開始方法 - AWS Site-to-Site VPN

開始方法

AWS Site-to-Site VPN 接続をセットアップするには、以下の手順を使用します。作成時に、ターゲットゲートウェイタイプに仮想プライベートゲートウェイ、Transit Gateway、または「関連付けられていない」を指定するように求められます。「関連付けられていない」を指定して Site-to-Site VPN 接続を作成する場合は、後でターゲットゲートウェイタイプを選択するか、AWS クラウド WAN に対し Site-to-Site VPN アタッチメントとして使用することができます。この手順は、仮想プライベートゲートウェイを使用して Site-to-Site VPN 接続の作成を概説しており、1 つ以上のサブネットを持つ既存の VPC があることを前提としています。

Site-to-Site VPN 接続を設定するには、仮想プライベートゲートウェイを使用して、以下のステップを実行します。

AWS クラウド WAN で使用する Site-to-Site VPN 接続を作成するステップについては、AWS クラウド WAN Site-to-Site VPN アタッチメントの作成 を参照してください。

Transit Gateway で Site-to-Site VPN 接続を作成するステップについては、「トランジットゲートウェイ VPN アタッチメントの作成」を参照してください。

前提条件

Site-to-Site VPN 接続のコンポーネントを設定および構成するには、次の情報が必要です。

項目 情報
カスタマーゲートウェイデバイス VPN 接続のお客様側にある物理デバイスまたはソフトウェアデバイス。ベンダー (Cisco など)、プラットフォーム (ISR シリーズルーターなど)、およびソフトウェアバージョン (IOS 12.4 など) が必要です。
カスタマーゲートウェイ AWS でカスタマーゲートウェイリソースを作成するには、次の情報が必要です。
  • デバイスの外部インターフェイス用のインターネットルーティングが可能な IP アドレス。

  • ルーティングのタイプ: 静的または動的

  • 動的ルーティングの場合、ボーダーゲートウェイプロトコル (BGP) 自律システム番号 (ASN)

  • (オプション) VPN を認証するための AWS Certificate Manager Private Certificate Authority のプライベート証明書

詳細については、「」を参照してくださいSite-to-Site VPN 接続のカスタマーゲートウェイオプション

(オプション) BGP セッションの AWS 側の ASN

これは、仮想プライベートゲートウェイまたは Transit Gateway を作成するときに指定します。値を指定していない場合、デフォルトの ASN が適用されます。詳細については、「」を参照してください仮想プライベートゲートウェイ

VPN 接続 VPN 接続を作成するには、次の情報が必要です。
  • 静的ルーティングの場合、プライベートネットワークの IP プレフィックス。

  • (オプション) 各 VPN トンネルのトンネルオプション。詳細については、「」を参照してくださいSite-to-Site VPN 接続のトンネルオプション

カスタマーゲートウェイを作成する

カスタマーゲートウェイは、カスタマーゲートウェイデバイスまたはソフトウェアアプリケーションに関する情報を AWS に提供します。詳細については、「」を参照してくださいカスタマーゲートウェイ

プライベート証明書を使用して VPN を認証する場合は、AWS Certificate Manager Private Certificate Authority を使用して下位 CA からプライベート証明書を作成します。プライベート証明書の作成の詳細については、AWS Certificate Manager Private Certificate Authority ユーザーガイドの「プライベート CA の作成と管理」を参照してください。

注記

プライベート証明書の IP アドレスまたは Amazon リソース名を指定する必要があります。

コンソールを使用してカスタマーゲートウェイを作成するには

  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで [Customer gateways] (カスタマーゲートウェイ) を選択してから、[Create customer gateway] (カスタマーゲートウェイの作成) を選択します。

  3. 以下を入力し、[Create customer gateway] (カスタマーゲートウェイの作成) を選択します。

    • (オプション) [名前] には、カスタマーゲートウェイの名前を入力します。これにより、Name というキーと指定した値を含むタグが作成されます。

    • [BGP ASN] に、カスタマーゲートウェイのボーダーゲートウェイプロトコル (BGP) 自律システム番号 (ASN) を入力します。

    • (オプション) [IP アドレス] に、カスタマーゲートウェイデバイスのインターネットルーティング可能な静的 IP アドレスを入力します。カスタマーゲートウェイデバイスが NAT-T が有効な NAT デバイスの内側にある場合は、NAT デバイスのパブリック IP アドレスを使用します。

    • (オプション) プライベート証明書を使用する場合は、[Certificate ARN (証明書 ARN)] で、プライベート証明書の Amazon リソース名を選択します。

    • (オプション) [デバイス] に、このカスタマーゲートウェイをホストするデバイスの名前を入力します。

コマンドラインまたは API を使用してカスタマーゲートウェイを作成するには

ターゲットゲートウェイを作成する

VPC とオンプレミスネットワークの間に VPN 接続を確立するには、接続の AWS 側でターゲットゲートウェイを作成する必要があります。ターゲットゲートウェイは、仮想プライベートゲートウェイまたは Transit Gateway にすることができます。

仮想プライベートゲートウェイの作成

仮想プライベートゲートウェイを作成するときは、Amazon 側のゲートウェイのカスタムプライベート自律システム番号 (ASN) 指定するか、Amazon のデフォルト ASN を使用できます。ASN は、カスタマーゲートウェイに指定した ASN とは異なっている必要があります。

仮想プライベートゲートウェイを作成した後は、VPC にアタッチする必要があります。

仮想プライベートゲートウェイを作成して VPC にアタッチするには

  1. ナビゲーションペインで、[Virtual private gateways] (仮想プライベートゲートウェイ)、[Create virtual private gateway] (仮想プライベートゲートウェイの作成) の順に選択します。

  2. (オプション) [Name tag] (名前タグ) の仮想プライベートゲートウェイの名前を入力します。これにより、Name というキーと指定した値を含むタグが作成されます。

  3. [Autonomous System Number (ASN)] (自立システム番号 (ASN)) では、デフォルトの Amazon ASN を使用するためにデフォルトの選択のままにします。それ以外の場合は、[カスタム ASN] を選択して値を入力します。16 ビット ASN では、値は 64512 から 65534 の範囲内である必要があります。32 ビット ASN では、値は 4200000000 から 4294967294 の範囲内である必要があります。

  4. (オプション) 必要に応じて、仮想プライベートゲートウェイ用の追加のタグを作成します。

  5. [Create virtual private gateway] (仮想プライベートゲートウェイの作成) を選択します。

  6. 作成した仮想プライベートゲートウェイを選択した後、[Actions] (アクション)、[Attach to VPC] (VPC にアタッチ) の順に選択します。

  7. [Available VPCs] (利用可能な VPC) のリストから VPC を選択し、[VPC にアタッチ] を選択します。

コマンドラインまたは API を使用して仮想プライベートゲートウェイを作成するには

コマンドラインまたは API を使用して仮想プライベートゲートウェイを VPC にアタッチするには

Transit Gateway を作成する

Transit Gateway の作成の詳細については、Amazon VPC Transit Gatewayの「Transit Gateway」を参照してください。

ルーティングを設定する

VPC のインスタンスがカスタマーゲートウェイに到達できるようにするには、Site-to-Site VPN 接続で使用されるルートがルートテーブルに含まれるようにし、仮想プライベートゲートウェイまたは Transit Gateway を指すように設定する必要があります。

(仮想プライベートゲートウェイ) ルートテーブルでルート伝播を有効にする

ルートテーブルのルート伝播を有効にして、Site-to-Site VPN ルートを自動的に伝播することができます。

静的ルーティングでは、Site-to-Site VPN 接続の状態が UP であるときに、VPN 設定に指定した静的 IP プレフィックスがルートテーブルに伝達されます。同様に、動的なルーティングでは、Site-to-Site VPN 接続の状態が UP のときに、カスタマーゲートウェイから BGP でアドバタイズされたルートがルートテーブルに伝達されます。

注記

接続が中断されても、VPN 接続が UP のままの場合、ルートテーブルにある伝播されたルートは自動的に削除されません。たとえば、トラフィックを静的ルートにフェイルオーバーする場合は、この点に注意してください。その場合、伝播されたルートを削除するには、ルートの伝播を無効にする必要があります。

コンソールを使用してルート伝達を有効にするには

  1. ナビゲーションペインで、[Route Tables] を選択後、サブネットに関連付けられたルートテーブルを選択します。デフォルトでは、これは VPC のメインルートテーブルです。

  2. 詳細ペインの [ルート伝播] タブで [ルート伝播の編集] を選択し、前の手順で作成した仮想プライベートゲートウェイを選択してから、[保存] を選択します。

注記

ルート伝達を有効にしない場合、Site-to-Site VPN 接続で使用される静的ルートを手動で入力する必要があります。これを行うには、ルートテーブルを選択し、[Routes]、[Edit] を選択します。[Destination (送信先)] では、Site-to-Site VPN 接続で使用される静的ルートを追加します。[Target] では、仮想プライベートゲートウェイ ID を選択し、[Save] を選択します。

コンソールを使用してルート伝達を無効にするには

  1. ナビゲーションペインで、[Route Tables] を選択後、サブネットに関連付けられたルートテーブルを選択します。

  2. [ルート伝播]、[ルート伝播の編集] の順に選択します。仮想プライベートゲートウェイの [Propagate] チェックボックスをオフにし、[Save] を選択します。

コマンドラインまたは API を使用してルート伝達を有効にするには

コマンドラインまたは API を使用してルート伝達を無効にするには

(Transit Gateway) ルートテーブルにルートを追加します

Transit Gateway のルートテーブルの伝播を有効にした場合、VPN アタッチメントのルートは Transit Gateway のルートテーブルに伝播されます。詳細については、Amazon VPC Transit Gatewaysの「ルーティング」を参照してください。

VPC を Transit Gateway にアタッチし、VPC 内のリソースがカスタマーゲートウェイに到達できるようにするには、サブネットルートテーブルにルートを追加して、Transit Gateway を指すようにする必要があります。

ルートを VPC ルートテーブルに追加するには

  1. ナビゲーションペインで、[Route Tables (ルートテーブル)] を選択します。

  2. VPC に関連付けられているルートテーブルを選択します。

  3. [Routes (ルート)] タブを選択し、[Edit routes (ルートの編集)] を選択します。

  4. [ルート追加] を選択します。

  5. [Destination (送信先)] 列に、送信先の IP アドレス範囲を入力します。[Target (ターゲット)] で、Transit Gateway を選択します。

  6. [Save routes (ルートの保存)] を選択し、次に、[閉じる] を選択します。

セキュリティグループを更新する

ネットワークから VPC 内のインスタンスにアクセスするのを許可するには、セキュリティグループのルールを更新して、インバウンド SSH、RDP、および ICMP アクセスを有効にする必要があります。

セキュリティグループにルールを追加して、インバウンド SSH、RDP、ICMP アクセスを有効にするには

  1. ナビゲーションペインで [Security Groups] を選択し、VPC のデフォルトのセキュリティグループを選択します。

  2. 詳細ペインの [Inbound] タブで、ネットワークからのインバウンド SSH、RDP、ICMP アクセスを許可するルール追加し、[Save] を選択します。インバウンドルールの追加の詳細については、Amazon VPC ユーザーガイドの「ルールを追加、削除、および更新する」を参照してください。

AWS CLI を使用したセキュリティグループの操作の詳細については、Amazon VPC ユーザーガイドの「VPC のセキュリティグループ」を参照してください。

Site-to-Site VPN 接続の作成

カスタマーゲートウェイと、前に作成した仮想プライベートゲートウェイまたは Transit Gateway を組み合わせて Site-to-Site VPN 接続を作成します。

Site-to-Site VPN 接続を作成するには

  1. ナビゲーションペインで、[Site-to-Site VPN connections] (Site-to-Site VPN 接続)、[Create VPN connection] (VPN 接続の作成) の順に選択します。

  2. (オプション) [名前タグ] には、Site-to-Site VPN 接続の名前を入力します。これにより、Name というキーと指定した値を含むタグが作成されます。

  3. [Target gateway type] (ターゲットゲートウェイタイプ) で、[仮想プライベートゲートウェイ] または [Transit gateway] (転送ゲートウェイ) を選択します。次に、以前に作成した仮想プライベートゲートウェイまたは Transit Gateway を選択します。

  4. [カスタマーゲートウェイ] で [Existing] (既存) を選択し、[Customer gateway ID] (カスタマーゲートウェイ ID) のドロップダウンリストから、前に作成したカスタマーゲートウェイを選択します。

  5. カスタマーゲートウェイデバイスがボーダーゲートウェイプロトコル (BGP) をサポートしているかどうかに基づいて、ルーティングオプションのいずれかを選択します。

    • カスタマーゲートウェイデバイスが BGP をサポートしている場合は、[動的 (BGP が必要)] を選択します。

    • カスタマーゲートウェイデバイスが BGP をサポートしていない場合は、[静的] を選択します。[Static IP Prefixes (静的 IP プレフィックス)] では、Site-to-Site VPN 接続のプライベートネットワークのそれぞれの IP プレフィックスを指定します。

  6. (オプション) ターゲットゲートウェイタイプが転送ゲートウェイの場合、[Tunnel Inside IP Version] (トンネル内部 IP バージョン) で、VPN トンネルが IPv4 トラフィックをサポートするか、IPv6 トラフィックをサポートするかを指定します。IPv6 トラフィックは、Transit Gateway の VPN 接続でのみサポートされます。

  7. (オプション) [Tunnel Inside IP Version] (トンネル内部 IP バージョン) で [IPv4] を指定した場合は、オプションとして、カスタマーゲートウェイ側と AWS 側で VPN トンネルを介した通信を許可する IPv4 CIDR 範囲を指定できます。デフォルト: 0.0.0.0/0

    [Tunnel Inside IP Version] (トンネル内部 IP バージョン) で [IPv6] を指定した場合は、オプションとして、カスタマーゲートウェイ側と AWS 側で VPN トンネルを介した通信を許可する IPv6 CIDR 範囲を指定できます。両方の範囲のデフォルトは ::/0 です。

  8. (オプション) [トンネルオプション] では、トンネルごとに次の情報を指定できます。

    • トンネル内部 IPv4 アドレスの 169.254.0.0/16 範囲からサイズ /30 の IPv4 CIDR ブロック。

    • [Tunnel Inside IP Version (トンネル内部 IP バージョン)] で [IPv6] を指定した場合は、トンネル内部 IPv6 アドレスの fd00::/8 範囲から /126 の IPv6 CIDR ブロック。

    • IKE 事前共有キー (PSK)。IKEv1 または IKEv2 バージョンがサポートされています。

    • 高度なトンネル情報。次の情報が含まれます。

      • IKE ネゴシエーションのフェーズ 1 および 2 の暗号化アルゴリズム

      • IKE ネゴシエーションのフェーズ 1 および 2 の整合性アルゴリズム

      • IKE ネゴシエーションのフェーズ 1 および 2 の Diffie-Hellman グループ

      • IKE バージョン

      • フェーズ 1 および 2 のライフタイム

      • キー再生成のマージンタイム

      • キー再生成ファズ

      • 再生ウィンドウのサイズ

      • デッドピア検出の間隔

      • デッドピア検出タイムアウトアクション

      • 開始アクション

    これらのパラメータの詳細については、Site-to-Site VPN 接続のトンネルオプションを参照してください。

  9. [Create VPN connection] (VPN 接続の作成) を選択します。Site-to-Site VPN 接続の作成には数分かかる場合があります。

コマンドラインまたは API を使用して Site-to-Site VPN 接続を作成するには

設定ファイルをダウンロードする

Site-to-Site VPN 接続を作成した後、サンプル設定ファイルをダウンロードして、カスタマーゲートウェイデバイスを設定できます。

重要

この設定ファイルはあくまでも一例です。お客様が想定する Site-to-Site VPN 接続設定とは一致しない場合があります。これは、ほとんどの AWS リージョンで AES128、SHA1、および Diffie-Hellman グループ 2、AWS GovCloud リージョンで AES128、SHA2、および Diffie-Hellman グループ 14 の Site-to-Site VPN 接続の最小要件を指定します。また、認証用の事前共有キーも指定します。追加のセキュリティアルゴリズム、Diffie-Hellman グループ、プライベート証明書、IPv6 トラフィックを活用するには、サンプル設定ファイルを変更する必要があります。

多くの一般的なカスタマーゲートウェイデバイスの設定ファイルに IKEv2 サポートが導入されており、時間の経過とともにファイルを追加していきます。このリストは、設定ファイルの例が追加されると更新されます。IKEv2 をサポートする設定ファイルの完全なリストは、「カスタマーゲートウェイデバイス」を参照してください。

AWS Management Console から設定ファイルをダウンロードするには

注記

AWS Management Console から [設定のダウンロード] 画面を正しくロードするには、IAM ロールまたはユーザーが次の 2 つの Amazon EC2 API に対する許可を持っていることを確認してください: GetVpnConnectionDeviceTypes および GetVpnConnectionDeviceSampleConfiguration。

  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで、[Site-to-Site VPN Connections (Site-to-Site VPN 接続)] を選択します。

  3. VPN 接続を選択してから、[設定のダウンロード] を選択します。

  4. カスタマーゲートウェイデバイスに対応する、vendorplatformsoftware および IKE version を選択します。デバイスが一覧にない場合は、[Generic] を選択します。

  5. [ダウンロード] を選択します。

AWS コマンドラインまたは API を使用して、サンプル設定ファイルをダウンロードするには

カスタマーゲートウェイデバイスを設定する

サンプル設定ファイルを使用して、カスタマーゲートウェイデバイスを設定します。カスタマーゲートウェイデバイスは、Site-to-Site VPN 接続のお客様側の物理アプライアンスまたはソフトウェアアプライアンスです。詳細については、「」を参照してくださいカスタマーゲートウェイデバイス