AWS Site-to-Site VPN の開始方法

AWS Site-to-Site VPN 接続をセットアップするには、以下の手順を実行します。作成時に、ターゲットゲートウェイタイプに仮想プライベートゲートウェイ、トランジットゲートウェイで、または「関連付けられていない」を指定します。[関連付けなし] を指定する場合は、後でターゲットゲートウェイタイプを選択するか、AWS クラウド WAN に対し VPN アタッチメントとして使用することができます。このチュートリアルは、仮想プライベートゲートウェイを使用して VPN 接続を作成する方法について説明します。1 つ以上のサブネットを持つ既存の VPC があることを前提としています。

仮想プライベートゲートウェイを使用して VPN 接続を設定するには、以下のステップを実行します。

関連タスク

• AWSクラウド WAN の VPN 接続を作成するには、「AWS クラウド WAN の VPN アタッチメントを作成する」を参照してください。

• トランジットゲートウェイで VPN 接続を作成するには、「トランジットゲートウェイ VPN アタッチメントを作成する」を参照してください 。

前提条件

VPN 接続のコンポーネントを設定および構成するには、次の情報が必要です。

項目	情報
カスタマーゲートウェイデバイス	VPN 接続のお客様側にある物理デバイスまたはソフトウェアデバイス。ベンダー (Cisco など)、プラットフォーム (ISR シリーズルーターなど)、およびソフトウェアバージョン (IOS 12.4 など) が必要です。
カスタマーゲートウェイ	AWS でカスタマーゲートウェイリソースを作成するには、次の情報が必要です。 デバイスの外部インターフェイス用のインターネットルーティングが可能な IP アドレス。 ルーティングのタイプ: 静的または動的 動的ルーティングの場合、ボーダーゲートウェイプロトコル (BGP) 自律システム番号 (ASN) (オプション) VPN を認証するための AWS Private Certificate Authority のプライベート証明書 詳細については、「カスタマーゲートウェイのオプション」を参照してください。
(オプション) BGP セッションの AWS 側の ASN	これは、仮想プライベートゲートウェイまたは Transit Gateway を作成するときに指定します。値を指定していない場合、デフォルトの ASN が適用されます。詳細については、「仮想プライベートゲートウェイ」を参照してください。
VPN 接続	VPN 接続を作成するには、次の情報が必要です。 静的ルーティングの場合、プライベートネットワークの IP プレフィックス。 (オプション) 各 VPN トンネルのトンネルオプション。詳細については、「Site-to-Site VPN 接続のトンネルオプション」を参照してください。

ステップ 1: カスタマーゲートウェイを作成する

カスタマーゲートウェイは、カスタマーゲートウェイデバイスまたはソフトウェアアプリケーションに関する情報を AWS に提供します。詳細については、「カスタマーゲートウェイ」を参照してください。

プライベート証明書を使用して VPN を認証する場合は、AWS Private Certificate Authority を使用して下位 CA からプライベート証明書を作成します。プライベート証明書の作成の詳細については、AWS Private Certificate Authority ユーザーガイドの「プライベート CA の作成と管理」を参照してください。

注記

プライベート証明書の IP アドレスまたは Amazon リソース名を指定する必要があります。

コンソールを使用してカスタマーゲートウェイを作成するには

1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

2. ナビゲーションペインで、[カスタマーゲートウェイ] を選択します。

3. [カスタマーゲートウェイの作成]] を選択します。

4. (オプション) [名前] には、カスタマーゲートウェイの名前を入力します。これにより、Name というキーと指定した値を含むタグが作成されます。

5. [BGP ASN] に、カスタマーゲートウェイのボーダーゲートウェイプロトコル (BGP) 自律システム番号 (ASN) を入力します。

6. (オプション) [IP アドレス] に、カスタマーゲートウェイデバイスのインターネットルーティング可能な静的 IP アドレスを入力します。カスタマーゲートウェイデバイスが NAT-T が有効な NAT デバイスの内側にある場合は、NAT デバイスのパブリック IP アドレスを使用します。

7. (オプション) プライベート証明書を使用する場合は、[Certificate ARN (証明書 ARN)] で、プライベート証明書の Amazon リソース名を選択します。

8. (オプション) [デバイス] には、このカスタマーゲートウェイに関連するカスタマーゲートウェイデバイスの名前を入力します。

9. [カスタマーゲートウェイの作成]] を選択します。

コマンドラインまたは API を使用してカスタマーゲートウェイを作成するには

• CreateCustomerGateway (Amazon EC2 Query API)

• create-customer-gateway (AWS CLI)

• New-EC2CustomerGateway (AWS Tools for Windows PowerShell)

ステップ 2: ターゲットゲートウェイを作成する

VPC とオンプレミスネットワークの間に VPN 接続を確立するには、接続の AWS 側でターゲットゲートウェイを作成する必要があります。ターゲットゲートウェイは、仮想プライベートゲートウェイまたは Transit Gateway にすることができます。

仮想プライベートゲートウェイの作成

仮想プライベートゲートウェイを作成するときは、Amazon 側のゲートウェイのカスタムプライベート自律システム番号 (ASN) 指定するか、Amazon のデフォルト ASN を使用できます。ASN は、カスタマーゲートウェイに指定した ASN とは異なっている必要があります。

仮想プライベートゲートウェイを作成した後は、VPC にアタッチする必要があります。

仮想プライベートゲートウェイを作成して VPC にアタッチするには

1. ナビゲーションペインで [仮想プライベートゲートウェイ] を選択します。

2. [Create virtual private gateway] (仮想プライベートゲートウェイの作成) を選択します。

3. (オプション) [名前タグ] に仮想プライベートゲートウェイの名前を入力します。これにより、Name というキーと指定した値を含むタグが作成されます。

4. [AS 番号 (ASN)] では、デフォルトの選択を使用するために 、デフォルトの選択 [Amazon のデフォルト ASN] のままにします。それ以外の場合は、[カスタム ASN] を選択して値を入力します。16 ビット ASN では、値は 64512 から 65534 の範囲内である必要があります。32 ビット ASN では、値は 4200000000 から 4294967294 の範囲内である必要があります。

5. [Create virtual private gateway] (仮想プライベートゲートウェイの作成) を選択します。

6. 作成した仮想プライベートゲートウェイを選択した後、[Actions] (アクション)、[Attach to VPC] (VPC にアタッチ) の順に選択します。

7. [使用可能な VPC] で VPC を選択し、次に [VPC にアタッチ] を選択します。

コマンドラインまたは API を使用して仮想プライベートゲートウェイを作成するには

• CreateVpnGateway (Amazon EC2 Query API)

• create-vpn-gateway (AWS CLI)

• New-EC2VpnGateway (AWS Tools for Windows PowerShell)

コマンドラインまたは API を使用して仮想プライベートゲートウェイを VPC にアタッチするには

• AttachVpnGateway (Amazon EC2 Query API)

• attach-vpn-gateway (AWS CLI)

• Add-EC2VpnGateway (AWS Tools for Windows PowerShell)

Transit Gateway を作成する

Transit Gateway の作成の詳細については、Amazon VPC Transit Gatewayの「Transit Gateway」を参照してください。

ステップ 3: ルーティングを設定する

VPC のインスタンスがカスタマーゲートウェイに到達できるようにするには、VPN 接続で使用されるルートがルートテーブルに含まれるようにし、仮想プライベートゲートウェイまたはトランジットゲートウェイを指すように設定する必要があります。

(仮想プライベートゲートウェイ) ルートテーブルでルート伝播を有効にする

ルートテーブルのルート伝播を有効にして、Site-to-Site VPN ルートを自動的に伝播することができます。

静的ルーティングでは、VPN 接続の状態が UP であるときに、VPN 設定に指定した静的 IP プレフィックスがルートテーブルに伝播されます。同様に、動的なルーティングでは、VPN 接続の状態が UP のときに、カスタマーゲートウェイから BGP でアドバタイズされたルートがルートテーブルに伝播されます。

注記

接続が中断されても、VPN 接続が UP のままの場合、ルートテーブルにある伝播されたルートは自動的に削除されません。たとえば、トラフィックを静的ルートにフェイルオーバーする場合は、この点に注意してください。その場合、伝播されたルートを削除するには、ルートの伝播を無効にする必要があります。

コンソールを使用してルート伝達を有効にするには

1. ナビゲーションペインで、[Route tables] (ルートテーブル) を選択します。

2. サブネットに関連付けられたルートテーブルを選択します。

3. [ルート伝播] タブで、[ルート伝達の編集] を選択します。前の手順で作成した仮想プライベートキーファイルを選択してから、[保存] を選択します。

注記

ルート伝播を有効にしない場合、VPN 接続で使用される静的ルートを手動で入力する必要があります。これを行うには、ルートテーブルを選択し、[Routes]、[Edit] を選択します。[Destination (送信先)] では、Site-to-Site VPN 接続で使用される静的ルートを追加します。[Target] では、仮想プライベートゲートウェイ ID を選択し、[Save] を選択します。

コンソールを使用してルート伝達を無効にするには

1. ナビゲーションペインで、[Route tables] (ルートテーブル) を選択します。

2. サブネットに関連付けられたルートテーブルを選択します。

3. [ルート伝播] タブで、[ルート伝達の編集] を選択します。仮想プライベートゲートウェイの [伝播] チェックボックスをオフにします。

4. [Save (保存)] を選択します。

コマンドラインまたは API を使用してルート伝達を有効にするには

• EnableVgwRoutePropagation (Amazon EC2 Query API)

• enable-vgw-route-propagation（AWS CLI）

• Enable-EC2VgwRoutePropagation（AWS Tools for Windows PowerShell）

コマンドラインまたは API を使用してルート伝達を無効にするには

• DisableVgwRoutePropagation (Amazon EC2 Query API)

• disable-vgw-route-propagation（AWS CLI）

• Disable-EC2VgwRoutePropagation（AWS Tools for Windows PowerShell）

(Transit Gateway) ルートテーブルにルートを追加します

Transit Gateway のルートテーブルの伝播を有効にした場合、VPN アタッチメントのルートは Transit Gateway のルートテーブルに伝播されます。詳細については、Amazon VPC Transit Gatewaysの「ルーティング」を参照してください。

VPC を Transit Gateway にアタッチし、VPC 内のリソースがカスタマーゲートウェイに到達できるようにするには、サブネットルートテーブルにルートを追加して、Transit Gateway を指すようにする必要があります。

ルートを VPC ルートテーブルに追加するには

1. ナビゲーションペインで、[ルートテーブル] を選択します。

2. VPC に関連付けられているルートテーブルを選択します。

3. [Routes] タブで、[Edit routes] を選択します。

4. [Add Rule (ルートの追加)] を選択します。

5. [送信先] に、送信先の IP アドレス範囲を入力します。[Target (ターゲット)] で、Transit Gateway を選択します。

6. [Save changes] (変更の保存) をクリックします。

ステップ 4: セキュリティグループを更新する

ネットワークから VPC 内のインスタンスにアクセスするのを許可するには、セキュリティグループのルールを更新して、インバウンド SSH、RDP、および ICMP アクセスを有効にする必要があります。

セキュリティグループにルールを追加して、アクセスを有効にするには

1. ナビゲーションペインで、[Security Groups] (セキュリティグループ) を選択します。

2. VPC のデフォルトのセキュリティグループを選択します。

3. [インバウンドルール] タブで、[インバウンドルールの編集] を選択します。

4. ネットワークからのインバウンド SSH、RDP、ICMP アクセスを許可するルール追加し、[Save] を選択します。詳細については、「Amazon VPC ユーザーガイド」の「セキュリティグループの操作」を参照してください。

ステップ 5: VPN 接続を作成する

カスタマーゲートウェイと、前に作成した仮想プライベートゲートウェイまたは Transit Gateway を組み合わせて VPN 接続を作成します。

VPN 接続を作成するには

1. ナビゲーションペインで、[Site-to-Site VPN 接続] を選択します。

2. [Create VPN connection] (VPN 接続の作成) を選択します。

3. (オプション) [名前タグ] には、VPN 接続の名前を入力します。これにより、Name というキーと指定した値を含むタグが作成されます。

4. [Target gateway type] (ターゲットゲートウェイタイプ) で、[仮想プライベートゲートウェイ] または [Transit gateway] (転送ゲートウェイ) を選択します。次に、以前に作成した仮想プライベートゲートウェイまたは Transit Gateway を選択します。

5. [カスタマーゲートウェイ] で [既存] を選択し、[カスタマーゲートウェイ ID] から、前に作成したカスタマーゲートウェイを選択します。

6. カスタマーゲートウェイデバイスがボーダーゲートウェイプロトコル (BGP) をサポートしているかどうかに基づいて、ルーティングオプションのいずれかを選択します。

   • カスタマーゲートウェイデバイスが BGP をサポートしている場合は、[動的 (BGP が必要)] を選択します。

   • カスタマーゲートウェイデバイスが BGP をサポートしていない場合は、[静的] を選択します。[静的 IP プレフィックス] で、VPN 接続のプライベートネットワークのそれぞれの IP プレフィックスを指定します。

7. ターゲットゲートウェイタイプが転送ゲートウェイの場合、[トンネル内部 IP バージョン] で、VPN トンネルが IPv4 トラフィックをサポートするか、IPv6 トラフィックをサポートするかを指定します。IPv6 トラフィックは、Transit Gateway の VPN 接続でのみサポートされます。

8. [トンネル内部 IP バージョン] で [IPv4] を指定した場合は、オプションとして、カスタマーゲートウェイ側と AWS 側で VPN トンネルを介した通信を許可する IPv4 CIDR 範囲を指定できます。デフォルトは 0.0.0.0/0 です。

   [トンネル内部 IP バージョン] で [IPv6] を指定した場合は、オプションとして、カスタマーゲートウェイ側と AWS 側で VPN トンネルを介した通信を許可する IPv6 CIDR 範囲を指定できます。両方の範囲のデフォルトは ::/0 です。

9. [外部 IP アドレスのタイプ] については、デフォルトオプションの [PublicIpv4] のままにします。

10. (オプション) [トンネルオプション] では、トンネルごとに次の情報を指定できます。

    • トンネル内部 IPv4 アドレスの 169.254.0.0/16 範囲からサイズ /30 の IPv4 CIDR ブロック。

    • [トンネル内部 IP バージョン] で [IPv6] を指定した場合は、トンネル内部 IPv6 アドレスの fd00::/8 範囲から /126 の IPv6 CIDR ブロック。

    • IKE 事前共有キー (PSK)。IKEv1 または IKEv2 バージョンがサポートされています。

    • トンネルの詳細オプションを編集するには、[トンネルのオプションを編集する] を選択します。詳細については、「VPN トンネルオプション」を参照してください。

11. [Create VPN connection] (VPN 接続の作成) を選択します。VPN 接続の作成には数分かかる場合があります。

コマンドラインまたは API を使用して VPN 接続を作成するには

• CreateVpnConnection (Amazon EC2 Query API)

• create-vpn-connection (AWS CLI)

• New-EC2VpnConnection (AWS Tools for Windows PowerShell)

ステップ 6: 設定ファイルをダウンロードする

VPN 接続を作成した後、サンプル設定ファイルをダウンロードして、カスタマーゲートウェイデバイスを設定できます。

重要

設定ファイルはほんの一例です。ユーザーの想定する VPN 接続設定とすべては一致しない場合があります。これは、ほとんどの AWS リージョンで AES128、SHA1、および Diffie-Hellman グループ 2、AWS GovCloud リージョンで AES128、SHA2、および Diffie-Hellman グループ 14 の VPN 接続の最小要件を指定します。また、認証用の事前共有キーも指定します。追加のセキュリティアルゴリズム、Diffie-Hellman グループ、プライベート証明書、IPv6 トラフィックを活用するには、サンプル設定ファイルを変更する必要があります。

多くの一般的なカスタマーゲートウェイデバイスの設定ファイルに IKEv2 サポートが導入されており、時間の経過とともにファイルを追加していきます。IKEv2 をサポートする設定ファイルのリストは、「カスタマーゲートウェイデバイス」を参照してください。

許可

AWS Management Console から [設定のダウンロード] 画面を正しくロードするには、IAM ロールまたはユーザーが Amazon EC2 API、GetVpnConnectionDeviceTypes および GetVpnConnectionDeviceSampleConfiguration に対する許可を持っていることを確認する必要があります。

コンソールを使用して設定ファイルをダウンロードするには

1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

2. ナビゲーションペインで、[Site-to-Site VPN 接続] を選択します。

3. VPN 接続を選択してから、[設定をダウンロード] を選択します。

4. カスタマーゲートウェイデバイスに対応する [ベンダー]、[プラットフォーム]、[ソフトウェア] および [IKE バージョン] を選択します。デバイスが一覧にない場合は、[Generic (汎用)] を選択します。

5. [Download] を選択します。

コマンドラインまたは API を使用して、サンプル設定ファイルをダウンロードするには

• GetVpnConnectionDeviceTypes (Amazon EC2 クエリ API)

• GetVpnConnectionDeviceSampleConfiguration (Amazon EC2 クエリ API)

• get-vpn-connection-device-types (AWS CLI)

• get-vpn-connection-device-sample-configuration (AWS CLI)

ステップ 7: カスタマーゲートウェイデバイスを設定する

サンプル設定ファイルを使用して、カスタマーゲートウェイデバイスを設定します。カスタマーゲートウェイデバイスは、VPN 接続のお客様側の物理アプライアンスまたはソフトウェアアプライアンスです。詳細については、「カスタマーゲートウェイデバイス」を参照してください。