すべてのプロダクト
Search

このプロダクト

    VPN Gateway:IPsec-VPN 接続 (VPN Gateway)

    ドキュメントセンター

    VPN Gateway:IPsec-VPN 接続 (VPN Gateway)

    最終更新日:Nov 23, 2025

    VPN Gateway を作成した後、Alibaba Cloud とオンプレミスデータセンターの両方で IPsec-VPN 接続を設定する必要があります。これにより、データセンターが VPC に接続されます。

    仕組み

    Alibaba Cloud の IPsec-VPN 接続は、デフォルトでデュアルトンネルモードを使用します。このモードには、アクティブトンネルとスタンバイ トンネルが含まれます。ネットワークジッターやデバイスの障害によってアクティブトンネルが中断された場合、トラフィックは自動的にスタンバイ トンネルに切り替わります。これにより、業務継続性と高いネットワーク可用性が確保されます。

    • トンネルのロール: システムは、VPN Gateway の 2 つの異なるパブリック IP アドレスを使用して 2 つのトンネルを確立します。

      • トンネル 1 (IP アドレス 1 を使用) はデフォルトでアクティブトンネルであり、すべてのサービストラフィックを伝送します。

      • トンネル 2 (IP アドレス 2 を使用) はスタンバイ トンネルであり、スタンバイ状態を維持します。

      トンネルのアクティブ/スタンバイのロールは固定されており、変更できません。

    • ヘルスチェックとフェールオーバー: システムはアクティブトンネルに対して自動的にヘルスチェックを実行します。アクティブトンネルに障害が発生した場合、VPN Gateway は自動的にトラフィックをスタンバイ トンネルに切り替えます。アクティブトンネルが回復すると、トラフィックは自動的に元に戻ります。

    • ゾーンディザスタリカバリ: IPsec-VPN 接続の 2 つのトンネルは、デフォルトで異なるゾーンにデプロイされます。1 つのゾーンで障害が発生しても、もう一方のゾーンのトンネルは利用可能なままです。これにより、クロスゾーンのディザスタリカバリが提供されます。1 つのゾーンのみをサポートするリージョンでは、両方のトンネルが同じゾーンにデプロイされます。これらのデプロイメントはゾーンレベルのディザスタリカバリをサポートしませんが、リンクの冗長性は提供します。

    IPsec-VPN 接続の作成

    1. IPsec-VPN 接続の設定

    開始する前に、VPN Gateway インスタンスカスタマーゲートウェイインスタンスを作成済みであることを確認してください。

    コンソール

    VPN コンソールの [IPsec-VPN 接続] ページに移動し、[VPN Gateway のアタッチ] をクリックして、次の設定を完了します:

    IPsec 設定

    • [リージョン] とアタッチする VPN Gateway インスタンスを選択します。

    • ルーティングモード:

      • 宛先ベースのルーティングモード (デフォルト): 宛先 IP アドレスに基づいてトラフィックを転送します。このモードは設定が簡単で、BGP を介してルートが動的に学習されるか、VPN Gateway で静的に設定されるシナリオに適しています。

      • 対象トラフィックパターン: 送信元と宛先の IP アドレスに基づいてトラフィックを転送します。このパターンは、特定のネットワークセグメント間でのみ通信を有効にしたい複雑なネットワークシナリオに適しています。このパターンを選択した後、ローカルネットワーク (通信が必要な VPC CIDR ブロック) と リモートネットワーク (通信が必要なオンプレミスデータセンターの CIDR ブロック) を設定する必要があります。

        IPsec-VPN 接続を設定すると、システムは自動的に ポリシーベースルート を生成します。このルートでは、[ソース CIDR ブロック] は接続の ローカルネットワーク[宛先 CIDR ブロック] は接続の リモートネットワーク であり、ネクストホップは IPsec-VPN 接続です。このルートは VPC ルートテーブルに公開できますが、デフォルトでは公開されません。

        • オンプレミスゲートウェイデバイスで対象トラフィックを設定する場合、CIDR ブロックが Alibaba Cloud 側と一致していることを確認しますが、入れ替えます。

        • [追加] Add アイコンをクリックして、複数のネットワークセグメントを追加できます。複数のネットワークセグメントを設定する場合、IKE プロトコルバージョンを [IKEv2] に設定する必要があります。

    • 今すぐ有効化: 接続を迅速に有効にするか、トラフィックの遅延を避けるには [はい] を選択します。リソースを節約し、トラフィックが頻繁でない場合は [いいえ] を選択します。

    トンネル設定
    重要

    デュアルトンネル IPsec-VPN 接続を作成する場合、両方のトンネルを設定する必要があります。1 つのトンネルのみを設定または使用する場合、IPsec-VPN 接続のアクティブ/スタンバイのリンク冗長性とゾーンディザスタリカバリ機能の恩恵を受けることはできません。

    • BGP の有効化: BGP 動的ルーティング を使用するかどうかを指定します。

      • 無効 (デフォルト): 静的ルートを使用します。これは、単純なネットワークトポロジに適しています。

      • 有効: 自動的なルート配布と学習を必要とする複雑なネットワークトポロジに適しています。前提条件: 関連付けられたカスタマーゲートウェイに ASN が設定されている必要があります。

    • ローカル ASN: BGP が有効な場合の Alibaba Cloud 側の自律システム番号 (ASN) です。2 つのトンネルは同じ ASN を使用します。デフォルト値は 45104 です。値の範囲は 1 から 4294967295 です。オンプレミスのピアデバイスに ASN を設定する際は、プライベート ASN を使用することをお勧めします。

    トンネル 1 (アクティブ) とトンネル 2 (スタンバイ) の設定:

    • カスタマーゲートウェイ: オンプレミスゲートウェイデバイスを表すカスタマーゲートウェイインスタンスを選択します。両方のトンネルを同じカスタマーゲートウェイに関連付けることができます。

    • 事前共有キー: ID 認証に使用されるキー。両方のトンネルのキーは、オンプレミスゲートウェイデバイスの設定と同一である必要があります。この項目を空のままにすると、システムはランダムなキーを生成します。

    [暗号化設定] をクリックして表示

    • IKE 設定:

      • バージョン: 推奨バージョンは ikev2 です。IKEv2 は SA ネゴシエーションプロセスを簡素化し、マルチセグメントシナリオのサポートを向上させます。

      • ネゴシエーションモード:

        • メイン (デフォルト): メインモードでは、ID 情報が送信中に暗号化されるため、ネゴシエーションプロセスがアグレッシブモードよりも安全になります。

        • アグレッシブ: アグレッシブモードは、より高速なネゴシエーションを提供し、成功率が高いです。

        ネゴシエーションが成功した後、データ転送のセキュリティは両方のモードで同じです。

      • 暗号化アルゴリズム: フェーズ 1 ネゴシエーションで使用される暗号化アルゴリズム。オンプレミスゲートウェイデバイスのものと同じである必要があります。

        サポートされている暗号化アルゴリズムは、aes128 (デフォルト)、aes192aes256des、および 3des です。

        帯域幅が 200 Mbps 以上の VPN Gateway インスタンスでは、3des 暗号化アルゴリズムの代わりに aes128aes192、または aes256 暗号化アルゴリズムを使用することをお勧めします。

        • AES は、高強度の暗号化と復号を提供する対称鍵暗号アルゴリズムです。安全なデータ転送を確保しながら、ネットワーク遅延、スループット、および転送パフォーマンスへの影響は軽微です。

        • 3des はトリプルデータ暗号化アルゴリズムです。暗号化時間が長く、アルゴリズムの複雑性が高く、計算負荷が大きいため、AES と比較して転送パフォーマンスが低下します。

      • 認証アルゴリズム: フェーズ 1 ネゴシエーションで使用される認証アルゴリズム。オンプレミスゲートウェイデバイスのものと同じである必要があります。

        サポートされている認証アルゴリズムは、sha1 (デフォルト)、md5sha256sha384、および sha512 です。

        一部のオンプレミスゲートウェイデバイスでは、PRF アルゴリズムを指定する必要がある場合があります。PRF アルゴリズムは IKE 認証アルゴリズムと同じでなければなりません。

      • DH グループ (前方秘匿性 PFS): フェーズ 1 ネゴシエーションのための Diffie-Hellman 鍵交換アルゴリズムを選択します。

        group1group2 (デフォルト)、group5、および group14 は、それぞれ DH グループの DH1、DH2、DH5、および DH14 を表します。

      • SA ライフサイクル (秒): フェーズ 1 でネゴシエートされるセキュリティアソシエーション (SA) の有効期間を指定します。デフォルト値は 86400 です。値の範囲は 0 から 86400 です。

      • ローカル ID: トンネルのローカルエンドの識別子。デフォルトでは、トンネルの IP アドレスがローカル識別子として使用されます。

        このパラメーターは、IPsec-VPN ネゴシエーション中の Alibaba Cloud 側の識別子にすぎず、他の機能はありません。IP アドレスまたは完全修飾ドメイン名 (FQDN) 形式をサポートし、スペースを含めることはできません。ローカルトンネル識別子としてプライベート IP アドレスを使用することをお勧めします。

        [LocalId] に FQDN 形式 (例: example.aliyun.com) を使用する場合、オンプレミスゲートウェイデバイス上の IPsec-VPN 接続のピア ID は [LocalId] の値と同じである必要があります。ネゴシエーションモードを [アグレッシブ] に設定することをお勧めします。

      • リモート ID: トンネルのリモートエンドの識別子。デフォルトでは、関連付けられたカスタマーゲートウェイの IP アドレスがリモート識別子として使用されます。

        このパラメーターは、IPsec-VPN ネゴシエーション中のオンプレミスゲートウェイデバイスの識別子にすぎず、他の機能はありません。IP アドレスまたは FQDN 形式をサポートし、スペースを含めることはできません。リモートトンネル識別子としてプライベート IP アドレスを使用することをお勧めします。

        [RemoteId] に FQDN 形式 (例: example.aliyun.com) を使用する場合、オンプレミスゲートウェイデバイス上の IPsec-VPN 接続のローカル ID は [RemoteId] の値と一致する必要があります。ネゴシエーションモードを [アグレッシブ] に設定することをお勧めします。

    • IPsec 設定:

      • 暗号化アルゴリズム: フェーズ 2 ネゴシエーションの暗号化アルゴリズム。

        サポートされている暗号化アルゴリズムは、aes (aes128, デフォルト)、aes192aes256des、および 3des です。

        帯域幅が 200 Mbps 以上の VPN Gateway インスタンスでは、3des 暗号化アルゴリズムの代わりに aes128aes192、または aes256 暗号化アルゴリズムを使用することをお勧めします。

        • AES は、高強度の暗号化と復号を提供する対称鍵暗号アルゴリズムです。安全なデータ転送を確保しながら、ネットワーク遅延、スループット、および転送パフォーマンスへの影響は軽微です。

        • 3des はトリプルデータ暗号化アルゴリズムです。暗号化時間が長く、アルゴリズムの複雑性が高く、計算負荷が大きいため、AES と比較して転送パフォーマンスが低下します。

      • 認証アルゴリズム: フェーズ 2 ネゴシエーションの認証アルゴリズム。

        サポートされている認証アルゴリズムは、sha1 (デフォルト)、md5sha256sha384、および sha512 です。

      • DH グループ (前方秘匿性 PFS): フェーズ 2 ネゴシエーションの Diffie-Hellman 鍵交換アルゴリズム。

        • 無効: DH 鍵交換アルゴリズムは使用されません。

          • PFS をサポートしないクライアントの場合は、[無効] を選択します。

          • [無効] 以外のグループを選択した場合、Perfect Forward Secrecy (PFS) 機能はデフォルトで有効になります。これにより、再ネゴシエーションのたびにキーを更新する必要があります。したがって、対応するクライアントでも PFS 機能を有効にする必要があります。

        • group1group2 (デフォルト)、group5、および group14 は、それぞれ DH グループ DH1、DH2、DH5、および DH14 を表します。

      • SA ライフサイクル (秒): フェーズ 2 でネゴシエートされる SA の有効期間を指定します。デフォルト値は 86400 です。値の範囲は 0 から 86400 です。

      • DPD: ピア生存確認。この機能を常に有効にすることをお勧めします (デフォルト)。ピアの障害を迅速に検出し、スイッチオーバーをトリガーします。これは高可用性を実現するための鍵となります。

        DPD を有効にすると、IPsec-VPN 接続は DPD メッセージを送信して、ピアデバイスがアクティブであるかどうかを検出します。指定された時間内に応答がない場合、ピアは切断されたと見なされます。その後、IPsec-VPN 接続は ISAKMP SA と対応する IPsec SA を削除し、セキュアトンネルも削除されます。DPD タイムアウト後、IPsec-VPN 接続は自動的に IPsec-VPN トンネルネゴシエーションを再開します。DPD メッセージのタイムアウトは 30 秒です。

        IKEv2 を使用している一部の既存の VPN Gateway インスタンスでは、DPD タイムアウトが 130 秒または 3600 秒の場合があります。この場合、VPN Gateway インスタンスを最新バージョンに スペックアップ できます。

      • NAT トラバーサル: デフォルトで有効にしておくことをお勧めします。有効にすると、IKE ネゴシエーションプロセスは UDP ポート番号の検証をスキップし、暗号化された通信チャネル内の NAT ゲートウェイデバイスを検出できます。

    BGP 設定 (オプション)

    BGP を有効にしている場合は、各トンネルの BGP 設定 を完了する必要があります。

    設定の確認

    1. 設定を注意深く確認し、ページ下部の [OK] をクリックします。

    2. 表示されるダイアログボックスで、[キャンセル] をクリックします。ルーティングは後で設定できます。

    3. 対象の IPsec-VPN 接続の 操作 列で、[ピア設定の生成] をクリックします。IPsec-VPN 接続の設定 ダイアログボックスで、設定をコピーしてローカルに保存し、オンプレミスゲートウェイデバイスを設定します。

    API

    CreateVpnConnection 操作を呼び出して IPsec-VPN 接続を作成します。

    2. VPN Gateway と VPC ルートの設定

    VPN Gateway のルートを設定する」の説明に従ってルートを設定します。

    3. オンプレミスゲートウェイデバイスの設定

    「IPsec-VPN 接続の設定」ステップでダウンロードしたピア設定を使用して、ファイアウォールやルーターなどのオンプレミスゲートウェイデバイスで IPsec および BGP (有効な場合) の設定を完了します。具体的な設定手順については、お使いのデバイスのドキュメントをご参照ください。例については、「オンプレミスゲートウェイデバイスを設定する」をご参照ください。

    IPsec-VPN 接続の管理

    BGP の有効化または無効化

    IPsec-VPN 接続で BGP を有効にする前に、関連付けられたカスタマーゲートウェイに ASN が設定されていることを確認してください。設定されていない場合は、現在の IPsec-VPN 接続を削除して再作成し、ASN が設定されたカスタマーゲートウェイに関連付ける必要があります。

    以下の BGP 設定項目は IPsec-VPN 接続に関連しています:

    • ローカル ASN: BGP が有効な場合の Alibaba Cloud 側の自律システム番号 (ASN) です。2 つのトンネルは同じ ASN を使用します。デフォルト値は 45104 です。値の範囲は 1 から 4294967295 です。オンプレミスのピアデバイスに ASN を設定する際は、プライベート ASN を使用することをお勧めします。

    • トンネル CIDR ブロック: BGP ネイバー接続を確立するために使用される相互接続アドレスブロック。単一の VPN Gateway インスタンスの場合、各トンネルの CIDR ブロックは一意である必要があります。169.254.0.0/16 内の /30 サブネットである必要があり、169.254.0.0/30、169.254.1.0/30、169.254.2.0/30、169.254.3.0/30、169.254.4.0/30、169.254.5.0/30、または 169.254.169.252/30 は使用できません。

    • ローカル BGP IP アドレス: Alibaba Cloud 側の BGP IP アドレス。トンネル CIDR ブロックに属している必要があります。たとえば、169.254.10.0/30 CIDR ブロックでは、169.254.10.1 を使用できます。

    BGP 機能のサポート状況、ルート広告の原則、および制限事項の詳細については、「BGP 動的ルーティングを設定する」をご参照ください。

    コンソール

    BGP の有効化

    • IPsec-VPN 接続を作成するときに、[BGP の有効化] を選択し、ローカル ASNトンネル CIDR ブロック、および ローカル BGP IP アドレス を設定することで、ボーダーゲートウェイプロトコル (BGP) を有効にできます。

    • 既存の IPsec-VPN 接続の場合、インスタンス詳細ページの IPsec 接続 セクションで [BGP の有効化] をクリックできます。

    BGP の無効化

    IPsec-VPN 接続詳細ページの IPsec 接続 セクションで、[BGP の有効化] スイッチをオフにします。

    API

    • 新しい IPsec-VPN 接続を作成するときは、CreateVpnConnection 操作の EnableTunnelsBgp パラメーターを設定して BGP を有効にし、TunnelOptionsSpecification -> TunnelBgpConfig パラメーターを設定して各トンネルの BGP オプションを設定します。

    • 既存の IPsec-VPN 接続の場合、ModifyVpnConnectionAttribute 操作の EnableTunnelsBgp パラメーターを設定して BGP を有効または無効にし、TunnelOptionsSpecification -> TunnelBgpConfig パラメーターを設定して各トンネルの BGP オプションを設定します。

    トンネル設定の変更

    コンソール

    1. VPC コンソールの [IPsec-VPN 接続ページ] に移動し、ターゲットリージョンに切り替えて、ターゲットの IPsec-VPN 接続 ID をクリックします。

    2. IPsec-VPN 接続詳細ページで、ターゲットトンネルを見つけ、操作 列で 編集 をクリックします。

    3. 編集ページで、トンネル設定を変更し、OK をクリックします。

      トンネル設定項目の説明については、「トンネルと暗号化の設定」をご参照ください。

    API

    ModifyTunnelAttribute 操作を呼び出してトンネル設定を変更します。

    IPsec-VPN 接続設定の変更

    IPsec-VPN 接続が VPN Gateway インスタンスにアタッチされている場合、関連付けられた VPN Gateway インスタンスを変更することはできません。ルーティングモード今すぐ有効化 の設定のみを変更できます。

    コンソール

    1. VPC コンソールの [IPsec-VPN 接続ページ] に移動し、宛先リージョンに切り替えて、ターゲットの IPsec-VPN 接続の 操作 列にある 編集 をクリックします。

    2. VPN 接続の変更 ページで、IPsec-VPN 接続名やリモート CIDR ブロックなどの設定を変更し、OK をクリックします。

      パラメーターの詳細な説明については、「IPsec-VPN 接続を作成する」をご参照ください。

    API

    ModifyVpnConnectionAttribute 操作を呼び出して IPsec-VPN 接続設定を変更します。

    IPsec-VPN 接続の削除

    コンソール

    1. VPC コンソールの [IPsec-VPN 接続ページ] に移動し、宛先リージョンに切り替えて、ターゲットの IPsec-VPN 接続の 操作 列にある 削除 をクリックします。

    2. 表示されるダイアログボックスで、情報を確認し、[OK] をクリックします。

    API

    DeleteVpnConnection 操作を呼び出して IPsec-VPN 接続を削除します。

    課金

    IPsec-VPN 接続は無料です。ただし、関連付けられた VPN Gateway インスタンスには課金されます。詳細については、「IPsec-VPN の課金」をご参照ください。

    よくある質問

    トンネルのステータスが「フェーズ 1 ネゴシエーション失敗」と表示されるのはなぜですか?

    Alibaba Cloud とオンプレミスの両方で IPsec 設定を完了している場合、一般的な理由は次のとおりです:

    1. 事前共有キーの不一致: Alibaba Cloud 側とオンプレミスゲートウェイデバイスの事前共有キーを注意深く確認してください。大文字と小文字、特殊文字を含め、完全に一致していることを確認してください。

    2. IKE パラメーターの不一致: IKE バージョン、ネゴシエーションモード、暗号化アルゴリズム、認証アルゴリズム、DH グループ、およびその他のパラメーターが両端で同一であるか確認してください。

    3. ネットワークの問題: オンプレミスゲートウェイデバイスのパブリック IP アドレスが到達可能であるか、ファイアウォールやキャリアのポリシーが UDP ポート 500 と 4500 をブロックしていないか確認してください。

    トンネルのステータスは正常 (フェーズ 2 ネゴシエーション成功) ですが、もう一方の端のサーバーに ping できません。なぜですか?

    トンネルネゴシエーションの成功は、暗号化されたチャネルが確立されたことを意味するだけです。データが通過できるかを確認するには、以下を検査してください:

    1. ルート設定: Alibaba Cloud VPC ルートテーブルとオンプレミスデータセンターのルートテーブルが、トラフィックを IPsec-VPN 接続に正しく誘導するように設定されているか確認してください。

    2. セキュリティグループとネットワーク ACL: VPC 内の ECS インスタンスのセキュリティグループが、ローカル CIDR ブロックからの ICMP またはその他のサービストラフィックを許可しているか確認してください。

    3. オンプレミスのファイアウォールポリシー: オンプレミスデータセンターのファイアウォールが、VPC CIDR ブロックからのトラフィックを許可しているか確認してください。

    BGP 動的ルーティングを使用したいのですが、設定中に「BGP の有効化」オプションが利用できません。どうすればよいですか?

    これは、IPsec-VPN 接続に関連付けたカスタマーゲートウェイに自律システム番号 (ASN) が設定されていないために発生します。現在の IPsec-VPN 接続を削除し、ASN を持つ新しいカスタマーゲートウェイを作成してから、新しいカスタマーゲートウェイを使用する新しい IPsec-VPN 接続を作成する必要があります。

    トンネル 2 をアクティブトンネルとして設定できますか?

    いいえ、できません。トンネル 1 (VPN Gateway IP アドレス 1 を使用) は常にアクティブトンネルであり、トンネル 2 (VPN Gateway IP アドレス 2 を使用) は常にスタンバイ トンネルです。これらのロールは変更できません。

    シングルトンネルの IPsec-VPN 接続を作成できますか?

    • 新しい VPN Gateway インスタンスを購入した後、デュアルトンネルの IPsec-VPN 接続のみを作成できます。シングルトンネルの IPsec-VPN 接続はサポートされなくなりました。

    • 既存のシングルトンネル VPN Gateway インスタンスをお持ちの場合、そのインスタンスに対してはシングルトンネルの IPsec-VPN 接続のみを作成できます。高可用性の IPsec-VPN 接続の恩恵を受けるために、できるだけ早く IPsec-VPN 接続をデュアルトンネルモードにアップグレードする ことをお勧めします。アップグレード後、VPN Gateway インスタンスはシングルトンネルの IPsec-VPN 接続の作成をサポートしなくなります。

    シングルトンネル VPN Gateway インスタンスの IPsec-VPN 接続を作成する

    1. IPsec-VPN 接続の設定

    開始する前に、カスタマーゲートウェイインスタンスを作成済みであることを確認してください。

    コンソール

    VPN コンソールの [IPsec-VPN 接続ページ] に移動し、[VPN Gateway のアタッチ] をクリックして、次の設定を完了します:

    IPsec 設定

    • [リージョン] とアタッチする VPN Gateway インスタンスを選択します。

    • ルーティングモード:

      • 宛先ベースのルーティングモード (デフォルト): 宛先 IP アドレスに基づいてトラフィックを転送します。このモードは設定が簡単で、BGP を介してルートが動的に学習されるか、VPN Gateway で静的に設定されるシナリオに適しています。

      • 対象トラフィックパターン: 送信元と宛先の IP アドレスに基づいてトラフィックを転送します。このパターンは、特定のネットワークセグメント間でのみ通信を許可したい複雑なネットワークシナリオに適しています。このパターンを選択した後、ローカルネットワーク (通信が必要な VPC CIDR ブロック) と リモートネットワーク (通信が必要なオンプレミスデータセンターの CIDR ブロック) を設定する必要があります。

        IPsec-VPN 接続が設定されると、ポリシーベースルート が自動的に作成されます。このルートでは、[ソース CIDR ブロック] は IPsec-VPN 接続の ローカルネットワーク[宛先 CIDR ブロック] は IPsec-VPN 接続の リモートネットワーク であり、ネクストホップは IPsec-VPN 接続です。このルートは VPC ルートテーブルに公開できますが、デフォルトでは公開されません。

        • オンプレミスゲートウェイデバイスで対象トラフィックを設定する場合、CIDR ブロックが Alibaba Cloud 側と一致していることを確認しますが、入れ替えます。

        • Add アイコンをクリックして、複数のネットワークセグメントを追加できます。複数のネットワークセグメントを設定する場合、IKE プロトコルバージョンとして [ikev2] を選択する必要があります。

    • 今すぐ有効化: 接続を迅速に有効にするか、トラフィックの遅延を避けるには [はい] を選択します。リソースを節約し、トラフィックが頻繁でない場合は [いいえ] を選択します。

    トンネル設定

    • カスタマーゲートウェイ: オンプレミスゲートウェイデバイスを表すカスタマーゲートウェイインスタンスを選択します。

    • 事前共有キー: ID 認証に使用されるキー。キーは、オンプレミスゲートウェイデバイスの設定と同一である必要があります。この項目を空のままにすると、システムはランダムなキーを生成します。

    • BGP の有効化: BGP 動的ルーティング を使用するかどうかを指定します。

      • 無効 (デフォルト): 静的ルートを使用します。これは、単純なネットワークトポロジに適しています。

      • 有効: 自動的なルート配布と学習を必要とする複雑なネットワークトポロジに適しています。前提条件: 関連付けられたカスタマーゲートウェイに ASN が設定されている必要があります。

    • ローカル ASN: BGP を有効にした後の Alibaba Cloud 側の ASN。デフォルト値は 45104 です。値の範囲は 1 から 4294967295 です。オンプレミスのピアデバイスに ASN を設定する際は、プライベート ASN を使用することをお勧めします。

    [暗号化設定] をクリックして表示

    • IKE 設定:

      • バージョン: [ikev2] を使用することをお勧めします。IKEv2 はセキュリティアソシエーション (SA) ネゴシエーションプロセスを簡素化し、マルチセグメントシナリオのサポートを向上させます。

      • ネゴシエーションモード: ネゴシエーションが成功した後、データ転送のセキュリティは両方のモードで同じです。

        • メイン (デフォルト): メインモードでは、ID 情報が送信中に暗号化されるため、ネゴシエーションプロセスがアグレッシブモードよりも安全になります。

        • アグレッシブ: アグレッシブモードは、より高速なネゴシエーションを提供し、成功率が高いです。

      • 暗号化アルゴリズム: フェーズ 1 ネゴシエーションで使用される暗号化アルゴリズム。オンプレミスゲートウェイデバイスのものと同じである必要があります。

        サポートされている暗号化アルゴリズムは、aes128 (デフォルト)、aes192aes256des、および 3des です。

        VPN Gateway インスタンスの帯域幅が 200 Mbps 以上の場合、aes128aes192、または aes256 暗号化アルゴリズムを使用することをお勧めします。3des 暗号化アルゴリズムは推奨されません。

        • AES は、高強度の暗号化と復号を提供する対称鍵暗号アルゴリズムです。安全なデータ転送を確保しながら、ネットワーク遅延、スループット、および転送パフォーマンスへの影響は軽微です。

        • 3des はトリプルデータ暗号化アルゴリズムです。暗号化時間が長く、アルゴリズムの複雑性が高く、計算オーバーヘッドが大きいため、AES と比較して転送パフォーマンスが低下します。

      • 認証アルゴリズム: フェーズ 1 ネゴシエーションで使用される認証アルゴリズム。オンプレミスゲートウェイデバイスのものと同じである必要があります。

        サポートされている認証アルゴリズムは、sha1 (デフォルト)、md5sha256sha384、および sha512 です。

        一部のオンプレミスゲートウェイデバイスでは、PRF アルゴリズムを指定する必要がある場合があります。PRF アルゴリズムは IKE 認証アルゴリズムと同じでなければなりません。

      • DH グループ (前方秘匿性 PFS): フェーズ 1 ネゴシエーションのための Diffie-Hellman 鍵交換アルゴリズムを選択します。

        group1group2 (デフォルト)、group5、および group14 は、それぞれ DH1、DH2、DH5、および DH14 に対応します。

      • SA ライフサイクル (秒): フェーズ 1 でネゴシエートされるセキュリティアソシエーション (SA) の有効期間を指定します。デフォルト値は 86400 です。値の範囲は 0 から 86400 です。

      • ローカル ID: トンネルのローカルエンドの識別子。デフォルトでは、トンネルの IP アドレスがローカル識別子として使用されます。

        このパラメーターは、IPsec-VPN ネゴシエーション中の Alibaba Cloud 側の識別子にすぎず、他の機能はありません。IP アドレスまたは FQDN 形式をサポートし、スペースを含めることはできません。ローカルトンネル識別子としてプライベート IP アドレスを使用することをお勧めします。

        [LocalId] に FQDN 形式 (例: example.aliyun.com) を使用する場合、オンプレミスゲートウェイデバイス上の IPsec-VPN 接続のピア ID は [LocalId] の値と一致する必要があります。ネゴシエーションモードを [アグレッシブ] に設定することをお勧めします。

      • リモート ID: トンネルのリモートエンドの識別子。デフォルトでは、関連付けられたカスタマーゲートウェイの IP アドレスがリモート識別子として使用されます。

        このパラメーターは、IPsec-VPN ネゴシエーション中のオンプレミスゲートウェイデバイスの識別子にすぎず、他の機能はありません。IP アドレスまたは FQDN 形式をサポートし、スペースを含めることはできません。リモートトンネル識別子としてプライベート IP アドレスを使用することをお勧めします。

        [RemoteId] が FQDN 形式 (例: example.aliyun.com) を使用する場合、オンプレミスゲートウェイデバイス上の IPsec-VPN 接続のローカル ID は [RemoteId] の値と一致する必要があり、ネゴシエーションモードを [アグレッシブ] に設定することをお勧めします。

    • IPsec 設定:

      • 暗号化アルゴリズム: フェーズ 2 ネゴシエーションの暗号化アルゴリズム。

        サポートされている暗号化アルゴリズムは、aes128 (デフォルト)、aes192aes256des、および 3des です。

        帯域幅が 200 Mbps 以上の VPN Gateway インスタンスでは、3des 暗号化アルゴリズムの代わりに aes128aes192、または aes256 暗号化アルゴリズムを使用することをお勧めします。

        • AES は、高強度の暗号化と復号を提供する対称鍵暗号アルゴリズムです。安全なデータ転送を確保しながら、ネットワーク遅延、スループット、および転送パフォーマンスへの影響は軽微です。

        • 3des はトリプルデータ暗号化アルゴリズムです。暗号化時間が長く、アルゴリズムの複雑性が高く、計算負荷が大きいため、AES と比較して転送パフォーマンスが低下します。

      • 認証アルゴリズム: フェーズ 2 ネゴシエーションの認証アルゴリズム。

        サポートされている認証アルゴリズムは、sha1 (デフォルト)、md5sha256sha384、および sha512 です。

      • DH グループ (前方秘匿性 PFS): フェーズ 2 ネゴシエーションの Diffie-Hellman 鍵交換アルゴリズム。

        • 無効: DH 鍵交換アルゴリズムが使用されないことを示します。

          • PFS をサポートしないクライアントの場合は、[無効] を選択します。

          • [無効] 以外のグループを選択した場合、Perfect Forward Secrecy (PFS) 機能はデフォルトで有効になります。これにより、再ネゴシエーションのたびにキーを更新する必要があります。したがって、対応するクライアントでも PFS 機能を有効にする必要があります。

        • group1group2 (デフォルト)、group5、および group14 は、それぞれ DH グループ DH1、DH2、DH5、および DH14 を表します。

      • SA ライフサイクル (秒): フェーズ 2 でネゴシエートされるセキュリティアソシエーション (SA) の有効期間を指定します。デフォルト値は 86400 です。値の範囲は 0 から 86400 です。

      • DPD: ピア生存確認。この機能を常に有効にすることをお勧めします (デフォルト)。ピアの障害を迅速に検出し、スイッチオーバーをトリガーします。

        DPD を有効にすると、IPsec-VPN 接続は DPD メッセージを送信して、ピアデバイスがアクティブであるかどうかを検出します。指定された時間内に応答がない場合、ピアは切断されたと見なされます。その後、IPsec-VPN 接続は ISAKMP SA と対応する IPsec SA を削除し、セキュアトンネルも削除されます。DPD タイムアウト後、IPsec-VPN 接続は自動的に IPsec-VPN トンネルネゴシエーションを再開します。DPD メッセージのタイムアウトは 30 秒です。

        IKEv2 を使用している一部の既存の VPN Gateway インスタンスでは、DPD タイムアウトが 130 秒または 3600 秒の場合があります。この場合、VPN Gateway インスタンスを最新バージョンに スペックアップ できます。

      • NAT トラバーサル: デフォルトで有効にしておくことをお勧めします。有効にすると、IKE ネゴシエーションプロセスは UDP ポート番号の検証をスキップし、暗号化された通信チャネル内の NAT ゲートウェイデバイスを検出できます。

    BGP 設定 (オプション)

    BGP を有効にしている場合は、トンネルの BGP 設定 を完了する必要があります。

    ヘルスチェック

    この機能はデフォルトで無効になっています。非アクティブ/スタンバイシナリオの IPsec-VPN 接続にヘルスチェックを設定することはお勧めしません。ヘルスチェックを設定する場合は、宛先 IP が ICMP 応答をサポートしていることを確認する必要があります。また、オンプレミスデータセンターに、送信元 IP を宛先 CIDR ブロック、32 ビットのサブネットマスク、および IPsec-VPN 接続をネクストホップとするルートを追加する必要があります。これにより、IPsec-VPN 接続のヘルスチェックが期待どおりに機能することが保証されます。

    設定の確認

    1. 設定を注意深く確認し、ページ下部の [OK] をクリックします。

    2. 表示されるダイアログボックスで、[キャンセル] をクリックして、後でルーティングを設定します。

    3. 対象の IPsec-VPN 接続の 操作 列で、[ピア設定の生成] をクリックし、設定をコピーしてローカルに保存し、オンプレミスゲートウェイデバイスを設定します。

    API

    CreateVpnConnection 操作を呼び出して IPsec-VPN 接続を作成します。

    2. VPN Gateway と VPC ルートの設定

    VPN Gateway のルートを設定する」の説明に従ってルートを設定します。

    3. オンプレミスゲートウェイデバイスの設定

    「IPsec-VPN 接続の設定」ステップでダウンロードしたピア設定を使用して、ファイアウォールやルーターなどのオンプレミスゲートウェイデバイスで IPsec および BGP (有効な場合) の設定を完了します。具体的な設定手順については、お使いのデバイスのドキュメントをご参照ください。例については、「オンプレミスゲートウェイデバイスを設定する」をご参照ください。