IPsec Site-to-Site VPN接続
- 印刷する
IPsec Site-to-Site VPN接続
- 印刷する
記事の要約
この要約は役に立ちましたか?
ご意見ありがとうございます
本トピックでは、iDoperation Cloudとお客様環境を IPsec Site-to-Site VPNで接続するための具体的な設定方法について説明します。
iDoperation Cloudとお客様のネットワーク環境との接続に関する全体概要は、「お客様環境と接続する」トピックを確認してください。
概要
iDoperation Cloudでは、お客様環境のプライベートネットワークとIPsec Site-to-Site VPNによる接続機能を提供しています。
本接続はManagement Outbound通信として利用され、iDoperation Cloudからお客様環境内のターゲットサーバへ安全に接続するために使用されます。
テクニカルサポートより提供される設定情報に従って、お客様側のVPNルーターに設定を行うことで、iDoperation Cloud側のVPNゲートウェイとの間でトンネルが確立されます。
前提条件
お客様側では、以下の条件を満たしている必要があります。
- お客様環境にIPsec Site-to-Site VPNに対応したVPNルーターまたはVPN機能を持つネットワーク機器が設置されていること
- VPNルーターに固定のグローバルIPアドレスが割り当てられていること
- VPN接続に必要なネットワーク情報(ルーティング対象のプライベートネットワークCIDR、BGPを利用する場合のASNなど)を事前に確認できること
- iDoperation Cloudから接続する対象サーバおよびネットワークへの通信を、ファイアウォールやセキュリティグループ等で許可できること
- テクニカルサポートへIPsec Site-to-Site VPN接続申請を行い、接続設定情報の提供を受けていること
接続設定の流れ
IPsec Site-to-Site VPN接続は、以下の手順で設定します。
| No | 説明 |
| 1 | テクニカルサポートへIPsec Site-to-Site VPN接続申請を行います。申請に必要な情報については、「IPsec Site-to-Site VPN接続申請」セクションを確認してください。 |
| 2 | テクニカルサポートより提供される設定情報に基づき、お客様環境のVPNルーターに対してIPsecトンネルおよびルーティングの設定を実施してください。設定項目の詳細は「設定情報の内容」および「VPNルーター設定」セクションを確認してください。 |
| 3 | 設定完了後、VPNトンネルの確立状況およびiDoperation Cloudへの通信状態について、接続確認を実施してください。確認手順の詳細は「接続確認」セクションを確認してください。 |
IPsec Site-to-Site VPN接続申請
IPsec Site-to-Site VPN接続を利用する場合は、以下の申請内容を、テクニカルサポートへ連絡してください。
申請内容
(1)環境情報
1:Azureクラウド環境であるか はい/いいえ
(2)お客様ルーター情報
1:グローバルIPアドレス グローバルIPアドレス
2:ベンダー名 ベンダー名
3:プラットフォーム ルーターのプラットフォーム名
4:ソフトウェアバージョン ルーターのソフトウェアバージョン
(3)ルーティング方式
1:ルーティング方式 静的/動的
2:AS番号(ASN)(動的の場合のみ) BGPで用いるAS番号
3:ルーティングするIPアドレス(静的の場合のみ) ルーティングするIPアドレス(CIDR表記)
設定情報の内容
テクニカルサポートから提供される設定情報には、以下の情報が含まれます。なお、ルーターの機種やルーティング方式によって含まれる情報は異なる場合があります。
- トンネルエンドポイント(iDoperation Cloud側IPアドレス)
- 事前共有キー(Pre-Shared Key)
- IKEバージョン
- 暗号化方式
- ハッシュアルゴリズム
- DHグループ
- トンネル内部IPアドレス
- 暗号化アルゴリズム
- 認証アルゴリズム
- ライフタイム
- PFS設定
- SAライフタイム
- CIDR(静的ルーティング時)
- ASN(動的ルーティング時のBGP AS番号)
- ピアIPアドレス(動的ルーティング時のBGP ピアリング用)
IPsec Site-to-Site VPN接続では、2本のトンネルが提供されます。
冗長性を確保するため、両方のトンネルを設定することを推奨しています。
片方のトンネルのみを設定している場合、障害やメンテナンスの発生時に通信が途切れる可能性があります。
VPNルーター設定
お客様の VPNルーターで以下の設定を実施してください。
- IKE設定
設定情報に含まれる以下のパラメータを設定します。
・IKEバージョン
・暗号化アルゴリズム
・ハッシュアルゴリズム
・DHグループ
・ライフタイム - IPsec設定
以下のIPsecパラメータを設定します。
・暗号化アルゴリズム
・認証アルゴリズム
・PFS設定
・SAライフタイム - トンネル設定
設定情報に含まれるトンネルエンドポイントを使用してトンネルを作成します。
・トンネル1
・トンネル2 - ルーティング設定
選択したルーティング方式に応じて設定します。
・静的ルーティング
設定情報に含まれるCIDRをルーティング設定します。
・動的ルーティング(BGP)
設定情報に含まれる以下の情報を用いてBGPを設定します。
・ASN
・ピアIPアドレス
接続確認
以下の手順により、IPsec Site-to-Site VPN経由でiDoperation Cloudからお客様環境内のターゲットへアクセスできることを確認します。
接続確認は以下の観点で実施します。
- VPNトンネル(IPsec)が確立していること
- BGPセッション(動的ルーティングの場合)が確立していること
- VPN経由でiDoperation Cloudにアクセスできること
上記のすべてを満たす場合、IPsec Site-to-Site VPN接続は正常に構成されています。
VPNトンネルの状態確認
IPsec VPNトンネルが正常に確立していることを確認します。確認方法はルーター機種により異なるため、詳細は各ベンダーのマニュアルを参照してください。
確認方法(一例)
- お客様のVPNルーターの管理画面またはCLIで、IPsecトンネル状態を確認する。
- トンネル状態がUP/ESTABLISHEDであることを確認する。
BGPセッションの確認(動的ルーティングを使用する場合)
VPNトンネル上でBGPセッションが確立していることを確認します。確認方法はルーター機種により異なるため、詳細は各ベンダーのマニュアルを参照してください。
確認方法(一例)
お客様のVPNルーターの管理画面またはCLIで、以下を確認してください。
- BGPピア状態がEstablishedであること。
- AWS側ネットワークプレフィックスがルーティングテーブルに登録されていること
ターゲットへの接続確認
VPN経由でiDoperation Cloudからお客様環境内のターゲットへアクセスできることを確認します。以下を参考に、ターゲットの登録状況に応じてアクセスを確認してください。
- iDoperation PAM Cloudに、プライベートネットワーク内にあるターゲットが登録されている場合
ターゲットとの接続テストを行い、成功することを確認してください。「ターゲットの詳細」の接続テストから行えます。 - iDoperation PAM Cloudに、プライベートネットワーク内にあるターゲットが登録されていない場合
ターゲットの追加を行い、アカウントの同期「する」を選択して、接続テストに成功することを確認してください。