すべてのプロダクト
Search

このプロダクト

    VPN Gateway:IPsec-VPN 接続 (デュアルトンネルモード)

    ドキュメントセンター

    VPN Gateway:IPsec-VPN 接続 (デュアルトンネルモード)

    最終更新日:Nov 09, 2025

    VPN ゲートウェイを作成した後、VPC とデータセンター間の通信を有効にするには、Alibaba Cloud とデータセンターの両方で IPsec-VPN 接続を設定する必要があります。

    仕組み

    デフォルトでは、Alibaba Cloud の IPsec-VPN 接続は、プライマリトンネルとスタンバイ トンネルを含むデュアルトンネルモードを使用します。ネットワークジッターやデバイスの障害によってプライマリトンネルが中断された場合、トラフィックは自動的にスタンバイ トンネルに切り替わります。これにより、業務継続性と高いネットワーク可用性が確保されます。

    • トンネルのロール: システムは、VPN ゲートウェイの 2 つの異なるパブリック IP アドレスを使用して、2 つの個別のトンネルを確立します。

      • トンネル 1 (IP アドレス 1 を使用) はデフォルトでプライマリトンネルであり、すべてのサービス トラフィックを伝送します。

      • トンネル 2 (IP アドレス 2 を使用) はスタンバイ トンネルであり、準備完了状態です。

      トンネルのプライマリロールとスタンバイロールは固定されており、変更できません。

    • ヘルスチェックとフェールオーバー: システムはプライマリトンネルの接続性を自動的に監視します。中断が検出されると、VPN ゲートウェイは自動的にトラフィックをスタンバイ トンネルに切り替えます。プライマリトンネルが回復すると、トラフィックは自動的に元に戻ります。

    • ゾーンレベルのディザスタリカバリ: IPsec-VPN 接続の 2 つのトンネルは、デフォルトで異なるゾーンにデプロイされます。1 つのゾーンで障害が発生した場合でも、もう一方のゾーンのトンネルは利用可能なままです。これにより、クロスゾーンのディザスタリカバリが提供されます。1 つのゾーンのみをサポートするリージョンでは、両方のトンネルが同じゾーンにデプロイされます。このデプロイメントはゾーンレベルのディザスタリカバリをサポートしませんが、リンクの冗長性は提供します。

    IPsec-VPN 接続の作成

    1. IPsec-VPN 接続の設定

    開始する前に、VPN ゲートウェイカスタマーゲートウェイを作成していることを確認してください。

    コンソール

    VPN コンソールの IPsec-VPN 接続ページ に移動します。[VPN ゲートウェイのアタッチ] をクリックします。[IPsec-VPN 接続の作成] ページで、次のパラメーターを設定します:

    IPsec 設定

    • 接続をアタッチする リージョン と VPN ゲートウェイ インスタンス を選択します。

    • ルーティングモード:

      • [宛先ベースのルーティングモード] (デフォルト): 宛先 IP アドレスに基づいてトラフィックを転送します。このモードは設定が簡単で、ボーダーゲートウェイプロトコル (BGP) を介してルートが動的に学習されるシナリオや、VPN ゲートウェイに静的ルートが設定されているシナリオに適しています。

      • [保護されたデータフロー]: 送信元と宛先の IP アドレスに基づいてトラフィックを転送します。このモードは、特定のネットワークセグメント間でのみ通信を許可したい複雑なネットワークシナリオに適しています。ローカルネットワーク (VPC で接続する CIDR ブロック) と リモートネットワーク (データセンターで接続する CIDR ブロック) を設定する必要があります。

        IPsec-VPN 接続が設定されると、システムは自動的に ポリシーベースのルート を生成します。このルートでは、[送信元 CIDR ブロック]ローカルネットワーク[宛先 CIDR ブロック]リモートネットワーク となり、ネクストホップは IPsec-VPN 接続を指します。このルートは VPC ルートテーブルに公開できますが、デフォルトでは公開されません。

        • オンプレミスゲートウェイデバイスでポリシーベースのモードを設定する場合、CIDR ブロックが Alibaba Cloud 側と一致していることを確認してください。ただし、ローカルとリモートの CIDR ブロックは入れ替えます。

        • テキストボックスの右側にある Add アイコンをクリックすると、複数の CIDR ブロックを追加できます。複数の CIDR ブロックを設定する場合は、IKE プロトコルバージョンとして [ikev2] を選択する必要があります。

    • 今すぐ有効化: [はい] を選択すると、接続がすぐにアクティブになり、ネゴシエーションの遅延を防ぎます。トラフィックが少ない場合やリソースを節約したい場合は、[いいえ] を選択します。

    トンネル設定
    重要

    デュアルトンネル IPsec-VPN 接続を作成する場合、両方のトンネルが利用可能になるように設定する必要があります。1 つのトンネルのみを設定または使用する場合、IPsec-VPN 接続のアクティブ/スタンバイリンク冗長性およびゾーンレベルのディザスタリカバリ機能を使用することはできません。

    • [BGP を有効にする]: BGP 動的ルーティング を使用するかどうかを指定します。

      • 無効 (デフォルト): 静的ルートを使用します。これは、単純なネットワークトポロジに適しています。

      • 有効: ルートの自動配布と学習が必要な複雑なネットワークトポロジに適しています。前提条件: 関連付けられたカスタマーゲートウェイに ASN が設定されている必要があります。

    • ローカル ASN: Alibaba Cloud 側の ASN です。このパラメーターは、BGP が有効な場合にのみ必要です。2 つのトンネルは同じ ASN を使用します。デフォルト値: 45104。有効値: 1~4294967295。ピアのオンプレミスデバイスで ASN を設定する場合は、プライベート ASN を使用することをお勧めします。

    トンネル 1 (プライマリ) とトンネル 2 (スタンバイ) の設定:

    • カスタマーゲートウェイ: オンプレミスゲートウェイデバイスを表すカスタマーゲートウェイインスタンスを選択します。両方のトンネルを同じカスタマーゲートウェイに関連付けることができます。

    • [事前共有鍵]: 身分認証に使用されるキー。両方のトンネルのキーは、オンプレミスゲートウェイデバイスで設定されたキーと同一である必要があります。これを空のままにすると、システムはランダムなキーを生成します。

    [暗号化設定] をクリックして表示

    • [IKE 設定]:

      • バージョン: [ikev2] の使用を推奨します。IKEv2 は、セキュリティアソシエーション (SA) のネゴシエーションプロセスを簡素化し、複数のサブネットが関わる場合に優れたサポートを提供します。

      • ネゴシエーションモード:

        • [main] (デフォルト): メインモード。このモードは、送信中に ID 情報を暗号化するため、ネゴシエーションプロセスがアグレッシブモードよりも安全になります。

        • [aggressive]: アグレッシブモード。このモードはより高速で、ネゴシエーションの成功率が高くなります。

        ネゴシエーションが成功すると、どちらのモードもデータ送信に対して同じレベルのセキュリティを提供します。

      • 暗号化アルゴリズム: フェーズ 1 ネゴシエーションで使用される暗号化アルゴリズム。オンプレミスゲートウェイデバイスのアルゴリズムと同じである必要があります。

        サポートされている暗号化アルゴリズムは、[aes] (aes128、デフォルト)、[aes192][aes256][des]、および [3des] です。

        帯域幅が 200 Mbps 以上の VPN ゲートウェイの場合、[aes][aes192]、または [aes256] 暗号化アルゴリズムの使用を推奨します。[3des] 暗号化アルゴリズムの使用は推奨しません。

        • AES は、強力な暗号化と復号を提供する対称鍵暗号アルゴリズムです。安全なデータ送信を確保しながら、ネットワーク遅延、スループット、転送パフォーマンスへの影響を最小限に抑えます。

        • [3DES] はトリプルデータ暗号化アルゴリズムです。複雑性が高く、暗号化時間が長いため、転送パフォーマンスの低下とスループットの低下につながる可能性があります。

      • 認証アルゴリズム: フェーズ 1 ネゴシエーションで使用される認証アルゴリズム。オンプレミスゲートウェイデバイスのアルゴリズムと同じである必要があります。

        サポートされている認証アルゴリズムは、[sha1] (デフォルト)、[md5][sha256][sha384]、および [sha512] です。

        一部のオンプレミスゲートウェイデバイスに VPN 設定を追加する場合、擬似ランダム関数 (PRF) アルゴリズムを指定する必要がある場合があります。PRF アルゴリズムは、IKE 認証アルゴリズムと同じである必要があります。

      • DH グループ (前方秘匿性 PFS): フェーズ 1 ネゴシエーション用の Diffie-Hellman 鍵交換アルゴリズムを選択します。

        • [group1]: DH グループ 1。

        • [group2] (デフォルト): DH グループ 2。

        • [group5]: DH グループ 5。

        • [group14]: DH グループ 14。

      • SA ライフサイクル (秒): フェーズ 1 でネゴシエートされるセキュリティアソシエーション (SA) のライフタイムを指定します。デフォルト値: 86400。有効値: 0~86400

      • [LocalId]: トンネルのローカルエンドの識別子。デフォルトでは、トンネルの IP アドレスがローカル識別子として使用されます。

        このパラメーターは、IPsec-VPN 接続のネゴシエーション中に Alibaba Cloud の識別子としてのみ使用されます。他の機能はありません。IP アドレス形式または完全修飾ドメイン名 (FQDN) 形式をサポートし、スペースを含めることはできません。トンネルのローカルエンドの識別子としてプライベート IP アドレスを使用することをお勧めします。

        [LocalId] が example.aliyun.com などの FQDN 形式の値に設定されている場合、オンプレミスゲートウェイデバイス上の IPsec-VPN 接続のピア ID は [LocalId] と一致する必要があります。ネゴシエーションモードを [aggressive] に設定します。

      • [RemoteId]: トンネルのリモートエンドの識別子。デフォルトでは、関連付けられたカスタマーゲートウェイの IP アドレスがリモート識別子として使用されます。

        このパラメーターは、IPsec-VPN 接続のネゴシエーション中にオンプレミスゲートウェイデバイスの識別子としてのみ使用されます。他の機能はありません。IP アドレス形式または FQDN 形式をサポートし、スペースを含めることはできません。トンネルのリモートエンドの識別子としてプライベート IP アドレスを使用することをお勧めします。

        [RemoteId] が example.aliyun.com などの FQDN 形式を使用する場合、オンプレミスゲートウェイデバイス上の IPsec-VPN 接続のローカル ID が [RemoteId] の値と一致することを確認してください。ネゴシエーションモードを [aggressive] に設定することをお勧めします。

    • [IPsec 設定]:

      • 暗号化アルゴリズム: フェーズ 2 ネゴシエーションの暗号化アルゴリズム。

        サポートされている暗号化アルゴリズムは、[aes] (aes128、デフォルト)、[aes192][aes256][des]、および [3des] です。

        帯域幅が 200 Mbps 以上の VPN ゲートウェイの場合、[aes][aes192]、または [aes256] 暗号化アルゴリズムの使用を推奨します。[3des] 暗号化アルゴリズムの使用は推奨しません。

        • AES は、強力な暗号化と復号を提供する対称鍵暗号アルゴリズムです。安全なデータ送信を確保しながら、ネットワーク遅延、スループット、転送パフォーマンスへの影響を最小限に抑えます。

        • [3DES] はトリプルデータ暗号化アルゴリズムです。複雑性が高く、暗号化時間が長いため、転送パフォーマンスの低下とスループットの低下につながる可能性があります。

      • 認証アルゴリズム: フェーズ 2 ネゴシエーションの認証アルゴリズム。

        サポートされている認証アルゴリズムは、[sha1] (デフォルト)、[md5][sha256][sha384]、および [sha512] です。

      • DH グループ (前方秘匿性 PFS): フェーズ 2 ネゴシエーションの Diffie-Hellman 鍵交換アルゴリズム。

        • [disabled]: DH 鍵交換アルゴリズムを無効にします。

          • PFS をサポートしないクライアントの場合は、[disabled] を選択します。

          • [disabled] 以外のグループを選択すると、デフォルトで PFS 機能が有効になり、再ネゴシエーションのたびにキーが更新されます。したがって、クライアントでも PFS 機能を有効にする必要があります。

        • [group1]: DH グループ 1。

        • [group2] (デフォルト): DH グループ 2。

        • [group5]: DH グループ 5。

        • [group14]: DH グループ 14。

      • SA ライフサイクル (秒): フェーズ 2 でネゴシエートされるセキュリティアソシエーション (SA) のライフタイムを設定します。デフォルト値: 86400。有効値: 0~86400

      • DPD: ピア生存確認。この機能を常に有効にすることをお勧めします (デフォルト)。ピアの障害を迅速に検出し、スイッチオーバーをトリガーします。これは高可用性の鍵となります。

        DPD が有効な場合、IPsec-VPN 接続は DPD パケットを送信して、ピアデバイスがアクティブであるかどうかを検出します。指定された期間内に有効な応答が受信されない場合、ピアは切断されたと見なされます。その後、IPsec-VPN 接続は、インターネットセキュリティアソシエーションおよびキー管理プロトコル (ISAKMP) SA と対応する IPsec SA を削除します。セキュリティトンネルも削除されます。DPD タイムアウト後、IPsec-VPN 接続は自動的に IPsec-VPN トンネルのネゴシエーションを再開します。DPD タイムアウト期間は 30 秒です。

        IPsec-VPN 接続が IKEv2 を使用する場合、一部の既存の VPN ゲートウェイインスタンスの DPD タイムアウトは 130 秒または 3,600 秒になることがあります。その場合は、VPN ゲートウェイインスタンスを最新バージョンに スペックアップ できます。

      • NAT トラバーサル: デフォルトでこの機能を有効にしておくことをお勧めします。有効にすると、IKE ネゴシエーションプロセスは UDP ポート番号の検証をスキップし、暗号化された通信チャネル内の NAT ゲートウェイデバイスを検出できます。

    BGP 設定 (オプション)

    BGP 機能を有効にしている場合は、各トンネルの BGP 設定 を完了してください。

    設定の確認

    1. 設定を注意深く確認し、ページ下部の [OK] をクリックします。

    2. VPN ゲートウェイルートを設定するように求められたら、[キャンセル] をクリックします。ルートは後で設定できます。

    3. ターゲット IPsec-VPN 接続の 操作 列で、[ピア設定の生成] をクリックします。IPsec-VPN 接続の設定 ダイアログボックスで、設定をコピーしてローカルデバイスに保存します。この設定は、オンプレミスゲートウェイデバイスを設定するために必要になります。

    API

    CreateVpnConnection 操作を呼び出して、IPsec-VPN 接続を作成します。

    2. VPN ゲートウェイと VPC ルートの設定

    詳細については、「VPN ゲートウェイルートの設定」をご参照ください。

    3. オンプレミスゲートウェイデバイスの設定

    ステップ 1 でダウンロードしたピア設定ファイルを使用して、データセンターのゲートウェイデバイス (ファイアウォールやルーターなど) で IPsec と、該当する場合は BGP を設定します。詳細については、お使いのデバイスのドキュメントと「オンプレミスゲートウェイデバイスの設定」をご参照ください。

    IPsec-VPN 接続の管理

    BGP の有効化または無効化

    IPsec-VPN 接続で BGP を有効にする前に、関連付けられたカスタマーゲートウェイインスタンスに ASN が設定されていることを確認してください。設定されていない場合は、IPsec-VPN 接続を削除し、ASN を持つ新しいカスタマーゲートウェイを作成してから、新しいカスタマーゲートウェイを使用して IPsec-VPN 接続を再作成する必要があります。

    以下の BGP 設定項目は、IPsec-VPN 接続に関連しています:

    • ローカル ASN: Alibaba Cloud 側の ASN です。このパラメーターは、BGP が有効な場合にのみ必要です。2 つのトンネルは同じ ASN を使用します。デフォルト値: 45104。有効値: 1~4294967295。ピアのオンプレミスデバイスで ASN を設定する場合は、プライベート ASN を使用することをお勧めします。

    • トンネル CIDR ブロック: BGP ピアが接続を確立するために使用する相互接続 CIDR ブロック。VPN ゲートウェイインスタンス内の各トンネルには、一意の CIDR ブロックが必要です。CIDR ブロックは、169.254.0.0/16 内の /30 サブネットである必要があります。次の CIDR ブロックは許可されません: 169.254.0.0/30、169.254.1.0/30、169.254.2.0/30、169.254.3.0/30、169.254.4.0/30、169.254.5.0/30、または 169.254.169.252/30。

    • ローカル BGP IP アドレス: Alibaba Cloud 側の BGP IP アドレス。この IP アドレスは、トンネル CIDR ブロック内にある必要があります。たとえば、169.254.10.0/30 CIDR ブロックでは、169.254.10.1 を使用できます。

    BGP ルーティング機能のステータス、ルート広告の原則、および制限の詳細については、「BGP 動的ルーティングの設定」をご参照ください。

    コンソール

    BGP の有効化

    • IPsec-VPN 接続を作成するときに、[BGP を有効にする] を選択し、ローカル ASNトンネル CIDR ブロック、および ローカル BGP IP アドレス を設定できます。

    • 既存の IPsec-VPN 接続の場合、IPsec-VPN 接続インスタンスの詳細ページの IPsec 接続 セクションで [BGP を有効にする] ことができます。

    BGP の無効化

    IPsec-VPN 接続の詳細ページで、IPsec 接続 セクションに移動し、[BGP を有効にする] を無効にします。

    API

    • 新しい IPsec 接続を作成するときは、CreateVpnConnectionEnableTunnelsBgp パラメーターで BGP を有効にし、TunnelOptionsSpecification -> TunnelBgpConfig パラメーターで各トンネルの BGP オプションを設定します。

    • 既存の IPsec-VPN 接続の場合、ModifyVpnConnectionAttributeEnableTunnelsBgp パラメーターを設定して BGP を有効または無効にし、TunnelOptionsSpecification -> TunnelBgpConfig パラメーターを設定して各トンネルの BGP オプションを設定します。

    トンネル設定の変更

    コンソール

    1. VPC コンソールの IPsec 接続 ページに移動し、ターゲットリージョンを選択してから、ターゲット IPsec-VPN 接続の ID をクリックします。

    2. IPsec-VPN 接続インスタンスの詳細ページで、ターゲットトンネルを見つけ、操作 列の 編集 をクリックします。

    3. 編集ページでトンネル設定を変更し、OK をクリックします。

      トンネル設定項目の詳細については、「トンネルと暗号化の設定」をご参照ください。

    API

    ModifyTunnelAttribute 操作を呼び出して、トンネル設定を変更します。

    IPsec-VPN 接続設定の変更

    IPsec-VPN 接続がすでに VPN ゲートウェイインスタンスに関連付けられている場合、ゲートウェイインスタンスを変更することはできません。ルーティングモード今すぐ有効化 の設定のみ変更できます。

    コンソール

    1. VPC コンソールの IPsec 接続 ページに移動し、宛先リージョンを選択します。ターゲット IPsec-VPN 接続を見つけ、操作 列の 編集 をクリックします。

    2. VPN 接続の変更 ページで、名前や CIDR ブロックなどのパラメーターを変更し、OK をクリックします。

      パラメーターの詳細については、「IPsec-VPN 接続の作成」をご参照ください。

    API

    ModifyVpnConnectionAttribute 操作を呼び出して、IPsec-VPN 接続設定を変更します。

    IPsec-VPN 接続の削除

    コンソール

    1. VPC コンソールの IPsec-VPN 接続ページ に移動し、宛先リージョンを選択してから、ターゲット IPsec-VPN 接続を見つけて 操作 列の 削除 をクリックします。

    2. プロンプトが表示されたら、詳細を確認して [OK] をクリックします。

    API

    DeleteVpnConnection 操作を呼び出して、IPsec-VPN 接続を削除します。

    課金

    IPsec-VPN 接続が VPN ゲートウェイにアタッチされている場合、接続自体は無料ですが、関連付けられた VPN ゲートウェイインスタンスに対して課金されます。詳細については、IPsec-VPN の課金をご参照ください。

    よくある質問

    トンネルのステータスが「フェーズ 1 ネゴシエーション失敗」と表示されるのはなぜですか?

    クラウドとオンプレミスで IPsec 設定を完了している場合、このエラーは通常、次のいずれかの問題が原因で発生します:

    1. 事前共有鍵の不一致: Alibaba Cloud 側とオンプレミスゲートウェイデバイスの事前共有鍵を注意深く確認してください。大文字と小文字、特殊文字を含め、完全に一致していることを確認してください。

    2. IKE パラメーターの不一致: IKE バージョン、ネゴシエーションモード、暗号化アルゴリズム、認証アルゴリズム、DH グループ、その他のパラメーターが両端で同一であるか確認してください。

    3. ネットワークの問題: オンプレミスゲートウェイデバイスのパブリック IP アドレスが到達可能であるか、ファイアウォールまたはキャリアのポリシーが UDP ポート 500 および 4500 をブロックしていないか確認してください。

    トンネルのステータスは正常 (フェーズ 2 ネゴシエーション成功) ですが、ピアサーバーに ping できません。なぜですか?

    トンネルネゴシエーションの成功は、暗号化されたチャネルが確立されたことを示すだけです。データを送信できない場合は、次の項目を確認してください:

    1. ルート設定: Alibaba Cloud VPC とデータセンターのルートテーブルが、トラフィックを IPsec-VPN 接続に転送するように正しく設定されているか確認してください。

    2. セキュリティグループとネットワーク ACL: ECS インスタンスのセキュリティグループとクラウド上のネットワークアクセス制御リスト (ACL) が、オンプレミスの CIDR ブロックからの ICMP トラフィックまたは他のサービスポートのトラフィックを許可しているか確認してください。

    3. オンプレミスのファイアウォールポリシー: データセンターのファイアウォールが VPC CIDR ブロックからのトラフィックを許可しているか確認してください。

    BGP 動的ルーティングを使用したいのですが、設定中に BGP を有効にできません。どうすればよいですか?

    これは、IPsec-VPN 接続に関連付けたカスタマーゲートウェイに ASN が設定されていないためです。現在の IPsec-VPN 接続を削除し、ASN を持つ新しいカスタマーゲートウェイを作成してから、新しいカスタマーゲートウェイを使用して IPsec-VPN 接続を作成する必要があります。

    トンネル 2 をプライマリトンネルとして設定できますか?

    いいえ、できません。トンネル 1 (VPN ゲートウェイ IP アドレス 1 を使用) はプライマリトンネルとして固定されており、トンネル 2 (VPN ゲートウェイ IP アドレス 2 を使用) はスタンバイ トンネルとして固定されています。これらのロールは変更できません。