このトピックでは、iOS デバイスの内蔵 VPN ソフトウェアを使用して iOS デバイスを VPN ゲートウェイに接続する方法について説明します。これにより、モバイルクライアントは VPN ゲートウェイに関連付けられている Virtual Private Cloud (VPC) 内のリソースにアクセスできます。
前提条件
Alibaba Cloud アカウントが作成されていること。Alibaba Cloud アカウントをお持ちでない場合は、アカウントを作成してください。
iPhone を使用していること。
IPsec サーバをサポートするリージョンに VPC が作成されていること。詳細については、「IPv4 CIDR ブロックを持つ VPC の作成」をご参照ください。
説明現在、IPsec サーバをサポートしているのは、次のリージョンのみです: 中国 (杭州)、中国 (上海)、中国 (南京 - ローカルリージョン)、中国 (青島)、中国 (北京)、中国 (張家口)、中国 (フフホト)、中国 (ウランチャブ)、中国 (深圳)、中国 (河源)、中国 (広州)、中国 (成都)、中国 (香港)、日本 (東京)、韓国 (ソウル)、シンガポール、マレーシア (クアラルンプール)、インドネシア (ジャカルタ)、フィリピン (マニラ)、タイ (バンコク)、ドイツ (フランクフルト)、英国 (ロンドン)、米国 (バージニア)、米国 (シリコンバレー)、UAE (ドバイ)、メキシコ、サウジアラビア (リヤド - パートナーリージョン)。
内蔵 VPN ソフトウェアを使用して VPN ゲートウェイに接続できるのは iOS デバイスのみです。
シナリオ
ある企業が中国 (青島) リージョンに Elastic Compute Service (ECS) インスタンスを作成し、その ECS インスタンスにエンタープライズアプリケーションをデプロイしました。ビジネスの成長に伴い、出張中の従業員は iOS デバイスから Alibaba Cloud にデプロイされたエンタープライズアプリケーションにリモートアクセスする必要があります。
VPN ゲートウェイを作成し、そのゲートウェイ上に IPsec サーバを作成できます。これにより、従業員は iOS デバイスの内蔵 VPN ソフトウェアを使用して VPN ゲートウェイに接続できます。モバイルクライアントが VPN ゲートウェイに接続されると、従業員は Alibaba Cloud にデプロイされたエンタープライズアプリケーションにリモートアクセスできます。
手順
ステップ 1: VPN ゲートウェイの作成
VPN Gateway コンソールにログインします。
上部のナビゲーションバーで、VPN ゲートウェイに関連付ける VPC のリージョンを選択します。この例では、[China (Qingdao)] が選択されています。
[VPN ゲートウェイ] ページで、[VPN ゲートウェイの作成] をクリックします。
購入ページで次のパラメーターを設定し、[今すぐ購入] をクリックして支払いを完了します。
名前: VPN ゲートウェイの名前を入力します。
リージョン: VPN ゲートウェイをデプロイするリージョンを選択します。
この例では、[China (Qingdao)] が選択されています。
ゲートウェイタイプ: 作成する NAT ゲートウェイのタイプを選択します。この例では、標準 が選択されています。
ネットワークタイプ: VPN ゲートウェイのネットワークタイプを選択します。この例では、[パブリック] が選択されています。
トンネル: このリージョンでサポートされているトンネルモードが表示されます。
VPC: VPN ゲートウェイに関連付ける VPC を選択します。
VSwitch: VPC から vSwitch を選択します。
vSwitch 2: VPC から別の vSwitch を選択します。
シングルトンネルを選択した場合は、このパラメーターを無視してください。
最大帯域幅: VPN ゲートウェイの帯域幅を選択します。これは VPN ゲートウェイのパブリック帯域幅です。
この例では、[10 Mbit/s] が選択されています。
トラフィック: デフォルトでは、VPN ゲートウェイはトラフィック課金方式を使用します。詳細については、「課金の概要」をご参照ください。
IPsec-VPN: IPsec-VPN 機能を有効または無効にします。この機能を有効にすると、データセンターと VPC 間の接続を確立できます。この例では、[無効] が選択されています。
SSL-VPN: SSL-VPN 機能を有効または無効にします。SSL-VPN 機能を使用すると、どこからでもデバイスから VPC に接続できます。
モバイルデバイスの内蔵 VPN ソフトウェアを使用して VPN ゲートウェイとの接続を確立するには、SSL-VPN 機能を有効にする必要があります。この例では、[有効] が選択されています。
SSL 接続数: VPN ゲートウェイに同時に接続できるクライアントの最大数を選択します。
この例では、[5] が選択されています。
説明このパラメーターで指定された SSL-VPN 接続数には、SSL-VPN 接続と IPsec-VPN 接続の両方が含まれます。たとえば、SSL 接続の最大数を 5 に設定し、3 つの SSL クライアントが SSL-VPN 接続を介して接続されている場合、IPsec サーバには 2 つのモバイルクライアントしか接続できないことを示します。
期間: デフォルトでは、VPN ゲートウェイは時間単位で課金されます。
サービスリンクロール: [サービスリンクロールの作成] をクリックすると、システムは自動的にサービスリンクロール AliyunServiceRoleForVpn を作成します。VPN Gateway はこのロールを偽装して他のクラウドリソースにアクセスします。詳細については、「AliyunServiceRoleForVpn」をご参照ください。
[作成済み] と表示されている場合、サービスリンクロールは作成済みであり、再度作成する必要はありません。
VPN ゲートウェイページに戻り、作成した VPN ゲートウェイを表示します。
新しく作成された VPN ゲートウェイは 準備中 ステータスです。約 2 分後、ステータスは [アクティブ] に変わります。これは、VPN ゲートウェイが初期化され、使用準備が整ったことを示します。システムは VPN ゲートウェイにパブリック IP アドレスを割り当てます。この IP アドレスは、モバイルクライアントと VPN ゲートウェイ間の接続を確立するために使用されます。
説明既存の VPN ゲートウェイを使用する場合、最新バージョンに更新されていることを確認してください。既存の VPN ゲートウェイが最新バージョンでない場合、IPsec サーバは使用できません。
[アップグレード] ボタンを使用して、VPN ゲートウェイが最新バージョンであるかどうかを確認できます。VPN ゲートウェイが最新バージョンでない場合は、[アップグレード] ボタンをクリックしてアップグレードできます。 詳細については、「VPN ゲートウェイのアップグレード」をご参照ください。
ステップ 2: IPsec サーバの作成
VPN Gateway コンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
上部のメニューバーで、IPsec サーバのリージョンを選択します。
[IPsec-VPN サーバー] ページで、[IPsec-VPN サーバーの作成] をクリックします。
[IPsec-VPN サーバーの作成] ページで、次のパラメーターを設定します。
名前: IPsec サーバの名前を入力します。
VPN ゲートウェイ: モバイルデバイスの内蔵 VPN ソフトウェアを使用して接続する VPN ゲートウェイを選択します。
この例では、ステップ 1 で作成した VPN ゲートウェイが選択されています。
ローカルネットワーク: モバイルデバイスがアクセスする VPC の CIDR ブロックを入力します。
この例では、[192.168.0.0/16] が使用されます。
クライアント CIDR ブロック: IPsec-VPN 接続におけるモバイルクライアントのプライベート CIDR ブロックを入力します。
クライアントサブネットは、モバイルクライアントのプライベート CIDR ブロックではなく、モバイルクライアントの仮想ネットワークアダプタに割り当てられるプライベート CIDR ブロックです。モバイルクライアントが VPC にアクセスすると、VPN ゲートウェイは指定されたクライアントサブネットからクライアントに IP アドレスを割り当てます。
説明クライアントの CIDR ブロックは、VPC 内の vSwitch の CIDR ブロックと重複してはなりません。
この例では、[10.0.0.0/16] が使用されます。
事前共有鍵: 事前共有鍵は、IPsec サーバとモバイルクライアント間の ID 認証に使用されます。IPsec-VPN 接続は、両端が同じキーを持つ場合にのみ確立できます。キーを指定するか、システムがランダムに生成するデフォルトのキーを使用できます。
この例では、[123456] が使用されます。
すぐに有効化: すぐにネゴシエーションを開始するかどうかを選択します。
はい: 構成完了後にネゴシエーションを開始します。
いいえ: インバウンドトラフィックが検出されたときにネゴシエーションを開始します。
この例では、[はい] が選択されています。
詳細設定: この例ではデフォルト設定が使用されます。
説明内蔵 VPN ソフトウェアを使用して iOS デバイスを VPN ゲートウェイに接続するには、バージョンパラメーターを ikev2 に設定する必要があります。
[OK] をクリックします。
IPsec サーバが作成された後、[IPsec-VPN サーバー] ページで表示できます。
ステップ 3: モバイルデバイスの内蔵 VPN ソフトウェアを使用して VPN ゲートウェイに接続する
以下の操作では、iOS デバイスを内蔵 VPN ソフトウェアを使用して VPN ゲートウェイに接続する方法について説明します。この例では、デバイスは iOS 14 で動作しています。
iPhone で [設定] を開きます。
を選択します。
[構成を追加] ページで、次のパラメーターを設定します。
タイプ: VPN タイプを選択します。
この例では、[IKEv2] が選択されています。
説明: VPN の説明を入力します。
サーバ: モバイルクライアントを接続する VPN ゲートウェイのパブリック IP アドレスを入力します。
この例では、ステップ 1 の VPN ゲートウェイのパブリック IP アドレスが入力されています。
リモート ID: モバイルクライアントを接続する VPN ゲートウェイのパブリック IP アドレスを入力します。
この例では、ステップ 1 の VPN ゲートウェイのパブリック IP アドレスが入力されています。
ローカル ID: この例では、このパラメーターは設定されていません。
ユーザー認証: ユーザー認証タイプを選択します。
この例では、[なし] が選択されています。
証明書を使用: この例では、このパラメーターは無効になっています。
シークレット: シークレットは、IPsec サーバとモバイルクライアント間の ID 認証に使用されます。IPsec-VPN 接続は、両端が同じシークレットを使用する場合にのみ確立できます。
この例では、[123456] が使用されます。
[完了] をクリックします。
[VPN] ページで、VPN 構成を選択し、[状況] をオンにします。
ステータスが [接続済み] に変わると、IPsec-VPN 接続が確立されます。
ステップ 4: ネットワーク接続のテスト
次の手順を実行して、モバイルデバイスと VPC 間の接続性をテストします。
テストを実行する前に、ECS セキュリティグループルールがモバイルクライアントからのリクエストを許可していることを確認してください。詳細については、「セキュリティグループルールの表示」および「セキュリティグループルールの追加」をご参照ください。
モバイルデバイスでブラウザを開きます。
ブラウザのアドレスバーに ECS インスタンスのプライベート IP アドレスを入力します。
この例では、[192.168.0.196] が使用されます。
結果は、モバイルクライアントが VPC にデプロイされたリソースにアクセスできることを示しています。
