Site-to-Site VPN 接続のトンネルオプション - AWS Site-to-Site VPN

Site-to-Site VPN 接続のトンネルオプション

リモートネットワークを VPC に接続するには、Site-to-Site VPN 接続を使用します。各 Site-to-Site VPN 接続には 2 つのトンネルがあり、それぞれのトンネルが固有の仮想プライベートゲートウェイのパブリック IP アドレスを使用します。冗長性を確保するために両方のトンネルを設定することが重要です。1 つのトンネルが使用できなくなったとき (たとえばメンテナンスのために停止)、ネットワークトラフィックはその特定の Site-to-Site VPN 接続用に使用可能なトンネルへ自動的にルーティングされます。

次の図は、Site-to-Site VPN 接続の 2 つのトンネルを示しています。

Site-to-Site VPN 接続を作成するとき、カスタマーゲートウェイデバイスに固有の、デバイスを設定するための情報、および各トンネルの設定のための情報を含んだ設定ファイルをダウンロードします。Site-to-Site VPN 接続を作成するとき、オプションで、いくつかのトンネルオプションを独自に指定することができます。そうしない場合、AWS によりデフォルト値が指定されます。

注記

サイト間 VPN トンネルエンドポイントは、カスタマーゲートウェイからの提案の順序に関係なく、以下のリストの最小設定値から順に、カスタマーゲートウェイからの提案を評価します。modify-vpn-connection-options コマンドを使用して、AWS エンドポイントが受け入れるオプションのリストを制限できます。詳細については、Amazon EC2 コマンドラインリファレンスの「modify-vpn-connection-options」をご参照ください。

設定できるトンネルオプションは以下のとおりです。

デッドピア検出 (DPD) タイムアウト

DPD タイムアウトが発生するまでの期間 (秒)。30 以上を指定できます。

デフォルト: 30

DPD タイムアウトアクション

デッドピア検出 (DPD) タイムアウトが発生した後に実行するアクション。以下を指定することができます。

  • Clear: DPD タイムアウトが発生したときに IKE セッションを終了する (トンネルを停止してルートをクリアする)

  • None: DPD タイムアウトが発生しても何もアクションを実行しない

  • Restart: DPD タイムアウトが発生したときに IKE セッションを再起動する

詳細については、「Site-to-Site VPN トンネル開始オプション」を参照してください。

デフォルト: Clear

IKE バージョン

VPN トンネルで許可される IKE バージョン。1 つ以上のデフォルト値を指定できます。

デフォルト: ikev1ikev2

トンネル内部 IPv4 CIDR

VPN トンネルの内部 (内部) IPv4 アドレスの範囲です。169.254.0.0/16 範囲からのサイズ /30 の CIDR ブロックを指定できます。CIDR ブロックは、同じ仮想プライベートゲートウェイを使用するすべての Site-to-Site VPN 接続にわたって一意である必要があります。

以下の CIDR ブロックは予約済みで使用できません。

  • 169.254.0.0/30

  • 169.254.1.0/30

  • 169.254.2.0/30

  • 169.254.3.0/30

  • 169.254.4.0/30

  • 169.254.5.0/30

  • 169.254.169.252/30

デフォルト: 169.254.0.0/16 範囲からのサイズ /30 の IPv4 CIDR ブロック。

トンネル内部 IPv6 CIDR

(IPv6 VPN 接続のみ) VPN トンネルの内部 (内部) IPv6 アドレスの範囲。ローカル fd00::/8 範囲からのサイズ /126 の CIDR ブロックを指定できます。CIDR ブロックは、同じトランジットゲートウェイを使用するすべての Site-to-Site VPN 接続にわたって一意であることが必要です。

デフォルト: ローカル fd00::/8 範囲からのサイズ /126 の IPv6 CIDR ブロック。

ローカル IPv4 ネットワーク CIDR

(IPv4 VPN 接続のみ) VPN トンネルを介した通信が許可される、カスタマーゲートウェイ (オンプレミス) 側の IPv4 CIDR 範囲。

デフォルト: 0.0.0.0/0

リモート IPv4 ネットワーク CIDR

(IPv4 VPN 接続のみ) VPN トンネルを介して通信できる AWS 側の IPv4 CIDR 範囲。

デフォルト: 0.0.0.0/0

ローカル IPv6 ネットワーク CIDR

(IPv6 VPN 接続のみ) VPN トンネルを介した通信が許可される、カスタマーゲートウェイ (オンプレミス) 側の IPv6 CIDR 範囲。

デフォルト: ::/0

リモート IPv6 ネットワーク CIDR

(IPv6 VPN 接続のみ) VPN トンネルを介して通信できる AWS 側の IPv6 CIDR 範囲。

デフォルト: ::/0

フェーズ 1 Diffie-Hellman (DH) グループ番号

フェーズ 1 IKE ネゴシエーションで VPN トンネルに対して許可される Diffie-Hellman グループ番号。1 つ以上のデフォルト値を指定できます。

デフォルト: 2、14、15、16、17、18、19、20、21、22、23、24

フェーズ 2 Diffie-Hellman (DH) グループ番号

フェーズ 2 IKE ネゴシエーションで VPN トンネルに対して許可される Diffie-Hellman グループ番号。1 つ以上のデフォルト値を指定できます。

デフォルト: 2、5、14、15、16、17、18、19、20、21、22、23、24

フェーズ 1 暗号化アルゴリズム

フェーズ 1 IKE ネゴシエーションで VPN トンネルで許可される暗号化アルゴリズム。1 つ以上のデフォルト値を指定できます。

デフォルト: AES128、AES256、AES128-GCM-16、AES256-GCM-16

フェーズ 2 暗号化アルゴリズム

フェーズ 2 IKE ネゴシエーションで VPN トンネルで許可される暗号化アルゴリズム。1 つ以上のデフォルト値を指定できます。

デフォルト: AES128、AES256、AES128-GCM-16、AES256-GCM-16

フェーズ 1 整合性アルゴリズム

フェーズ 1 IKE ネゴシエーションで VPN トンネルで許可される整合性アルゴリズム。1 つ以上のデフォルト値を指定できます。

デフォルト: SHA-1、SHA2-256、SHA2-384、SHA2-512

フェーズ 2 整合性アルゴリズム

フェーズ 2 IKE ネゴシエーションで VPN トンネルで許可される整合性アルゴリズム。1 つ以上のデフォルト値を指定できます。

デフォルト: SHA-1、SHA2-256、SHA2-384、SHA2-512

フェーズ 1 ライフタイム
注記

AWS は、フェーズ 1 ライフタイムフィールドとフェーズ 2 ライフタイムフィールドで設定されたタイミング値を使用してキーの更新を開始します。このようなライフタイムがネゴシエートされたハンドシェイク値と異なる場合、トンネル接続が中断される可能性があります。

フェーズ 1 IKE ネゴシエーションのライフタイム (秒)。値は 900 から 28,800 まで指定できます。

デフォルト: 28,800 (8 時間)

フェーズ 2 ライフタイム
注記

AWS は、フェーズ 1 ライフタイムフィールドとフェーズ 2 ライフタイムフィールドで設定されたタイミング値を使用してキーの更新を開始します。このようなライフタイムがネゴシエートされたハンドシェイク値と異なる場合、トンネル接続が中断される可能性があります。

フェーズ 2 IKE ネゴシエーションのライフタイム (秒)。値は 900 から 3,600 まで指定できます。指定する値は、フェーズ 1 のライフタイムの秒数よりも小さくする必要があります。

デフォルト: 3,600 (1 時間)

事前共有キー (PSK)

仮想プライベートゲートウェイとカスタマーゲートウェイ間に最初の Internet Key Exchange (IKE) Security Association を確立するための事前共有キー (PSK)。

PSK は、8 ~ 64 文字の長さにする必要があり、ゼロ (0) から始めることはできません。使用できる文字は、英数字、ピリオド (.)、および下線 (_) です。

デフォルト: 32 文字の英数字の文字列。

キー再生成ファズ

キー再生成時間がランダムに選択される、キー再生成ウィンドウ(キー再生成マージン時間によって決定される)の割合。

0 ~ 100 のパーセント値を指定できます。

デフォルト: 100

キー再生成のマージンタイム

フェーズ 2 のライフタイムが期限切れになるまでのマージン時間 (秒単位)。この間、VPN 接続の AWS 側が IKE キー再生成を実行します。

60 からフェーズ 2 のライフタイム秒の値の半分までの数値を指定できます。

キー再生成の正確な時間は、キー再生成ファズの値に基づいてランダムに選択されます。

デフォルト: 540 (9 分)

再生ウィンドウのサイズパケット

IKE 再生ウィンドウ内のパケット数。

64 から 2048 までの値を指定できます。

デフォルト: 1024

開始アクション

VPN 接続のトンネルを確立するときに実行するアクション。以下を指定することができます。

  • Start: AWS が IKE ネゴシエーションを開始してトンネルを開始するカスタマーゲートウェイが IP アドレスで設定されている場合にのみサポートされます。

  • Add: カスタマーゲートウェイデバイスが IKE ネゴシエーションを開始してトンネルを開始する

詳細については、「Site-to-Site VPN トンネル開始オプション」を参照してください。

デフォルト: Add

Site-to-Site VPN 接続の作成時にトンネルオプションを指定するか、既存の VPN 接続のトンネルオプションを変更できます。AWS Classic VPN 接続のトンネルオプションを設定することはできません。詳細については、以下のトピックを参照してください。