開始方法 - AWS Site-to-Site VPN

開始方法

AWS Site-to-Site VPN 接続を手動でセットアップするには、次の手順を実行します。仮想プライベートゲートウェイまたはトランジットゲートウェイをターゲットゲートウェイとして使用して、Site-to-Site VPN 接続を作成できます。

Site-to-Site VPN 接続を設定するには、以下のステップを実行します。

この手順では、1 つ以上のサブネットのある VPC があるものと仮定しています。

トランジットゲートウェイで Site-to-Site VPN 接続を作成するステップについては、「トランジットゲートウェイ VPN アタッチメントの作成」を参照してください。

Prerequisites

Site-to-Site VPN 接続のコンポーネントを設定および構成するには、次の情報が必要です。

項目 情報
カスタマーゲートウェイデバイス VPN 接続のお客様側にある物理デバイスまたはソフトウェアデバイス。ベンダー (Cisco など)、プラットフォーム (ISR シリーズルーターなど)、およびソフトウェアバージョン (IOS 12.4 など) が必要です。
カスタマーゲートウェイ AWS でカスタマーゲートウェイリソースを作成するには、次の情報が必要です。
  • デバイスの外部インターフェイス用のインターネットルーティングが可能な IP アドレス。

  • ルーティングのタイプ: 静的または動的

  • 動的ルーティングの場合、ボーダーゲートウェイプロトコル (BGP) 自律システム番号 (ASN)

  • (オプション) VPN を認証するための AWS Certificate Manager Private Certificate Authority のプライベート証明書

詳細については、「」を参照してくださいSite-to-Site VPN 接続のカスタマーゲートウェイオプション

(オプション) BGP セッションの AWS 側の ASN

これは、仮想プライベートゲートウェイまたはトランジットゲートウェイを作成するときに指定します。値を指定していない場合、デフォルトの ASN が適用されます。詳細については、「」を参照してください仮想プライベートゲートウェイ

VPN 接続 VPN 接続を作成するには、次の情報が必要です。
  • 静的ルーティングの場合、プライベートネットワークの IP プレフィックス。

  • (オプション) 各 VPN トンネルのトンネルオプション。詳細については、「」を参照してくださいSite-to-Site VPN 接続のトンネルオプション

カスタマーゲートウェイを作成する

カスタマーゲートウェイは、カスタマーゲートウェイデバイスまたはソフトウェアアプリケーションに関する情報を AWS に提供します。詳細については、「」を参照してくださいカスタマーゲートウェイ

プライベート証明書を使用して VPN を認証する場合は、AWS Certificate Manager Private Certificate Authority を使用して下位 CA からプライベート証明書を作成します。プライベート証明書の作成の詳細については、AWS Certificate Manager Private Certificate Authority ユーザーガイドの「プライベート CA の作成と管理」を参照してください。

注記

プライベート証明書の IP アドレスまたは Amazon リソース名を指定する必要があります。

コンソールを使用してカスタマーゲートウェイを作成するには

  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで [Customer Gateways] を選択してから、[Create Customer Gateway] をクリックします。

  3. 以下を入力し、[Create Customer Gateway] を選択します。

    • (オプション) [名前] には、カスタマーゲートウェイの名前を入力します。これにより、Name というキーと指定した値を含むタグが作成されます。

    • [Routing] では、ルーティングタイプを選択します。

    • 動的ルーティングの場合、[BGP ASN] に、ボーダーゲートウェイプロトコル (BGP) 自律システム番号 (ASN) を入力します。

    • (オプション) [IP アドレス] に、カスタマーゲートウェイデバイスのインターネットルーティング可能な静的 IP アドレスを入力します。カスタマーゲートウェイが NAT-T が有効な NAT デバイスの内側にある場合は、NAT デバイスのパブリック IP アドレスを使用します。

    • (オプション) プライベート証明書を使用する場合は、[Certificate ARN (証明書 ARN)] で、プライベート証明書の Amazon リソース名を選択します。

コマンドラインまたは API を使用してカスタマーゲートウェイを作成するには

ターゲットゲートウェイを作成する

VPC とオンプレミスネットワークの間に VPN 接続を確立するには、接続の AWS 側でターゲットゲートウェイを作成する必要があります。ターゲットゲートウェイは、仮想プライベートゲートウェイまたはトランジットゲートウェイにすることができます。

仮想プライベートゲートウェイの作成

仮想プライベートゲートウェイを作成するとき、オプションで、Amazon 側のゲートウェイのプライベート自律システム番号 (ASN) 指定できます。ASN は、カスタマーゲートウェイに指定した BGP ASN とは異なっている必要があります。

仮想プライベートゲートウェイを作成した後は、VPC にアタッチする必要があります。

仮想プライベートゲートウェイを作成して VPC にアタッチするには

  1. ナビゲーションペインで、[Virtual Private Gateways]、[Create Virtual Private Gateway] を選択します。

  2. (オプション) 仮想プライベートゲートウェイの名前を入力します。これにより、Name というキーと指定した値を含むタグが作成されます。

  3. [ASN] では、デフォルトの Amazon ASN を使用するためにデフォルトの選択のままにします。それ以外の場合は、[カスタム ASN] を選択して値を入力します。16 ビット ASN では、値は 64512 から 65534 の範囲内である必要があります。32 ビット ASN では、値は 4200000000 から 4294967294 の範囲内である必要があります。

  4. [Create Virtual Private Gateway] を選択します。

  5. 作成した仮想プライベートゲートウェイを選択した後、[Actions]、[Attach to VPC] を選択します。

  6. リストから VPC を選択し、[Yes, Attach] を選択します。

コマンドラインまたは API を使用して仮想プライベートゲートウェイを作成するには

コマンドラインまたは API を使用して仮想プライベートゲートウェイを VPC にアタッチするには

トランジットゲートウェイを作成する

トランジットゲートウェイの作成の詳細については、Amazon VPC トランジットゲートウェイの「トランジットゲートウェイ」を参照してください。

ルーティングを設定する

VPC のインスタンスがカスタマーゲートウェイに到達できるようにするには、Site-to-Site VPN 接続で使用されるルートがルートテーブルに含まれるようにし、仮想プライベートゲートウェイまたはトランジットゲートウェイを指すように設定する必要があります。

(仮想プライベートゲートウェイ) ルートテーブルでルート伝播を有効にする

ルートテーブルのルート伝播を有効にして、Site-to-Site VPN ルートを自動的に伝播することができます。

静的ルーティングでは、Site-to-Site VPN 接続の状態が UP であるときに、VPN 設定に指定した静的 IP プレフィックスがルートテーブルに伝達されます。同様に、動的なルーティングでは、Site-to-Site VPN 接続の状態が UP のときに、カスタマーゲートウェイから BGP でアドバタイズされたルートがルートテーブルに伝達されます。

注記

接続が中断されても、VPN 接続が UP のままの場合、ルートテーブルにある伝播されたルートは自動的に削除されません。たとえば、トラフィックを静的ルートにフェイルオーバーする場合は、この点に注意してください。その場合、伝播されたルートを削除するには、ルートの伝播を無効にする必要があります。

コンソールを使用してルート伝達を有効にするには

  1. ナビゲーションペインで、[Route Tables] を選択後、サブネットに関連付けられたルートテーブルを選択します。デフォルトでは、これは VPC のメインルートテーブルです。

  2. 詳細ペインの [ルート伝播] タブで [ルート伝播の編集] を選択し、前の手順で作成した仮想プライベートゲートウェイを選択してから、[保存] を選択します。

注記

静的ルーティングでは、ルート伝達を有効にしない場合、Site-to-Site VPN 接続で使用される静的ルートを手動で入力する必要があります。これを行うには、ルートテーブルを選択し、[Routes]、[Edit] を選択します。[Destination (送信先)] では、Site-to-Site VPN 接続で使用される静的ルートを追加します。[Target] では、仮想プライベートゲートウェイ ID を選択し、[Save] を選択します。

コンソールを使用してルート伝達を無効にするには

  1. ナビゲーションペインで、[Route Tables] を選択後、サブネットに関連付けられたルートテーブルを選択します。

  2. [ルート伝播]、[ルート伝播の編集] の順に選択します。仮想プライベートゲートウェイの [Propagate] チェックボックスをオフにし、[Save] を選択します。

コマンドラインまたは API を使用してルート伝達を有効にするには

コマンドラインまたは API を使用してルート伝達を無効にするには

(トランジットゲートウェイ) ルートテーブルにルートを追加します

トランジットゲートウェイのルートテーブルの伝播を有効にした場合、VPN アタッチメントのルートはトランジットゲートウェイのルートテーブルに伝播されます。詳細については、Amazon VPC Transit Gatewaysの「ルーティング」を参照してください。

VPC をトランジットゲートウェイにアタッチし、VPC 内のリソースがカスタマーゲートウェイに到達できるようにするには、サブネットルートテーブルにルートを追加して、トランジットゲートウェイを指すようにする必要があります。

ルートを VPC ルートテーブルに追加するには

  1. ナビゲーションペインで、[Route Tables (ルートテーブル)] を選択します。

  2. VPC に関連付けられているルートテーブルを選択します。

  3. [Routes (ルート)] タブを選択し、[Edit routes (ルートの編集)] を選択します。

  4. [Add Rule (ルートの追加)] を選択します。

  5. [Destination (送信先)] 列に、送信先の IP アドレス範囲を入力します。[Target (ターゲット)] で、トランジットゲートウェイを選択します。

  6. [Save routes (ルートの保存)] を選択し、次に、[閉じる] を選択します。

セキュリティグループを更新する

ネットワークから VPC 内のインスタンスにアクセスするのを許可するには、セキュリティグループのルールを更新して、インバウンド SSH、RDP、および ICMP アクセスを有効にする必要があります。

セキュリティグループにルールを追加して、インバウンド SSH、RDP、ICMP アクセスを有効にするには

  1. ナビゲーションペインで [Security Groups] を選択し、VPC のデフォルトのセキュリティグループを選択します。

  2. 詳細ペインの [Inbound] タブで、ネットワークからのインバウンド SSH、RDP、ICMP アクセスを許可するルール追加し、[Save] を選択します。インバウンドルールの追加の詳細については、Amazon VPC ユーザーガイドの「ルールを追加、削除、および更新する」を参照してください。

AWS CLI を使用したセキュリティグループの操作の詳細については、Amazon VPC ユーザーガイドの「VPC のセキュリティグループ」を参照してください。

サイト間 VPN 接続の作成

カスタマーゲートウェイと、以前に作成した仮想プライベートゲートウェイまたはトランジットゲートウェイを使用して Site-to-Site VPN 接続を作成します。

Site-to-Site VPN 接続を作成するには

  1. ナビゲーションペインで、[Site-to-Site VPN Connections (Site-to-Site VPN 接続)]、[Create VPN Connection (VPN 接続の作成)] の順に選択します。

  2. (オプション) [名前タグ] には、Site-to-Site VPN 接続の名前を入力します。これにより、Name というキーと指定した値を含むタグが作成されます。

  3. [Target Gateway Type (ターゲットゲートウェイタイプ)] で、[仮想プライベートゲートウェイ] または [Transit Gateway (トランジットゲートウェイ)] を選択します。次に、以前に作成した仮想プライベートゲートウェイまたはトランジットゲートウェイを選択します。

  4. [カスタマーゲートウェイ ID] で、以前に作成したカスタマーゲートウェイを選択します。

  5. カスタマーゲートウェイデバイスがボーダーゲートウェイプロトコル (BGP) をサポートしているかどうかに基づいて、ルーティングオプションのいずれかを選択します。

    • カスタマーゲートウェイデバイスが BGP をサポートしている場合は、[動的 (BGP が必要) を選択します。

    • カスタマーゲートウェイデバイスが BGP をサポートしていない場合は、[静的] を選択します。[Static IP Prefixes (静的 IP プレフィックス)] では、Site-to-Site VPN 接続のプライベートネットワークのそれぞれの IP プレフィックスを指定します。

  6. (オプション) [Tunnel Inside IP Version (トンネル内部 IP バージョン)] で、VPN トンネルが IPv4 トラフィックをサポートするか、IPv6 トラフィックをサポートするかを指定します。IPv6 トラフィックは、トランジットゲートウェイの VPN 接続でのみサポートされます。

  7. (オプション) [Local IPv4 Network CIDR (ローカル IPv4 ネットワーク CIDR)] で、VPN トンネルを介した通信を許可するカスタマーゲートウェイ (オンプレミス) 側の IPv4 CIDR 範囲を指定します。デフォルト: 0.0.0.0/0

    [リモート IPv4 ネットワーク CIDR] で、VPN トンネルを介した通信を許可する AWS 側の IPv4 CIDR 範囲を指定します。デフォルト: 0.0.0.0/0

    [トンネル内部 IP バージョン] で [IPv6] を指定した場合は、カスタマーゲートウェイ側と AWS 側で、VPN トンネルを介した通信を許可する IPv6 CIDR 範囲を指定します。両方の範囲のデフォルトは ::/0 です。

  8. (オプション) [トンネルオプション] では、トンネルごとに次の情報を指定できます。

    • トンネル内部 IPv4 アドレスの 169.254.0.0/16 範囲からサイズ /30 の IPv4 CIDR ブロック。

    • [Tunnel Inside IP Version (トンネル内部 IP バージョン)] で [IPv6] を指定した場合は、トンネル内部 IPv6 アドレスの fd00::/8 範囲から /126 の IPv6 CIDR ブロック。

    • IKE 事前共有キー (PSK)。IKEv1 または IKEv2 バージョンがサポートされています。

    • 高度なトンネル情報。次の情報が含まれます。

      • IKE ネゴシエーションのフェーズ 1 および 2 の暗号化アルゴリズム

      • IKE ネゴシエーションのフェーズ 1 および 2 の整合性アルゴリズム

      • IKE ネゴシエーションのフェーズ 1 および 2 の Diffie-Hellman グループ

      • IKE バージョン

      • フェーズ 1 および 2 のライフタイム

      • キー再生成のマージンタイム

      • キー再生成ファズ

      • 再生ウィンドウのサイズ

      • デッドピア検出の間隔

      • デッドピア検出タイムアウトアクション

      • 開始アクション

    これらのパラメータの詳細については、Site-to-Site VPN 接続のトンネルオプションを参照してください。

  9. [Create VPN Connection (VPN 接続の作成)] を選択します。Site-to-Site VPN 接続の作成には数分かかる場合があります。

コマンドラインまたは API を使用して Site-to-Site VPN 接続を作成するには

設定ファイルをダウンロードする

Site-to-Site VPN 接続を作成した後に、設定情報をダウンロードして、カスタマーゲートウェイデバイスまたはソフトウェアアプリケーションを設定するために使用します。

重要

設定ファイルはほんの一例です。ユーザーの想定する VPN 接続設定とは一致しない場合があります。例えば、ほとんどの AWS リージョンでは IKE バージョン 1、AES128、SHA1、および DH グループ 2 の最小要件を指定しており、AWS GovCloud リージョンでは IKE バージョン 1、AES128、SHA2、および DH グループ 14 の最小要件を指定しています。また、認証用の事前共有キーも指定します。IKE バージョン 2、追加のセキュリティアルゴリズムと DH グループ、およびプライベート証明書を活用するには、サンプル設定ファイルを変更する必要があります。

Site-to-Site VPN 接続の作成または変更時にカスタムトンネルオプションを指定した場合は、トンネルのカスタム設定と一致するようにサンプル設定ファイルを変更します。

このファイルには、仮想プライベートゲートウェイの外部 IP アドレスの値も含まれます。この値は AWS の VPN 接続を作り直さない限り固定です。

設定ファイルをダウンロードするには

  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで、[Site-to-Site VPN Connections (Site-to-Site VPN 接続)] を選択します。

  3. VPN 接続を選択してから、[設定のダウンロード] を選択します。

  4. カスタマーゲートウェイデバイスまたはソフトウェアに対応するベンダー、プラットフォーム、ソフトウェアを選択します。デバイスが一覧にない場合は、[Generic (汎用)] を選択します。[Download] を選択します。

カスタマーゲートウェイデバイスを設定する

設定ファイルを使用して、カスタマーゲートウェイデバイスを設定します。カスタマーゲートウェイデバイスは、Site-to-Site VPN 接続のお客様側の物理アプライアンスまたはソフトウェアアプライアンスです。詳細については、「」を参照してくださいカスタマーゲートウェイデバイス