit the impact of this behavior, we recommend the following configuration on your Customer Gateway: - TCP MSS Adjustment : 1387 bytes - Clear Don't Fragment Bit : enabled - Fragmentation : Before encryption #3: Tunnel Interface Configuration Your Customer Gateway must be configured with a tunnel interface that is associated with the IPSec tunnel. All traffic transmitted to the tunnel interface is encrypted and transmitted to the Virtual Private Gateway. The Customer Gateway and Virtual Private Gateway each have two addresses that relate to this IPSec tunnel. Each contains an outside address, upon which encrypted traffic is exchanged. Each also contain an inside address associated with the tunnel interface. The Customer Gateway outside IP address was provided when the Customer Gateway was created. Changing the IP address requires the creation of a new Customer Gateway. The Customer Gateway inside IP address should be configured on your tunnel interface. Outside IP Addresses: - Customer Gateway : YOUR_UPLINK_ADDRESS - Virtual Private Gateway : 72.21.209.193 Inside IP Addresses - Customer Gateway : 169.254.255.74/30 - Virtual Private Gateway : 169.254.255.73/30 Configure your tunnel to fragment at the optimal size: - Tunnel interface MTU : 1436 bytes #4: Static Routing Configuration: To route traffic between your internal network and your VPC, you will need a static route added to your router. Static Route Configuration Options: - Next hop : 169.254.255.73 You should add static routes towards your internal network on the VGW. The VGW will then send traffic towards your internal network over the tunnels. IPSec Tunnel #2 ================================================================================ #1: Internet Key Exchange Configuration Configure the IKE SA as follows: Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2. You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24. The address of the external interface for your customer gateway must be a static address. Your customer gateway may reside behind a device performing network address translation (NAT). To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T. - IKE version : IKEv1 - Authentication Method : Pre-Shared Key - Pre-Shared Key : PRE-SHARED-KEY-IN-PLAIN-TEXT - Authentication Algorithm : sha1 - Encryption Algorithm : aes-128-cbc - Lifetime : 28800 seconds - Phase 1 Negotiation Mode : main - Diffie-Hellman : Group 2 #2: IPSec Configuration Configure the IPSec SA as follows: Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24. - Protocol : esp - Authentication Algorithm : hmac-sha1-96 - Encryption Algorithm : aes-128-cbc - Lifetime : 3600 seconds - Mode : tunnel - Perfect Forward Secrecy : Diffie-Hellman Group 2 IPSec Dead Peer Detection (DPD) will be enabled on the AWS Endpoint. We recommend configuring DPD on your endpoint as follows: - DPD Interval : 10 - DPD Retries : 3 IPSec ESP (Encapsulating Security Payload) inserts additional headers to transmit packets. These headers require additional space, which reduces the amount of space available to transmit application data. To limit the impact of this behavior, we recommend the following configuration on your Customer Gateway: - TCP MSS Adjustment : 1387 bytes - Clear Don't Fragment Bit : enabled - Fragmentation : Before encryption #3: Tunnel Interface Configuration Your Customer Gateway must be configured with a tunnel interface that is associated with the IPSec tunnel. All traffic transmitted to the tunnel interface is encrypted and transmitted to the Virtual Private Gateway. The Customer Gateway and Virtual Private Gateway each have two addresses that relate to this IPSec tunnel. Each contains an outside address, upon which encrypted traffic is exchanged. Each also contain an inside address associated with the tunnel interface. The Customer Gateway outside IP address was provided when the Customer Gateway was created. Changing the IP address requires the creation of a new Customer Gateway. The Customer Gateway inside IP address should be configured on your tunnel interface. Outside IP Addresses: - Customer Gateway : YOUR_UPLINK_ADDRESS - Virtual Private Gateway : 72.21.209.225 Inside IP Addresses - Customer Gateway : 169.254.255.78/30 - Virtual Private Gateway : 169.254.255.77/30 Configure your tunnel to fragment at the optimal size: - Tunnel interface MTU : 1436 bytes #4: Static Routing Configuration: To route traffic between your internal network and your VPC, you will need a static route added to your router. Static Route Configuration Options: - Next hop : 169.254.255.77 You should add static routes towards your internal network on the VGW. The VGW will then send traffic towards your internal network over the tunnels.

カスタマーゲートウェイ設定をテストする方法

各トンネルに対して、最初にゲートウェイ設定をテストする必要があります。

各トンネルのカスタマーゲートウェイ設定をテストするには

  • カスタマーゲートウェイで、トンネルインターフェイスを使用する VPC CIDR IP 空間への静的ルートが追加されていることを確認します。

次に、VPC でインスタンスを起動し、ホームネットワークからインスタンスへの ping を実行して、各トンネルの接続をテストする必要があります。開始する前に、以下を確認してください。

  • ping リクエストに応答する AMI を使用します。Amazon Linux AMI のいずれかを使用することをお勧めします。

  • インスタンスのセキュリティグループとネットワーク ACL を設定し、インバウンド ICMP トラフィックを有効にします。

  • VPN 接続用のルーティングを設定していることを確認します。サブネットのルートテーブルに仮想プライベートゲートウェイへのルートが含まれている必要があります。詳細については、『Amazon VPC ユーザーガイド』の「ルートテーブルでルート伝達を有効にする」を参照してください。

各トンネルのエンドツーエンド接続をテストするには

  1. VPC で Amazon Linux AMI の 1 つのインスタンスを起動します。AWS マネジメントコンソールの [Launch Instances Wizard] を使用すると、[Quick Start] メニューで Amazon Linux AMI を利用できます。詳細については、『Amazon VPC 入門ガイド』を参照してください。

  2. インスタンスが実行中になった後、そのプライベート IP アドレス(たとえば 10.0.0.4)を取得します。コンソールにインスタンスの詳細の一部としてアドレスが表示されます。

  3. ホームネットワークのシステムで、インスタンスの IP アドレスに対して ping コマンドを実行します。ping を実行するコンピューターがカスタマーゲートウェイの背後にないことを確認します。正常なレスポンスは次のようになります。

    PROMPT> ping 10.0.0.4 Pinging 10.0.0.4 with 32 bytes of data: Reply from 10.0.0.4: bytes=32 time<1ms TTL=128 Reply from 10.0.0.4: bytes=32 time<1ms TTL=128 Reply from 10.0.0.4: bytes=32 time<1ms TTL=128 Ping statistics for 10.0.0.4: Packets: Sent = 3, Received = 3, Lost = 0 (0% loss), Approximate round trip times in milliseconds: Minimum = 0ms, Maximum = 0ms, Average = 0ms

注記

カスタマーゲートウェイルーターからインスタンスへの ping を実行する場合は、ping メッセージの送信元がトンネル IP アドレスではなく内部 IP アドレスになるようにしてください。一部の AMI は、トンネル IP アドレスからの ping メッセージに応答しません。

トンネルのテストを正常に実施できない場合は、「ボーダーゲートウェイプロトコルを使用した一般的なデバイスのカスタマーゲートウェイ接続のトラブルシューティング」を参照してください。