IPsec-VPN接続を作成して、暗号化された接続を確立できます。 このトピックでは、シングルトンネルモードでIPsec-VPN接続を作成および管理する方法について説明します。
背景情報
IPsec-VPN接続を作成すると、次の機能を有効または無効にできます。
DPD: デッドピア検出 (DPD) 機能。
DPDを有効にすると、IPsec-VPN接続のイニシエータがDPDパケットを送信して、ピアの存在と可用性を確認します。 指定された期間内にピアから応答が受信されない場合、接続は失敗します。 ISAKMPセキュリティアソシエーション (SA) 、IPsec SA、およびIPsecトンネルが削除されます。
この機能はデフォルトで無効になっています。
NATトラバーサル: NATトラバーサル機能。
NATトラバーサルを有効にすると、イニシエータはIKEネゴシエーション中にUDPポートをチェックせず、IPsecトンネルに沿ってNATゲートウェイデバイスを自動的に検出できます。
この機能はデフォルトで無効になっています。
BGP: ボーダーゲートウェイプロトコル (BGP) 動的ルーティング機能。
BGP動的ルーティングを有効にすると、IPsec-VPN接続は自動的にルートを学習してアドバタイズします。 これにより、ネットワークのメンテナンスと構成が容易になります。
この機能はデフォルトで無効化されています。
ヘルスチェック: ヘルスチェック機能。
同じVPNゲートウェイを使用してアクティブおよびスタンバイIPsec-VPN接続を作成するシナリオでは、ヘルスチェックを設定してアクティブおよびスタンバイ接続の接続を確認できます。 ヘルスチェックを設定した後、システムはインターネット制御メッセージプロトコル (ICMP) パケットを宛先IPアドレスに送信して、IPsec-VPN接続の接続性を確認します。 アクティブな接続がダウンしている場合、スタンバイ接続が自動的に引き継ぎます。 これにより、サービスの可用性が向上します。
説明IPsec-VPN接続がヘルスチェックに失敗した場合、システムはIPsecトンネルをリセットします。 アクティブ /スタンバイ接続が使用されないシナリオでは、ヘルスチェック機能の代わりにDPD機能を使用して接続を確認することを推奨します。
この機能はデフォルトで無効化されています。
サポートされる機能は、次のセクションで説明するように、IPsec-VPN接続に関連付けられているリソースによって異なります。
IPsec-VPN接続の作成時にIPsec-VPN接続をトランジットルーターに関連付けると、DPD、NATトラバーサル、BGP動的ルーティング、およびヘルスチェックがサポートされます。
IPsec-VPN接続を作成するときに、IPsec-VPN接続をVPNゲートウェイに関連付ける場合:
VPN gatewayが最新バージョンを使用する場合、DPD、NATトラバーサル、BGP動的ルーティング、およびヘルスチェックがサポートされます。 それ以外の場合は、現在のバージョンのVPNゲートウェイでサポートされている機能のみを使用できます。
[アップグレード] ボタンのステータスに基づいて、VPN gatewayが最新バージョンを使用しているかどうかを確認できます。 VPN gatewayが最新バージョンを使用していない場合は、[アップグレード] をクリックしてVPN gatewayを更新できます。 詳細については、「VPNゲートウェイのアップグレード」をご参照ください。
前提条件
IPsec-VPN接続を作成する前に、手順について学び、前提条件が満たされていることを確認してください。 詳細については、「手順」をご参照ください。
IPsec-VPN接続の作成
- VPN gatewayコンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
上部のナビゲーションバーで、IPsec-VPN接続を作成するリージョンを選択します。
説明IPsec-VPN接続と、関連付けられるVPNゲートウェイまたはトランジットルーターは、同じリージョンに属している必要があります。
[IPsec接続] ページで、[IPsec接続の作成] をクリックします。
[IPsec接続の作成] ページで、IPsec-VPN接続のパラメーターを設定し、[OK] をクリックします。
必要なパラメーターは、IPsec-VPN接続に関連付けるリソースによって異なります。 次の表に、すべてのパラメーターを示します。
基本設定
パラメーター
説明
名前
IPsec-VPN接続の名前を入力します。
リソースの関連付け
IPsec-VPN接続に関連付けるリソースのタイプを選択します。
IPsec-VPN接続をトランジットルーターに関連付ける場合は、CEN または 関連付け禁止 を選択します。
CENを選択すると、IPsec-VPN接続が現在のAlibaba Cloudアカウントの指定されたトランジットルーターに自動的に関連付けられます。
関連付け禁止 を選択した場合、IPsec-VPN接続はリソースに関連付けられていません。 Cloud Enterprise Network (CEN) コンソールで、IPsec-VPN接続を現在のAlibaba Cloudアカウントまたは別のAlibaba Cloudアカウントのトランジットルーターに手動で関連付けることができます。 詳細については、「IPsec-VPN接続をトランジットルーターにアタッチする」をご参照ください。
説明IPsec-VPN接続を異なるトランジットルーターに関連付ける場合、これらのトランジットルーターは異なるCENインスタンスに属している必要があります。 IPsec-VPN接続をCENコンソールで異なるトランジットルーターに関連付けることができます。 詳細については、「IPsec-VPN接続をトランジットルーターにアタッチする」をご参照ください。
IPsec-VPN接続をVPNゲートウェイに関連付ける場合は、VPN Gateway を選択します。
ゲートウェイタイプ
IPsec-VPN接続のネットワークタイプを選択します。
パブリック (デフォルト): IPsec-VPN接続はインターネット経由で確立されます。
プライベート: IPsec-VPN接続はプライベートネットワーク経由で確立されます。
CEN インスタンス ID
トランジットルーターが属するCENインスタンスのIDを選択します。
ゾーン
ゾーンを選択します。
指定されたゾーンにリソースが作成されます。
トランジットルーター
IPsec-VPN接続に関連付けるトランジットルーターを選択します。
VPNゲートウェイ
IPsec-VPN接続に関連付けるVPNゲートウェイを選択します。
カスタマーゲートウェイ
IPsec-VPN接続に関連付けるカスタマーゲートウェイを選択します。
ルーティングモード
IPsec-VPN接続のルーティングモードを選択します。
宛先ルーティングモード (デフォルト): 宛先IPアドレスに基づいてトラフィックをルーティングおよび転送します。
保護されたデータフロー: 送信元および送信先のIPアドレスに基づいてトラフィックをルーティングおよび転送します。
保護されたデータフローを選択した後、ローカルネットワークとリモートネットワークを設定する必要があります。 IPsec-VPN接続を設定した後:
IPsec-VPN接続がVPNゲートウェイに関連付けられている場合、システムはVPNゲートウェイのルートテーブルにポリシーベースのルートを自動的に追加します。
ポリシーベースのルートは、デフォルトではアドバタイズされません。 要件に基づいて、VPCルートテーブルにルートをアドバタイズするかどうかを決定できます。 詳細については、「ポリシーベースのルートの広告」をご参照ください。
IPsec-VPN接続がトランジットルーターに関連付けられている場合、システムは自動的に宛先ベースのルートをIPsec-VPN接続のルートテーブルに追加します。 宛先ベースのルートは、関連するトランジットルータのルートテーブルに自動的に通知されます。
説明IPsec-VPN接続がVPNゲートウェイに関連付けられており、VPNゲートウェイが最新バージョンを使用していない場合は、ルーティングモードを指定する必要はありません。
ローカルネットワーク
VPC側でCIDRブロックを入力します。 CIDRブロックはフェーズ2ネゴシエーションで使用されます。
フィールドの横にあるをクリックして、VPC側に複数のCIDRブロックを追加します。
説明複数のCIDRブロックを指定する場合は、Internet Key Exchange (IKE) バージョンをikev2に設定する必要があります。
リモートネットワーク
データセンター側でCIDRブロックを入力します。 このCIDRブロックはフェーズ2ネゴシエーションで使用されます。
フィールドの横にあるをクリックして、データセンター側に複数のCIDRブロックを追加します。
説明複数のCIDRブロックを指定する場合は、IKEバージョンをikev2に設定する必要があります。
すぐに有効
IPsecネゴシエーションをすぐに開始するかどうかを指定します。
Yes: 設定完了後すぐにIPsecネゴシエーションを開始します。
No (デフォルト): インバウンドトラフィックが受信されるとIPsecネゴシエーションを開始します。
事前共有キー
データセンターとVPNゲートウェイまたはトランジットルーター間の認証に使用される事前共有キーを入力します。
キーの長さは1〜100文字である必要があり、数字、文字、および次の文字を含めることができます。
~ '! @ # $ % ^ & * ( ) _ - + = { } [ ] \ | ; : ' , . < > / ?
。事前共有キーを指定しない場合、システムは事前共有キーとしてランダムな16ビット文字列を生成します。 IPsec-VPN接続を作成した後、[編集] をクリックして、システムによって生成された事前共有キーを表示できます。 詳細については、「IPsec-VPN接続の変更」をご参照ください。
重要事前共有キーは、両側で同じでなければなりません。 そうしないと、システムはIPsec-VPN接続を確立できません。
高度な設定
パラメーター
説明
高度な設定: IKE設定
Version
IKEバージョンを選択します。
ikev1 (デフォルト)
ikev2
IKEv1と比較して、IKEv2はSAネゴシエーションを簡素化し、複数のCIDRブロックが使用されるシナリオに対してより良いサポートを提供します。 IKEv2の使用を推奨します。
交渉モード
交渉モードを選択します。
main (デフォルト): このモードは、交渉中に高いセキュリティを提供します。
積極的: このモードはより速い交渉をサポートし、より高い成功率を持ちます。
両方のモードでネゴシエートされた接続は、データ伝送のための同じレベルのセキュリティを保証する。
暗号化アルゴリズム
フェーズ1ネゴシエーションで使用される暗号化アルゴリズム。
サポートされているアルゴリズムは、aes (デフォルトでaes 128) 、aes192、aes256、des、3desです。
認証アルゴリズム
フェーズ1ネゴシエーションで使用する認証アルゴリズムを選択します。
サポートされているアルゴリズムは、sha1 (デフォルト) 、md5、sha256、sha384、およびsha512です。
DHグループ
フェーズ1ネゴシエーションで使用されるDiffie-Hellman (DH) キー交換アルゴリズムを選択します。
group1: DHグループ1
group2 (デフォルト): DHグループ2
group5: DHグループ5
group14: DHグループ14
SAライフサイクル (秒)
フェーズ1ネゴシエーションが成功した後のSAの有効期間を指定します。 単位は秒です。 デフォルト値: 86400 有効値: 0 ~ 86400
LocalId
Alibaba Cloud側のIPsec-VPN接続の識別子。 識別子はフェーズ1ネゴシエーションで使用されます。
IPsec-VPN接続がトランジットルーターに関連付けられている場合、デフォルト値はIPsec-VPN接続のゲートウェイIPアドレスです。
IPsec-VPN接続がVPNゲートウェイに関連付けられている場合、デフォルト値はVPNゲートウェイのIPアドレスです。
LocalIdを完全修飾ドメイン名 (FQDN) に設定できます。 この場合、ネゴシエーションモードをアグレッシブに設定することを推奨します。
RemoteId
データセンター側のIPsec-VPN接続の識別子を指定します。 識別子はフェーズ1ネゴシエーションで使用されます。 デフォルト値は、カスタマーゲートウェイのIPアドレスです。
RemoteIdをFQDNに設定できます。 この場合、ネゴシエーションモードをアグレッシブに設定することを推奨します。
詳細設定: IPsec設定
暗号化アルゴリズム
フェーズ2ネゴシエーションで使用する暗号化アルゴリズムを選択します。
サポートされているアルゴリズムは、aes (デフォルトでaes 128) 、aes192、aes256、des、3desです。
認証アルゴリズム
フェーズ2ネゴシエーションで使用する認証アルゴリズムを選択します。
サポートされているアルゴリズムは、sha1 (デフォルト) 、md5、sha256、sha384、およびsha512です。
DHグループ
フェーズ2ネゴシエーションで使用されるDH鍵交換アルゴリズム。
disabled: DHキー交換アルゴリズムを使用しません。
PFSをサポートしていないクライアントの場合は、[無効] を選択します。
無効以外の値を選択した場合、PFSはデフォルトで有効になります。 この場合、交渉ごとに鍵が更新される。 したがって、クライアントのPFSを有効にする必要があります。
group1: DHグループ1
group2 (デフォルト): DHグループ2
group5: DHグループ5
group14: DHグループ14
SAライフタイム (秒)
フェーズ2ネゴシエーションが成功した後のSAの有効期間を指定します。 単位は秒です。 デフォルト値: 86400 有効値: 0 ~ 86400
DPD
DPD機能を有効にするかどうかを指定します。 この機能はデフォルトで無効になっています。
4月、2019日、1月の間に作成されたVPN Gatewayの2023:
IPsec-VPN接続の作成時にIKEv1を使用する場合、DPDパケットのタイムアウト時間は30秒です。
IPsec-VPN接続の作成時にIKEv2を使用する場合、DPDパケットのタイムアウト時間は3,600秒です。
2月以降に作成されたVPN Gatewayの場合、2023:
IPsec-VPN接続の作成時にIKEv1を使用する場合、DPDパケットのタイムアウト時間は30秒です。
IPsec-VPN接続の作成時にIKEv2を使用する場合、DPDパケットのタイムアウト時間は130秒です。
NAT トラバーサル
NATトラバーサル機能を有効にするかどうかを指定します。 この機能はデフォルトで無効になっています。
BGP 設定
BGP動的ルーティングを使用する前に、その動作と制限について学習することをお勧めします。 詳細については、「VPN GatewayサポートBGP動的ルーティング」をご参照ください。
デフォルトでは、BGP機能は無効になっています。 BGP構成を追加する前に、BGP機能を有効にします。
パラメーター
説明
トンネル CIDR ブロック
IPsecトンネルのCIDRブロックを入力します。
CIDRブロックは169.254.0.0/16に収まる必要があります。 CIDRブロックのマスクは30ビット長でなければなりません。
ローカル BGP IP アドレス
Alibaba Cloud側のIPsec-VPN接続のBGP IPアドレスを入力します。
このIPアドレスは、IPsecトンネルのCIDRブロック内にあります。
ローカル ASN
Alibaba Cloud側のIPsec-VPN接続の自律システム番号 (ASN) を入力します。 デフォルト値: 45104 有効な値: 1 ~ 4294967295
説明プライベートASNを使用して、BGP経由でAlibaba Cloudとの接続を確立することを推奨します。 プライベートASNの有効範囲については、関連ドキュメントを参照してください。
ヘルスチェック
デフォルトでは、ヘルスチェック機能は無効になっています。 ヘルスチェック設定を追加する前に、ヘルスチェック機能を有効にします。
重要IPsec-VPN接続のヘルスチェックを有効にしたら、次のルートをデータセンターに追加します。宛先CIDRブロックは送信元 IP、サブネットマスクは32ビット、ネクストホップはIPsec-VPN接続です。 これにより、ヘルスチェックが期待どおりに実行されます。
パラメーター
説明
宛先 IP
VPCがIPsec-VPN接続を介して通信できるデータセンター側のIPアドレスを入力します。
説明宛先IPアドレスがICMP応答をサポートしていることを確認します。
送信元 IP
データセンターがIPsec-VPN接続を介して通信できるVPC側のIPアドレスを入力します。
再試行間隔
ヘルスチェックのリトライ间隔を选択します。 単位は秒です。 デフォルト値: 3
再試行回数
ヘルスチェックのリトライ回数を指定します。 デフォルト値: 3
ルートの切り替え
ヘルスチェックが失敗した後、システムがアドバタイズされたルートを撤回できるようにするかどうかを指定します。 デフォルト値は Yes です。 ヘルスチェックが失敗した後、システムは宣伝されたルートを撤回することができます。
[はい] をオフにすると、ヘルスチェックが失敗した後、システムは広告されたルートを撤回できません。
IPsec-VPN 接続設定のダウンロード
IPsec-VPN接続を作成した後、IPsec-VPN接続の構成ファイルをダウンロードして、オンプレミスゲートウェイデバイスに構成をロードできます。
VPN Gatewayコンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
- 上部のナビゲーションバーで、IPsec-VPN接続のリージョンを選択します。
[IPsec接続] ページで、作成したIPsec-VPN接続を見つけます。 [操作] 列で、 を選択します。
VPN 接続の構成 ダイアログボックスで、設定をコピーしてオンプレミスコンピューターに保存し、オンプレミスゲートウェイデバイスを設定します。
オンプレミスゲートウェイデバイスを設定する方法の詳細については、 オンプレミスデバイスの設定
IPsec-VPN接続の権限を別のAlibaba Cloudアカウントのトランジットルーターに付与する
IPsec-VPN接続を別のAlibaba Cloudアカウントのトランジットルーターに関連付けることができます。 ただし、IPsec-VPN接続を別のAlibaba CloudアカウントのVPNゲートウェイに関連付けることはできません。 IPsec-VPN接続を別のAlibaba Cloudアカウントのトランジットルーターに関連付ける前に、IPsec-VPN接続の権限をトランジットルーターに付与する必要があります。
権限を付与する前に、IPsec-VPN接続がリソースに関連付けられていないことを確認してください。
IPsec-VPN接続がすでにVPNゲートウェイに関連付けられている場合、IPsec-VPN接続を同じまたは別のAlibaba Cloudアカウントのトランジットルーターに関連付けることはできません。
IPsec-VPN接続が既にトランジットルーターに関連付けられている場合は、まずIPsec-VPN接続とトランジットルーターの関連付けを解除する必要があります。 詳細については、「ネットワークインスタンス接続の削除」をご参照ください。
VPN Gatewayコンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
- 上部のナビゲーションバーで、IPsec-VPN接続のリージョンを選択します。
[IPsec接続] ページで、IPsec-VPN接続を見つけ、そのIDをクリックします。
詳細ページで、[CENクロスアカウント権限付与] タブをクリックし、[クロスアカウント権限付与] をクリックします。
[CENにアタッチ] ダイアログボックスで、次のパラメーターを設定し、[OK] をクリックします。
パラメーター
説明
ピアアカウントUID
トランジットルーターが属するAlibaba CloudアカウントのIDを入力します。
ピアアカウントCEN ID
トランジットルーターが属するCENインスタンスのIDを入力します。
支払人
支払人を選択します。
CENインスタンス所有者 (デフォルト): IPsec-VPN接続がトランジットルーターに関連付けられた後、トランジットルーターの所有者は、トランジットルーターの接続料金とデータ処理料金を支払います。
VPN所有者: IPsec-VPN接続がトランジットルーターに関連付けられた後、IPsec-VPN接続の所有者は、トランジットルーターの接続料金とデータ処理料金を支払います。
重要注意して進めてください。 支払人を変更すると、サービスが中断される場合があります。 詳細については、「請求書を支払うアカウントの変更」をご参照ください。
IPsec-VPN接続がトランジットルーターに関連付けられた後、IPsec-VPN接続の所有者は、IPsec-VPN接続のインスタンス料金とデータ転送料金を支払います。
IPsec-VPN接続のIDとIPsec-VPN接続が属するAlibaba CloudアカウントのIDを記録することを推奨します。 これにより、VPN接続の作成が容易になります。 詳細については、「IPsec-VPN接続をトランジットルーターにアタッチする」をご参照ください。
アカウントIDは、 アカウントセンターページ。
IPsec-VPN 接続の変更
IPsec-VPN接続が既にトランジットルーターに関連付けられている場合、IPsec-VPN接続に関する次の情報 (関連付けられているトランジットルーター、ゾーン、またはゲートウェイの種類) を変更することはできません。 ただし、カスタマーゲートウェイ、ルーティングモード、事前共有キー、および詳細設定の情報を変更できます。
IPsec-VPN接続がすでにVPNゲートウェイに関連付けられている場合、関連付けられているVPNゲートウェイまたはカスタマーゲートウェイを変更することはできません。 ただし、ルーティングモード、事前共有キー、および詳細設定の情報を変更できます。
IPsec-VPN接続がリソースに関連付けられていない場合、関連付けられているカスタマーゲートウェイまたはゲートウェイタイプを変更することはできません。 ただし、ルーティングモード、事前共有キー、および詳細設定の情報を変更できます。
VPN Gatewayコンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
- 上部のナビゲーションバーで、IPsec-VPN接続のリージョンを選択します。
[IPsec接続] ページで、管理するIPsec-VPN接続を見つけ、[操作] 列の [編集] をクリックします。
[IPsec接続の変更] ページで、名前、詳細設定、およびCIDRブロックを変更し、[OK] をクリックします。
パラメーターの詳細については、「IPsec-VPN接続の作成」をご参照ください。
別のAlibaba Cloudアカウントのトランジットルーターに付与されたIPsec-VPN接続の権限を取り消す
IPsec-VPN接続を別のAlibaba Cloudアカウントのトランジットルーターに関連付ける必要がなくなった場合は、トランジットルーターに付与されたIPsec-VPN接続に対する権限を取り消すことができます。
IPsec-VPN接続が既にトランジットルーターに関連付けられている場合は、アクセス許可を取り消す前に、まずIPsec-VPN接続とトランジットルーターの関連付けを解除する必要があります。 詳細については、「ネットワークインスタンス接続の削除」をご参照ください。
VPN Gatewayコンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
- 上部のナビゲーションバーで、IPsec-VPN接続のリージョンを選択します。
[IPsec接続] ページで、IPsec-VPN接続を見つけ、そのIDをクリックします。
[CENクロスアカウント権限付与] タブで、権限付与レコードを見つけ、[操作] 列の [権限付与解除] をクリックします。
[承認解除] メッセージで情報を確認し、[OK] をクリックします。
IPSec-VPN 接続の削除
IPsec-VPN接続がトランジットルーターに関連付けられている場合は、IPsec-VPN接続を削除する前に、IPsec-VPN接続とトランジットルーターの関連付けを解除してください。 詳細については、「ネットワークインスタンス接続の削除」をご参照ください。
IPsec-VPN接続がVPNゲートウェイに関連付けられている場合は、IPsec-VPN接続を直接削除できます。
VPN Gatewayコンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
- 上部のナビゲーションバーで、IPsec-VPN接続のリージョンを選択します。
[IPsec接続] ページで、削除するIPsec-VPN接続を見つけ、[操作] 列の [削除] をクリックします。
表示されるメッセージで、情報を確認して [OK] をクリックします。