AWS Site-to-Site VPN
ユーザーガイド

AWS Site-to-Site VPN とは

デフォルトでは、Amazon VPC 内に起動されるインスタンスとお客様独自の (リモート) ネットワークとの通信はできません。VPC から独自のリモートネットワークへのアクセスを可能にするには、仮想プライベートゲートウェイを VPC に関連付け、カスタムルートテーブルを作成して、セキュリティグループ規則を更新し、AWS Site-to-Site VPN (Site-to-Site VPN) 接続を作成します。

VPN 接続という用語は一般的な用語ですが、このドキュメントにおいては、VPN 接続は VPC とお客様独自のオンプレミスのネットワーク間の接続を指します。Site-to-Site VPN は、インターネットプロトコルセキュリティ (IPsec) VPN 接続をサポートしています。

Site-to-Site VPN 接続は、AWS Classic VPN または AWS VPN のいずれかです。詳細については、「AWS Site-to-Site VPN カテゴリ」を参照してください。

重要

現在、Site-to-Site VPN 接続による IPv6 トラフィックはサポートされていません。

Site-to-Site VPN のコンポーネント

Site-to-Site VPN 接続は以下のコンポーネントで構成されます。Site-to-Site VPN の制限の詳細については、『Amazon VPC ユーザーガイド』の「Amazon VPC 制限」を参照してください。

仮想プライベートゲートウェイ

仮想プライベートゲートウェイは、Site-to-Site VPN 接続の Amazon 側にある VPN コンセントレータです。仮想プライベートゲートウェイを作成し、Site-to-Site VPN 接続を作成する VPC にアタッチします。

仮想プライベートゲートウェイを作成するとき、Amazon 側のゲートウェイのプライベート自律システム番号 (ASN) 指定できます。ASN を指定しない場合、仮想プライベートゲートウェイはデフォルトの ASN (64512) で作成されます。仮想プライベートゲートウェイの作成後に ASN を変更することはできません。仮想プライベートゲートウェイの ASN を確認するには、Amazon VPC コンソールの [仮想プライベートゲートウェイ] 画面で詳細を表示するか、または、describe-vpn-gateways AWS CLI コマンドを使用します。

注記

2018 年 6 月 30 日以前に仮想プライベートゲートウェイを作成した場合、デフォルトの ASN は アジアパシフィック (シンガポール) リージョンで 17493、アジアパシフィック (東京) リージョンで 10124、欧州 (アイルランド) リージョンで 9059、その他すべてのリージョンでは 7224 となります。

AWS Transit Gateway

仮想プライベートゲートウェイからの AWS Site-to-Site VPN 接続のターゲットゲートウェイを トランジットゲートウェイ に修正できます。トランジットゲートウェイ は仮想プライベートクラウド (VPC) とオンプレミスのネットワークの相互接続に使用できる中継ハブです。詳細については、「Site-to-Site VPN 接続のターゲットゲートウェイの変更」を参照してください。

カスタマーゲートウェイ

カスタマーゲートウェイは、Site-to-Site VPN 接続のユーザー側にある物理的なデバイスまたはソフトウェアアプリケーションです。

Site-to-Site VPN 接続を作成するには、AWS にカスタマーゲートウェイリソースを作成し、AWS にカスタマーゲートウェイデバイスに関する情報を提供する必要があります。以下の表は、カスタマーゲートウェイリソースを作成するのに必要な情報を示しています。

項目 説明

カスタマーゲートウェイの外部インターフェイスの、インターネットでルーティング可能な IP アドレス (静的)

パブリック IP アドレスの値は静的な値である必要があります。カスタマーゲートウェイが NAT トラバーサル (NAT-T) が有効になっているネットワークアドレス変換 (NAT) の内側にある場合は、NAT デバイスのパブリック IP アドレスを使用し、UDP ポート 4500 をブロックしないようにファイアウォールルールを調整します。

ルーティングのタイプ — 静的または動的。

詳細については、「Site-to-Site VPN ルーティングオプション」を参照してください。

(動的ルーティングのみ) カスタマーゲートウェイのボーダーゲートウェイプロトコル (BGP) 自律システム番号 (ASN) です。

ネットワークに割り当てられている既存の ASN を使用できます。既存の ASN がない場合は、プライベート ASN (64512 から 65534 までの範囲) を使用できます。

コンソールの VPC ウィザードを使用して VPC を設定すると、ASN として自動的に 65000 が使用されます。

また、Site-to-Site VPN 接続で Amazon VPC を使用するには、ユーザー自身またはネットワーク管理者がリモートネットワークのカスタマーゲートウェイデバイスまたはアプリケーションを設定する必要があります。Site-to-Site VPN 接続を作成するときに、設定に必要な情報が提供され、通常はネットワーク管理者がこの設定を行います。カスタマーゲートウェイの要件および設定については、Amazon VPC ネットワーク管理者ガイドの「カスタマーゲートウェイ」を参照してください。

VPN トンネルは、Site-to-Site VPN 接続のユーザー側からトラフィックが生成されると開始されます。仮想プライベートゲートウェイはイニシエータではないため、カスタマーゲートウェイがトンネルを開始する必要があります。Site-to-Site VPN 接続でアイドル時間 (通常は 10 秒ですが設定によって異なる) が生じた場合、トンネルがダウンすることがあります。アイドル時間が生じないように、ネットワークモニタリングツール (IP SLA など) を使用してキープアライブ ping を生成できます。

Amazon VPC でテスト済みのカスタマーゲートウェイの一覧を確認するには、「Amazon Virtual Private Cloud のよくある質問」を参照してください。

AWS Site-to-Site VPN カテゴリ

Site-to-Site VPN 接続は、AWS Classic VPN 接続または AWS VPN 接続のいずれかです。新たに作成する Site-to-Site VPN 接続はすべて AWS VPN 接続です。以下の機能は AWS VPN 接続でのみサポートされています。

  • Internet Key Exchange バージョン 2 (IKEv 2)

  • NAT トラバーサル

  • 4 バイト ASN (2 バイト ASN に加えて)

  • CloudWatch メトリクス

  • カスタマーゲートウェイのための再利用可能な IP アドレス

  • 追加の暗号化オプション (AES 256 ビット暗号化、SHA-2 ハッシュ、および追加の Diffie-Hellman グループ)

  • 設定可能なトンネルオプション

  • Amazon 側の BGP セッションのためのカスタムプライベート ASN

Site-to-Site VPN 接続のカテゴリを見つけるには、Amazon VPC コンソール、またはコマンドラインツールを使用します。

コンソールを使用して Site-to-Site VPN カテゴリを識別するには

  1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。

  2. ナビゲーションペインで [Site-to-Site VPN Connections (接続)] を選択します。

  3. Site-to-Site VPN 接続を選択し、詳細ペインの [カテゴリ] の値を確認します。VPN の値が、AWS VPN 接続を指しています。VPN-Classic の値が、AWS Classic VPN 接続を指しています。

コマンドラインツールを使用して Site-to-Site VPN カテゴリを識別するには

  • describe-vpn-connections AWS CLI コマンドを使用できます。返される出力で示された Category の値を書き留めます。VPN の値が、AWS VPN 接続を指しています。VPN-Classic の値が、AWS Classic VPN 接続を指しています。

    以下の例では、Site-to-Site VPN 接続は AWS VPN 接続です。

    aws ec2 describe-vpn-connections --vpn-connection-ids vpn-1a2b3c4d
    { "VpnConnections": [ { "VpnConnectionId": "vpn-1a2b3c4d", ... "State": "available", "VpnGatewayId": "vgw-11aa22bb", "CustomerGatewayId": "cgw-ab12cd34", "Type": "ipsec.1", "Category": "VPN" } ] }

または、以下のコマンドの 1 つを使用します。

AWS Classic VPN から AWS VPN への移行

既存の Site-to-Site VPN 接続が AWS Classic VPN 接続の場合、新しい仮想プライベートゲートウェイと Site-to-Site VPN 接続を作成し、古い仮想プライベートゲートウェイを VPC からデタッチして、新しい仮想プライベートゲートウェイを VPC にアタッチすることで、AWS VPN 接続に移行することができます。

既存の仮想プライベートゲートウェイが複数の Site-to-Site VPN 接続に関連付けられている場合は、新しい仮想プライベートゲートウェイのためにそれぞれの Site-to-Site VPN 接続を再作成する必要があります。仮想プライベートゲートウェイに複数の AWS Direct Connect プライベート仮想インターフェイスがアタッチされている場合は、新しい仮想プライベートゲートウェイのためにそれぞれの プライベート仮想インターフェイスを再作成する必要があります。詳細については、AWS Direct Connect ユーザーガイドの「仮想インターフェイスの作成」を参照してください。

既存の Site-to-Site VPN 接続が AWS VPN 接続である場合、AWS Classic VPN 接続に移行することはできません。

注記

この手順の間に、ルート伝播を無効にして古い仮想プライベートゲートウェイを VPC からデタッチするとき、現在の VPC 接続による接続は中断されます。新しい仮想プライベートゲートウェイが VPC にアタッチされ、新しい Site-to-Site VPN 接続が有効になると、接続は回復します。予期されるダウンタイムのために必ず計画を立ててください。

AWS VPN 接続へ移行するには

  1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。

  2. ナビゲーションペインで [仮想プライベートゲートウェイ]、[仮想プライベートゲートウェイの作成] の順に選択して、仮想プライベートゲートウェイを作成します。

  3. ナビゲーションペインで [Site-to-Site VPN Connections (接続)]、[VPN 接続の作成] を選択します。以下の情報を指定し、[はい、作成する] を選択します。

    • [仮想プライベートゲートウェイ]: 前のステップで作成した仮想プライベートゲートウェイを選択します。

    • [カスタマーゲートウェイ]: [既存] を選択し、現在の AWS Classic VPN 接続の既存のカスタマーゲートウェイを選択します。

    • 必要に応じてルーティングオプションを指定します。

  4. 新しい Site-to-Site VPN 接続を選択してから、[設定のダウンロード] を選択します。カスタマーゲートウェイデバイスに適した設定ファイルをダウンロードします。

  5. 設定ファイルを使用して、カスタマーゲートウェイデバイスの VPN トンネルを設定します。例については、Amazon VPC ネットワーク管理者ガイドを参照してください。トンネルはまだ有効にしないでください。新しく設定したトンネルを無効にしておくためのガイダンスが必要な場合は、ベンダーにお問い合わせください。

  6. (オプション) テスト VPC を作成し、仮想プライベートゲートウェイをテスト VPC にアタッチします。必要に応じて、暗号化ドメイン/ソース送信先アドレスを変更して、ローカルネットワークのホストからテスト VPC 内のテストインスタンスへの接続をテストします。

  7. ルートテーブルでルート伝播を使用している場合は、ナビゲーションペインで、[ルートテーブル] を選択します。VPC のルートテーブルを選択してから、[ルート伝播]、[Edit (編集)] の順に選択します。古い仮想プライベートゲートウェイのチェックボックスをオフにし、[Save (保存)] を選択します。

    注記

    このステップ以降、新しい仮想プライベートゲートウェイがアタッチされ、新しい Site-to-Site VPN 接続が有効になるまで接続が中断します。

  8. ナビゲーションペインで [仮想プライベートゲートウェイ] を選択します。古い仮想プライベートゲートウェイを選択してから、[アクション]、[VPC からデタッチ]、[はい、デタッチする] の順に選択します。新しい仮想プライベートゲートウェイを選択し、[アクション]、[VPC にアタッチ] の順に選択します。Site-to-Site VPN 接続の VPC を指定し、[はい、アタッチする] を選択します。

  9. ナビゲーションペインで、[ルートテーブル] を選択します。VPC のルートテーブルを選択し、以下のいずれか 1 つを実行します。

    • ルート伝播を使用している場合は、[ルート伝播]、[Edit (編集)] の順に選択します。VPC にアタッチされた新しい仮想プライベートゲートウェイを選択してから、[Save (保存)] を選択します。

    • 静的ルートを使用している場合は、[ルート]、[Edit (編集)] の順に選択します。新しい仮想プライベートゲートウェイを指すようにルートを変更して、[Save (保存)] を選択します。

  10. カスタマーゲートウェイデバイスの新しいトンネルを有効にして、古いトンネルを無効にします。トンネルを起動するには、ローカルネットワークから接続を開始する必要があります。

    該当する場合は、ルートテーブルをチェックしルートが伝播していることを確認します。VPN トンネルのステータスが UP の場合、ルートはルートテーブルに伝播しています。

    注記

    以前の設定に戻す必要がある場合は、新しい仮想プライベートゲートウェイをデタッチし、ステップ 8 と 9 に従って古い仮想プライベートゲートウェイに再度アタッチしてルートを更新します。

  11. AWS Classic VPN を今後必要とせず、その料金が引き続き発生するのを避けるには、カスタマーゲートウェイデバイスから以前のトンネル設定を取り除き、Site-to-Site VPN 接続を削除します。これを行うには、[Site-to-Site VPN 接続] へ移動し、Site-to-Site VPN 接続を選択して、[削除] を選択します。

    重要

    AWS Classic VPN 接続を削除した後に、新しい AWS VPN 接続を元の AWS Classic VPN 接続に戻す、または移行することはできません。