翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS Site-to-Site VPN カスタマーゲートウェイデバイスのファイアウォールルール
カスタマーゲートウェイデバイスをエンドポイントに接続するIPsecトンネルの AWS Site-to-Site VPN エンドポイントとして使用するには、静的 IP アドレスが必要です。ファイアウォールが AWS とカスタマーゲートウェイデバイスの間に配置されている場合、IPsecトンネルを確立するために、次の表のルールを設定する必要があります。 AWS側の IP アドレスは設定ファイルにあります。
入力ルール I1 |
|
---|---|
[Source IP] (送信元 IP) |
Tunnel1 外部 IP |
送信先 IP |
カスタマーゲートウェイ |
[プロトコル] |
UDP |
ソースポート |
500 |
送信先 |
500 |
入力ルール I2 |
|
[Source IP] (送信元 IP) |
Tunnel2 外部 IP |
送信先 IP |
カスタマーゲートウェイ |
[プロトコル] |
UDP |
ソースポート |
500 |
発信先ポート |
500 |
入力ルール I3 |
|
[Source IP] (送信元 IP) |
Tunnel1 外部 IP |
送信先 IP |
カスタマーゲートウェイ |
[プロトコル] |
IP 50 (ESP) |
入力ルール I4 |
|
[Source IP] (送信元 IP) |
Tunnel2 外部 IP |
送信先 IP |
カスタマーゲートウェイ |
[プロトコル] |
IP 50 (ESP) |
出力ルール O1 |
|
---|---|
[Source IP] (送信元 IP) |
カスタマーゲートウェイ |
送信先 IP |
Tunnel1 外部 IP |
[プロトコル] |
UDP |
ソースポート |
500 |
発信先ポート |
500 |
出力ルール O2 |
|
[Source IP] (送信元 IP) |
カスタマーゲートウェイ |
送信先 IP |
Tunnel2 外部 IP |
[プロトコル] |
UDP |
ソースポート |
500 |
発信先ポート |
500 |
出力ルール O3 |
|
[Source IP] (送信元 IP) |
カスタマーゲートウェイ |
送信先 IP |
Tunnel1 外部 IP |
[プロトコル] |
IP 50 (ESP) |
出力ルール O4 |
|
[Source IP] (送信元 IP) |
カスタマーゲートウェイ |
送信先 IP |
Tunnel2 外部 IP |
[プロトコル] |
IP 50 (ESP) |
ルール I1, I2, O1、および O2 は、IKEパケットの送信を有効にします。ルール I3, I4, O3、および O4 は、暗号化されたネットワークトラフィックを含むIPsecパケットの送信を有効にします。
注記
デバイスでNATトラバーサル (NAT-T) を使用している場合は、ポート 4500 のUDPトラフィックもネットワークと AWS Site-to-Site VPN エンドポイント間で通過できることを確認してください。デバイスが NAT-T をアドバタイズしているかどうかを確認します。