iOSを実行する携帯電話の組み込みVPN機能を使用して、IPsecサーバーとAlibaba Cloudの間にIPsec-VPN接続を確立できます。 このトピックでは、IPsecサーバーを作成、変更、および削除する方法について説明します。

始める前に

  • IPsecサーバーの制限と前提条件を理解しています。 詳細については、「制限事項」および「前提条件」をご参照ください。
  • VPNゲートウェイが作成され、VPNゲートウェイのSSL-VPN機能が有効になります。 詳細については、「VPNゲートウェイの作成と管理」をご参照ください。

IPsecサーバーの作成

  1. VPN Gatewayコンソールにログインします。
  2. 左側のナビゲーションウィンドウで、[相互接続] > [VPN] > [IPsec-VPN Server] を選択します。
  3. 上部のナビゲーションバーで、IPsecサーバーを作成するリージョンを選択します。
    IPsecサーバーをサポートするリージョン

    中国 (杭州) 、中国 (上海) 、中国 (南京) 、中国 (北京) 、中国 (張家口) 、中国 (広東) 、中国 (深セン) 、中国 (広東) 、中国 (広東) 、中国 (成都) 、中国 (香港) 、日本 (東京) 、韓国 (ソウル) 、シンガポール (シドニー) 、オーストラリア (クアラルンプール) 、インドネシア (ジャカルタ) 、フィリピン (マニラ) 、タイ (バンコク) 、インド (ムンバイ) 、ドイツ (フランクフルト) 、英国 (ロンドン) 、米国 (バージニア) 、米国 (シリコンバレー) 、アラブ首長国連邦 (ドバイ)

  4. [IPsec-VPN Server] ページで、[IPsec-VPN サーバーの作成] をクリックします。
  5. [IPsec-VPN サーバーの作成] ページで、次のパラメーターを設定し、[OK] をクリックします。
    項目説明
    NameIPsecサーバーの名前を入力します。
    VPNゲートウェイIPsecサーバーを関連付けるVPNゲートウェイを選択します。
    説明 IPsecサーバーを作成した後、関連付けられているVPNゲートウェイを変更することはできません。
    ローカルネットワーククライアントがIPsec-VPN接続経由でアクセスする必要があるCIDRブロックを入力します。

    CIDRブロックは、仮想プライベートクラウド (VPC) 、vSwitch、またはExpress Connect回路を介してVPCに接続されているデータセンターのCIDRブロックにすることができます。

    [ローカルネットワークの追加] をクリックして、CIDRブロックを追加します。

    クライアントサブネットクライアントの仮想ネットワークインターフェイスコントローラー (NIC) にIPアドレスを割り当てるCIDRブロックを入力します。 クライアントのプライベートCIDRブロックを入力しないでください。 クライアントがIPsec-VPN接続を介して宛先ネットワークにアクセスすると、VPNゲートウェイはクライアントCIDRブロックからクライアントにIPアドレスを割り当てます。
    重要
    • クライアントCIDRブロックが、ターゲットCIDRブロックまたはVPC内のvSwitchのCIDRブロックと重複しないようにします。
    • クライアントCIDRブロックが提供するIPアドレスの数が、VPNゲートウェイへのSSL-VPN接続の数の4倍以上であることを確認します。

      たとえば、クライアントCIDRブロックとして192.168.0.0/24を指定した場合、システムは最初にサブネットマスクが30のサブネットCIDRブロックを192.168.0.0/24から分割します。 この例では、最大4つのIPアドレスを提供する192.168.0.4/30をサブネットCIDRブロックとして使用します。 次に、システムは192.168.0.4/30からのIPアドレスをクライアントに割り当て、他の3つのIPアドレスを使用してネットワーク通信を保証します。 この場合、1つのクライアントが4つのIPアドレスを消費します。 したがって、クライアントCIDRブロックが提供するIPアドレスの数が、VPNゲートウェイへのSSL-VPN接続の数の4倍以上であることを確認してください。

    事前共有キーIPsecサーバの事前共有キーを入力します。 鍵は、IPsecサーバとクライアントとの間の認証に使用される。 キーの長さは1 ~ 100文字である必要があります。

    事前共有キーを指定しない場合、事前共有キーとして16文字の文字列がランダムに生成されます。 IPsecサーバーを作成した後、[編集] をクリックして、システムによって生成された事前共有キーを表示できます。 詳細については、「IPsecサーバーの変更」をご参照ください。

    重要 クライアントの認証キーは、IPsecサーバの事前共有キーと同じである必要があります。 そうしないと、クライアントとIPsecサーバー間の接続を確立できません。
    すぐに有効接続のネゴシエーションをすぐに開始するかどうかを指定します。
    • Yes: 設定完了後にネゴシエーションを開始します。
    • No: トラフィックが検出されるとネゴシエーションを開始します。
    高度な設定: IKE設定
    VersionIKEプロトコルのバージョンを選択します。
    • ikev1
    • ikev2

    IKEv1とIKEv2がサポートされています。 IKEv2は、IKEv1と比較して、ネゴシエーションプロセスを簡素化し、複数のサブネットが使用されるシナリオをサポートします。 IKEv2を選択することを推奨します。

    LocalIdIPsecサーバの識別子を入力します。 IPアドレスまたは完全修飾ドメイン名 (FQDN) 形式の値を入力できます。 デフォルト値は、VPN gatewayのパブリックIPアドレスです。
    RemoteIdクライアントの識別子を入力します。 IPアドレス、またはFQDN形式の値を入力することができます。このパラメーターはデフォルトで空となります。

IPsecサーバーの変更

  1. VPN Gatewayコンソールにログインします。
  2. 左側のナビゲーションウィンドウで、[相互接続] > [VPN] > [IPsec-VPN Server] を選択します。
  3. 上部のナビゲーションバーで、IPsec-VPNサーバーのリージョンを選択します。
  4. [IPsec-VPN サーバ] ページで、管理するIPsecサーバーを見つけ、[操作] 列の [編集] をクリックします。
  5. [IPsec-VPN サーバーの編集] ページで、IPsecサーバーの設定を変更し、[OK] をクリックします。
    パラメータについての詳細は、「IPsecサーバーの作成」をご参照ください。

IPsecサーバーの削除

IPsecサーバーを削除すると、IPsecサーバーは自動的にクライアントから切断されます。

  1. VPN Gatewayコンソールにログインします。
  2. 左側のナビゲーションウィンドウで、[相互接続] > [VPN] > [IPsec-VPN Server] を選択します。
  3. 上部のナビゲーションバーで、IPsec-VPNサーバーのリージョンを選択します。
  4. [IPsec-VPN サーバ] ページで、削除するIPsecサーバーを見つけ、[操作] 列の [削除] をクリックします。
  5. IPsec-VPN サーバーの削除 メッセージで、情報を確認して [OK] をクリックします。

参考資料