の開始方法 AWS Site-to-Site VPN

AWS Site-to-Site VPN 接続を設定するには、次の手順に従います。作成時に、ターゲットゲートウェイタイプに仮想プライベートゲートウェイ、トランジットゲートウェイで、または「関連付けられていない」を指定します。「関連付けられていない」を指定した場合は、後でターゲットゲートウェイタイプを選択するか、 AWS Cloud WAN の VPN アタッチメントとして使用できます。このチュートリアルは、仮想プライベートゲートウェイを使用して VPN 接続を作成する方法について説明します。1 つ以上のサブネットを持つ既存の VPC があることを前提としています。

仮想プライベートゲートウェイを使用して VPN 接続を設定するには、以下のステップを実行します。

関連タスク

• AWS クラウド WAN の VPN 接続を作成するには、「」を参照してください AWS クラウド WAN 用の VPN アタッチメントを作成する。

• トランジットゲートウェイで VPN 接続を作成するには、「トランジットゲートウェイ VPN アタッチメントを作成する」を参照してください 。

前提条件

VPN 接続のコンポーネントを設定および構成するには、次の情報が必要です。

項目	情報
カスタマーゲートウェイデバイス	VPN 接続のお客様側にある物理デバイスまたはソフトウェアデバイス。ベンダー (Cisco など)、プラットフォーム (ISR シリーズルーターなど)、およびソフトウェアバージョン (IOS 12.4 など) が必要です。
カスタマーゲートウェイ	でカスタマーゲートウェイリソースを作成するには AWS、次の情報が必要です。 デバイスの外部インターフェイス用のインターネットルーティングが可能な IP アドレス。 ルーティングのタイプ: 静的または動的 動的ルーティングの場合、ボーダーゲートウェイプロトコル (BGP) 自律システム番号 (ASN) （オプション) VPN を認証 AWS Private Certificate Authority するための からのプライベート証明書 詳細については、「カスタマーゲートウェイのオプション」を参照してください。
（オプション) BGP セッションの AWS 側の ASN	これは、仮想プライベートゲートウェイまたは Transit Gateway を作成するときに指定します。値を指定していない場合、デフォルトの ASN が適用されます。詳細については、「仮想プライベートゲートウェイ」を参照してください。
VPN 接続	VPN 接続を作成するには、次の情報が必要です。 静的ルーティングの場合、プライベートネットワークの IP プレフィックス。 (オプション) 各 VPN トンネルのトンネルオプション。詳細については、「Site-to-Site VPN 接続のトンネルオプション」を参照してください。

ステップ 1: カスタマーゲートウェイを作成する

カスタマーゲートウェイは、カスタマーゲートウェイデバイスまたはソフトウェアアプリケーション AWS に関する情報を に提供します。詳細については、「カスタマーゲートウェイ」を参照してください。

プライベート証明書を使用して VPN を認証する場合は、 を使用して下位 CA からプライベート証明書を作成します AWS Private Certificate Authority。プライベート証明書の作成の詳細については、AWS Private Certificate Authority ユーザーガイドの「プライベート CA の作成と管理」を参照してください。

注記

プライベート証明書の IP アドレスまたは Amazon リソース名を指定する必要があります。

コンソールを使用してカスタマーゲートウェイを作成するには

1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

2. ナビゲーションペインで、[カスタマーゲートウェイ] を選択します。

3. [カスタマーゲートウェイの作成]] を選択します。

4. (オプション) [名前] には、カスタマーゲートウェイの名前を入力します。これにより、Name というキーと指定した値を含むタグが作成されます。

5. [BGP ASN] に、カスタマーゲートウェイのボーダーゲートウェイプロトコル (BGP) 自律システム番号 (ASN) を入力します。

6. (オプション) [IP アドレス] に、カスタマーゲートウェイデバイスのインターネットルーティング可能な静的 IP アドレスを入力します。カスタマーゲートウェイデバイスが NAT-T が有効な NAT デバイスの内側にある場合は、NAT デバイスのパブリック IP アドレスを使用します。

7. (オプション) プライベート証明書を使用する場合は、[Certificate ARN (証明書 ARN)] で、プライベート証明書の Amazon リソース名を選択します。

8. (オプション) [デバイス] には、このカスタマーゲートウェイに関連するカスタマーゲートウェイデバイスの名前を入力します。

9. [カスタマーゲートウェイの作成]] を選択します。

コマンドラインまたは API を使用してカスタマーゲートウェイを作成するには

• CreateCustomerゲートウェイ (Amazon EC2 クエリ API)

• create-customer-gateway (AWS CLI)

• New-EC2CustomerGateway (AWS Tools for Windows PowerShell)

ステップ 2: ターゲットゲートウェイを作成する

VPC とオンプレミスネットワーク間の VPN 接続を確立するには、接続の AWS 側にターゲットゲートウェイを作成する必要があります。ターゲットゲートウェイは、仮想プライベートゲートウェイまたは Transit Gateway にすることができます。

仮想プライベートゲートウェイの作成

仮想プライベートゲートウェイを作成するときは、Amazon 側のゲートウェイのカスタムプライベート自律システム番号 (ASN) 指定するか、Amazon のデフォルト ASN を使用できます。ASN は、カスタマーゲートウェイに指定した ASN とは異なっている必要があります。

仮想プライベートゲートウェイを作成した後は、VPC にアタッチする必要があります。

仮想プライベートゲートウェイを作成して VPC にアタッチするには

1. ナビゲーションペインで [仮想プライベートゲートウェイ] を選択します。

2. [Create virtual private gateway] (仮想プライベートゲートウェイの作成) を選択します。

3. (オプション) [名前タグ] に仮想プライベートゲートウェイの名前を入力します。これにより、Name というキーと指定した値を含むタグが作成されます。

4. [AS 番号 (ASN)] では、デフォルトの選択を使用するために 、デフォルトの選択 [Amazon のデフォルト ASN] のままにします。それ以外の場合は、[カスタム ASN] を選択して値を入力します。16 ビット ASN では、値は 64512 から 65534 の範囲内である必要があります。32 ビット ASN では、値は 4200000000 から 4294967294 の範囲内である必要があります。

5. [Create virtual private gateway] (仮想プライベートゲートウェイの作成) を選択します。

6. 作成した仮想プライベートゲートウェイを選択した後、[Actions] (アクション)、[Attach to VPC] (VPC にアタッチ) の順に選択します。

7. [使用可能な VPC] で VPC を選択し、次に [VPC にアタッチ] を選択します。

コマンドラインまたは API を使用して仮想プライベートゲートウェイを作成するには

• CreateVpnゲートウェイ (Amazon EC2 クエリ API)

• create-vpn-gateway (AWS CLI)

• New-EC2VpnGateway (AWS Tools for Windows PowerShell)

コマンドラインまたは API を使用して仮想プライベートゲートウェイを VPC にアタッチするには

• AttachVpnゲートウェイ (Amazon EC2 クエリ API)

• attach-vpn-gateway (AWS CLI)

• Add-EC2VpnGateway (AWS Tools for Windows PowerShell)

Transit Gateway を作成する

Transit Gateway の作成の詳細については、Amazon VPC Transit Gatewayの「Transit Gateway」を参照してください。

ステップ 3: ルーティングを設定する

VPC のインスタンスがカスタマーゲートウェイに到達できるようにするには、VPN 接続で使用されるルートがルートテーブルに含まれるようにし、仮想プライベートゲートウェイまたはトランジットゲートウェイを指すように設定する必要があります。

(仮想プライベートゲートウェイ) ルートテーブルでルート伝播を有効にする

ルートテーブルのルート伝播を有効にして、Site-to-Site VPN ルートを自動的に伝播することができます。

静的ルーティングでは、VPN 接続の状態が UP であるときに、VPN 設定に指定した静的 IP プレフィックスがルートテーブルに伝播されます。同様に、動的なルーティングでは、VPN 接続の状態が UP のときに、カスタマーゲートウェイから BGP でアドバタイズされたルートがルートテーブルに伝播されます。

注記

接続が中断されても、VPN 接続が UP のままの場合、ルートテーブルにある伝播されたルートは自動的に削除されません。たとえば、トラフィックを静的ルートにフェイルオーバーする場合は、この点に注意してください。その場合、伝播されたルートを削除するには、ルートの伝播を無効にする必要があります。

コンソールを使用してルート伝達を有効にするには

1. ナビゲーションペインで、[Route tables] (ルートテーブル) を選択します。

2. サブネットに関連付けられたルートテーブルを選択します。

3. [ルート伝播] タブで、[ルート伝達の編集] を選択します。前の手順で作成した仮想プライベートキーファイルを選択してから、[保存] を選択します。

注記

ルート伝播を有効にしない場合、VPN 接続で使用される静的ルートを手動で入力する必要があります。これを行うには、ルートテーブルを選択し、[Routes]、[Edit] を選択します。[Destination (送信先)] では、Site-to-Site VPN 接続で使用される静的ルートを追加します。[Target] では、仮想プライベートゲートウェイ ID を選択し、[Save] を選択します。

コンソールを使用してルート伝達を無効にするには

1. ナビゲーションペインで、[Route tables] (ルートテーブル) を選択します。

2. サブネットに関連付けられたルートテーブルを選択します。

3. [ルート伝播] タブで、[ルート伝達の編集] を選択します。仮想プライベートゲートウェイの [伝播] チェックボックスをオフにします。

4. [保存] を選択します。

コマンドラインまたは API を使用してルート伝達を有効にするには

• EnableVgwRoutePropagation (Amazon EC2 クエリ API)

• enable-vgw-route-propagation（AWS CLI）

• Enable-EC2VgwRoutePropagation (AWS Tools for Windows PowerShell)

コマンドラインまたは API を使用してルート伝達を無効にするには

• DisableVgwRoutePropagation (Amazon EC2 クエリ API)

• disable-vgw-route-propagation（AWS CLI）

• Disable-EC2VgwRoutePropagation (AWS Tools for Windows PowerShell)

(Transit Gateway) ルートテーブルにルートを追加します

Transit Gateway のルートテーブルの伝播を有効にした場合、VPN アタッチメントのルートは Transit Gateway のルートテーブルに伝播されます。詳細については、Amazon VPC Transit Gatewaysの「ルーティング」を参照してください。

VPC を Transit Gateway にアタッチし、VPC 内のリソースがカスタマーゲートウェイに到達できるようにするには、サブネットルートテーブルにルートを追加して、Transit Gateway を指すようにする必要があります。

ルートを VPC ルートテーブルに追加するには

1. ナビゲーションペインで、[ルートテーブル] を選択します。

2. VPC に関連付けられているルートテーブルを選択します。

3. [Routes] タブで、[Edit routes] を選択します。

4. [Add Rule (ルートの追加)] を選択します。

5. [送信先] に、送信先の IP アドレス範囲を入力します。[Target (ターゲット)] で、Transit Gateway を選択します。

6. [変更の保存] を選択します。

ステップ 4: セキュリティグループを更新する

ネットワークから VPC 内のインスタンスにアクセスするのを許可するには、セキュリティグループのルールを更新して、インバウンド SSH、RDP、および ICMP アクセスを有効にする必要があります。

セキュリティグループにルールを追加して、アクセスを有効にするには

1. ナビゲーションペインで [セキュリティグループ] をクリックします。

2. アクセスを許可する VPC 内のインスタンスのセキュリティグループを選択します。

3. [インバウンドルール] タブで、[インバウンドルールの編集] を選択します。

4. ネットワークからのインバウンド SSH、RDP、ICMP アクセスを許可するルール追加し、[Save] を選択します。詳細については、「Amazon VPC ユーザーガイド」の「セキュリティグループの操作」を参照してください。

ステップ 5: VPN 接続を作成する

カスタマーゲートウェイと、前に作成した仮想プライベートゲートウェイまたは Transit Gateway を組み合わせて VPN 接続を作成します。

VPN 接続を作成するには

1. ナビゲーションペインで、[Site-to-Site VPN 接続] を選択します。

2. [Create VPN connection] (VPN 接続の作成) を選択します。

3. (オプション) [名前タグ] には、VPN 接続の名前を入力します。これにより、Name というキーと指定した値を含むタグが作成されます。

4. [Target gateway type] (ターゲットゲートウェイタイプ) で、[仮想プライベートゲートウェイ] または [Transit gateway] (転送ゲートウェイ) を選択します。次に、以前に作成した仮想プライベートゲートウェイまたは Transit Gateway を選択します。

5. [カスタマーゲートウェイ] で [既存] を選択し、[カスタマーゲートウェイ ID] から、前に作成したカスタマーゲートウェイを選択します。

6. カスタマーゲートウェイデバイスがボーダーゲートウェイプロトコル (BGP) をサポートしているかどうかに基づいて、ルーティングオプションのいずれかを選択します。

   • カスタマーゲートウェイデバイスが BGP をサポートしている場合は、[動的 (BGP が必要)] を選択します。

   • カスタマーゲートウェイデバイスが BGP をサポートしていない場合は、[静的] を選択します。[静的 IP プレフィックス] で、VPN 接続のプライベートネットワークのそれぞれの IP プレフィックスを指定します。

7. ターゲットゲートウェイタイプが転送ゲートウェイの場合、[トンネル内部 IP バージョン] で、VPN トンネルが IPv4 トラフィックをサポートするか、IPv6 トラフィックをサポートするかを指定します。IPv6 トラフィックは、Transit Gateway の VPN 接続でのみサポートされます。

8. IP バージョン 内で IPv4 for Tunnel を指定した場合は、オプションで、カスタマーゲートウェイと VPN トンネルを介した通信が許可されている AWS 側の IPv4 CIDR 範囲を指定できます。 デフォルトは 0.0.0.0/0 です。

   IP バージョン 内で IPv6 for Tunnel を指定した場合は、オプションで、カスタマーゲートウェイと VPN トンネル経由で通信できる AWS 側の IPv6 CIDR 範囲を指定できます。 両方の範囲のデフォルトは ::/0 です。

9. 外部 IP アドレスタイプ の場合、デフォルトのオプション PublicIpv4 のままにします。

10. (オプション) [トンネルオプション] では、トンネルごとに次の情報を指定できます。

    • トンネル内部 IPv4 アドレスの 169.254.0.0/16 範囲からサイズ /30 の IPv4 CIDR ブロック。

    • [トンネル内部 IP バージョン] で [IPv6] を指定した場合は、トンネル内部 IPv6 アドレスの fd00::/8 範囲から /126 の IPv6 CIDR ブロック。

    • IKE 事前共有キー (PSK)。IKEv1 または IKEv2 バージョンがサポートされています。

    • トンネルの詳細オプションを編集するには、[トンネルのオプションを編集する] を選択します。詳細については、「VPN トンネルオプション」を参照してください。

11. [Create VPN connection] (VPN 接続の作成) を選択します。VPN 接続の作成には数分かかる場合があります。

コマンドラインまたは API を使用して VPN 接続を作成するには

• CreateVpn接続 (Amazon EC2 クエリ API)

• create-vpn-connection (AWS CLI)

• New-EC2VpnConnection (AWS Tools for Windows PowerShell)

ステップ 6: 設定ファイルをダウンロードする

VPN 接続を作成した後、サンプル設定ファイルをダウンロードして、カスタマーゲートウェイデバイスを設定できます。

重要

設定ファイルはほんの一例です。ユーザーの想定する VPN 接続設定とすべては一致しない場合があります。ほとんどのリージョンでは AES128, SHA1、および Diffie-Hellman グループ 2 の VPN 接続の最小要件を指定し、 AWS リージョンでは AES128, SHA2、および Diffie-Hellman グループ 14 AWS GovCloud の VPN 接続の最小要件を指定します。また、認証用の事前共有キーも指定します。追加のセキュリティアルゴリズム、Diffie-Hellman グループ、プライベート証明書、IPv6 トラフィックを活用するには、サンプル設定ファイルを変更する必要があります。

多くの一般的なカスタマーゲートウェイデバイスの設定ファイルに IKEv2 サポートが導入されており、時間の経過とともにファイルを追加していきます。IKEv2 をサポートする設定ファイルのリストは、「カスタマーゲートウェイデバイス」を参照してください。

アクセス許可

からダウンロード設定画面を適切に読み込むには AWS Management Console、IAM ロールまたはユーザーに次の Amazon EC2 APIsのアクセス許可があることを確認する必要があります: GetVpnConnectionDeviceTypesおよび GetVpnConnectionDeviceSampleConfiguration。

コンソールを使用して設定ファイルをダウンロードするには

1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

2. ナビゲーションペインで、[Site-to-Site VPN 接続] を選択します。

3. VPN 接続を選択してから、[設定をダウンロード] を選択します。

4. カスタマーゲートウェイデバイスに対応する [ベンダー]、[プラットフォーム]、[ソフトウェア] および [IKE バージョン] を選択します。デバイスが一覧にない場合は、[Generic (汎用)] を選択します。

5. [Download] を選択します。

コマンドラインまたは API を使用して、サンプル設定ファイルをダウンロードするには

• GetVpnConnectionDeviceタイプ (Amazon EC2 API)

• GetVpnConnectionDeviceSampleConfiguration (Amazon EC2 クエリ API)

• get-vpn-connection-device-types (AWS CLI)

• get-vpn-connection-device-sample-configuration (AWS CLI)

ステップ 7: カスタマーゲートウェイデバイスを設定する

サンプル設定ファイルを使用して、カスタマーゲートウェイデバイスを設定します。カスタマーゲートウェイデバイスは、VPN 接続のお客様側の物理アプライアンスまたはソフトウェアアプライアンスです。詳細については、「カスタマーゲートウェイデバイス」を参照してください。