開始方法 - AWS Site-to-Site VPN

開始方法

AWS Site-to-Site VPN 接続を手動でセットアップするには、以下の手順を実行します。仮想プライベートゲートウェイまたはトランジットゲートウェイをターゲットゲートウェイとして使用して、Site-to-Site VPN 接続を作成できます。

Site-to-Site VPN 接続を設定するには、次のステップを実行します。

この手順では、1 つ以上のサブネットのある VPC があるものと仮定しています。

トランジットゲートウェイで Site-to-Site VPN 接続を作成するステップについては、「トランジットゲートウェイ VPN アタッチメントの作成」を参照してください 。

前提条件

Site-to-Site VPN 接続のコンポーネントを設定および構成するには、次の情報が必要です。

項目 情報
カスタマーゲートウェイデバイス VPN 接続のお客様側にある物理デバイスまたはソフトウェアデバイス。ベンダー (Cisco など)、プラットフォーム (ISR シリーズルーターなど)、およびソフトウェアバージョン (IOS 12.4 など) が必要です。
カスタマーゲートウェイ AWS でカスタマーゲートウェイリソースを作成するには、次の情報が必要です。
  • デバイスの外部インターフェイス用のインターネットルーティングが可能な IP アドレス。

  • ルーティングのタイプ: 静的または動的

  • 動的ルーティングの場合、ボーダーゲートウェイプロトコル (BGP) 自律システム番号 (ASN)

  • (オプション) VPN を認証するための AWS Certificate Manager Private Certificate Authority のプライベート証明書

詳細については、「Site-to-Site VPN 接続のカスタマーゲートウェイのオプション」を参照してください。

(オプション) BGP セッションの AWS 側の ASN

これは、仮想プライベートゲートウェイまたはトランジットゲートウェイを作成するときに指定します。値を指定していない場合、デフォルトの ASN が適用されます。詳細については、「仮想プライベートゲートウェイ」を参照してください。

VPN 接続 VPN 接続を作成するには、次の情報が必要です。
  • 静的ルーティングの場合、プライベートネットワークの IP プレフィックス。

  • (オプション) 各 VPN トンネルのトンネルオプション。詳細については、「Site-to-Site VPN 接続用のトンネルオプション」を参照してください。

カスタマーゲートウェイを作成する

カスタマーゲートウェイは、カスタマーゲートウェイデバイスまたはソフトウェアアプリケーションに関する情報を AWS に提供します。詳細については、「カスタマーゲートウェイ」を参照してください。

プライベート証明書を使用して VPN を認証する場合は、AWS Certificate Manager Private Certificate Authority を使用して下位 CA からプライベート証明書を作成します。プライベート証明書の作成の詳細については、AWS Certificate Manager Private Certificate Authority ユーザーガイドの「プライベート CA の作成と管理」を参照してください。

注記

プライベート証明書の IP アドレスまたは Amazon リソース名を指定する必要があります。

コンソールを使用してカスタマーゲートウェイを作成するには

  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで [Customer Gateways] を選択してから、[Create Customer Gateway] をクリックします。

  3. 以下を入力し、[Create Customer Gateway] を選択します。

    • (オプション) [名前] には、カスタマーゲートウェイの名前を入力します。これにより、Name というキーと指定した値を含むタグが作成されます。

    • [Routing] では、ルーティングタイプを選択します。

    • 動的ルーティングの場合、[BGP ASN] に、ボーダーゲートウェイプロトコル (BGP) 自律システム番号 (ASN) を入力します。

    • (オプション) [IP アドレス] に、カスタマーゲートウェイデバイスのインターネットルーティング可能な静的 IP アドレスを入力します。カスタマーゲートウェイが NAT-T が有効な NAT デバイスの内側にある場合は、NAT デバイスのパブリック IP アドレスを使用します。

    • (オプション) プライベート証明書を使用する場合は、[Certificate ARN (証明書 ARN)] で、プライベート証明書の Amazon リソース名を選択します。

コマンドラインまたは API を使用してカスタマーゲートウェイを作成するには

ターゲットゲートウェイを作成する

VPC とオンプレミスネットワークの間に VPN 接続を確立するには、接続の AWS 側でターゲットゲートウェイを作成する必要があります。ターゲットゲートウェイは、仮想プライベートゲートウェイまたはトランジットゲートウェイにすることができます。

仮想プライベートゲートウェイの作成

仮想プライベートゲートウェイを作成するとき、オプションで、Amazon 側のゲートウェイのプライベート自律システム番号 (ASN) 指定できます。ASN は、カスタマーゲートウェイに指定した BGP ASN とは異なっている必要があります。

仮想プライベートゲートウェイを作成した後は、VPC にアタッチする必要があります。

仮想プライベートゲートウェイを作成して VPC にアタッチするには

  1. ナビゲーションペインで、[Virtual Private Gateways]、[Create Virtual Private Gateway] を選択します。

  2. (オプション) 仮想プライベートゲートウェイの名前を入力します。これにより、Name というキーと指定した値を含むタグが作成されます。

  3. [ASN] では、デフォルトの Amazon ASN を使用するためにデフォルトの選択のままにします。それ以外の場合は、[カスタム ASN] を選択して値を入力します。16 ビット ASN では、値は 64512 から 65534 の範囲内である必要があります。32 ビット ASN では、値は 4200000000 から 4294967294 の範囲内である必要があります。

  4. [Create Virtual Private Gateway] を選択します。

  5. 作成した仮想プライベートゲートウェイを選択した後、[Actions]、[Attach to VPC] を選択します。

  6. リストから VPC を選択し、[Yes, Attach] を選択します。

コマンドラインまたは API を使用して仮想プライベートゲートウェイを作成するには

コマンドラインまたは API を使用して仮想プライベートゲートウェイを VPC にアタッチするには

トランジットゲートウェイを作成する

トランジットゲートウェイの作成の詳細については、Amazon VPC トランジットゲートウェイの「トランジットゲートウェイ」を参照してください。

ルーティングを設定する

VPC のインスタンスがカスタマーゲートウェイに到達できるようにするには、Site-to-Site VPN 接続で使用されるルートがルートテーブルに含まれるようにし、仮想プライベートゲートウェイまたはトランジットゲートウェイを指すように設定する必要があります。

(仮想プライベートゲートウェイ) ルートテーブルでルート伝播を有効にする

ルートテーブルのルート伝播を有効にして、Site-to-Site VPN ルートを自動的に伝播することができます。

静的ルーティングでは、Site-to-Site VPN 接続の状態が UP であるときに、VPN 設定に指定した静的 IP プレフィックスがルートテーブルに伝播されます。同様に、動的なルーティングでは、Site-to-Site VPN 接続の状態が UP のときに、カスタマーゲートウェイから BGP でアドバタイズされたルートがルートテーブルに伝播されます。

注記

接続が中断されても、VPN 接続が UP のままの場合、ルートテーブルにある伝播されたルートは自動的に削除されません。たとえば、トラフィックを静的ルートにフェイルオーバーする場合は、この点に注意してください。その場合、伝播されたルートを削除するには、ルートの伝播を無効にする必要があります。

コンソールを使用してルート伝達を有効にするには

  1. ナビゲーションペインで、[Route Tables] を選択後、サブネットに関連付けられたルートテーブルを選択します。デフォルトでは、これは VPC のメインルートテーブルです。

  2. 詳細ペインの [ルート伝播] タブで [Edit (編集)] を選択し、前の手順で作成した仮想プライベートゲートウェイを選択してから、[Save (保存)] を選択します。

注記

静的ルーティングでは、ルート伝播を有効にしない場合、Site-to-Site VPN 接続で使用される静的ルートを手動で入力する必要があります。これを行うには、ルートテーブルを選択し、[ルート]、[Edit (編集)] を選択します。[送信先] では、Site-to-Site VPN 接続で使用される静的ルートを追加します。[ターゲット] で、仮想プライベートゲートウェイ ID を選択してから、[Save (保存)] を選択します。

コンソールを使用してルート伝播を無効にするには

  1. ナビゲーションペインで、[Route Tables] を選択後、サブネットに関連付けられたルートテーブルを選択します。

  2. [Route Propagation]、[Edit] の順に選択します。仮想プライベートゲートウェイの [Propagate] チェックボックスをオフにし、[Save] を選択します。

コマンドラインまたは API を使用してルート伝達を有効にするには

コマンドラインまたは API を使用してルート伝達を無効にするには

(トランジットゲートウェイ) ルートテーブルにルートを追加します

トランジットゲートウェイのルートテーブルの伝播を有効にした場合、VPN アタッチメントのルートはトランジットゲートウェイのルートテーブルに伝播されます。詳細については、Amazon VPC トランジットゲートウェイの「ルーティング」を参照してください。

VPC をトランジットゲートウェイにアタッチし、VPC 内のリソースがカスタマーゲートウェイに到達できるようにするには、サブネットルートテーブルにルートを追加して、トランジットゲートウェイを指すようにする必要があります。

ルートを VPC ルートテーブルに追加するには

  1. ナビゲーションペインで、[Route Tables (ルートテーブル)] を選択します。

  2. VPC に関連付けられているルートテーブルを選択します。

  3. [Routes (ルート)] タブを選択し、[Edit routes (ルートの編集)] を選択します。

  4. [Add Rule (ルートの追加)] を選択します。

  5. [Destination (送信先)] 列に、送信先の IP アドレス範囲を入力します。[ターゲット] で、トランジットゲートウェイ を選択します。

  6. [Save routes (ルートの保存)] を選択し、次に、[閉じる] を選択します。

セキュリティグループを更新する

ネットワークから VPC 内のインスタンスにアクセスするのを許可するには、セキュリティグループのルールを更新して、インバウンド SSH、RDP、および ICMP アクセスを有効にする必要があります。

セキュリティグループにルールを追加して、インバウンド SSH、RDP、ICMP アクセスを有効にするには

  1. ナビゲーションペインで [Security Groups] を選択し、VPC のデフォルトのセキュリティグループを選択します。

  2. 詳細ペインの [Inbound] タブで、ネットワークからのインバウンド SSH、RDP、ICMP アクセスを許可するルール追加し、[Save] を選択します。インバウンドルールの追加の詳細については、Amazon VPC ユーザーガイドの「ルールを追加、削除、および更新する」を参照してください。

AWS CLI を使用したセキュリティグループの操作の詳細については、Amazon VPC ユーザーガイドの「VPC のセキュリティグループ」を参照してください。

Site-to-Site VPN 接続を作成する

カスタマーゲートウェイと、以前に作成した仮想プライベートゲートウェイまたはトランジットゲートウェイを使用して Site-to-Site VPN 接続を作成します。

Site-to-Site VPN 接続を作成するには

  1. ナビゲーションペインで [Site-to-Site VPN Connections (接続)]、[VPN 接続の作成] を選択します。

  2. (オプション) [名前タグ] には、Site-to-Site VPN 接続の名前を入力します。これにより、Name というキーと指定した値を含むタグが作成されます。

  3. [Target Gateway Type (ターゲットゲートウェイタイプ)] で、[仮想プライベートゲートウェイ] または [Transit Gateway (トランジットゲートウェイ)] を選択します。次に、以前に作成した仮想プライベートゲートウェイまたはトランジットゲートウェイを選択します。

  4. [カスタマーゲートウェイ ID] で、以前に作成したカスタマーゲートウェイを選択します。

  5. カスタマーゲートウェイデバイスがボーダーゲートウェイプロトコル (BGP) をサポートしているかどうかに基づいて、ルーティングオプションのいずれかを選択します。

    • カスタマーゲートウェイデバイスが BGP をサポートしている場合は、[動的 (BGP が必要) を選択します。

    • カスタマーゲートウェイデバイスが BGP をサポートしていない場合は、[静的] を選択します。[静的 IP プレフィックス] で、Site-to-Site VPN 接続のプライベートネットワークのそれぞれの IP プレフィックスを指定します。

  6. (オプション) [トンネルオプション] では、トンネルごとに次の情報を指定できます。

    • 内部トンネル IP アドレスの 169.254.0.0/16 の範囲からのサイズ /30 の CIDR ブロック。

    • IKE 事前共有キー (PSK)。IKEv1 または IKEv2 バージョンがサポートされています。

    • 高度なトンネル情報。次の情報が含まれます。

      • IKE ネゴシエーションのフェーズ 1 および 2 の暗号化アルゴリズム

      • IKE ネゴシエーションのフェーズ 1 および 2 の整合性アルゴリズム

      • IKE ネゴシエーションのフェーズ 1 および 2 の Diffie-Hellman グループ

      • IKE バージョン

      • フェーズ 1 および 2 のライフタイム

      • キー再生成のマージンタイム

      • キー再生成ファズ

      • 再生ウィンドウのサイズ

      • デッドピア検出の間隔

    これらのパラメータの詳細については、Site-to-Site VPN 接続用のトンネルオプションを参照してください。

  7. [Create VPN Connection (VPN 接続の作成)] を選択します。Site-to-Site VPN 接続の作成には数分かかる場合があります。

コマンドラインまたは API を使用して Site-to-Site VPN 接続を作成するには

設定ファイルをダウンロードする

Site-to-Site VPN 接続を作成した後に、設定情報をダウンロードして、カスタマーゲートウェイデバイスまたはソフトウェアアプリケーションを設定するために使用します。

重要

設定ファイルはほんの一例です。ユーザーの想定する VPN 接続設定とは一致しない場合があります。たとえば、ほとんどの AWS リージョンでは IKE バージョン 1、AES128、SHA1、および DH グループ 2 の最小要件を指定しており、AWS GovCloud リージョンでは IKE バージョン 1、AES128、SHA2、および DH グループ 14 の最小要件が指定されています。また、認証用の事前共有キーも指定します。IKE バージョン 2、AES256、SHA256、2、14-18、22、23、24 などの他の DH グループ、およびプライベート証明書を利用するには、サンプル設定ファイルを変更する必要があります。

Site-to-Site VPN 接続の作成または変更時にカスタムトンネルオプションを指定した場合は、トンネルのカスタム設定と一致するようにサンプル設定ファイルを変更します。

このファイルには、仮想プライベートゲートウェイの外部 IP アドレスの値も含まれます。この値は AWS の VPN 接続を作り直さない限り固定です。

設定ファイルをダウンロードするには

  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで [Site-to-Site VPN Connections (接続)] を選択します。

  3. VPN 接続を選択してから、[設定のダウンロード] を選択します。

  4. カスタマーゲートウェイデバイスまたはソフトウェアに対応するベンダー、プラットフォーム、ソフトウェアを選択します。デバイスが一覧にない場合は、[Generic (汎用)] を選択します。[Download] を選択します。

カスタマーゲートウェイデバイスを設定する

設定ファイルを使用して、カスタマーゲートウェイデバイスを設定します。カスタマーゲートウェイデバイスは、Site-to-Site VPN 接続のお客様側の物理アプライアンスまたはソフトウェアアプライアンスです。詳細については、「カスタマーゲートウェイデバイス」を参照してください。