クライアント VPN エンドポイント - AWS クライアント VPN

クライアント VPN エンドポイント

すべてのクライアント VPN セッションは、クライアント VPN エンドポイントで終了します。クライアント VPN エンドポイントによってすべてのクライアント VPN セッションが管理、制御されるよう設定を行います。

クライアント VPN エンドポイントを作成する

クライアントが VPN セッションを確立できるようにするには、クライアント VPN エンドポイントを作成します。

クライアント VPN は、該当するターゲットネットワークがプロビジョニングされているのと同じ AWS アカウントに作成する必要があります。

前提条件

作業を開始する前に、次のことを必ず実行してください。

クライアント VPN エンドポイントを作成するには (コンソール)

  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで [Client VPN Endpoint (クライアント VPN エンドポイント)] を選択し、[Create Client VPN Endpoint (クライアント VPN エンドポイントの作成)] を選択します。

  3. (オプション) クライアント VPN エンドポイントの名前タグと説明を入力します。

  4. [Client IPv4 CIDR] (クライアント IPv4 CIDR) に、クライアント IP アドレスを割り当てる IP アドレス範囲を CIDR 表記で指定します。例えば、10.0.0.0/22 です。

    注記

    IP アドレス範囲は、ターゲットネットワークのアドレス範囲、VPC のアドレス範囲、またはクライアント VPN エンドポイントに関連付けられるルートと重複できません。クライアントアドレス範囲は /22 以上で、/12 CIDR ブロックサイズを超えないようにする必要があります。クライアント VPN エンドポイントの作成後にクライアントのアドレス範囲を変更することはできません。

  5. [Server certificate ARN (サーバー証明書 ARN)] に、サーバーによって使用される TLS 証明書の ARN を指定します。クライアントは、接続先のクライアント VPN エンドポイントを認証するためにサーバー証明書を使用します。

    注記

    サーバー証明書は、クライアント VPN エンドポイントを作成しているリージョンの AWS Certificate Manager(ACM)に存在する必要があります。証明書は ACM でプロビジョニングするか、ACM にインポートすることができます。

  6. VPN 接続を確立するとき、クライアントを認証するために使用する認証方法を指定します。認証方法を選択する必要があります。

    • ユーザーベースの認証を使用するには、[ユーザーベースの認証を使用] を選択し、次のいずれかを選択します。

      • Active Directory 認証: Active Directory 認証の場合はこのオプションを選択します。[ディレクトリ ID] には、使用する Active Directory の ID を指定します。

      • フェデレーション認証: SAML ベースのフェデレーション認証の場合は、このオプションを選択します。

        [SAML プロバイダー ARN] には、IAM SAML ID プロバイダーの ARN を指定します。

        (オプション) [Self-service SAML provider ARN (セルフサービス SAML プロバイダー ARN)] で、セルフサービスポータルをサポートするために作成した IAM SAML ID プロバイダーの ARN を指定します (該当する場合)。

    • 相互証明書認証を使用するには、[Use mutual authentication] (相互認証の使用) を選択し、[Client certificate ARN] (クライアント証明書 ARN) で AWS Certificate Manager (ACM) でプロビジョニングしたクライアント証明書の ARN を指定します。

      注記

      サーバー証明書とクライアントの証明書が同じ認証機関 (CA) によって発行されている場合、サーバーとクライアントの両方に対してサーバー証明書 ARN を使用できます。クライアント証明書が別の CA によって発行された場合は、クライアント証明書 ARN を指定する必要があります。

  7. (オプション) [Connection logging] (接続ログ) で、Amazon CloudWatch Logs を使用してクライアント接続に関するデータをログに記録するかどうかを指定します。[Enable log details on client connections] (クライアント接続の詳細のログを有効にする) をオンにします。[CloudWatch Logs ロググループ名] に、使用するロググループの名前を入力します。[CloudWatch Logs ログストリーム名] に、使用するログストリームの名前を入力するか、このオプションを空白のままにしておくとログストリームが自動的に作成されます。

  8. (オプション) クライアント VPN エンドポイントへの新しい接続を許可または拒否するカスタムコードを実行するには、[Client Connect Handler] (クライアント接続ハンドラー) で、[Enable client connect handler] (クライアント接続ハンドラーを有効にする) をオンにします。[Client Connect Handler ARN (クライアント接続ハンドラー ARN)] で、接続を許可または拒否するロジックを含む Lambda 関数の Amazon リソースネーム (ARN) を指定します。

  9. (オプション) DNS 解決に使用する DNS サーバーを指定します。カスタム DNS サーバーを使用するには、[DNS Server 1 IP address (DNS サーバー 1 IP アドレス)] と [DNS Server 2 IP address (DNS サーバー 2 IP アドレス)] に、使用する DNS サーバーの IP アドレスを指定します。VPC DNS サーバーを使用するには、[DNS Server 1 IP address (DNS サーバー 1 IP アドレス)] または [DNS Server 2 IP address (DNS サーバー 2 IP アドレス)] のいずれかに IP アドレスを指定し、VPC DNS サーバー IP アドレスを追加します。

    注記

    クライアントが DNS サーバーに到達できることを確認します。

  10. (オプション) デフォルトでは、クライアント VPN エンドポイントは UDP 転送プロトコルを使用します。代わりに TCP トランスポートプロトコルを使用するには、[Transport Protocol (トランスポートプロトコル)] の [TCP] を選択します。

    注記

    UDP は通常、TCP よりも優れたパフォーマンスが得られます。クライアント VPN エンドポイントを作成した後で、トランスポートプロトコルを変更することはできません。

  11. (オプション) エンドポイントをスプリットトンネルクライアント VPN エンドポイントにするには、[Enable split-tunnel] (スプリットトンネルを有効にする) をオンにします。デフォルトでは、Client VPN エンドポイントの分割トンネルは無効になっています。

  12. (オプション) [VPC ID] で、クライアント VPN エンドポイントに関連付ける VPC を選択します。[セキュリティグループ ID] で、クライアント VPN エンドポイントに適用する VPC のセキュリティグループを 1 つ以上選択します。

  13. (オプション) [VPN port (VPN ポート)] で、VPN ポート番号を選択します。デフォルトは 443 です。

  14. (オプション) クライアントのセルフサービスポータルの URL を生成するには、[Enable self-service portal] (セルフサービスポータルを有効にする) を選択します。

  15. (オプション) [Session timeout hours] (セッションタイムアウト時間) で、使用可能なオプションから希望する最大 VPN セッション継続時間を時間単位で選択するか、デフォルトの 24 時間のままにしておきます。

  16. (オプション) クライアントログインバナーテキストを有効にするか指定します。[Enable client login banner] (クライアントログインバナーを有効にする) をオンにします。[Client login banner text] (クライアントログインバナーテキスト) に、VPN セッションが確立されたときに AWS が提供するクライアントのバナーに表示されるテキストを入力します。UTF-8 でエンコードされた文字のみ。最大 1400 文字。

  17. [Create Client VPN endpoint] (クライアント VPN エンドポイントの作成) を選択します。

クライアント VPN エンドポイントを作成したら、次の手順を実行して設定を完了し、クライアントが接続できるようにします。

  • クライアント VPN エンドポイントの初期状態は pending-associate です。最初のターゲットネットワークを関連付けて初めて、クライアントがクライアント VPN エンドポイントに接続できるようになります。

  • 承認ルールを作成して、ネットワークにアクセスできるクライアントを指定します。

  • クライアントに配布するクライアント VPN エンドポイント設定ファイルをダウンロードして準備します。

  • AWS 提供のクライアントまたは別の OpenVPN ベースのクライアントアプリケーションを使用して、クライアント VPN エンドポイントに接続するようクライアントに指定します。詳細については、AWS Client VPN ユーザーガイドを参照してください。

クライアント VPN エンドポイントを作成するには (AWS CLI)

create-client-vpn-endpoint コマンドを使用します。

クライアント VPN エンドポイントを変更する

クライアント VPN を作成した後、次の設定を変更できます。

  • 説明

  • サーバー証明書

  • クライアント接続ログオプション

  • クライアント接続ハンドラーのオプション

  • DNS サーバー

  • スプリットトンネルオプション

  • ルート (分割トンネルオプションを使用する場合)

  • 証明書失効リスト (CRL)

  • 承認ルール

  • VPC とセキュリティグループの関連付け

  • VPN ポート番号

  • セルフサービスポータルオプション

  • VPN セッションの最大継続時間

  • クライアントログインバナーテキストを有効または無効にする

  • クライアントログインバナーテキスト

注記

Client VPN エンドポイントへの変更 (証明書失効リスト (CRL) の変更を含む) は、Client VPN サービスによってリクエストが受け入れられてから 4 時間以内に有効になります。

クライアント VPN エンドポイントの作成後に、クライアントの IPv4 CIDR 範囲、認証オプション、クライアント証明書またはトランスポートプロトコルを変更することはできません。

クライアント VPN エンドポイントで次のいずれかのパラメータを変更すると、接続がリセットされます。

  • サーバー証明書

  • DNS サーバー

  • スプリットトンネルオプション (サポートをオンまたはオフ)

  • ルート (スプリットトンネルオプションを使用する場合)

  • 証明書失効リスト (CRL)

  • 承認ルール

  • VPN ポート番号

コンソールまたは AWS CLI を使用して、クライアント VPN エンドポイントを変更できます。

クライアント VPN エンドポイントを変更するには (コンソール)

  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで、[Client VPN Endpoints] (クライアント VPN エンドポイント) を選択します。

  3. 変更するクライアント VPN エンドポイントを選択し、[Action] (アクション)、[Modify Client VPN endpoint] (クライアント VPN エンドポイントの変更) の順に選択します。

  4. (オプション) [Description] (説明) で、クライアント VPN エンドポイントの簡単な説明を入力します。

  5. [Server certificate ARN (サーバー証明書 ARN)] に、サーバーによって使用される TLS 証明書の ARN を指定します。クライアントは、接続先のクライアント VPN エンドポイントを認証するためにサーバー証明書を使用します。

    注記

    サーバー証明書は、クライアント VPN エンドポイントを作成しているリージョンの AWS Certificate Manager(ACM)に存在する必要があります。証明書は ACM でプロビジョニングするか、ACM にインポートすることができます。

  6. Amazon CloudWatch Logs を使用してクライアント接続に関するデータをログに記録するかどうかを指定します。[Enable log details on client connections] (クライアント接続の詳細のログを有効にする) で、次のいずれかの操作を行います。

    • クライアント接続のログを有効にするには、[Enable log details on client connections] (クライアント接続の詳細なログを有効にする) をオンにします。[CloudWatch Logs log group name] (CloudWatch Logs ロググループ名) で、使用するロググループの名前を選択します。[CloudWatch Logs log stream name] (CloudWatch Logs ログストリーム名) で、使用するログストリームの名前を選択します。または、このオプションを空白のままにしておくと、ログストリームが自動的に作成されます。

    • クライアント接続のログを無効にするには、[Enable log details on client connections] (クライアント接続の詳細なログを有効にする) をオフにします。

  7. [Client connect handler] (クライアント接続ハンドラー) で、クライアント接続ハンドラーを有効にするには、[Enable client connect handler] (クライアント接続ハンドラーを有効にする) をオンにします。[Client Connect Handler ARN (クライアント接続ハンドラー ARN)] で、接続を許可または拒否するロジックを含む Lambda 関数の Amazon リソースネーム (ARN) を指定します。

  8. [Enable DNS servers] (DNS サーバーを有効にする) をオンまたはオフにします。カスタム DNS サーバーを使用するには、[DNS Server 1 IP address (DNS サーバー 1 IP アドレス)] と [DNS Server 2 IP address (DNS サーバー 2 IP アドレス)] に、使用する DNS サーバーの IP アドレスを指定します。VPC DNS サーバーを使用するには、[DNS Server 1 IP address (DNS サーバー 1 IP アドレス)] または [DNS Server 2 IP address (DNS サーバー 2 IP アドレス)] のいずれかに IP アドレスを指定し、VPC DNS サーバー IP アドレスを追加します。

    注記

    クライアントが DNS サーバーに到達できることを確認します。

  9. [Enable split-tunnel] (分割トンネルを有効にする) をオンまたはオフにします。デフォルトでは、VPN エンドポイントの分割トンネルは無効です。

  10. [VPC ID] で、クライアント VPN エンドポイントに関連付ける VPC を選択します。[セキュリティグループ ID] で、クライアント VPN エンドポイントに適用する VPC のセキュリティグループを 1 つ以上選択します。

  11. [VPN port] (VPN ポート) で、VPN ポート番号を選択します。デフォルトは 443 です。

  12. クライアントのセルフサービスポータルの URL を生成するには、[Enable self-service portal] (セルフサービスポータルを有効にする) をオンにします。

  13. [Session timeout hours] (セッションタイムアウト時間) で、使用可能なオプションから目的の最大 VPN セッション継続時間 (時間単位) を選択するか、デフォルトの 24 時間のままに設定しておきます。

  14. [Enable client login banner] (クライアントログインバナーを有効にする) をオンまたはオフにします。クライアントログインバナーを使用する場合は、VPN セッションが確立されたときに AWS が提供するクライアントのバナーに表示されるテキストを入力します。UTF-8 でエンコードされた文字のみ。最大 1400 文字。

  15. [Modify Client VPN endpoint] (クライアント VPN エンドポイントの変更) を選択します。

クライアント VPN エンドポイントを変更するには (AWS CLI)

modify-client-vpn-endpoint コマンドを使用します。

クライアント VPN エンドポイントを表示する

コンソールまたは AWS CLI を使用して、クライアント VPN エンドポイントに関する情報を表示できます。

クライアント VPN エンドポイントルートを表示するには (コンソール)

  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで、[Client VPN Endpoints] (クライアント VPN エンドポイント) を選択します。

  3. 表示するクライアント VPN エンドポイントを選択します。

  4. [Details] (詳細)、[Target network associations] (ターゲットネットワーク関連付け)、[Security groups] (セキュリティグループ)、[Authorization rules] (認可ルール)、[Route table] (ルートテーブル)、[Connections] (接続)、および [Tags] (タグ) タブを使用して、既存のクライアント VPN エンドポイントに関する情報を表示します。

    フィルターを使用して、検索を絞り込むこともできます。

クライアント VPN エンドポイントを表示するには (AWS CLI)

describe-client-vpn-endpoints コマンドを使用します。

クライアント VPN エンドポイントを削除する

クライアント VPN エンドポイントを削除する前に、すべてのターゲットネットワークの関連付けを解除する必要があります。クライアント VPN エンドポイントを削除すると、そのステータスは deleting に変わり、クライアントが接続できなくなります。

コンソールまたは AWS CLI を使用して、クライアント VPN エンドポイントを削除できます。

クライアント VPN エンドポイントを削除するには (コンソール)

  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで、[Client VPN Endpoints] (クライアント VPN エンドポイント) を選択します。

  3. 削除するクライアント VPN エンドポイントを選択します。[Actions] (アクション)、[Delete Client VPN endpoint] (クライアント VPN エンドポイントの削除) の順に選択します。

  4. 確認ウィンドウに delete と入力して、[Delete] (削除) を選択します。

クライアント VPN エンドポイントを削除するには (AWS CLI)

delete-client-vpn-endpoint コマンドを使用します。