翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
の使用を開始する AWS Site-to-Site VPN
AWS Site-to-Site VPN 接続を設定するには、次の手順に従います。作成時に、ターゲットゲートウェイタイプに仮想プライベートゲートウェイ、トランジットゲートウェイで、または「関連付けられていない」を指定します。「関連付けられていない」と指定すると、後でターゲットゲートウェイタイプを選択するか、 AWS クラウドのVPNアタッチメントとして使用できますWAN。このチュートリアルは、仮想プライベートゲートウェイを使用してVPN接続を作成するのに役立ちます。1 つ以上のサブネットVPCを持つ既存の があることを前提としています。
仮想プライベートゲートウェイを使用してVPN接続を設定するには、次のステップを実行します。
タスク
関連タスク
-
AWS クラウド VPNの接続を作成するにはWAN、「」を参照してくださいクラウドWANVPNアタッチメントを作成する。
-
Transit Gateway でVPN接続を作成するには、「」を参照してくださいTransit Gateway VPN アタッチメントを作成する。
前提条件
VPN 接続のコンポーネントを設定および構成するには、次の情報が必要です。
項目 | 情報 |
---|---|
カスタマーゲートウェイデバイス | VPN 接続のユーザー側にある物理デバイスまたはソフトウェアデバイス。ベンダー (Cisco など)、プラットフォーム (ISRシリーズルーターなど)、ソフトウェアバージョン (12.4 など) IOS が必要です。 |
カスタマーゲートウェイ | でカスタマーゲートウェイリソースを作成するには AWS、次の情報が必要です。
詳細については、「カスタマーゲートウェイのオプション」を参照してください。 |
(オプション) BGPセッションの ASN AWS 側の 。 |
これは、仮想プライベートゲートウェイまたは Transit Gateway を作成するときに指定します。値を指定しない場合、デフォルトASNが適用されます。詳細については、「仮想プライベートゲートウェイ」を参照してください。 |
VPN 接続 | VPN 接続を作成するには、次の情報が必要です。
|
ステップ 1: カスタマーゲートウェイを作成する
カスタマーゲートウェイは、カスタマーゲートウェイデバイスまたはソフトウェアアプリケーション AWS に関する情報を に提供します。詳細については、「カスタマーゲートウェイ」を参照してください。
プライベート証明書を使用して を認証する場合はVPN、 を使用して下位 CA からプライベート証明書を作成します AWS Private Certificate Authority。プライベート証明書の作成の詳細については、AWS Private Certificate Authority ユーザーガイドの「プライベート CA の作成と管理」を参照してください。
注記
プライベート証明書の IP アドレスまたは Amazon リソース名を指定する必要があります。
コンソールを使用してカスタマーゲートウェイを作成するには
-
で Amazon VPCコンソールを開きますhttps://console.aws.amazon.com/vpc/
。 -
ナビゲーションペインで、[カスタマーゲートウェイ] を選択します。
-
[カスタマーゲートウェイの作成]] を選択します。
-
(オプション) [名前] には、カスタマーゲートウェイの名前を入力します。これにより、
Name
というキーと指定した値を含むタグが作成されます。 -
にはBGPASN、カスタマーゲートウェイのボーダーゲートウェイプロトコル (BGP) 自律システム番号 (ASN) を入力します。
-
(オプション) [IP アドレス] に、カスタマーゲートウェイデバイスのインターネットルーティング可能な静的 IP アドレスを入力します。カスタマーゲートウェイデバイスが NAT-T が有効になっているNATデバイスの背後にある場合は、NATデバイスのパブリック IP アドレスを使用します。
-
(オプション) プライベート証明書を使用する場合は、証明書 ARNで、プライベート証明書の Amazon リソースネームを選択します。
-
(オプション) [デバイス] には、このカスタマーゲートウェイに関連するカスタマーゲートウェイデバイスの名前を入力します。
-
[カスタマーゲートウェイの作成]] を選択します。
コマンドラインまたは を使用してカスタマーゲートウェイを作成するには API
-
CreateCustomerGateway (Amazon EC2 クエリ API)
-
create-customer-gateway
(AWS CLI) -
New-EC2CustomerGateway (AWS Tools for Windows PowerShell)
ステップ 2: ターゲットゲートウェイを作成する
VPC とオンプレミスネットワーク間のVPN接続を確立するには、接続の AWS 側にターゲットゲートウェイを作成する必要があります。ターゲットゲートウェイは、仮想プライベートゲートウェイまたは Transit Gateway にすることができます。
仮想プライベートゲートウェイの作成
仮想プライベートゲートウェイを作成するときは、ゲートウェイの Amazon 側にカスタムプライベート自律システム番号 (ASN) を指定するか、Amazon のデフォルト を使用できますASN。これは、カスタマーゲートウェイにASN指定した とは異なるASN必要があります。
仮想プライベートゲートウェイを作成したら、 にアタッチする必要がありますVPC。
仮想プライベートゲートウェイを作成して にアタッチするには VPC
-
ナビゲーションペインで [仮想プライベートゲートウェイ] を選択します。
-
[Create virtual private gateway] (仮想プライベートゲートウェイの作成) を選択します。
-
(オプション) [名前タグ] に仮想プライベートゲートウェイの名前を入力します。これにより、
Name
というキーと指定した値を含むタグが作成されます。 -
自律システム番号 (ASN) の場合、デフォルトの Amazon を使用するにはASN、デフォルトの選択 Amazon のデフォルト のままにしますASN。それ以外の場合は、カスタム ASN を選択して値を入力します。16 ビット の場合ASN、値は 64512~65534 の範囲である必要があります。32 ビット の場合ASN、値は 4200000000~4294967294 の範囲である必要があります。
-
[Create virtual private gateway] (仮想プライベートゲートウェイの作成) を選択します。
-
作成した仮想プライベートゲートウェイを選択し、アクション、 にアタッチを選択しますVPC。
-
使用可能 VPCsで、 を選択しVPC、 にアタッチ VPCを選択します。
コマンドラインまたは を使用して仮想プライベートゲートウェイを作成するには API
-
CreateVpnGateway (Amazon EC2 クエリ API)
-
create-vpn-gateway
(AWS CLI) -
New-EC2VpnGateway (AWS Tools for Windows PowerShell)
コマンドラインまたは VPCを使用して仮想プライベートゲートウェイを にアタッチするには API
-
AttachVpnGateway (Amazon EC2 クエリ API)
-
attach-vpn-gateway
(AWS CLI) -
Add-EC2VpnGateway (AWS Tools for Windows PowerShell)
Transit Gateway を作成する
Transit Gateway の作成の詳細については、「Amazon Transit Gateway の VPC Transit Gateway」を参照してください。
ステップ 3: ルーティングを設定する
のインスタンスVPCがカスタマーゲートウェイに到達できるようにするには、VPN接続で使用されるルートを含め、仮想プライベートゲートウェイまたはトランジットゲートウェイを指すようにルートテーブルを設定する必要があります。
(仮想プライベートゲートウェイ) ルートテーブルでルート伝播を有効にする
ルートテーブルのルート伝達を有効にして、VPNルートを自動的に伝達 Site-to-Siteできます。
静的ルーティングの場合、VPN設定に指定した静的 IP プレフィックスは、VPN接続のステータスが のときにルートテーブルに伝播されますUP
。同様に、動的ルーティングの場合、VPN接続のステータスが になると、カスタマーゲートウェイからの BGPアドバタイズされたルートがルートテーブルに伝播されますUP
。
注記
接続が中断されてもVPN接続が UP のままである場合、ルートテーブルに伝播されたルートは自動的に削除されません。たとえば、トラフィックを静的ルートにフェイルオーバーする場合は、この点に注意してください。その場合、伝播されたルートを削除するには、ルートの伝播を無効にする必要があります。
コンソールを使用してルート伝達を有効にするには
-
ナビゲーションペインで、[Route tables] (ルートテーブル) を選択します。
-
サブネットに関連付けられたルートテーブルを選択します。
-
[ルート伝播] タブで、[ルート伝達の編集] を選択します。前の手順で作成した仮想プライベートキーファイルを選択してから、[保存] を選択します。
注記
ルート伝達を有効にしない場合は、VPN接続で使用される静的ルートを手動で入力する必要があります。これを行うには、ルートテーブルを選択し、[Routes]、[Edit] を選択します。Destination には、VPN接続で使用される Site-to-Site静的ルートを追加します。[Target] では、仮想プライベートゲートウェイ ID を選択し、[Save] を選択します。
コンソールを使用してルート伝達を無効にするには
-
ナビゲーションペインで、[Route tables] (ルートテーブル) を選択します。
-
サブネットに関連付けられたルートテーブルを選択します。
-
[ルート伝播] タブで、[ルート伝達の編集] を選択します。仮想プライベートゲートウェイの [伝播] チェックボックスをオフにします。
-
[Save] を選択します。
コマンドラインまたは を使用してルート伝達を有効にするには API
-
EnableVgwRoutePropagation (Amazon EC2 クエリ API)
-
enable-vgw-route-propagation
(AWS CLI) -
Enable-EC2VgwRoutePropagation (AWS Tools for Windows PowerShell)
コマンドラインまたは を使用してルート伝達を無効にするには API
-
DisableVgwRoutePropagation (Amazon EC2 クエリ API)
-
disable-vgw-route-propagation
(AWS CLI) -
Disable-EC2VgwRoutePropagation (AWS Tools for Windows PowerShell)
(Transit Gateway) ルートテーブルにルートを追加します
Transit Gateway のルートテーブル伝達を有効にした場合、VPNアタッチメントのルートは Transit Gateway ルートテーブルに伝達されます。詳細については、「Amazon Transit Gateway でのルーティング」を参照してください。 VPC
を Transit Gateway VPCにアタッチし、 のリソースがカスタマーゲートウェイVPCに到達できるようにするには、サブネットルートテーブルにルートを追加して Transit Gateway を指す必要があります。
ルートをVPCルートテーブルに追加するには
-
ナビゲーションペインで、[ルートテーブル] を選択します。
-
に関連付けられているルートテーブルを選択しますVPC。
-
[Routes] タブで、[Edit routes] を選択します。
-
[Add Rule (ルートの追加)] を選択します。
-
[送信先] に、送信先の IP アドレス範囲を入力します。[Target (ターゲット)] で、Transit Gateway を選択します。
-
[Save changes] (変更の保存) をクリックします。
ステップ 4: セキュリティグループを更新する
ネットワークVPCから のインスタンスへのアクセスを許可するには、セキュリティグループのルールを更新して、インバウンド SSH、RDP、および ICMP アクセスを有効にする必要があります。
セキュリティグループにルールを追加して、アクセスを有効にするには
-
ナビゲーションペインで、[Security groups (セキュリティグループ)] を選択します。
-
アクセスVPCを許可する 内のインスタンスのセキュリティグループを選択します。
-
[インバウンドルール] タブで、[インバウンドルールの編集] を選択します。
-
ネットワークからのインバウンド SSH、RDP、および ICMP アクセスを許可するルールを追加し、ルールの保存を選択します。詳細については、「Amazon VPC ユーザーガイド」の「セキュリティグループルールの使用」を参照してください。
ステップ 5: VPN接続を作成する
カスタマーゲートウェイと、前に作成した仮想プライベートゲートウェイまたはトランジットゲートウェイを組み合わせてVPN接続を作成します。
VPN 接続を作成するには
-
ナビゲーションペインで、Site-to-Site VPN接続を選択します。
-
VPN 接続の作成 を選択します。
-
(オプション) [名前タグ] には、VPN 接続の名前を入力します。これにより、
Name
というキーと指定した値を含むタグが作成されます。 -
[Target gateway type] (ターゲットゲートウェイタイプ) で、[仮想プライベートゲートウェイ] または [Transit gateway] (転送ゲートウェイ) を選択します。次に、以前に作成した仮想プライベートゲートウェイまたは Transit Gateway を選択します。
-
[カスタマーゲートウェイ] で [既存] を選択し、[カスタマーゲートウェイ ID] から、前に作成したカスタマーゲートウェイを選択します。
-
カスタマーゲートウェイデバイスがボーダーゲートウェイプロトコル (BGP) をサポートしているかどうかに基づいて、ルーティングオプションのいずれかを選択します。
-
カスタマーゲートウェイデバイスが をサポートしている場合はBGP、動的 ( が必要BGP) を選択します。
-
カスタマーゲートウェイデバイスが をサポートしていない場合はBGP、静的 を選択します。[静的 IP プレフィックス] で、VPN 接続のプライベートネットワークのそれぞれの IP プレフィックスを指定します。
-
-
ターゲットゲートウェイタイプが Transit Gateway の場合、IP バージョン内のトンネルの場合は、VPNトンネルが IPv4または IPv6トラフィックをサポートするかどうかを指定します。 IPv6トラフィックは Transit Gateway 上のVPN接続でのみサポートされます。
-
IP バージョン内でトンネルIPv4に を指定した場合、オプションでVPN、トンネルを介した通信が許可されているカスタマーゲートウェイと AWS サイドIPv4CIDRの範囲を指定できます。デフォルト:
0.0.0.0/0
。IP バージョン内でトンネルIPv6に を指定した場合、オプションでVPN、トンネルを介した通信が許可されているカスタマーゲートウェイと AWS サイドIPv6CIDRの範囲を指定できます。両方の範囲のデフォルトは
::/0
です。 -
外部 IP アドレスタイプの場合、デフォルトのオプション PublicIpv4 のままにします。
-
(オプション) [トンネルオプション] では、トンネルごとに次の情報を指定できます。
-
内部トンネルIPv4アドレス
169.254.0.0/16
の範囲からのサイズ /30 IPv4CIDRブロック。 -
IP バージョン内のトンネルIPv6に を指定した場合、内部トンネルIPv6アドレス
fd00::/8
の範囲からの /126 IPv6CIDRブロック。 -
IKE 事前共有キー (PSK)。IKEv1 または のバージョンがサポートされていますIKEv2。
-
トンネルの詳細オプションを編集するには、[トンネルのオプションを編集する] を選択します。詳細については、「VPN トンネルオプション」を参照してください。
-
-
VPN 接続の作成 を選択します。VPN 接続の作成には数分かかる場合があります。
コマンドラインまたは を使用してVPN接続を作成するには API
-
CreateVpnConnection (Amazon EC2 クエリ API)
-
create-vpn-connection
(AWS CLI) -
New-EC2VpnConnection (AWS Tools for Windows PowerShell)
ステップ 6: 設定ファイルをダウンロードする
VPN 接続を作成したら、カスタマーゲートウェイデバイスの設定に使用するサンプル設定ファイルをダウンロードできます。
重要
設定ファイルはあくまで例であり、意図したVPN接続設定と完全に一致しない場合があります。ほとんどの AWS リージョンで AES128、SHA1、および Diffie-Hellman グループ 2、リージョンで AES128、SHA2、および Diffie-Hellman グループ 14 VPNの接続の最小要件を指定します AWS GovCloud 。また、認証用の事前共有キーも指定します。追加のセキュリティアルゴリズム、Diffie-Hellman グループ、プライベート証明書、IPv6トラフィックを利用するには、サンプル設定ファイルを変更する必要があります。
多くの一般的なカスタマーゲートウェイデバイスの設定ファイルでIKEv2サポートが導入されており、今後もファイルを追加していきます。IKEv2 サポートされる設定ファイルのリストについては、「」を参照してくださいAWS Site-to-Site VPN カスタマーゲートウェイデバイス。
アクセス許可
からダウンロード設定画面を適切にロードするには AWS Management Console、IAMロールまたはユーザーに次の Amazon EC2 APIs: GetVpnConnectionDeviceTypes
および のアクセス許可があることを確認する必要がありますGetVpnConnectionDeviceSampleConfiguration
。
コンソールを使用して設定ファイルをダウンロードするには
で Amazon VPCコンソールを開きますhttps://console.aws.amazon.com/vpc/
。 -
ナビゲーションペインで、Site-to-Site VPN接続を選択します。
-
VPN 接続を選択し、設定のダウンロードを選択します。
-
カスタマーゲートウェイデバイスに対応するベンダー、プラットフォーム、ソフトウェア、IKEバージョンを選択します。デバイスが一覧にない場合は、[Generic (汎用)] を選択します。
-
[Download] を選択します。
コマンドラインまたは を使用してサンプル設定ファイルをダウンロードするには API
-
GetVpnConnectionDeviceTypes (Amazon EC2 API)
-
GetVpnConnectionDeviceSampleConfiguration (Amazon EC2 クエリ API)
-
get-vpn-connection-deviceタイプ
(AWS CLI)
ステップ 7: カスタマーゲートウェイデバイスを設定する
サンプル設定ファイルを使用して、カスタマーゲートウェイデバイスを設定します。カスタマーゲートウェイデバイスは、VPN 接続のお客様側の物理アプライアンスまたはソフトウェアアプライアンスです。詳細については、「AWS Site-to-Site VPN カスタマーゲートウェイデバイス」を参照してください。