Amazon Virtual Private Cloud - ネットワーク管理者ガイド

Amazon Virtual Private Cloud
ネットワーク管理者ガイド
Amazon Virtual Private Cloud ネットワーク管理者ガイド
Amazon Virtual Private Cloud ネットワーク管理者ガイド
Amazon Virtual Private Cloud: ネットワーク管理者ガイド
Copyright © 2017 Amazon Web Services, Inc. and/or its affiliates. All rights reserved.
Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's, in any
manner that is likely to cause confusion among customers, or in any manner that disparages or discredits Amazon. All other
trademarks not owned by Amazon are the property of their respective owners, who may or may not be affiliated with, connected to,
or sponsored by Amazon.
Amazon Virtual Private Cloud ネットワーク管理者ガイド
Table of Contents
ようこそ ...................................................................................................................................... 1
カスタマーゲートウェイ ................................................................................................................ 2
担当 .................................................................................................................................... 2
カスタマーゲートウェイの概要 ............................................................................................... 2
必要な作業の概要 .................................................................................................................. 4
ネットワーク情報の確認 ........................................................................................................ 4
カスタマーゲートウェイ設定の 4 つの主要部分 ......................................................................... 5
AWS VPN CloudHub と冗長なカスタマーゲートウェイ .............................................................. 6
Amazon VPC への複数の VPN 接続の設定 ............................................................................... 6
Amazon でテスト済みのカスタマーゲートウェイデバイス .......................................................... 8
カスタマーゲートウェイの要件 ............................................................................................... 9
インターネットとカスタマーゲートウェイの間にファイアウォールがある場合 ............................. 11
例: BGP を使用した Check Point デバイス ..................................................................................... 14
カスタマーゲートウェイの概要 ............................................................................................. 14
設定ファイル ...................................................................................................................... 15
Check Point デバイスの設定 ................................................................................................. 16
ステップ 1: トンネルインターフェイスを設定する ........................................................... 16
ステップ 2: BGP を設定する ........................................................................................ 17
ステップ 3: ネットワークオブジェクトを作成する ........................................................... 18
ステップ 4: VPN コミュニティを作成し IKE と IPsec を設定する ....................................... 19
ステップ 5: ファイアウォールを設定する ........................................................................ 20
(オプション) ステップ 6: Dead Peer Detection および TCP MSS クランプを有効にする ......... 21
カスタマーゲートウェイ設定をテストする方法 ........................................................................ 21
例: Check Point デバイス (BGP なし) ............................................................................................ 24
カスタマーゲートウェイの概要 ............................................................................................. 24
設定ファイル ...................................................................................................................... 25
Check Point デバイスの設定 ................................................................................................. 26
ステップ 1: トンネルインターフェイスを設定する ........................................................... 26
ステップ 2: 静的ルートを設定する ................................................................................. 28
ステップ 3: ネットワークオブジェクトを作成する ........................................................... 29
ステップ 4: VPN コミュニティを作成し IKE と IPsec を設定する ....................................... 30
ステップ 5: ファイアウォールを設定する ........................................................................ 32
(オプション) ステップ 6: Dead Peer Detection および TCP MSS クランプを有効にする ......... 33
カスタマーゲートウェイ設定をテストする方法 ........................................................................ 33
例: Cisco ASA デバイス ............................................................................................................... 36
カスタマーゲートウェイの概要 ............................................................................................. 36
設定例 ............................................................................................................................... 37
カスタマーゲートウェイ設定をテストする方法 ........................................................................ 42
例: Cisco IOS デバイス ................................................................................................................ 44
カスタマーゲートウェイの概要 ............................................................................................. 45
カスタマーゲートウェイの詳細と設定例 ................................................................................. 46
カスタマーゲートウェイ設定をテストする方法 ........................................................................ 53
例: Cisco IOS デバイス (BGP なし) ............................................................................................... 55
カスタマーゲートウェイの概要 ............................................................................................. 55
カスタマーゲートウェイの詳細と設定例 ................................................................................. 56
カスタマーゲートウェイ設定をテストする方法 ........................................................................ 63
例: Dell SonicWALL デバイス ....................................................................................................... 65
カスタマーゲートウェイの概要 ............................................................................................. 65
構成ファイルの例 ................................................................................................................ 66
管理インターフェイスを使用して SonicWALL デバイスを設定する ............................................. 70
カスタマーゲートウェイ設定をテストする方法 ........................................................................ 71
例: Dell SonicWALL デバイス (BGP なし) ....................................................................................... 73
カスタマーゲートウェイの概要 ............................................................................................. 73
構成ファイルの例 ................................................................................................................ 74
管理インターフェイスを使用して SonicWALL デバイスを設定する ............................................. 78
iv
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイ設定をテストする方法 ........................................................................ 79
例: Fortinet Fortigate デバイス ...................................................................................................... 81
カスタマーゲートウェイの概要 ............................................................................................. 82
カスタマーゲートウェイの詳細と設定例 ................................................................................. 82
カスタマーゲートウェイ設定をテストする方法 ........................................................................ 91
例: Juniper J-Series JunOS デバイス ............................................................................................. 93
カスタマーゲートウェイの概要 ............................................................................................. 94
カスタマーゲートウェイの詳細と設定例 ................................................................................. 95
カスタマーゲートウェイ設定をテストする方法 ...................................................................... 102
例: Juniper SRX JunOS デバイス ................................................................................................ 105
カスタマーゲートウェイの概要 ............................................................................................ 106
カスタマーゲートウェイの詳細と設定例 ............................................................................... 107
カスタマーゲートウェイ設定をテストする方法 ...................................................................... 114
例: Juniper ScreenOS デバイス ................................................................................................... 117
カスタマーゲートウェイの概要 ............................................................................................ 118
カスタマーゲートウェイの詳細と設定例 ............................................................................... 119
カスタマーゲートウェイ設定をテストする方法 ...................................................................... 125
例: パロアルトネットワークスのデバイス ...................................................................................... 127
カスタマーゲートウェイの概要 ............................................................................................ 128
カスタマーゲートウェイの詳細と設定例 ............................................................................... 128
カスタマーゲートウェイ設定をテストする方法 ...................................................................... 135
例: Yamaha 製デバイス .............................................................................................................. 138
カスタマーゲートウェイの概要 ............................................................................................ 139
カスタマーゲートウェイの詳細と設定例 ............................................................................... 139
カスタマーゲートウェイ設定をテストする方法 ...................................................................... 146
例: BGP を使用した一般的なカスタマーゲートウェイ ..................................................................... 148
カスタマーゲートウェイの概要 ............................................................................................ 149
カスタマーゲートウェイの詳細と設定例 ............................................................................... 149
カスタマーゲートウェイ設定をテストする方法 ...................................................................... 154
例: 一般的なカスタマーゲートウェイ (BGP なし) ........................................................................... 156
カスタマーゲートウェイの概要 ............................................................................................ 157
カスタマーゲートウェイの詳細と設定例 ............................................................................... 157
カスタマーゲートウェイ設定をテストする方法 ...................................................................... 162
トラブルシューティング ............................................................................................................. 164
Cisco ASA カスタマーゲートウェイの接続 ............................................................................ 164
IKE .......................................................................................................................... 165
IPsec ....................................................................................................................... 165
ルーティング ............................................................................................................ 167
Cisco IOS カスタマーゲートウェイの接続 ............................................................................. 167
IKE .......................................................................................................................... 167
IPsec ....................................................................................................................... 168
トンネル .................................................................................................................. 170
BGP ........................................................................................................................ 171
仮想プライベートゲートウェイのアタッチ .................................................................... 172
Cisco IOS カスタマーゲートウェイの接続 (BGP なし) ............................................................ 172
IKE .......................................................................................................................... 172
IPsec ....................................................................................................................... 173
トンネル .................................................................................................................. 175
仮想プライベートゲートウェイのアタッチ .................................................................... 176
Juniper JunOS カスタマーゲートウェイの接続 ...................................................................... 176
IKE .......................................................................................................................... 177
IPsec ....................................................................................................................... 177
トンネル .................................................................................................................. 177
BGP ........................................................................................................................ 178
仮想プライベートゲートウェイのアタッチ .................................................................... 179
Juniper ScreenOS カスタマーゲートウェイの接続 ................................................................. 180
IKE と IPsec ............................................................................................................. 180
トンネル .................................................................................................................. 180
v
Amazon Virtual Private Cloud ネットワーク管理者ガイド
BGP ........................................................................................................................ 181
仮想プライベートゲートウェイのアタッチ .................................................................... 182
Yamaha 製カスタマーゲートウェイの接続 ............................................................................ 183
IKE .......................................................................................................................... 183
IPsec ....................................................................................................................... 183
トンネル .................................................................................................................. 184
BGP ........................................................................................................................ 185
仮想プライベートゲートウェイのアタッチ .................................................................... 185
一般的なデバイスのカスタマーゲートウェイの接続 ................................................................ 186
一般的なデバイスのカスタマーゲートウェイ接続 (BGP なし) ................................................... 189
Windows Server 2008 R2 のカスタマーゲートウェイとしての設定 ................................................... 192
前提条件 .......................................................................................................................... 192
Windows Server の設定 .............................................................................................. 192
VPC の VPN コンポーネントの設定 ............................................................................. 193
ステップ 1: VPN 接続を作成する ........................................................................................ 194
ステップ 2: VPN 接続の設定ファイルをダウンロードする ....................................................... 194
ステップ 3: Windows Server を設定する ............................................................................... 196
ステップ 4: VPN トンネルを設定する ................................................................................... 198
オプション 1: netsh スクリプトを実行する ................................................................... 198
オプション 2: Windows Server ユーザーインターフェイスを使用する ............................... 198
ステップ 5: 停止しているゲートウェイを検出する .................................................................. 206
ステップ 6: VPN 接続をテストする ...................................................................................... 207
Windows Server 2012 R2 のカスタマーゲートウェイとしての設定 ................................................... 209
前提条件 .......................................................................................................................... 209
Windows Server の設定 .............................................................................................. 209
VPC の VPN コンポーネントの設定 ............................................................................. 210
ステップ 1: VPN 接続を作成する ........................................................................................ 211
ステップ 2: VPN 接続の設定ファイルをダウンロードする ....................................................... 211
ステップ 3: Windows Server を設定する ............................................................................... 213
ステップ 4: VPN トンネルを設定する ................................................................................... 215
オプション 1: netsh スクリプトを実行する ................................................................... 215
オプション 2: Windows Server ユーザーインターフェイスを使用する ............................... 215
2.4: Windows ファイアウォールを設定する ................................................................... 219
ステップ 5: 停止しているゲートウェイを検出する .................................................................. 221
ステップ 6: VPN 接続をテストする ...................................................................................... 222
ドキュメント履歴 ...................................................................................................................... 224
vi
Amazon Virtual Private Cloud ネットワーク管理者ガイド
ようこそ
「Amazon Virtual Private Cloud ネットワーク管理者ガイド」へようこそ。このガイドは、Virtual
Private Cloud (VPC) で IPsec ハードウェア VPN を使用する予定のお客様向けに作成されています。
このガイドのトピックは、VPN 接続のユーザー側のデバイスであるカスタマーゲートウェイを設定す
る場合に役立ちます。
VPN 接続を使用すると、VPC と IT インフラストラクチャをつなぐことができ、VPC の EC2 インス
タンスに対して (インフラストラクチャ内で動作しているインスタンスと同じように) 既存のセキュリ
ティおよび管理ポリシーを拡張することができます。
詳細については、次のトピックを参照してください。
• カスタマーゲートウェイ (p. 2)
• 例: ボーダーゲートウェイプロトコルを使用した Check Point デバイス (p. 14)
• 例: ボーダーゲートウェイプロトコルを使用しない Check Point デバイス (p. 24)
• 例: Cisco ASA デバイス (p. 36)
• 例: Cisco IOS デバイス (p. 44)
• 例: ボーダーゲートウェイプロトコルを使用しない Cisco IOS デバイス (p. 55)
• 例: ボーダーゲートウェイプロトコルを使用しない Dell SonicWALL SonicOS デバイス (p. 73)
• 例: Dell SonicWALL デバイス (p. 65)
• 例: Juniper J-Series JunOS デバイス (p. 93)
• 例: Juniper SRX JunOS デバイス (p. 105)
• 例: Juniper ScreenOS デバイス (p. 117)
• 例: パロアルトネットワークスのデバイス (p. 127)
• 例: Yamaha 製デバイス (p. 138)
• 例: ボーダーゲートウェイプロトコルを使用した一般的なカスタマーゲートウェイ (p. 148)
• 例: ボーダーゲートウェイプロトコルを使用しない一般的なカスタマーゲートウェイ (p. 156)
• Windows Server 2008 R2 のカスタマーゲートウェイとしての設定 (p. 192)
• Windows Server 2012 R2 のカスタマーゲートウェイとしての設定 (p. 209)
1
Amazon Virtual Private Cloud ネットワーク管理者ガイド
担当
カスタマーゲートウェイ
トピック
• 担当 (p. 2)
• カスタマーゲートウェイの概要 (p. 2)
• 必要な作業の概要 (p. 4)
• ネットワーク情報の確認 (p. 4)
• カスタマーゲートウェイ設定の 4 つの主要部分 (p. 5)
• AWS VPN CloudHub と冗長なカスタマーゲートウェイ (p. 6)
• Amazon VPC への複数の VPN 接続の設定 (p. 6)
• Amazon でテスト済みのカスタマーゲートウェイデバイス (p. 8)
• カスタマーゲートウェイの要件 (p. 9)
• インターネットとカスタマーゲートウェイの間にファイアウォールがある場合 (p. 11)
担当
このガイドでは、会社の "統合チーム" について言及しています。これは、社内でインフラストラク
チャを Amazon VPC と統合するための作業を行う人 (人たち) のことです。このチームには、このガ
イドの読者だけが含まれている場合もあれば、含まれていない場合もあり、会社がネットワークエ
ンジニアリングのリソースをどのように割り当てるかによって異なります。知っておく必要があるの
は、社内のだれかが AWS マネジメントコンソールを使用してカスタマーゲートウェイの設定に必要
な情報を取得する必要があり、だれかが実際にカスタマーゲートウェイを設定する必要があるという
ことです。会社が各タスクのために個別のチームを持っている場合があるかもしれません (AWS マ
ネジメントコンソールを使用する統合チームと、ネットワークデバイスにアクセスでき、カスタマー
ゲートウェイを設定する、別のネットワークエンジニアリンググループ)。または、1 人で両方のタス
クを実行したり、まったく違うしくみになっていたりするかもしれません。このガイドでは、読者が
ネットワークエンジニアリンググループの一員であり、会社の統合チームから情報を受け取って、カ
スタマーゲートウェイデバイスを設定できる人物であると想定しています。
カスタマーゲートウェイの概要
会社が、データセンター (またはネットワーク) を Amazon VPC 仮想プライベートクラウド (VPC) に
リンクする、オプションの Amazon VPC VPN 接続の使用を決定しました。カスタマーゲートウェ
イは、その接続の作業者側のアンカーです。物理的アプライアンスにすることも、ソフトウェア的ア
2
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイの概要
プライアンスにすることもできます。VPN 接続の AWS 側のアンカーは、仮想プライベートゲート
ウェイと呼ばれます。
次の図は、ネットワーク、カスタマーゲートウェイ、仮想プライベートゲートウェイへの VPN 接続、
および VPC を示しています。カスタマーゲートウェイと仮想プライベートゲートウェイの間には、2
つの線があります。VPN 接続は、2 つのトンネルで構成されているためです。この設計を選択したの
は、Amazon VPC サービスの可用性を高めるためです。AWS でデバイス障害が発生した場合、VPN
接続は自動的に 2 番目のトンネルにフェールオーバーして、アクセスが中断されないようにします。
カスタマーゲートウェイを設定するときは、両方のトンネルを設定することが重要です。
カスタマーゲートウェイの外部インターフェイスのアドレスは、静的アドレスである必要がありま
す。カスタマーゲートウェイは、ネットワークアドレス変換 (NAT) を実行するデバイスの背後に存在
する可能性があります。NAT トラバーサル (NAT-T) を正しく機能させるには、UDP ポート 4500 のブ
ロックを解除するようにファイアウォールのルールを調整する必要があります。同じカスタマーゲー
トウェイデバイスを使用して、他の VPC に追加の VPN 接続を作成できます。それらの VPN 接続ご
とに同じカスタマーゲートウェイ IP アドレスを再利用できます。
AWS はときどき、仮想プライベートゲートウェイに対して定期的にメンテナンスを実行します。この
メンテナンスによって VPN の 2 つのトンネルのうち 1 つが短時間無効になることがあります。この
3
Amazon Virtual Private Cloud ネットワーク管理者ガイド
必要な作業の概要
メンテナンスの実行中、VPN 接続は自動的に 2 番目のトンネルにフェイルオーバーします。サービス
が中断されないようにするために、両方のトンネルを設定することが重要です。
VPN 接続を作成すると、VPN 接続のユーザー側からトラフィックが生成されると VPN トンネルが開
始されます。仮想プライベートゲートウェイはイニシエータではないため、カスタマーゲートウェイ
がトンネルを開始する必要があります。
VPN 接続の要件の詳細については、Amazon VPC ユーザーガイド の「VPN 接続に必要なもの」を参
照してください。
カスタマーゲートウェイが使用できなくなった場合に接続が失われるのを防ぐために、2 つ目の VPN
接続をセットアップできます。詳細については、「フェイルオーバーを提供するための冗長な VPN 接
続の使用」を参照してください。
必要な作業の概要
VPN 接続をセットアップする全体的なプロセスについては、Amazon VPC ユーザーガイド の「VPC
へのハードウェア仮想プライベートゲートウェイの追加」で説明されています。プロセスのタスクの
1 つに、カスタマーゲートウェイの設定があります。次の表は、カスタマーゲートウェイを設定する
ために必要な操作をまとめたものです。
カスタマーゲートウェイの設定のプロセス
1
カスタマーゲートウェイとして動作するアプライアンスを指定します (詳細については、
「Amazon でテスト済みのカスタマーゲートウェイデバイス (p. 8)」および「カスタマー
ゲートウェイの要件 (p. 9)」を参照)。
2
カスタマーゲートウェイに関する以下の情報を確認します。
• ベンダー (たとえば Cisco Systems)、プラットフォーム (たとえば ISR シリーズルー
ター)、およびソフトウェアバージョン (たとえば IOS 12.4)
• カスタマーゲートウェイのデバイスインターフェイスのインターネットルーティングが可
能な IP アドレス
ここでは、カスタマーゲートウェイの BGP ASN が 65000 であることを前提としていましま
す。
3
統合チームに上記の情報を提供します。統合チームは VPN 接続を作成して、カスタマーゲー
トウェイの設定に必要な情報を取得します。
4
統合チームから設定情報を取得します。
5
統合チームから受け取った設定情報を使用して、カスタマーゲートウェイを設定します。
6
カスタマーゲートウェイの設定が終了したら、統合チームに通知します。
ネットワーク情報の確認
統合チームのための最初のタスクは、次の表の一連の情報を確認することです。このテーブルには、
一部の項目のサンプル値が含まれています。サンプル値を使用することも、実際の値を確認すること
もできます。他のすべての項目については、実際の値を取得する必要があります。
4
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイ設定の 4 つの主要部分
Tip
表を印刷して、使用する予定の値を右端の列に書き込むことができます。
項目
用途
コメント
VPC CIDR ブロック
カスタマーゲートウェ
イの設定で使用されま
す。
例: 10.0.0.0/16
サブネット #1 CIDR ブ
ロック (VPC の CIDR
ブロックと同じにする
ことができます)
例: 10.0.1.0/24
(オプション) サブネッ
ト #2 CIDR ブロック
例: 10.0.2.0/24
値
(オプション) サブネッ
ト #N CIDR ブロック
カスタマーゲート
ウェイのタイプ
(たとえば、Cisco
ISR、Juniper JSeries、Juniper SSG)
カスタマーゲートウェ
イを設定するために使
用する情報が返される
ときの形式を指定する
ために、API 呼び出し
で使用されます
カスタマーゲートウェ
イの外部インターフェ
イスの、インターネッ
トでルーティング可能
な IP アドレス
カスタマーゲー
値は静的である必要が
トウェイの設定
あります。
で使用されます
(YOUR_UPLINK_ADDRESS
と呼ばれます)
(オプション) カスタ
マーゲートウェイの
ボーダーゲートウェイ
プロトコル (BGP) の自
律システム番号 (ASN)
カスタマーゲートウェ
イの設定で BGP を
使用するデバイスの
ために使用されます
(YOUR_BGP_ASN と
呼ばれます)
ネットワークに割り
当てられている既存
の ASN を使用でき
ます。既存の ASN が
ない場合は、プライ
ベート ASN (64512
から 65534 までの
範囲) を使用できま
す。ASN の詳細につ
いては、Wikipedia の
記事を参照してくださ
い。
カスタマーゲートウェイとインターネットの間にファイアウォールがある場合は、「インターネット
とカスタマーゲートウェイの間にファイアウォールがある場合 (p. 11)」を参照してください。
カスタマーゲートウェイ設定の 4 つの主要部分
カスタマーゲートウェイの設定には、4 つの主要部分があります。このガイドでは、必要な操作がわ
かりやすくなるように、各部分に対して特別な記号を使用します。次の表は、4 つの部分と、対応す
る記号を示しています。
5
Amazon Virtual Private Cloud ネットワーク管理者ガイド
AWS VPN CloudHub と冗長なカスタマーゲートウェイ
IKE Security Association (IPsec Security Association を確立するために使用されるキー
の交換に必要です)
IPsec Security Association (トンネルの暗号化、認証などを処理します)
トンネルインターフェイス (トンネルを行き来するトラフィックを受け取ります)
オプション BGP を使用するデバイスの BGP ピア (カスタマーゲートウェイと仮想プライベート
ゲートウェイ間でルートを交換します)
AWS VPN CloudHub と冗長なカスタマーゲート
ウェイ
複数のカスタマーゲートウェイから単一の仮想プライベートゲートウェイに対して複数の VPN 接続を
確立できます。この設定は、さまざまな方法で使用できます。データセンターと VPC 間に冗長なカス
タマーゲートウェイを設置したり、AWS VPN CloudHub に接続される複数の場所を持ったりすること
ができます。
冗長なカスタマーゲートウェイがある場合、各カスタマーゲートウェイは仮想プライベートゲート
ウェイに同じプレフィックス (たとえば、0.0.0.0/0) をアドバタイズします。ゲートウェイはアクティ
ブ/アクティブモードで使用されますが、1 つのカスタマーゲートウェイが失敗すると、仮想プライ
ベートゲートウェイは動作しているカスタマーゲートウェイにすべてのトラフィックを送信します。
AWS VPN CloudHub 設定を使用する場合、複数のサイトは VPC にアクセスするか、シンプルなハブ
アンドスポークモデルを使用して互いに安全にアクセスします。仮想プライベートゲートウェイにサ
イト固有のプレフィックス (10.0.0.0/24、10.0.1.0/24 など) をアドバタイズするように、各カスタマー
ゲートウェイを設定します。仮想プライベートゲートウェイは適切なサイトにトラフィックをルー
ティングし、1 つのサイトから他のすべてのサイトへの接続性をアドバタイズします。
AWS VPN CloudHub を設定するには、Amazon VPC コンソールを使用して、複数のカスタマーゲー
トウェイを作成します。このそれぞれに、ゲートウェイのパブリック IP アドレスがあります。それぞ
れのゲートウェイに対して同じボーダーゲートウェイプロトコル (BGP) 自律システム番号 (ASN) を使
用できます。希望に応じて、それぞれに固有の ASN を使用することもできます。その後、各カスタ
マーゲートウェイから一般 VPN ゲートウェイへの VPN 接続を作成します。以下の手順に従って、仮
想プライベートゲートウェイに接続するように各カスタマーゲートウェイを設定します。
VPC のインスタンスが仮想プライベートゲートウェイ (次いで、カスタマーゲートウェイ) に接続で
きるようにするには、VPC ルーティングテーブルでルートを設定する必要があります。詳細な手順に
ついては、「Amazon VPC ユーザーガイド」を参照してください。AWS VPN CloudHub では、VPC
ルーティングテーブルで集約ルート (たとえば、10.0.0.0/16) を設定したり、カスタマーゲートウェ
イと仮想プライベートゲートウェイ間でより具体的なプレフィックスを使用したりすることができま
す。
Amazon VPC への複数の VPN 接続の設定
VPC 用に最大で 10 個の VPN 接続を作成できます。複数のリモートオフィスを同じ VPC にリンクす
るために、複数の VPN 接続を使用できます。例えば、ロサンゼルス、シカゴ、ニューヨーク、および
6
Amazon Virtual Private Cloud ネットワーク管理者ガイド
Amazon VPC への複数の VPN 接続の設定
マイアミにオフィスがある場合は、それぞれのオフィスを VPC に接続することができます。また、1
つの場所からの冗長なカスタマーゲートウェイを確立するためにも、複数の VPN 接続を使用できま
す。
Note
10 個を超える VPN 接続が必要な場合は、Amazon VPC 制限の引き上げをリクエストす
るフォームに入力して、制限の引き上げをリクエストします。
複数の VPN 接続を作成すると、仮想プライベートゲートウェイは静的に割り当てられたルートを使
用するか、BGP ルートアドバタイズメントを使用して、適切な VPN 接続にネットワークトラフィッ
クを送信します。どちらを使用するかは、VPN 接続がどのように設定されているかによって決まりま
す。仮想プライベートゲートウェイに同一のルートが存在している場合は、BGP でアドバタイズされ
るルートよりも、静的に割り当てられたルートの方が適しています。
複数の地理的ロケーションにカスタマーゲートウェイがある場合、各カスタマーゲートウェイは、ロ
ケーションに固有の一意な IP 範囲のセットをアドバタイズする必要があります。1 つの場所に冗長な
カスタマーゲートウェイを確立した場合は、両方のゲートウェイが同じ IP 範囲をアドバタイズする必
要があります。
仮想プライベートゲートウェイは、すべてのカスタマーゲートウェイからルーティング情報を受け取
り、BGP の最良パス選択アルゴリズムを使用して望ましいパスのセットを計算します。このアルゴリ
ズムのルールは、VPC に適用される場合、次のようになります。
1. 最も具体的な IP プレフィックスが優先されます (たとえば、10.0.0.0/24 は 10.0.0.0/16 よりも優先
されます) . 詳細については、Amazon VPC ユーザーガイド の「ルーティングの優先度」を参照し
てください。
2. プレフィックスが同じである場合は、静的に設定された VPN 接続があれば、それが優先されま
す。各 VPN 接続が BGP を使用しているプレフィックスのマッチングでは、AS PATH が比較さ
れ、最短の AS PATH を持っているプレフィックスが優先されます。また、パスの優先度が低くな
るように、AS_PATH を前に追加できます。
3. AS PATH の長さが同じ場合は、パスのオリジンが比較されます。不明なオリジンのプレフィッ
クスよりも Exterior Gateway Protocol (EGP) オリジンのプレフィックスが優先され、それよりも
Interior Gateway Protocol (IGP) オリジンのプレフィックスが優先されます。
次の図は、複数の VPN の設定を示しています。
7
Amazon Virtual Private Cloud ネットワーク管理者ガイド
Amazon でテスト済みのカスタマーゲートウェイデバイス
Amazon でテスト済みのカスタマーゲートウェイ
デバイス
カスタマーゲートウェイは、物理アプライアンスにすることも、ソフトウェアアプライアンスにする
こともできます。
当社でテスト済みのルーターの詳細については、Amazon VPC のよくある質問で「Amazon VPC で機
能することが知られているカスタマーゲートウェイデバイスにはどのようなものがありますか?」を参
照してください。
このガイドでは、以下のデバイスの設定方法に関する情報を提供します。
• Check Point Security Gateway (R77.10 以降のソフトウェアを実行)
• Cisco ASA (Cisco ASA 8.2 以降のソフトウェアを実行)
• Cisco IOS (Cisco IOS 12.4 以降のソフトウェアを実行)
• Dell SonicWALL (SonicOS 5.9 (またはそれ以降) のソフトウェアを搭載)
• Fortinet Fortigate 40+ シリーズ (FortiOS 4.0 以降のソフトウェアを実行)
• Juniper J-Series (JunOS 9.5 以降のソフトウェアを実行)
• Juniper SRX (JunOS 11.0 (またはそれ以降) のソフトウェアを搭載)
• ScreenOS 6.1 もしくは 6.2 (またはそれ以降) を実行する Juniper SSG
• ScreenOS 6.1 もしくは 6.2 (またはそれ以降) を実行する Juniper ISG
8
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイの要件
• Palo Alto Networks PANOS 4.1.2 (またはそれ以降) ソフトウェア
• Yamaha RT107e、RTX1200、RTX1500、RTX3000、および SRT100 ルーター
• Microsoft Windows Server 2008 R2 以降のソフトウェア
• Microsoft Windows Server 2012 R2 以降のソフトウェア
これらのデバイスのいずれかを持っているものの、このガイドで示されているのとは異なる方法で
IPsec 用に設定されている場合は、自分の特定のニーズに合わせて推奨設定を自由に変更してかまい
ません。
カスタマーゲートウェイの要件
上記のテスト済みデバイスの一覧にないデバイスを持っている場合のために、このセクションで
は、Amazon VPC とともに使用するためのデバイスの要件について説明します。次の表は、カスタ
マーゲートウェイが準拠する必要がある要件、関連する RFC (参照用)、および要件に関するコメント
の一覧です。デバイスがテスト済みの Cisco または Juniper デバイスのいずれかでない場合の設定情
報の例については、「例: ボーダーゲートウェイプロトコルを使用した一般的なカスタマーゲートウェ
イ (p. 148)」を参照してください。
以下の要件のコンテキストを提供するために、各 VPN 接続が 2 つの個別のトンネルで構成されて
いると想定します。各トンネルには、IKE Security Association、IPsec Security Association、および
BGP ピアが含まれています。トンネルごとに 1 つの一意の Security Association (SA) ペア (受信用に
1 つと送信用に 1 つ) に制限されるため、2 つのトンネルで合計 2 つの一意の SA ペア (4 つの SA) に
なります。一部のデバイスは、ポリシーベースの VPN を使用して、ACL エントリと同数の SA を作
成します。そのため、ルールを統合し、不要なトラフィックを許可しないようにフィルタリングする
必要があります。
VPN トンネルは、VPN 接続のユーザー側からトラフィックが生成されると開始されます。AWS エン
ドポイントはイニシエータではありません。カスタマーゲートウェイがトンネルを開始する必要があ
ります。
要件
RFC
コメント
Pre-shared キーを使用し
て、IKE セキュリティ接
続を確立する
RFC 2409
最初に、事前共有キーを認証コードとして使用して、仮
想プライベートゲートウェイとカスタマーゲートウェイ
間に IKE Security Association が確立されます。確立後、
今後の IKE メッセージを保護するために一時キーのネゴ
シエーションを行います。IKE Security Association を適
切に確立するには、暗号化や認証のパラメータなどのパ
ラメータ間で、完全な一致が必要です。
トンネルモードで、IPsec
セキュリティ接続を確立
する
RFC 4301
IKE の一時キーを使用すると、IPsec Security
Association (SA) を形成するために、仮想プライベート
ゲートウェイとカスタマーゲートウェイ間でキーが確立
されます。この SA を使用して、ゲートウェイ間のトラ
フィックの暗号化および暗号化の解除を行います。IPsec
SA 内のトラフィックの暗号化に使用される一時キー
は、通信の機密性を確保するために、定期的なローテー
ションで IKE によって自動的に変更されます。
AES 128 ビット暗号化ま
たは AES 256 ビットの暗
号化機能を使用する
RFC 3602
この暗号化関数は、IKE と IPsec の両方の SA でプライ
バシーを確保するために使用されます。
SHA-1 または SHA-256 の RFC 2404
ハッシュ機能を使用する
このハッシュ関数は、IKE と IPsec の両方の SA を認証
するために使用されます。
9
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイの要件
要件
RFC
Diffie-Hellman Perfect
RFC 2409
Forward Secrecy を使用し
ます。以下のグループが
サポートされます。
コメント
IKE は、カスタマーゲートウェイと VPN ゲートウェイ間
のすべての通信を保護するために、Diffie-Hellman を使用
して一時キーを確立します。
• フェーズ 1 グ
ループ: 2、14~
18、22、23、24
• フェーズ 2 グルー
プ: 1、2、5、14~
18、22、23、24
IPsec Dead Peer
Detection の利用
RFC 3706
Dead Peer Detection を使用すると、VPN デバイスは、
インターネットを通じたパケットの配信がネットワー
ク状態によって妨げられている場合をすばやく特定でき
ます。このような状況になったとき、ゲートウェイは
Security Associations を削除し、新しい関連付けを作成
しようとします。このプロセス中、可能であれば、代わ
りの IPsec トンネルが利用されます。
トンネルを論理インター
フェイスに結合する (経路
ベースのVPN
)
なし
ゲートウェイは、論理インターフェイスに IPsec トンネ
ルを結合する能力をサポートする必要があります。論理
インターフェイスには、仮想プライベートゲートウェイ
への BGP ピアを確立するために使用される IP アドレス
が含まれています。この論理インターフェイスは、追加
のカプセル化 (たとえば、GRE、IP in IP) を行ってはい
けません。インターフェイスは、1399 バイトの最大送信
単位 (MTU) に設定する必要があります。
暗号化前に IP パケットを
フラグメント化する
RFC 4459
パケットが送信するには大きすぎる場合は、フラグメン
ト化する必要があります。フラグメント化されて暗号
化されたパケットは、再アセンブルされません。した
がって、VPN デバイスは、VPN ヘッダーでカプセル化
する前にパケットをフラグメント化する必要がありま
す。フラグメントはリモートホストに個別に送信され、
そこで再アセンブルされます。フラグメント化の詳細に
ついては、IP フラグメント化についての Wikipedia の記
事を参照してください。
(オプション) BGP ピアを
確立する
RFC 4271
BGP は、BGP を使用するデバイスのカスタマーゲート
ウェイと仮想プライベートゲートウェイ間でルートを交
換するために使用されます。すべての BGP トラフィッ
クは、IPsec Security Association を通じて暗号化され、
送信されます。BGP は、両方のゲートウェイで、IPsec
SA を通じてアクセス可能な IP プレフィックスを交換す
るために必要です。
IPsec トンネルを介して送信できるデータ量に関連する問題を最小限にするために、次の表で挙げら
れている手法を使用することをお勧めします。接続はパケットを追加のネットワークヘッダー (IPsec
を含む) でカプセル化するため、1 つのパケットで送信できるデータの量は減少します。
手法
RFC
コメント
VPN トンネルに入る TCP
パケットの最大セグメン
トサイズを調整する
RFC 4459
多くの場合、TCP パケットは IPsec トンネルを通過する
最も一般的なパケットの種類です。一部のゲートウェイ
では、TCP Maximum Segment Size パラメータを変更
10
Amazon Virtual Private Cloud ネットワーク管理者ガイド
インターネットとカスタマーゲートウェ
イの間にファイアウォールがある場合
手法
RFC
コメント
できます。これにより、TCP エンドポイント (クライア
ント、サーバー) は、各パケットで送信されるデータの
量を減らします。VPN デバイスに届くパケットが小さく
なってカプセル化および送信が可能になるため、これは
最適な方法です。
パケットの "フラグメント
化しない" フラグをリセッ
トする
RFC 791
一部のパケットには、フラグメント化しない (DF) と呼
ばれるフラグがあり、パケットがフラグメント化され
ないように指示することができます。パケットにフラグ
が設定されていれば、ゲートウェイは ICMP Path MTU
Exceeded メッセージを生成します。場合によっては、
これらの ICMP メッセージを処理したり、各パケット
で送信されるデータの量を減らしたりするための適切な
しくみがアプリケーションに備わっていません。一部の
VPN デバイスでは、必要に応じて DF フラグをオーバー
ライドし、無条件でパケットをフラグメント化できま
す。カスタマーゲートウェイにこの機能がある場合は、
必要に応じてこの機能を使用することをお勧めします。
インターネットとカスタマーゲートウェイの間に
ファイアウォールがある場合
このサービスを使用するには、カスタマーゲートウェイを仮想プライベートゲートウェイに接続する
IPsec トンネルのエンドポイントとして使用するための、インターネットでルーティングが可能な IP
アドレスが必要です。ファイアウォールがインターネットとゲートウェイの間にある場合、IPsec ト
ンネルを確立するには、次の表のルールに従う必要があります。仮想プライベートゲートウェイアド
レスは、統合チームから受け取る設定情報の中にあります。
インバウンド (インターネットから)
入力ルール I1
送信元 IP
仮想プライベートゲートウェイ 1
送信先 IP
カスタマーゲートウェイ
プロトコル
UDP
ソースポート
500
送信先
500
入力ルール I2
送信元 IP
仮想プライベートゲートウェイ 2
送信先 IP
カスタマーゲートウェイ
プロトコル
UDP
ソースポート
500
発信先 ポート
500
入力ルール I3
11
Amazon Virtual Private Cloud ネットワーク管理者ガイド
インターネットとカスタマーゲートウェ
イの間にファイアウォールがある場合
送信元 IP
仮想プライベートゲートウェイ 1
送信先 IP
カスタマーゲートウェイ
プロトコル
IP 50 (ESP)
入力ルール I4
送信元 IP
仮想プライベートゲートウェイ 2
送信先 IP
カスタマーゲートウェイ
プロトコル
IP 50 (ESP)
アウトバウンド (インターネットへ)
出力ルール O1
送信元 IP
カスタマーゲートウェイ
送信先 IP
仮想プライベートゲートウェイ 1
プロトコル
UDP
ソースポート
500
発信先 ポート
500
出力ルール O2
送信元 IP
カスタマーゲートウェイ
送信先 IP
仮想プライベートゲートウェイ 2
プロトコル
UDP
ソースポート
500
発信先 ポート
500
出力ルール O3
送信元 IP
カスタマーゲートウェイ
送信先 IP
仮想プライベートゲートウェイ 1
プロトコル
IP 50 (ESP)
出力ルール O4
送信元 IP
カスタマーゲートウェイ
送信先 IP
仮想プライベートゲートウェイ 2
プロトコル
IP 50 (ESP)
ルール I1、I2、O1、および O2 は、IKE パケットの送信を有効にします。ルール I3、I4、O3、および
O4 は、暗号化されたネットワークトラフィックを含む IPsec パケットの送信を有効にします。
12
Amazon Virtual Private Cloud ネットワーク管理者ガイド
インターネットとカスタマーゲートウェ
イの間にファイアウォールがある場合
デバイスで NAT トラバーサル (NAT-T) を使用している場合、ポート 4500 経由で UDP アクセスを許
可するルールを含める必要があります。デバイスが NAT-T をアドバタイズしているかどうかを確認し
ます。
13
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイの概要
例: ボーダーゲートウェイプロトコ
ルを使用した Check Point デバイス
このセクションには、カスタマーゲートウェイが R77.10 以上を実行し Gaia オペレーティングシステ
ムを使用する Check Point Security Gateway デバイスである場合に、統合チームから提供される設定
情報例が掲載されています。
トピック
• カスタマーゲートウェイの概要 (p. 14)
• 設定ファイル (p. 15)
• Check Point デバイスの設定 (p. 16)
• カスタマーゲートウェイ設定をテストする方法 (p. 21)
カスタマーゲートウェイの概要
次の図は、カスタマーゲートウェイの全般的な説明を示しています。VPN 接続が 2 つの個別のトンネ
ルで構成されている点に注意してください。冗長なトンネルを使用することで、デバイス障害の発生
時にも可用性を継続的に維持できます。
14
Amazon Virtual Private Cloud ネットワーク管理者ガイド
設定ファイル
設定ファイル
VPN デバイスの各トンネル、および IKE と IPsec の設定に必要な値を含む設定ファイルが統合チー
ムから提供されます。設定ファイルには、デバイスを設定するための Gaia ウェブポータルおよび
Check Point SmartDashboard の使用方法が含まれています。次のセクションで同じステップを説明し
ます。
設定ファイルから抽出した例を次に示します。ファイルには 2 つのセクションがあります。IPSec
Tunnel #1 と IPSec Tunnel #2 です。各トンネルを設定するには、各セクションで提供される値
を使用する必要があります。
! Amazon Web Services
! Virtual Private Cloud
!
!
!
!
!
!
!
!
!
!
!
!
!
AWS uses unique identifiers to manipulate the configuration of
a VPN connection. Each VPN connection is assigned an identifier and is
associated with two other identifiers, namely the
customer gateway identifier and virtual private gateway identifier.
Your VPN connection ID
: vpn-12345678
Your virtual private gateway ID : vgw-12345678
Your customer gateway ID
: cgw-12345678
This configuration consists of two tunnels. Both tunnels must be
configured on your customer gateway.
15
Amazon Virtual Private Cloud ネットワーク管理者ガイド
Check Point デバイスの設定
!
-------------------------------------------------------------------------------! IPSec Tunnel #1
!
-------------------------------------------------------------------------------! #1: Tunnel Interface Configuration
...
!
-------------------------------------------------------------------------------!
-------------------------------------------------------------------------------! IPSec Tunnel #2
!
-------------------------------------------------------------------------------! #1: Tunnel Interface Configuration
...
Check Point デバイスの設定
次の手順で、VPN 接続の VPN トンネル、ネットワークオブジェクト、およびセキュリティを設定す
る方法を示します。手順内の例の値は設定ファイルで提供される値に置き換えてください。
Note
詳細については、Check Point Support Center の Amazon Web Services (AWS) VPN BGP の
記事を参照してください。
トピック
• ステップ 1: トンネルインターフェイスを設定する (p. 16)
• ステップ 2: BGP を設定する (p. 17)
• ステップ 3: ネットワークオブジェクトを作成する (p. 18)
• ステップ 4: VPN コミュニティを作成し IKE と IPsec を設定する (p. 19)
• ステップ 5: ファイアウォールを設定する (p. 20)
• (オプション) ステップ 6: Dead Peer Detection および TCP MSS クランプを有効にする (p. 21)
ステップ 1: トンネルインターフェイスを設定する
最初のステップは、VPN トンネルを作成し、各トンネル用のカスタマーゲートウェイと仮想プライ
ベートゲートウェイのプライベート (内部) IP アドレスを提供することです。最初のトンネルには、
設定ファイルの IPSec Tunnel #1 セクションで提供される情報を使用します。2 番目のトンネルに
は、設定ファイルの IPSec Tunnel #2 セクションで提供される値を使用します。
トンネルインターフェイスを設定するには
1.
SSH でセキュリティゲートウェイに接続します。デフォルト以外のシェルを使用している場合
は、次のコマンドを実行して、clish に変更します。clish
2.
次のコマンドを使用して、カスタマーゲートウェイ ASN (AWS にカスタマーゲートウェイが作成
されたときに提供された ASN) を設定します。
16
Amazon Virtual Private Cloud ネットワーク管理者ガイド
ステップ 2: BGP を設定する
set as 65000
3.
設定ファイルの IPSec Tunnel #1 セクションで提供されている情報を使用して、最初のトンネ
ル用のトンネルインターフェイスを作成します。AWS_VPC_Tunnel_1 など、トンネルに一意の
名前をつけます。
add vpn tunnel 1 type numbered local 169.254.44.234 remote 169.254.44.233
peer AWS_VPC_Tunnel_1
set interface vpnt1 state on
set interface vpnt1 mtu 1436
4.
2 番目のトンネルを作成するには、設定ファイルの IPSec Tunnel #2 セクションで提供されて
いる情報を使用して、コマンドを繰り返します。AWS_VPC_Tunnel_2 など、トンネルに一意の
名前をつけます。
add vpn tunnel 1 type numbered local 169.254.44.38 remote 169.254.44.37
peer AWS_VPC_Tunnel_2
set interface vpnt2 state on
set interface vpnt2 mtu 1436
5.
仮想プライベートゲートウェイ ASN を設定します。
set bgp external remote-as 7224 on
6.
最初のトンネルの BGP を、設定ファイルの IPSec Tunnel #1 セクションで提供される情報を
使用して設定します。
set bgp external remote-as 7224 peer 169.254.44.233 on
set bgp external remote-as 7224 peer 169.254.44.233 holdtime 30
set bgp external remote-as 7224 peer 169.254.44.233 keepalive 10
7.
2 番目のトンネルの BGP を、設定ファイルの IPSec Tunnel #2 セクションで提供される情報
を使用して設定します。
set bgp external remote-as 7224 peer 169.254.44.37 on
set bgp external remote-as 7224 peer 169.254.44.37 holdtime 30
set bgp external remote-as 7224 peer 169.254.44.37 keepalive 10
8.
設定を保存します。
save config
ステップ 2: BGP を設定する
このステップでは、AWS によってアドバタイズされているルートのインポートを許可する BGP ポリ
シーを作成し、その後カスタマーゲートウェイを設定してローカルルートを AWS にアドバタイズし
ます。
BGP ポリシーを作成するには
1.
Gaia WebUI で、[Advanced Routing]、[Inbound Route Filters] を選択します。[Add] を選択し、
[Add BGP Policy (Based on AS)] を選択します。
17
Amazon Virtual Private Cloud ネットワーク管理者ガイド
ステップ 3: ネットワークオブジェクトを作成する
2.
[Add BGP Policy] の最初のフィールドで 512 から 1024 までの範囲の値を選択し、2 番目の
フィールドに仮想プライベートゲートウェイ ASN (例: 7224) を入力します。
3.
[Save] を選択します。
次のステップは、ローカルインターフェイスルートを分散するためのものです。また、静的ルーティ
ングや、動的ルーティングプロトコルによって得られたルーティングなど、さまざまなソースからの
ルートを再分散できます。詳細については、「Gaia Advanced Routing R77 Versions Administration
Guide」を参照してください。
ローカルルートをアドバタイズするには
1.
Gaia WebUI で、[Advanced Routing]、[Routing Redistribution] の順に選択します。[Add
Redistribution From]、[Interface] の順に選択します。
2.
[To Protocol] で、仮想プライベートゲートウェイ ASN; (例: 7224) を選択します。
3.
[Interface] では内部インターフェイスを選択します。[Save] を選択します。
ステップ 3: ネットワークオブジェクトを作成する
このステップでは、仮想プライベートゲートウェイのパブリック (外部) IP アドレスを指定することで
各 VPN トンネル用のネットワークオブジェクトを作成します。後で、VPN コミュニティのサテライ
トゲートウェイとしてこれらのオブジェクトを追加します。また、VPN ドメインのプレースホルダー
として機能する空グループを作成する必要があります。
新しいネットワークオブジェクトを定義するには
1.
Check Point SmartDashboard を開きます。
2.
[Groups] では、コンテキストメニューを開き、[Groups]、[Simple Group] の順に選択します。各
ネットワークオブジェクトに対して同じグループを使用できます。
3.
[Network Objects] では、コンテキストメニュー (右クリック) を開き、[New]、[Interoperable
Device] の順に選択します。
4.
[Name] には、ステップ 1 でトンネル用に指定した名前 (例: AWS_VPC_Tunnel_1 または
AWS_VPC_Tunnel_2) を入力します。
5.
[IPv4 Address] には、設定ファイルで提供される仮想プライベートゲートウェイの外部 IP アドレ
ス (例: 54.84.169.196) を入力します。設定を保存して、このダイアログボックスを閉じます。
18
Amazon Virtual Private Cloud ネットワーク管理者ガイド
ステップ 4: VPN コミュニティを
作成し IKE と IPsec を設定する
6.
左のカテゴリーペインで、[Topology] を選択します。
7.
[VPN Domain] セクションで、[Manually defined] を選択し、ステップ 2 で作成した空のシンプル
なグループを参照して選択します。[OK] を選択します。
8.
2 番目のネットワークオブジェクトを作成するには、設定ファイルの IPSec Tunnel #2 セク
ション内の情報を使用して、ステップを繰り返します。
9.
ゲートウェイネットワークオブジェクトに移動してゲートウェイまたはクラスターオブジェクト
を開き、[Topology] を選択します。
10. [VPN Domain] セクションで、[Manually defined] を選択し、ステップ 2 で作成した空のシンプル
なグループを参照して選択します。[OK] を選択します。
Note
設定ずみの既存の VPN ドメインは保持できますが、特に VPN ドメインが自動的に取得
されている場合は、新しい VPN 接続で使用または供給されているドメインとホストがそ
の VPN ドメインで宣言されていないことを確認してください。
Note
クラスターを使用している場合は、トポロジーを編集してインターフェイスをクラスターイ
ンターフェイスとして定義します。設定ファイルに指定された IP アドレスを使用します。
ステップ 4: VPN コミュニティを作成し IKE と
IPsec を設定する
このステップでは、Check Point ゲートウェイに VPN コミュニティを作成し、そこに各トンネルの
ネットワークオブジェクト (相互運用デバイス) を追加します。また、Internet Key Exchange (IKE) お
よび IPsec を設定します。
VPN コミュニティ、IKE、および IPsec 設定の作成と設定
1.
ゲートウェイのプロパティから、カテゴリーペインの [IPSec VPN] を選択します。
2.
[Communities]、[New]、[Star Community] の順に選択します。
3.
コミュニティの名前 (例: AWS_VPN_Star) を指定し、カテゴリーペインの [Center Gateways] を選
択します。
4.
[Add] を選択して、ゲートウェイまたはクラスターを参加ゲートウェイのリストに追加します。
5.
カテゴリーペインで、[Satellite Gateways]、[Add] の順に選択し、先に作成した相互運用デバイス
(AWS_VPC_Tunnel_1 および AWS_VPC_Tunnel_2) を参加ゲートウェイのリストに追加します。
6.
カテゴリーペインで、[Encryption] を選択します。[Encryption Method] セクションで、[IKEv1 for
IPv4 and IKEv2 for IPv6] を選択します。[Encryption Suite] セクションで、[Custom]、[Custom
Encryption] の順に選択します。
7.
ダイアログボックスで次のように暗号化プロパティを設定し、完了したら [OK] を選択します。
• IKE Security Association (フェーズ 1) のプロパティ
• Perform key exchange encryption with: AES-128
• Perform data integrity with: SHA1
• IPsec Security Association (フェーズ 2) のプロパティ
• Perform IPsec data encryption with: AES-128
• Perform data integrity with: SHA-1
8.
カテゴリーペインで [Tunnel Management] を選択します。[Set Permanent Tunnels]、[On all
tunnels in the community] の順に選択します。[VPN Tunnel Sharing] セクションで、[One VPN
tunnel per subnet pair] を選択します。
19
Amazon Virtual Private Cloud ネットワーク管理者ガイド
ステップ 5: ファイアウォールを設定する
9.
カテゴリーペインで [Advanced Settings] を展開し、[Shared Secret] を選択します。
10. 最初のトンネルのピア名を選択し、[Edit] を選択して、設定ファイルの IPSec Tunnel #1 セク
ションで指定されている事前共有キーを入力します。
11. 2 番目のトンネルのピア名を選択し、[Edit] を選択して、設定ファイルの IPSec Tunnel #2 セ
クションで指定されている事前共有キーを入力します。
12. さらに [Advanced Settings] カテゴリーで [Advanced VPN Properties] を選択し、プロパティを次
のように設定して、完了したら [OK] を選択します。
• IKE (フェーズ 1):
• Use Diffie-Hellman group: Group 2 (1024 bit)
• Renegotiate IKE security associations every 480 minutes
• IPsec (フェーズ 2):
• [Use Perfect Forward Secrecy] を選択します。
• Use Diffie-Hellman group: Group 2 (1024 bit)
• Renegotiate IPsec security associations every 3600 seconds
ステップ 5: ファイアウォールを設定する
このステップでは、ファイアウォールルールとディレクショナルマッチルールを使用し、VPC とロー
カルネットワーク間での通信を許可するポリシーを設定します。その後、ゲートウェイにポリシーを
インストールします。
20
Amazon Virtual Private Cloud ネットワーク管理者ガイド
(オプション) ステップ 6: Dead Peer Detection
および TCP MSS クランプを有効にする
ファイアウォールルールを作成するには
1.
2.
SmartDashboard で、ゲートウェイの [Global Properties] を選択します。カテゴリーペインで
[VPN] を展開し、[Advanced] を選択します。
[Enable VPN Directional Match in VPN Column] を選択し、[OK] を選択します。
3.
SmartDashboard で [Firewall] を選択し、次のルールでポリシーを作成します。
• VPC サブネットに対して必須プロトコル経由でのローカルネットワークとの通信を許可する。
4.
5.
• ローカルネットワークに対して必須プロトコル経由での VPC サブネットとの通信を許可する。
VPN 列のセルのコンテキストメニューを開いて、[Edit Cell] を選択します。
[VPN Match Conditions] ダイアログボックスで、[Match traffic in this direction only] を選択しま
す。それぞれで [Add] を選択してディレクショナルマッチルールを作成し、完了したら [OK] を選
択します。
• internal_clear > VPN コミュニティ (先に作成した VPN スターコミュニティ。例:
AWS_VPN_Star)
• VPN コミュニティ > VPN コミュニティ
• VPN コミュニティ > internal_clear
6.
SmartDashboard で、[Policy]、[Install] の順に選択します。
7.
ダイアログボックスでゲートウェイを選択し、[OK] を選択してポリシーをインストールします。
(オプション) ステップ 6: Dead Peer Detection およ
び TCP MSS クランプを有効にする
Check Point ゲートウェイでは、IKE の関連付けが停止したときに Dead Peer Detection (DPD) を使用
して識別できます。
DPD を有効にするには、エキスパートモードのコマンドラインインターフェイスから次を実行しま
す。
ckp_regedit -a SOFTWARE/CheckPoint/VPN1 forceSendDPDPayload -n 1
DPD を無効にするには、次のコマンドを使用します。
ckp_regedit -d SOFTWARE/CheckPoint/VPN1 forceSendDPDPayload
TCP MSS クランプは TCP パケットの最大セグメントサイズを小さくしてパケット断片化を防ぎま
す。
TCP MSS クランプを有効にするには
1.
2.
次のディレクトリに移動します。C:\Program Files (x86)\CheckPoint\SmartConsole
\R77.10\PROGRAM\
GuiDBEdit.exe ファイルを実行して Check Point Database Tool を開きます。
3.
4.
[Table]、[Global Properties]、[properties] の順に選択します。
fw_clamp_tcp_mss で、[Edit] を選択します。値を true に変更し、[OK] を選択します。
カスタマーゲートウェイ設定をテストする方法
各トンネルに対して、ゲートウェイ設定をテストすることができます。
21
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイ設定をテストする方法
各トンネルのカスタマーゲートウェイ設定をテストするには
1.
カスタマーゲートウェイで、BGP ステータスが Active であるかどうかを確認します。
BGP ピアがアクティブになるまでに約 30 秒かかります。
2.
カスタマーゲートウェイが仮想プライベートゲートウェイへのルートをアドバタイズしているこ
とを確認します。このルートは、デフォルトルート (0.0.0.0/0) の場合と、任意で特定したルー
トの場合があります。
正しく設定されている場合、BGP ピアは、VPC 統合チームが VPC 用に指定したプレフィックス (た
とえば、10.0.0.0/24) に対応する仮想プライベートゲートウェイから 1 つのルートを受け取りま
す。BGP ピアが確立された場合は、プレフィックスを受け取り、プレフィックスをアドバタイズし
て、トンネルが正しく設定されます。両方のトンネルがこの状態であることを確認します。
次に、VPC でインスタンスを起動し、ホームネットワークからインスタンスへの ping を実行して、
各トンネルの接続をテストする必要があります。開始する前に、以下を確認してください。
• ping リクエストに応答する AMI を使用します。Amazon Linux AMI のいずれかを使用することをお
勧めします。
• インスタンスのセキュリティグループとネットワーク ACL を設定し、インバウンド ICMP トラ
フィックを有効にします。
• VPN 接続用のルーティングを設定していることを確認します。サブネットのルートテーブルに仮想
プライベートゲートウェイへのルートが含まれている必要があります。詳細については、Amazon
VPC ユーザーガイド の「ルートテーブルでルート伝達を有効にする」を参照してください。
各トンネルのエンドツーエンド接続をテストするには
1.
VPC で Amazon Linux AMI の 1 つのインスタンスを起動します。Amazon EC2 コンソールからイ
ンスタンスを起動すると、起動ウィザードのリストに Amazon Linux AMI が表示されます。詳細
については、「Amazon VPC 入門ガイド」を参照してください。
2.
インスタンスが実行中になった後、そのプライベート IP アドレス (例えば 10.0.0.4) を取得し
ます。 コンソールにインスタンスの詳細の一部としてアドレスが表示されます。
3.
ホームネットワークのシステムで、インスタンスの IP アドレスに対して ping コマンドを実行し
ます。ping を実行するコンピューターがカスタマーゲートウェイの背後にないことを確認しま
す。正常なレスポンスは次のようになります。
PROMPT> ping 10.0.0.4
Pinging 10.0.0.4 with 32 bytes of data:
Reply from 10.0.0.4: bytes=32 time<1ms TTL=128
Reply from 10.0.0.4: bytes=32 time<1ms TTL=128
Reply from 10.0.0.4: bytes=32 time<1ms TTL=128
Ping statistics for 10.0.0.4:
Packets: Sent = 3, Received = 3, Lost = 0 (0% loss),
Approximate round trip times in milliseconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
Note
カスタマーゲートウェイルーターからインスタンスへの ping を実行する場合は、ping
メッセージの送信元がトンネル IP アドレスではなく内部 IP アドレスになるようにして
ください。一部の AMI は、トンネル IP アドレスからの ping メッセージに応答しませ
ん。
22
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイ設定をテストする方法
4.
(オプション) トンネル フェイルオーバーをテストするため、カスタマーゲートウェイのトンネル
の 1 つを一時的に無効化し、上記の手順を繰り返すことができます。VPN 接続の AWS 側のトン
ネルを無効化することはできません。
Check Point のゲートウェイ側でエキスパートモードのコマンドラインツールから次のコマンドを実
行して、トンネルの状態を確認できます。
vpn tunnelutil
表示されたオプションで、IKE 関連付けを検証するには 1 を、IPsec 関連付けを検証するには 2 を選
択します。
また、Check Point Smart Tracker Log を使用して、接続内のパケットが暗号化されていることを検証
できます。たとえば次のログは、VPC へのパケットがトンネル 1 経由で送信され、暗号化されている
ことを示します。
23
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイの概要
例: ボーダーゲートウェイプロトコ
ルを使用しない Check Point デバイ
ス
このセクションには、カスタマーゲートウェイが R77.10 以上を実行し Gaia オペレーティングシステ
ムを使用する Check Point Security Gateway デバイスである場合に、統合チームから提供される設定
情報例が掲載されています。
トピック
• カスタマーゲートウェイの概要 (p. 24)
• 設定ファイル (p. 25)
• Check Point デバイスの設定 (p. 26)
• カスタマーゲートウェイ設定をテストする方法 (p. 33)
カスタマーゲートウェイの概要
次の図は、カスタマーゲートウェイの全般的な説明を示しています。VPN 接続が 2 つの個別のトンネ
ルで構成されている点に注意してください。冗長なトンネルを使用することで、デバイス障害の発生
時にも可用性を継続的に維持できます。
24
Amazon Virtual Private Cloud ネットワーク管理者ガイド
設定ファイル
設定ファイル
VPN デバイスの各トンネル、および IKE と IPsec の設定に必要な値を含む設定ファイルが統合チー
ムから提供されます。設定ファイルには、デバイスを設定するための Gaia ウェブポータルおよび
Check Point SmartDashboard の使用方法が含まれています。次のセクションで同じステップを説明し
ます。
設定ファイルから抽出した例を次に示します。ファイルには 2 つのセクションがあります。IPSec
Tunnel #1 と IPSec Tunnel #2 です。各トンネルを設定するには、各セクションで提供される値
を使用する必要があります。
! Amazon Web Services
! Virtual Private Cloud
!
!
!
!
!
!
!
!
!
!
AWS uses unique identifiers to manipulate the configuration of
a VPN connection. Each VPN connection is assigned an identifier and is
associated with two other identifiers, namely the
customer gateway identifier and virtual private gateway identifier.
Your VPN connection ID
: vpn-12345678
Your virtual private gateway ID : vgw-12345678
Your customer gateway ID
: cgw-12345678
25
Amazon Virtual Private Cloud ネットワーク管理者ガイド
Check Point デバイスの設定
! This configuration consists of two tunnels. Both tunnels must be
! configured on your customer gateway.
!
!
-------------------------------------------------------------------------------! IPSec Tunnel #1
!
-------------------------------------------------------------------------------! #1: Tunnel Interface Configuration
...
!
-------------------------------------------------------------------------------!
-------------------------------------------------------------------------------! IPSec Tunnel #2
!
-------------------------------------------------------------------------------! #1: Tunnel Interface Configuration
...
Check Point デバイスの設定
次の手順で、VPN 接続の VPN トンネル、ネットワークオブジェクト、およびセキュリティを設定す
る方法を示します。手順内の例の値は設定ファイルで提供される値に置き換えてください。
Note
詳細については、Check Point Support Center の Check Point Security Gateway IPsec VPN to
Amazon Web Services VPC の記事を参照してください。
トピック
• ステップ 1: トンネルインターフェイスを設定する (p. 26)
• ステップ 2: 静的ルートを設定する (p. 28)
• ステップ 3: ネットワークオブジェクトを作成する (p. 29)
• ステップ 4: VPN コミュニティを作成し IKE と IPsec を設定する (p. 30)
• ステップ 5: ファイアウォールを設定する (p. 32)
• (オプション) ステップ 6: Dead Peer Detection および TCP MSS クランプを有効にする (p. 33)
ステップ 1: トンネルインターフェイスを設定する
最初のステップは、VPN トンネルを作成し、各トンネル用のカスタマーゲートウェイと仮想プライ
ベートゲートウェイのプライベート (内部) IP アドレスを提供することです。最初のトンネルを作成
するには、設定ファイルの IPSec Tunnel #1 セクションで提供される情報を使用します。2 番目の
トンネルを作成するには、設定ファイルの IPSec Tunnel #2 セクションで提供される値を使用しま
す。
トンネルインターフェイスを設定するには
1.
Check Point Security Gateway デバイスの Gaia ポータルを開きます。
26
Amazon Virtual Private Cloud ネットワーク管理者ガイド
ステップ 1: トンネルインターフェイスを設定する
2.
[Network Interfaces]、[Add]、[VPN tunnel] の順に選択します。
3.
ダイアログボックスで次のように設定し、完了したら [OK] を選択します。
• [VPN Tunnel ID] には、1 など一意の値を入力します。
• [Peer] には、AWS_VPC_Tunnel_1 または AWS_VPC_Tunnel_2 など、トンネル用の一意の名前
を入力します。
• [Numbered] が選択されていることを確認して、[Local Address] に設定ファイルの CGW
Tunnel IP で指定されている IP アドレス (例: 169.254.44.234) を入力します。
• [Remote Address] には、設定ファイルの VGW Tunnel IP に指定された IP アドレス (例:
169.254.44.233) を入力します。
4.
SSH でセキュリティゲートウェイに接続します。デフォルト以外のシェルを使用している場合
は、次のコマンドを実行して、clish に変更します。clish
5.
トンネル 1 の場合は、次のコマンドを実行します。
set interface vpnt1 mtu 1436
トンネル 2 の場合は、次のコマンドを実行します。
set interface vpnt2 mtu 1436
27
Amazon Virtual Private Cloud ネットワーク管理者ガイド
ステップ 2: 静的ルートを設定する
6.
2 番目のトンネルを作成するには、設定ファイルの IPSec Tunnel #2 セクション内の情報を使
用して、ステップを繰り返します。
ステップ 2: 静的ルートを設定する
このステップでは、各トンネルで VPC のサブネットへの静的ルートを指定し、トラフィックをトン
ネルインターフェイス経由で送信できるようにします。2 番目のトンネルがあると、最初のトンネ
ルに問題が発生した場合のフェイルオーバーが可能になります。問題が検出された場合、ポリシー
ベースの静的ルートがルーティングテーブルから削除され、2 番目のルートがアクティブ化されま
す。また、トンネルのもう一方の端に ping を打ち、トンネルが稼働しているかどうかを確認するため
に、Check Point ゲートウェイを有効にする必要があります。
静的ルートを設定するには
1.
Gaia ポータルで、[IPv4 Static Routes]、[Add] の順に選択します。
2.
サブネットの CIDR (例: 10.28.13.0/24) を指定します。
3.
[Add Gateway]、[IP Address] の順に選択します。
4.
設定ファイルの VGW Tunnel IP に指定された IP アドレス (例: 169.254.44.233) を入力し、
優先順位を 1 にします。
5.
[Ping] を選択します。
6.
2 つめのトンネルに対して、設定ファイルの IPSec Tunnel #2 セクションにある VGW Tunnel
IP の値を使用してステップ 3 および 4 を繰り返します。優先順位を 2 にします。
28
Amazon Virtual Private Cloud ネットワーク管理者ガイド
ステップ 3: ネットワークオブジェクトを作成する
7.
[Save] を選択します。
クラスターを使用している場合は、クラスターの他のメンバーで上記のステップを繰り返してくださ
い。
ステップ 3: ネットワークオブジェクトを作成する
このステップでは、仮想プライベートゲートウェイのパブリック (外部) IP アドレスを指定することで
各 VPN トンネル用のネットワークオブジェクトを作成します。後で、VPN コミュニティのサテライ
トゲートウェイとしてこれらのオブジェクトを追加します。また、VPN ドメインのプレースホルダー
として機能する空グループを作成する必要があります。
新しいネットワークオブジェクトを定義するには
1.
Check Point SmartDashboard を開きます。
2.
[Groups] では、コンテキストメニューを開き、[Groups]、[Simple Group] の順に選択します。各
ネットワークオブジェクトに対して同じグループを使用できます。
29
Amazon Virtual Private Cloud ネットワーク管理者ガイド
ステップ 4: VPN コミュニティを
作成し IKE と IPsec を設定する
3.
[Network Objects] では、コンテキストメニュー (右クリック) を開き、[New]、[Interoperable
Device] の順に選択します。
4.
[Name] には、トンネル用に指定した名前 (例: AWS_VPC_Tunnel_1 または AWS_VPC_Tunnel_2)
を入力します。
5.
[IPv4 Address] には、設定ファイルで提供される仮想プライベートゲートウェイの外部 IP アドレ
ス (例: 54.84.169.196) を入力します。設定を保存して、このダイアログボックスを閉じます。
6.
SmartDashboard でゲートウェイのプロパティを開き、カテゴリーペインで [Topology] を選択し
ます。
7.
インターフェイス設定を取得するには、[Get Topology] を選択します。
8.
[VPN Domain] セクションで、[Manually defined] を選択し、ステップ 2 で作成した空のシンプル
なグループを参照して選択します。[OK] を選択します。
Note
設定ずみの既存の VPN ドメインは保持できますが、特に VPN ドメインが自動的に取得
されている場合は、新しい VPN 接続で使用または供給されているドメインとホストがそ
の VPN ドメインで宣言されていないことを確認してください。
9.
2 番目のネットワークオブジェクトを作成するには、設定ファイルの IPSec Tunnel #2 セク
ション内の情報を使用して、ステップを繰り返します。
Note
クラスターを使用している場合は、トポロジーを編集してインターフェイスをクラスターイ
ンターフェイスとして定義します。設定ファイルに指定された IP アドレスを使用します。
ステップ 4: VPN コミュニティを作成し IKE と
IPsec を設定する
このステップでは、Check Point ゲートウェイに VPN コミュニティを作成し、そこに各トンネルの
ネットワークオブジェクト (相互運用デバイス) を追加します。また、Internet Key Exchange (IKE) お
よび IPsec を設定します。
30
Amazon Virtual Private Cloud ネットワーク管理者ガイド
ステップ 4: VPN コミュニティを
作成し IKE と IPsec を設定する
VPN コミュニティ、IKE、および IPsec 設定の作成と設定
1.
ゲートウェイのプロパティから、カテゴリーペインの [IPSec VPN] を選択します。
2.
[Communities]、[New]、[Star Community] の順に選択します。
3.
コミュニティの名前 (例: AWS_VPN_Star) を指定し、カテゴリーペインの [Center Gateways] を選
択します。
4.
[Add] を選択して、ゲートウェイまたはクラスターを参加ゲートウェイのリストに追加します。
5.
カテゴリーペインで、[Satellite Gateways]、[Add] の順に選択し、先に作成した相互運用デバイス
(AWS_VPC_Tunnel_1 および AWS_VPC_Tunnel_2) を参加ゲートウェイのリストに追加します。
6.
カテゴリーペインで、[Encryption] を選択します。[Encryption Method] セクションで、[IKEv1
only] を選択します。[Encryption Suite] セクションで、[Custom]、[Custom Encryption] の順に選
択します。
7.
ダイアログボックスで次のように暗号化プロパティを設定し、完了したら [OK] を選択します。
• IKE Security Association (フェーズ 1) のプロパティ
• Perform key exchange encryption with: AES-128
• Perform data integrity with: SHA1
• IPsec Security Association (フェーズ 2) のプロパティ
• Perform IPsec data encryption with: AES-128
• Perform data integrity with: SHA-1
8.
カテゴリーペインで [Tunnel Management] を選択します。[Set Permanent Tunnels]、[On all
tunnels in the community] の順に選択します。[VPN Tunnel Sharing] セクションで、[One VPN
tunnel per Gateway pair] を選択します。
9.
カテゴリーペインで [Advanced Settings] を展開し、[Shared Secret] を選択します。
10. 最初のトンネルのピア名を選択し、[Edit] を選択して、設定ファイルの IPSec Tunnel #1 セク
ションで指定されている事前共有キーを入力します。
11. 2 番目のトンネルのピア名を選択し、[Edit] を選択して、設定ファイルの IPSec Tunnel #2 セ
クションで指定されている事前共有キーを入力します。
31
Amazon Virtual Private Cloud ネットワーク管理者ガイド
ステップ 5: ファイアウォールを設定する
12. さらに [Advanced Settings] カテゴリーで [Advanced VPN Properties] を選択し、プロパティを次
のように設定して、完了したら [OK] を選択します。
• IKE (フェーズ 1):
• Use Diffie-Hellman group: Group 2
• Renegotiate IKE security associations every 480 minutes
• IPsec (フェーズ 2):
• [Use Perfect Forward Secrecy] を選択します。
• Use Diffie-Hellman group: Group 2
• Renegotiate IPsec security associations every 3600 seconds
ステップ 5: ファイアウォールを設定する
このステップでは、ファイアウォールルールとディレクショナルマッチルールを使用し、VPC とロー
カルネットワーク間での通信を許可するポリシーを設定します。その後、ゲートウェイにポリシーを
インストールします。
ファイアウォールルールを作成するには
1.
2.
SmartDashboard で、ゲートウェイの [Global Properties] を選択します。カテゴリーペインで
[VPN] を展開し、[Advanced] を選択します。
[Enable VPN Directional Match in VPN Column] を選択し、変更を保存します。
3.
SmartDashboard で [Firewall] を選択し、次のルールでポリシーを作成します。
32
Amazon Virtual Private Cloud ネットワーク管理者ガイド
(オプション) ステップ 6: Dead Peer Detection
および TCP MSS クランプを有効にする
• VPC サブネットに対して必須プロトコル経由でのローカルネットワークとの通信を許可する。
4.
5.
• ローカルネットワークに対して必須プロトコル経由での VPC サブネットとの通信を許可する。
VPN 列のセルのコンテキストメニューを開いて、[Edit Cell] を選択します。
[VPN Match Conditions] ダイアログボックスで、[Match traffic in this direction only] を選択しま
す。それぞれで [Add] を選択してディレクショナルマッチルールを作成し、完了したら [OK] を選
択します。
• internal_clear > VPN コミュニティ (先に作成した VPN スターコミュニティ。例:
AWS_VPN_Star)
• VPN コミュニティ > VPN コミュニティ
• VPN コミュニティ > internal_clear
6.
SmartDashboard で、[Policy]、[Install] の順に選択します。
7.
ダイアログボックスでゲートウェイを選択し、[OK] を選択してポリシーをインストールします。
(オプション) ステップ 6: Dead Peer Detection およ
び TCP MSS クランプを有効にする
Check Point ゲートウェイでは、IKE の関連付けが停止したときに Dead Peer Detection (DPD) を使用
して識別できます。
DPD を有効にするには、エキスパートモードのコマンドラインインターフェイスから次を実行しま
す。
ckp_regedit -a SOFTWARE/CheckPoint/VPN1 forceSendDPDPayload -n 1
DPD を無効にするには、次のコマンドを使用します。
ckp_regedit -d SOFTWARE/CheckPoint/VPN1 forceSendDPDPayload
TCP MSS クランプは TCP パケットの最大セグメントサイズを小さくしてパケット断片化を防ぎま
す。
TCP MSS クランプを有効にするには
1.
2.
次のディレクトリに移動します。C:\Program Files (x86)\CheckPoint\SmartConsole
\R77.10\PROGRAM\
GuiDBEdit.exe ファイルを実行して Check Point Database Tool を開きます。
3.
4.
[Table]、[Global Properties]、[properties] の順に選択します。
fw_clamp_tcp_mss で、[Edit] を選択します。値を true に変更し、[OK] を選択します。
カスタマーゲートウェイ設定をテストする方法
各トンネルに対して、ゲートウェイ設定をテストすることができます。
各トンネルのカスタマーゲートウェイ設定をテストするには
1.
2.
AWS によって提供される設定テンプレートで指示されているとおり、カスタマーゲートウェイに
VPC への静的ルートがあることを確認します。
静的ルートが VPN 接続に追加され、トラフィックがカスタマーゲートウェイに戻るようになって
いることを確認します。たとえば、ローカルサブネットのプレフィックスが 198.10.0.0/16 の
33
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイ設定をテストする方法
場合、その CIDR 範囲の静的ルートを VPN 接続に追加する必要があります。両方のトンネルに
VPC への静的ルートがあることを確認します。
次に、VPC でインスタンスを起動し、ホームネットワークからインスタンスへの ping を実行して、
各トンネルの接続をテストする必要があります。開始する前に、以下を確認してください。
• ping リクエストに応答する AMI を使用します。Amazon Linux AMI のいずれかを使用することをお
勧めします。
• インスタンスのセキュリティグループとネットワーク ACL を設定し、インバウンド ICMP トラ
フィックを有効にします。
• VPN 接続用のルーティングを設定していることを確認します。サブネットのルートテーブルに仮想
プライベートゲートウェイへのルートが含まれている必要があります。詳細については、Amazon
VPC ユーザーガイド の「ルートテーブルでルート伝達を有効にする」を参照してください。
各トンネルのエンドツーエンド接続をテストするには
1.
VPC で Amazon Linux AMI の 1 つのインスタンスを起動します。AWS マネジメントコンソール
からインスタンスを起動すると、起動ウィザードのリストに Amazon Linux AMI が表示されま
す。詳細については、「Amazon VPC 入門ガイド」を参照してください。
2.
インスタンスが実行中になった後、そのプライベート IP アドレス (例えば 10.0.0.4) を取得し
ます。 コンソールにインスタンスの詳細の一部としてアドレスが表示されます。
3.
ホームネットワークのシステムで、インスタンスの IP アドレスに対して ping コマンドを実行し
ます。ping を実行するコンピューターがカスタマーゲートウェイの背後にないことを確認しま
す。正常なレスポンスは次のようになります。
PROMPT> ping 10.0.0.4
Pinging 10.0.0.4 with 32 bytes of data:
Reply from 10.0.0.4: bytes=32 time<1ms TTL=128
Reply from 10.0.0.4: bytes=32 time<1ms TTL=128
Reply from 10.0.0.4: bytes=32 time<1ms TTL=128
Ping statistics for 10.0.0.4:
Packets: Sent = 3, Received = 3, Lost = 0 (0% loss),
Approximate round trip times in milliseconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
Note
カスタマーゲートウェイルーターからインスタンスへの ping を実行する場合は、ping
メッセージの送信元がトンネル IP アドレスではなく内部 IP アドレスになるようにして
ください。一部の AMI は、トンネル IP アドレスからの ping メッセージに応答しませ
ん。
4.
(オプション) トンネル フェイルオーバーをテストするため、カスタマーゲートウェイのトンネル
の 1 つを一時的に無効化し、上記の手順を繰り返すことができます。VPN 接続の AWS 側のトン
ネルを無効化することはできません。
Check Point のゲートウェイ側でエキスパートモードのコマンドラインツールから次のコマンドを実
行して、トンネルの状態を確認できます。
vpn tunnelutil
34
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイ設定をテストする方法
表示されたオプションで、IKE 関連付けを検証するには 1 を、IPsec 関連付けを検証するには 2 を選
択します。
また、Check Point Smart Tracker Log を使用して、接続内のパケットが暗号化されていることを検証
できます。たとえば次のログは、VPC へのパケットがトンネル 1 経由で送信され、暗号化されている
ことを示します。
35
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイの概要
例: Cisco ASA デバイス
トピック
• カスタマーゲートウェイの概要 (p. 36)
• 設定例 (p. 37)
• カスタマーゲートウェイ設定をテストする方法 (p. 42)
このセクションでは、Cisco ASA 8.2+ ソフトウェアを実行している Cisco ASA デバイスをカスタマー
ゲートウェイとして使用する場合に、統合チームから提供される設定情報の例について説明します。
図はカスタマーゲートウェイのレイアウトの概要を表し。統合チームから受け取った実際の設定情報
を使用して、カスタマーゲートウェイに適用する必要があります。
カスタマーゲートウェイの概要
次の図は、カスタマーゲートウェイの全般的な説明を示しています。VPN 接続が 2 つの個別のトンネ
ルで構成されている点に注意してください。冗長なトンネルを使用することで、デバイス障害の発生
時にも可用性を継続的に維持できます。
36
Amazon Virtual Private Cloud ネットワーク管理者ガイド
設定例
一部の Cisco ASA ではアクティブ/スタンバイモードのみがサポートされている点に注意してくださ
い。これらの Cisco ASA を使用する場合は、アクティブなトンネルを一度に 1 個のみ保持できます。
最初のトンネルが利用不可になった場合は、他方のスタンバイトンネルがアクティブになります。こ
の冗長化では、常にいずれかのトンネルを経由して VPC への接続を保持する必要があります。
設定例
このセクションの設定は、統合チームから提供される設定情報の例です。この設定例には、各トンネ
ルに設定する必要のある一連の情報が含まれています。
この設定例には、設定がどのように機能するかを理解するために役立つサンプル値が含
まれています。たとえば、VPN 接続 ID (vpn-12345678)、仮想プライベートゲートウェイ
ID (vgw-12345678)、AWS エンドポイントのプレースホルダー (AWS_ENDPOINT_1 および
AWS_ENDPOINT_2) です。これらのサンプル値を、受け取った設定情報に含まれる実際の値で置き換
えます。
さらに、以下を実行する必要があります。
• 外部インターフェイスを設定します。
• Crypto ISAKMP Policy Sequence の数値が一意であることを確認します。
• Crypto List Policy Sequence の数値が一意であることを確認します。
• Crypto IPsec Transform Set および Crypto ISAKMP Policy Sequence と、デバイスに設定された他
のすべての IPsec トンネルの整合性が確保されていることを確認します。
• SLA モニタリング番号が一意であることを確認します。
• カスタマーゲートウェイとローカルネットワークとの間でトラフィックを動かす内部ルーティング
をすべて設定します。
37
Amazon Virtual Private Cloud ネットワーク管理者ガイド
設定例
Warning
次の設定情報の例は、統合チームから提供されることが想定される内容です。この例に示さ
れた値の多くは、実際に受け取る設定情報とは異なります。ここに示されるサンプル値では
なく、実際の値を使用する必要があります。そうしないと、実装が失敗します。
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
Amazon Web Services
Virtual Private Cloud
AWS utilizes unique identifiers to manipulate the configuration of
a VPN Connection. Each VPN Connection is assigned an identifier and is
associated with two other identifiers, namely the
Customer Gateway Identifier and Virtual Private Gateway Identifier.
Your VPN Connection ID
Your Virtual Private Gateway ID
Your Customer Gateway ID
: vpn-12345678
: vgw-12345678
: cgw-12345678
This configuration consists of two tunnels. Both tunnels must be
configured on your Customer Gateway. Only a single tunnel will be up at a
time to the VGW.
You may need to populate these values throughout the config based on your
setup:
! outside_interface - External interface of the ASA
! outside_access_in - Inbound ACL on the external interface
! amzn_vpn_map - Outside crypto map
! vpc_subnet and vpc_subnet_mask - VPC address range
! local_subnet and local_subnet_mask - Local subnet address range
! sla_monitor_address - Target address that is part of acl-amzn to run SLA
monitoring
!
!
-------------------------------------------------------------------------------! IPSec Tunnels
!
-------------------------------------------------------------------------------! #1: Internet Key Exchange (IKE) Configuration
!
! A policy is established for the supported ISAKMP encryption,
! authentication, Diffie-Hellman, lifetime, and key parameters.
!
! Note that there are a global list of ISAKMP policies, each identified by
! sequence number. This policy is defined as #201, which may conflict with
! an existing policy using the same or lower number depending on
! the encryption type. If so, we recommend changing the sequence number to
! avoid conflicts and overlap.
!
! Please note, these sample configurations are for the minimum requirement of
AES128, SHA1, and DH Group 2.
! You will need to modify these sample configuration files to take advantage
of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.
! The address of the external interface for your customer gateway must be a
static address.
! Your customer gateway may reside behind a device performing network address
translation (NAT).
38
Amazon Virtual Private Cloud ネットワーク管理者ガイド
設定例
! To ensure that NAT traversal (NAT-T) can function, you must adjust your
firewall rules to unblock UDP port 4500. If not behind NAT, we recommend
disabling NAT-T.
!
crypto isakmp identity address
crypto isakmp enable outside_interface
crypto isakmp policy 201
encryption aes
authentication pre-share
group 2
lifetime 28800
hash sha
exit
!
! The tunnel group sets the Pre Shared Key used to authenticate the
! tunnel endpoints.
!
tunnel-group AWS_ENDPOINT_1 type ipsec-l2l
tunnel-group AWS_ENDPOINT_1 ipsec-attributes
pre-shared-key password_here
!
! This option enables IPSec Dead Peer Detection, which causes periodic
! messages to be sent to ensure a Security Association remains operational.
!
isakmp keepalive threshold 10 retry 3
exit
!
tunnel-group AWS_ENDPOINT_2 type ipsec-l2l
tunnel-group AWS_ENDPOINT_2 ipsec-attributes
pre-shared-key password_here
!
! This option enables IPSec Dead Peer Detection, which causes periodic
! messages to be sent to ensure a Security Association remains operational.
!
isakmp keepalive threshold 10 retry 3
exit
!
-------------------------------------------------------------------------------! #2: Access List Configuration
!
! Access lists are configured to permit creation of tunnels and to send
applicable traffic over them.
! This policy may need to be applied to an inbound ACL on the outside
interface that is used to manage control-plane traffic.
! This is to allow VPN traffic into the device from the Amazon endpoints.
!
access-list outside_access_in extended permit ip host AWS_ENDPOINT_1
host YOUR_UPLINK_ADDRESS
access-list outside_access_in extended permit ip host AWS_ENDPOINT_2
host YOUR_UPLINK_ADDRESS
!
! The following access list named acl-amzn specifies all traffic that needs
to be routed to the VPC. Traffic will
! be encrypted and transmitted through the tunnel to the VPC. Association
with the IPSec security association
! is done through the "crypto map" command.
!
39
Amazon Virtual Private Cloud ネットワーク管理者ガイド
設定例
! This access list should contain a static route corresponding to your VPC
CIDR and allow traffic from any subnet.
! If you do not wish to use the "any" source, you must use a single accesslist entry for accessing the VPC range.
! If you specify more than one entry for this ACL without using "any" as the
source, the VPN will function erratically.
! The any rule is also used so the security association will include the ASA
outside interface where the SLA monitor
! traffic will be sourced from.
! See section #4 regarding how to restrict the traffic going over the tunnel
!
!
access-list acl-amzn extended permit ip any vpc_subnet vpc_subnet_mask
!--------------------------------------------------------------------------------! #3: IPSec Configuration
!
! The IPSec transform set defines the encryption, authentication, and IPSec
! mode parameters.
! Please note, you may use these additionally supported IPSec parameters for
encryption like AES256 and other DH groups like 1,2, 5, 14-18, 22, 23, and
24.
!
crypto ipsec ikev1 transform-set transform-amzn esp-aes esp-sha-hmac
! The crypto map references the IPSec transform set and further defines
! the Diffie-Hellman group and security association lifetime. The mapping is
created
! as #1, which may conflict with an existing crypto map using the same
! number. If so, we recommend changing the mapping number to avoid conflicts.
!
crypto map amzn-vpn-map 1 match address acl-amzn
crypto map amzn-vpn-map 1 set pfs group2
crypto map amzn-vpn-map 1 set peer AWS_ENDPOINT_1 AWS_ENDPOINT_2
crypto map amzn-vpn-map 1 set transform-set transform-amzn
crypto map amzn_vpn_map 1 set security-association lifetime seconds 3600
!
! Only set this if you do not already have an outside crypto map, and it is
not applied:
!
crypto map amzn-vpn-map interface outside_interface
!
! Additional parameters of the IPSec configuration are set here. Note that
! these parameters are global and therefore impact other IPSec
! associations.
!
! This option instructs the firewall to clear the "Don't Fragment"
! bit from packets that carry this bit and yet must be fragmented, enabling
! them to be fragmented.
!
crypto ipsec df-bit clear-df outside_interface
!
! This configures the gateway's window for accepting out of order
! IPSec packets. A larger window can be helpful if too many packets
! are dropped due to reordering while in transit between gateways.
!
crypto ipsec security-association replay window-size 128
!
! This option instructs the firewall to fragment the unencrypted packets
40
Amazon Virtual Private Cloud ネットワーク管理者ガイド
設定例
! (prior to encryption).
!
crypto ipsec fragmentation before-encryption outside_interface
!
! This option causes the firewall to reduce the Maximum Segment Size of
! TCP packets to prevent packet fragmentation.
sysopt connection tcpmss 1387
!
! In order to keep the tunnel in an active or always up state, the ASA needs
to send traffic to the subnet
! defined in acl-amzn. SLA monitoring can be configured to send pings to a
destination in the subnet and
! will keep the tunnel active. This traffic needs to be sent to a target that
will return a response.
! This can be manually tested by sending a ping to the target from the ASA
sourced from the outside interface.
! A possible destination for the ping is an instance within the VPC. For
redundancy multiple SLA monitors
! can be configured to several instances to protect against a single point of
failure.
!
! The monitor is created as #1, which may conflict with an existing monitor
using the same
! number. If so, we recommend changing the sequence number to avoid
conflicts.
!
sla monitor 1
type echo protocol ipIcmpEcho sla_monitor_address
interface outside_interface
frequency 5
exit
sla monitor schedule 1 life forever start-time now
!
! The firewall must allow icmp packets to use "sla monitor"
icmp permit any outside_interface
!--------------------------------------------------------------------------------! #4: VPN Filter
! The VPN Filter will restrict traffic that is permitted through the tunnels.
By default all traffic is denied.
! The first entry provides an example to include traffic between your VPC
Address space and your office.
! You may need to run 'clear crypto isakmp sa', in order for the filter to
take effect.
!
! access-list amzn-filter extended permit
ip vpc_subnet vpc_subnet_mask local_subnet local_subnet_mask
access-list amzn-filter extended deny ip any any
group-policy filter internal
group-policy filter attributes
vpn-filter value amzn-filter
tunnel-group AWS_ENDPOINT_1 general-attributes
default-group-policy filter
exit
tunnel-group AWS_ENDPOINT_2 general-attributes
default-group-policy filter
exit
!---------------------------------------------------------------------------------------
41
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイ設定をテストする方法
! #5: NAT Exemption
! If you are performing NAT on the ASA you will have to add a nat exemption
rule.
! This varies depending on how NAT is set up. It should be configured along
the lines of:
! object network obj-SrcNet
!
subnet 0.0.0.0 0.0.0.0
! object network obj-amzn
!
subnet vpc_subnet vpc_subnet_mask
! nat (inside,outside) 1 source static obj-SrcNet obj-SrcNet destination
static obj-amzn obj-amzn
! If using version 8.2 or older, the entry would need to look something like
this:
! nat (inside) 0 access-list acl-amzn
! Or, the same rule in acl-amzn should be included in an existing no nat ACL.
カスタマーゲートウェイ設定をテストする方法
Cisco ASA をカスタマーゲートウェイとして使用する場合、1 個のトンネルのみが起動状態になりま
す。2 番目のトンネルは、最初のトンネルが停止した場合のみ使用されますが、設定は必要です。1
番目のトンネルが起動状態であるときに、2 番目のトンネルを起動状態にすることはできません。コ
ンソールには、1 個のトンネルのみが起動しており、2 番目のトンネルがダウンしていることが示さ
れます。これは、Cisco ASA のカスタマーゲートウェイのトンネルでは予測される動作です。ASA で
は、カスタマーゲートウェイとして一度に 1 個のトンネルの起動のみがサポートされます。
各トンネルに対して、ゲートウェイ設定をテストすることができます。
各トンネルのカスタマーゲートウェイ設定をテストするには
1.
AWS によって提供される設定テンプレートで指示されているとおり、カスタマーゲートウェイに
VPC への静的ルートがあることを確認します。
2.
静的ルートが VPN 接続に追加され、トラフィックがカスタマーゲートウェイに戻るようになって
いることを確認します。たとえば、ローカルサブネットのプレフィックスが 198.10.0.0/16 の
場合、その CIDR 範囲の静的ルートを VPN 接続に追加する必要があります。両方のトンネルに
VPC への静的ルートがあることを確認します。
次に、VPC でインスタンスを起動し、ホームネットワークからインスタンスへの ping を実行して、
各トンネルの接続をテストする必要があります。開始する前に、以下を確認してください。
• ping リクエストに応答する AMI を使用します。Amazon Linux AMI のいずれかを使用することをお
勧めします。
• インスタンスのセキュリティグループとネットワーク ACL を設定し、インバウンド ICMP トラ
フィックを有効にします。
• VPN 接続用のルーティングを設定していることを確認します。サブネットのルートテーブルに仮想
プライベートゲートウェイへのルートが含まれている必要があります。詳細については、Amazon
VPC ユーザーガイド の「ルートテーブルでルート伝達を有効にする」を参照してください。
各トンネルのエンドツーエンド接続をテストするには
1.
VPC で Amazon Linux AMI の 1 つのインスタンスを起動します。AWS マネジメントコンソール
からインスタンスを起動すると、起動ウィザードのリストに Amazon Linux AMI が表示されま
す。詳細については、「Amazon VPC 入門ガイド」を参照してください。
2.
インスタンスが実行中になった後、そのプライベート IP アドレス (例えば 10.0.0.4) を取得し
ます。 コンソールにインスタンスの詳細の一部としてアドレスが表示されます。
42
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイ設定をテストする方法
3.
ホームネットワークのシステムで、インスタンスの IP アドレスに対して ping コマンドを実行し
ます。ping を実行するコンピューターがカスタマーゲートウェイの背後にないことを確認しま
す。正常なレスポンスは次のようになります。
PROMPT> ping 10.0.0.4
Pinging 10.0.0.4 with 32 bytes of data:
Reply from 10.0.0.4: bytes=32 time<1ms TTL=128
Reply from 10.0.0.4: bytes=32 time<1ms TTL=128
Reply from 10.0.0.4: bytes=32 time<1ms TTL=128
Ping statistics for 10.0.0.4:
Packets: Sent = 3, Received = 3, Lost = 0 (0% loss),
Approximate round trip times in milliseconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
Note
カスタマーゲートウェイルーターからインスタンスへの ping を実行する場合は、ping
メッセージの送信元がトンネル IP アドレスではなく内部 IP アドレスになるようにして
ください。一部の AMI は、トンネル IP アドレスからの ping メッセージに応答しませ
ん。
4.
(オプション) トンネル フェイルオーバーをテストするため、カスタマーゲートウェイのトンネル
の 1 つを一時的に無効化し、上記の手順を繰り返すことができます。VPN 接続の AWS 側のトン
ネルを無効化することはできません。
トンネルのテストを正常に実施できない場合は、「Cisco ASA カスタマーゲートウェイの接続のトラ
ブルシューティング (p. 164)」を参照してください。
43
Amazon Virtual Private Cloud ネットワーク管理者ガイド
例: Cisco IOS デバイス
トピック
• カスタマーゲートウェイの概要 (p. 45)
• カスタマーゲートウェイの詳細と設定例 (p. 46)
• カスタマーゲートウェイ設定をテストする方法 (p. 53)
このセクションでは、Cisco IOS 12.4 (またはそれ以降の) ソフトウェアを実行している Cisco IOS デ
バイスをカスタマーゲートウェイとして使用する場合に、統合チームから提供される設定情報の例に
ついて説明します。
2 つの図で設定例を紹介します。最初の図はカスタマーゲートウェイのレイアウトの概要を表し、2
番目の図はこの設定例の詳細を表しています。統合チームから受け取った実際の設定情報を使用し
て、カスタマーゲートウェイに適用する必要があります。
44
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイの概要
カスタマーゲートウェイの概要
次の図は、カスタマーゲートウェイの全般的な説明を示しています。VPN 接続が 2 つの個別のトンネ
ルで構成されている点に注意してください。冗長なトンネルを使用することで、デバイス障害の発生
時にも可用性を継続的に維持できます。
45
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイの詳細と設定例
カスタマーゲートウェイの詳細と設定例
このセクションの図は、Cisco IOS のカスタマーゲートウェイの例を示しています。図の後には、統
合チームから提供される設定情報の対応する例が示されています。この設定例には、各トンネルに設
定する必要のある一連の情報が含まれています。
さらに、指定する必要ある以下の項目が示されています。
• YOUR_UPLINK_ADDRESS—カスタマーゲートウェイ上のインターネットルーティングが可能な外部
インターフェイスの IP アドレス。このアドレスは静的である必要があります。また、ネットワー
クアドレス変換 (NAT) を実行するデバイスの背後のアドレスを使用することができます。NAT トラ
バーサル (NAT-T) を正しく機能させるには、UDP ポート 4500 のブロックを解除するようにファイ
アウォールのルールを調整する必要があります。
• YOUR_BGP_ASN - カスタマーゲートウェイの BGP ASN (デフォルトで 65000 を使用します)
この設定例には、設定がどのように機能するかを理解するために役立つサンプル値が含まれていま
す。たとえば、VPN 接続 ID (vpn-44a8938f)、仮想プライベートゲートウェイ ID (vgw-8db04f81)、IP
アドレス (72.21.209.*, 169.254.255.*)、リモート ASN (7224) です。これらのサンプル値を、受け取っ
た設定情報に含まれる実際の値で置き換えます。
さらに、以下を実行する必要があります。
• 外部インターフェイスを設定します。
• トンネルインターフェイス ID を設定します (設定例では Tunnel1 および Tunnel2 と示されていま
す)。
• Crypto ISAKMP Policy Sequence の数値が一意であることを確認します。
• Crypto IPsec Transform Set および Crypto ISAKMP Policy Sequence と、デバイスに設定された他
のすべての IPsec トンネルの整合性が確保されていることを確認します。
• カスタマーゲートウェイとローカルネットワークとの間でトラフィックを動かす内部ルーティング
をすべて設定します。
次の図および設定例では、イタリックの赤い文字の項目を、特定の設定に適用される値で置き換える
必要があります。
46
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイの詳細と設定例
Warning
次の設定情報の例は、統合チームから提供されることが想定される内容です。この例に示さ
れた値の多くは、実際に受け取る設定情報とは異なります。ここに示されるサンプル値では
なく、実際の値を使用する必要があります。そうしないと、実装が失敗します。
! Amazon Web Services
! Virtual Private Cloud
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
AWS utilizes unique identifiers to manipulate the configuration of
a VPN Connection. Each VPN Connection is assigned an identifier
and is associated with two other identifiers, namely the
Customer Gateway Identifier and Virtual Private Gateway Identifier.
Your VPN Connection ID
Your Virtual Private Gateway ID
Your Customer Gateway ID
: vpn-44a8938f
: vgw-8db04f81
: cgw-b4dc3961
This configuration consists of two tunnels. Both tunnels must be
configured on your Customer Gateway.
------------------------------------------------------------------------IPsec Tunnel #1
-------------------------------------------------------------------------
! #1: Internet Key Exchange (IKE) Configuration
!
! A policy is established for the supported ISAKMP encryption,
! authentication, Diffie-Hellman, lifetime, and key parameters.
!
47
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイの詳細と設定例
! Please note, these sample configurations are for the minimum requirement of
AES128, SHA1, and DH Group 2.
! You will need to modify these sample configuration files to take advantage
of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.
! The address of the external interface for your customer gateway must be a
static address.
! Your customer gateway may reside behind a device performing network address
translation (NAT).
! To ensure that NAT traversal (NAT-T) can function, you must adjust your
firewall rules to unblock UDP port 4500. If not behind NAT, we recommend
disabling NAT-T.
!
! Note that there are a global list of ISAKMP policies, each identified by
! sequence number. This policy is defined as #200, which may conflict with
! an existing policy using the same number. If so, we recommend changing
! the sequence number to avoid conflicts.
!
crypto isakmp policy 200
encryption aes 128
authentication pre-share
group 2
lifetime 28800
hash sha
exit
! The ISAKMP keyring stores the Pre Shared Key used to authenticate the
! tunnel endpoints.
!
crypto keyring keyring-vpn-44a8938f-0
local-address YOUR_UPLINK_ADDRESS
pre-shared-key address 72.21.209.225 key plain-text-password1
exit
! An ISAKMP profile is used to associate the keyring with the particular
! endpoint.
!
crypto isakmp profile isakmp-vpn-44a8938f-0
local-address YOUR_UPLINK_ADDRESS
match identity address 72.21.209.225
keyring keyring-vpn-44a8938f-0
exit
!
!
!
!
!
#2: IPsec Configuration
The IPsec transform set defines the encryption, authentication, and IPsec
mode parameters.
Please note, you may use these additionally supported IPSec parameters for
encryption like AES256 and other DH groups like 1,2, 5, 14-18, 22, 23, and
24.
!
crypto ipsec transform-set ipsec-prop-vpn-44a8938f-0 esp-aes 128 esp-shahmac
mode tunnel
exit
! The IPsec profile references the IPsec transform set and further defines
48
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイの詳細と設定例
! the Diffie-Hellman group and security association lifetime.
!
crypto ipsec profile ipsec-vpn-44a8938f-0
set pfs group2
set security-association lifetime seconds 3600
set transform-set ipsec-prop-vpn-44a8938f-0
exit
! Additional parameters of the IPsec configuration are set here. Note that
! these parameters are global and therefore impact other IPsec
! associations.
! This option instructs the router to clear the "Don't Fragment"
! bit from packets that carry this bit and yet must be fragmented, enabling
! them to be fragmented.
!
crypto ipsec df-bit clear
! This option enables IPsec Dead Peer Detection, which causes periodic
! messages to be sent to ensure a Security Association remains operational.
!
crypto isakmp keepalive 10 10 on-demand
! This configures the gateway's window for accepting out of order
! IPsec packets. A larger window can be helpful if too many packets
! are dropped due to reordering while in transit between gateways.
!
crypto ipsec security-association replay window-size 128
! This option instructs the router to fragment the unencrypted packets
! (prior to encryption).
!
crypto ipsec fragmentation before-encryption
! #3: Tunnel Interface Configuration
!
! A tunnel interface is configured to be the logical interface associated
! with the tunnel. All traffic routed to the tunnel interface will be
! encrypted and transmitted to the VPC. Similarly, traffic from the VPC
! will be logically received on this interface.
!
! Association with the IPsec security association is done through the
! "tunnel protection" command.
!
! The address of the interface is configured with the setup for your
! Customer Gateway. If the address changes, the Customer Gateway and VPN
! Connection must be recreated with Amazon VPC.
!
interface Tunnel1
ip address 169.254.255.2 255.255.255.252
ip virtual-reassembly
tunnel source YOUR_UPLINK_ADDRESS
tunnel destination 72.21.209.225
tunnel mode ipsec ipv4
tunnel protection ipsec profile ipsec-vpn-44a8938f-0
! This option causes the router to reduce the Maximum Segment Size of
! TCP packets to prevent packet fragmentation.
49
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイの詳細と設定例
ip tcp adjust-mss 1387
no shutdown
exit
! #4: Border Gateway Protocol (BGP) Configuration
!
! BGP is used within the tunnel to exchange prefixes between the
! Virtual Private Gateway and your Customer Gateway. The Virtual Private
Gateway
! will announce the prefix corresponding to your VPC.
!
! Your Customer Gateway may announce a default route (0.0.0.0/0),
! which can be done with the 'network' statement and
! 'default-originate' statements.
!
! The BGP timers are adjusted to provide more rapid detection of outages.
!
! The local BGP Autonomous System Number (ASN) (YOUR_BGP_ASN) is configured
! as part of your Customer Gateway. If the ASN must be changed, the
! Customer Gateway and VPN Connection will need to be recreated with AWS.
!
router bgp YOUR_BGP_ASN
neighbor 169.254.255.1 remote-as 7224
neighbor 169.254.255.1 activate
neighbor 169.254.255.1 timers 10 30 30
address-family ipv4 unicast
neighbor 169.254.255.1 remote-as 7224
neighbor 169.254.255.1 timers 10 30 30
neighbor 169.254.255.1 default-originate
neighbor 169.254.255.1 activate
neighbor 169.254.255.1 soft-reconfiguration inbound
! To advertise additional prefixes to Amazon VPC, copy the 'network'
statement
! and identify the prefix you wish to advertise. Make sure the prefix is
present
! in the routing table of the device with a valid next-hop.
network 0.0.0.0
exit
exit
! ------------------------------------------------------------------------! IPsec Tunnel #2
! -------------------------------------------------------------------------
!
!
!
!
!
#1: Internet Key Exchange (IKE) Configuration
A policy is established for the supported ISAKMP encryption,
authentication, Diffie-Hellman, lifetime, and key parameters.
Please note, these sample configurations are for the minimum requirement of
AES128, SHA1, and DH Group 2.
! You will need to modify these sample configuration files to take advantage
of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.
50
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイの詳細と設定例
! The address of the external interface for your customer gateway must be a
static address.
! Your customer gateway may reside behind a device performing network address
translation (NAT).
! To ensure that NAT traversal (NAT-T) can function, you must adjust your
firewall rules to unblock UDP port 4500. If not behind NAT, we recommend
disabling NAT-T.
!
! Note that there are a global list of ISAKMP policies, each identified by
! sequence number. This policy is defined as #201, which may conflict with
! an existing policy using the same number. If so, we recommend changing
! the sequence number to avoid conflicts.
!
crypto isakmp policy 201
encryption aes 128
authentication pre-share
group 2
lifetime 28800
hash sha
exit
! The ISAKMP keyring stores the Pre Shared Key used to authenticate the
! tunnel endpoints.
!
crypto keyring keyring-vpn-44a8938f-1
local-address YOUR_UPLINK_ADDRESS
pre-shared-key address 72.21.209.193 key plain-text-password2
exit
! An ISAKMP profile is used to associate the keyring with the particular
! endpoint.
!
crypto isakmp profile isakmp-vpn-44a8938f-1
local-address YOUR_UPLINK_ADDRESS
match identity address 72.21.209.193
keyring keyring-vpn-44a8938f-1
exit
!
!
!
!
!
#2: IPsec Configuration
The IPsec transform set defines the encryption, authentication, and IPsec
mode parameters.
Please note, you may use these additionally supported IPSec parameters for
encryption like AES256 and other DH groups like 1,2, 5, 14-18, 22, 23, and
24.
!
crypto ipsec transform-set ipsec-prop-vpn-44a8938f-1 esp-aes 128 esp-shahmac
mode tunnel
exit
! The IPsec profile references the IPsec transform set and further defines
! the Diffie-Hellman group and security association lifetime.
!
crypto ipsec profile ipsec-vpn-44a8938f-1
set pfs group2
51
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイの詳細と設定例
set security-association lifetime seconds 3600
set transform-set ipsec-prop-vpn-44a8938f-1
exit
! Additional parameters of the IPsec configuration are set here. Note that
! these parameters are global and therefore impact other IPsec
! associations.
! This option instructs the router to clear the "Don't Fragment"
! bit from packets that carry this bit and yet must be fragmented, enabling
! them to be fragmented.
!
crypto ipsec df-bit clear
! This option enables IPsec Dead Peer Detection, which causes periodic
! messages to be sent to ensure a Security Association remains operational.
!
crypto isakmp keepalive 10 10 on-demand
! This configures the gateway's window for accepting out of order
! IPsec packets. A larger window can be helpful if too many packets
! are dropped due to reordering while in transit between gateways.
!
crypto ipsec security-association replay window-size 128
! This option instructs the router to fragment the unencrypted packets
! (prior to encryption).
!
crypto ipsec fragmentation before-encryption
! #3: Tunnel Interface Configuration
!
! A tunnel interface is configured to be the logical interface associated
! with the tunnel. All traffic routed to the tunnel interface will be
! encrypted and transmitted to the VPC. Similarly, traffic from the VPC
! will be logically received on this interface.
!
! Association with the IPsec security association is done through the
! "tunnel protection" command.
!
! The address of the interface is configured with the setup for your
! Customer Gateway. If the address changes, the Customer Gateway and VPN
! Connection must be recreated with Amazon VPC.
!
interface Tunnel2
ip address 169.254.255.6 255.255.255.252
ip virtual-reassembly
tunnel source YOUR_UPLINK_ADDRESS
tunnel destination 72.21.209.193
tunnel mode ipsec ipv4
tunnel protection ipsec profile ipsec-vpn-44a8938f-1
! This option causes the router to reduce the Maximum Segment Size of
! TCP packets to prevent packet fragmentation.
ip tcp adjust-mss 1387
no shutdown
exit
52
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイ設定をテストする方法
! #4: Border Gateway Protocol (BGP) Configuration
!
! BGP is used within the tunnel to exchange prefixes between the
! Virtual Private Gateway and your Customer Gateway. The Virtual Private
Gateway
! will announce the prefix corresponding to your Cloud.
!
! Your Customer Gateway may announce a default route (0.0.0.0/0),
! which can be done with the 'network' statement and
! 'default-originate' statements.
!
! The BGP timers are adjusted to provide more rapid detection of outages.
!
! The local BGP Autonomous System Number (ASN) (YOUR_BGP_ASN) is configured
! as part of your Customer Gateway. If the ASN must be changed, the
! Customer Gateway and VPN Connection will need to be recreated with AWS.
!
router bgp YOUR_BGP_ASN
neighbor 169.254.255.5 remote-as 7224
neighbor 169.254.255.5 activate
neighbor 169.254.255.5 timers 10 30 30
address-family ipv4 unicast
neighbor 169.254.255.5 remote-as 7224
neighbor 169.254.255.5 timers 10 30 30
neighbor 169.254.255.5 default-originate
neighbor 169.254.255.5 activate
neighbor 169.254.255.5 soft-reconfiguration inbound
! To advertise additional prefixes to Amazon VPC, copy the 'network'
statement
! and identify the prefix you wish to advertise. Make sure the prefix is
present
! in the routing table of the device with a valid next-hop.
network 0.0.0.0
exit
exit
カスタマーゲートウェイ設定をテストする方法
各トンネルに対して、ゲートウェイ設定をテストすることができます。
各トンネルのカスタマーゲートウェイ設定をテストするには
1.
2.
カスタマーゲートウェイで、BGP ステータスが Active であるかどうかを確認します。
BGP ピアがアクティブになるまでに約 30 秒かかります。
カスタマーゲートウェイが仮想プライベートゲートウェイへのルートをアドバタイズしているこ
とを確認します。このルートは、デフォルトルート (0.0.0.0/0) の場合と、任意で特定したルー
トの場合があります。
正しく設定されている場合、BGP ピアは、VPC 統合チームが VPC 用に指定したプレフィックス (た
とえば、10.0.0.0/24) に対応する仮想プライベートゲートウェイから 1 つのルートを受け取りま
す。BGP ピアが確立された場合は、プレフィックスを受け取り、プレフィックスをアドバタイズし
て、トンネルが正しく設定されます。両方のトンネルがこの状態であることを確認します。
53
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイ設定をテストする方法
次に、VPC でインスタンスを起動し、ホームネットワークからインスタンスへの ping を実行して、
各トンネルの接続をテストする必要があります。開始する前に、以下を確認してください。
• ping リクエストに応答する AMI を使用します。Amazon Linux AMI のいずれかを使用することをお
勧めします。
• インスタンスのセキュリティグループとネットワーク ACL を設定し、インバウンド ICMP トラ
フィックを有効にします。
• VPN 接続用のルーティングを設定していることを確認します。サブネットのルートテーブルに仮想
プライベートゲートウェイへのルートが含まれている必要があります。詳細については、Amazon
VPC ユーザーガイド の「ルートテーブルでルート伝達を有効にする」を参照してください。
各トンネルのエンドツーエンド接続をテストするには
1.
2.
3.
VPC で Amazon Linux AMI の 1 つのインスタンスを起動します。Amazon EC2 コンソールからイ
ンスタンスを起動すると、起動ウィザードのリストに Amazon Linux AMI が表示されます。詳細
については、「Amazon VPC 入門ガイド」を参照してください。
インスタンスが実行中になった後、そのプライベート IP アドレス (例えば 10.0.0.4) を取得し
ます。 コンソールにインスタンスの詳細の一部としてアドレスが表示されます。
ホームネットワークのシステムで、インスタンスの IP アドレスに対して ping コマンドを実行し
ます。ping を実行するコンピューターがカスタマーゲートウェイの背後にないことを確認しま
す。正常なレスポンスは次のようになります。
PROMPT> ping 10.0.0.4
Pinging 10.0.0.4 with 32 bytes of data:
Reply from 10.0.0.4: bytes=32 time<1ms TTL=128
Reply from 10.0.0.4: bytes=32 time<1ms TTL=128
Reply from 10.0.0.4: bytes=32 time<1ms TTL=128
Ping statistics for 10.0.0.4:
Packets: Sent = 3, Received = 3, Lost = 0 (0% loss),
Approximate round trip times in milliseconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
Note
カスタマーゲートウェイルーターからインスタンスへの ping を実行する場合は、ping
メッセージの送信元がトンネル IP アドレスではなく内部 IP アドレスになるようにして
ください。一部の AMI は、トンネル IP アドレスからの ping メッセージに応答しませ
ん。
4.
(オプション) トンネル フェイルオーバーをテストするため、カスタマーゲートウェイのトンネル
の 1 つを一時的に無効化し、上記の手順を繰り返すことができます。VPN 接続の AWS 側のトン
ネルを無効化することはできません。
トンネルのテストを正常に実施できない場合は、「Cisco IOS カスタマーゲートウェイの接続のトラ
ブルシューティング (p. 167)」を参照してください。
54
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイの概要
例: ボーダーゲートウェイプロトコ
ルを使用しない Cisco IOS デバイス
トピック
• カスタマーゲートウェイの概要 (p. 55)
• カスタマーゲートウェイの詳細と設定例 (p. 56)
• カスタマーゲートウェイ設定をテストする方法 (p. 63)
このセクションでは、Cisco IOS ソフトウェアが動作する Cisco Integrated Services ルーターをカス
タマーゲートウェイとして使用している場合に、統合チームが提供する設定情報の例について説明し
ます。
2 つの図で設定例を紹介します。最初の図はカスタマーゲートウェイのレイアウトの概要を表し、2
番目の図はこの設定例の詳細を表しています。統合チームから受け取った実際の設定情報を使用し
て、カスタマーゲートウェイに適用する必要があります。
カスタマーゲートウェイの概要
次の図は、カスタマーゲートウェイの全般的な説明を示しています。VPN 接続が 2 つの個別のトンネ
ルで構成されている点に注意してください。冗長なトンネルを使用することで、デバイス障害の発生
時にも可用性を継続的に維持できます。
55
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイの詳細と設定例
カスタマーゲートウェイの詳細と設定例
このセクションの図は、Cisco IOS のカスタマーゲートウェイ (BGP なし) の例を示しています。図の
後には、統合チームから提供される設定情報の対応する例が示されています。この設定例には、各ト
ンネルに設定する必要のある一連の情報が含まれています。
さらに、指定する必要がある以下の項目についても示されています。
• YOUR_UPLINK_ADDRESS—カスタマーゲートウェイ上のインターネットルーティングが可能な外部
インターフェイスの IP アドレス。このアドレスは静的である必要があります。また、ネットワー
クアドレス変換 (NAT) を実行するデバイスの背後のアドレスを使用することができます。NAT トラ
バーサル (NAT-T) を正しく機能させるには、UDP ポート 4500 のブロックを解除するようにファイ
アウォールのルールを調整する必要があります。
この設定例には、設定がどのように機能するかを理解するために役立つサンプル値が含まれていま
す。たとえば、VPN 接続 ID (vpn-1a4)、仮想プライベートゲートウェイ ID (vpn-1a2b3c4d)、VGW IP
アドレス (205.251.233.*, 169.254.255.*) です。これらのサンプル値を、受け取った設定情報に含まれ
る実際の値で置き換えます。
さらに、以下を実行する必要があります。
• 外部インターフェイスを設定します。
• トンネルインターフェイス ID を設定します (設定例では Tunnel1 および Tunnel2 と示されていま
す)。
• Crypto ISAKMP Policy Sequence の数値が一意であることを確認します。
• Crypto IPsec Transform Set および Crypto ISAKMP Policy Sequence と、デバイスに設定された他
のすべての IPsec トンネルの整合性が確保されていることを確認します。
56
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイの詳細と設定例
• SLA モニタリング番号が一意であることを確認します。
• カスタマーゲートウェイとローカルネットワークとの間でトラフィックを動かす内部ルーティング
をすべて設定します。
次の図および設定例では、イタリックの赤い文字の項目を、特定の設定に適用される値で置き換える
必要があります。
Warning
次の設定情報の例は、統合チームから提供されることが想定される内容です。この例に示さ
れた値の多くは、実際に受け取る設定情報とは異なります。ここに示されるサンプル値では
なく、実際の値を使用する必要があります。そうしないと、実装が失敗します。
!
-------------------------------------------------------------------------------! IPSec Tunnel #1
!
-------------------------------------------------------------------------------! #1: Internet Key Exchange (IKE) Configuration
!
! A policy is established for the supported ISAKMP encryption,
! authentication, Diffie-Hellman, lifetime, and key parameters.
! Please note, these sample configurations are for the minimum requirement of
AES128, SHA1, and DH Group 2.
! You will need to modify these sample configuration files to take advantage
of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.
! The address of the external interface for your customer gateway must be a
static address.
! Your customer gateway may reside behind a device performing network address
translation (NAT).
57
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイの詳細と設定例
! To ensure that NAT traversal
firewall rules to unblock UDP
disabling NAT-T.
!
! Note that there are a global
! sequence number. This policy
! an existing policy using the
! the sequence number to avoid
!
crypto isakmp policy 200
encryption aes 128
authentication pre-share
group 2
lifetime 28800
hash sha
exit
(NAT-T) can function, you must adjust your
port 4500. If not behind NAT, we recommend
list of ISAKMP policies, each identified by
is defined as #200, which may conflict with
same number. If so, we recommend changing
conflicts.
! The ISAKMP keyring stores the Pre Shared Key used to authenticate the
! tunnel endpoints.
!
crypto keyring keyring-vpn-1a2b3c4d-0
local-address CUSTOMER_IP
pre-shared-key address 205.251.233.121 key PASSWORD
exit
! An ISAKMP profile is used to associate the keyring with the particular
! endpoint.
!
crypto isakmp profile isakmp-vpn-1a2b3c4d-0
local-address CUSTOMER_IP
match identity address 205.251.233.121
keyring keyring-vpn-1a2b3c4d-0
exit
!
!
!
!
!
!
#2: IPSec Configuration
The IPSec transform set defines the encryption, authentication, and IPSec
mode parameters.
Please note, you may use these additionally supported IPSec parameters for
encryption like AES256 and other DH groups like 1,2, 5, 14-18, 22, 23, and
24.
!
crypto ipsec transform-set ipsec-prop-vpn-1a2b3c4d-0 esp-aes 128 esp-shahmac
mode tunnel
exit
! The IPSec profile references the IPSec transform set and further defines
! the Diffie-Hellman group and security association lifetime.
!
crypto ipsec profile ipsec-vpn-1a2b3c4d-0
set pfs group2
set security-association lifetime seconds 3600
set transform-set ipsec-prop-vpn-1a2b3c4d-0
exit
! Additional parameters of the IPSec configuration are set here. Note that
! these parameters are global and therefore impact other IPSec
58
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイの詳細と設定例
! associations.
! This option instructs the router to clear the "Don't Fragment"
! bit from packets that carry this bit and yet must be fragmented, enabling
! them to be fragmented.
!
crypto ipsec df-bit clear
! This option enables IPSec Dead Peer Detection, which causes periodic
! messages to be sent to ensure a Security Association remains operational.
!
crypto isakmp keepalive 10 10 on-demand
! This configures the gateway's window for accepting out of order
! IPSec packets. A larger window can be helpful if too many packets
! are dropped due to reordering while in transit between gateways.
!
crypto ipsec security-association replay window-size 128
! This option instructs the router to fragment the unencrypted packets
! (prior to encryption).
!
crypto ipsec fragmentation before-encryption
!
-------------------------------------------------------------------------------! #3: Tunnel Interface Configuration
!
! A tunnel interface is configured to be the logical interface associated
! with the tunnel. All traffic routed to the tunnel interface will be
! encrypted and transmitted to the VPC. Similarly, traffic from the VPC
! will be logically received on this interface.
!
! Association with the IPSec security association is done through the
! "tunnel protection" command.
!
! The address of the interface is configured with the setup for your
! Customer Gateway. If the address changes, the Customer Gateway and VPN
! Connection must be recreated with Amazon VPC.
!
interface Tunnel1
ip address 169.254.249.18 255.255.255.252
ip virtual-reassembly
tunnel source CUSTOMER_IP
tunnel destination 205.251.233.121
tunnel mode ipsec ipv4
tunnel protection ipsec profile ipsec-vpn-1a2b3c4d-0
! This option causes the router to reduce the Maximum Segment Size of
! TCP packets to prevent packet fragmentation.
ip tcp adjust-mss 1387
no shutdown
exit
!
---------------------------------------------------------------------------! #4 Static Route Configuration
!
! Your Customer Gateway needs to set a static route for the prefix
corresponding to your
59
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイの詳細と設定例
!
!
!
!
!
VPC to send traffic over the tunnel interface.
An example for a VPC with the prefix 10.0.0.0/16 is provided below:
ip route 10.0.0.0 255.255.0.0 Tunnel1 track 100
SLA Monitor is used to provide a failover between the two tunnels. If the
primary tunnel fails, the redundant tunnel will automatically be used
! This sla is defined as #100, which may conflict with an existing sla using
same number.
! If so, we recommend changing the sequence number to avoid conflicts.
!
ip sla 100
icmp-echo 169.254.249.17 source-interface Tunnel1
timeout 1000
frequency 5
exit
ip sla schedule 100 life forever start-time now
track 100 ip sla 100 reachability
!
-------------------------------------------------------------------------------!
-------------------------------------------------------------------------------! IPSec Tunnel #2
!
-------------------------------------------------------------------------------! #1: Internet Key Exchange (IKE) Configuration
!
! A policy is established for the supported ISAKMP encryption,
! authentication, Diffie-Hellman, lifetime, and key parameters.
! Please note, these sample configurations are for the minimum requirement of
AES128, SHA1, and DH Group 2.
! You will need to modify these sample configuration files to take advantage
of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.
! The address of the external interface for your customer gateway must be a
static address.
! Your customer gateway may reside behind a device performing network address
translation (NAT).
! To ensure that NAT traversal (NAT-T) can function, you must adjust your
firewall rules to unblock UDP port 4500. If not behind NAT, we recommend
disabling NAT-T.
!
! Note that there are a global list of ISAKMP policies, each identified by
! sequence number. This policy is defined as #201, which may conflict with
! an existing policy using the same number. If so, we recommend changing
! the sequence number to avoid conflicts.
!
crypto isakmp policy 201
encryption aes 128
authentication pre-share
group 2
lifetime 28800
hash sha
exit
! The ISAKMP keyring stores the Pre Shared Key used to authenticate the
! tunnel endpoints.
!
crypto keyring keyring-vpn-1a2b3c4d-1
local-address CUSTOMER_IP
pre-shared-key address 205.251.233.122 key PASSWORD
60
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイの詳細と設定例
exit
! An ISAKMP profile is used to associate the keyring with the particular
! endpoint.
!
crypto isakmp profile isakmp-vpn-1a2b3c4d-1
local-address CUSTOMER_IP
match identity address 205.251.233.122
keyring keyring-vpn-1a2b3c4d-1
exit
!
!
!
!
!
#2: IPSec Configuration
The IPSec transform set defines the encryption, authentication, and IPSec
mode parameters.
Please note, you may use these additionally supported IPSec parameters for
encryption like AES256 and other DH groups like 1,2, 5, 14-18, 22, 23, and
24.
!
crypto ipsec transform-set ipsec-prop-vpn-1a2b3c4d-1 esp-aes 128 esp-shahmac
mode tunnel
exit
! The IPSec profile references the IPSec transform set and further defines
! the Diffie-Hellman group and security association lifetime.
!
crypto ipsec profile ipsec-vpn-1a2b3c4d-1
set pfs group2
set security-association lifetime seconds 3600
set transform-set ipsec-prop-vpn-1a2b3c4d-1
exit
! Additional parameters of the IPSec configuration are set here. Note that
! these parameters are global and therefore impact other IPSec
! associations.
! This option instructs the router to clear the "Don't Fragment"
! bit from packets that carry this bit and yet must be fragmented, enabling
! them to be fragmented.
!
crypto ipsec df-bit clear
! This option enables IPSec Dead Peer Detection, which causes periodic
! messages to be sent to ensure a Security Association remains operational.
!
crypto isakmp keepalive 10 10 on-demand
! This configures the gateway's window for accepting out of order
! IPSec packets. A larger window can be helpful if too many packets
! are dropped due to reordering while in transit between gateways.
!
crypto ipsec security-association replay window-size 128
! This option instructs the router to fragment the unencrypted packets
! (prior to encryption).
!
crypto ipsec fragmentation before-encryption
61
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイの詳細と設定例
!
-------------------------------------------------------------------------------! #3: Tunnel Interface Configuration
!
! A tunnel interface is configured to be the logical interface associated
! with the tunnel. All traffic routed to the tunnel interface will be
! encrypted and transmitted to the VPC. Similarly, traffic from the VPC
! will be logically received on this interface.
!
! Association with the IPSec security association is done through the
! "tunnel protection" command.
!
! The address of the interface is configured with the setup for your
! Customer Gateway. If the address changes, the Customer Gateway and VPN
! Connection must be recreated with Amazon VPC.
!
interface Tunnel2
ip address 169.254.249.22 255.255.255.252
ip virtual-reassembly
tunnel source CUSTOMER_IP
tunnel destination 205.251.233.122
tunnel mode ipsec ipv4
tunnel protection ipsec profile ipsec-vpn-1a2b3c4d-1
! This option causes the router to reduce the Maximum Segment Size of
! TCP packets to prevent packet fragmentation.
ip tcp adjust-mss 1387
no shutdown
exit
!
---------------------------------------------------------------------------! #4 Static Route Configuration
!
! Your Customer Gateway needs to set a static route for the prefix
corresponding to your
! VPC to send traffic over the tunnel interface.
! An example for a VPC with the prefix 10.0.0.0/16 is provided below:
! ip route 10.0.0.0 255.255.0.0 Tunnel2 track 200
!
! SLA Monitor is used to provide a failover between the two tunnels. If the
primary tunnel fails, the redundant tunnel will automatically be used
! This sla is defined as #200, which may conflict with an existing sla using
same number.
! If so, we recommend changing the sequence number to avoid conflicts.
!
ip sla 200
icmp-echo 169.254.249.21 source-interface Tunnel2
timeout 1000
frequency 5
exit
ip sla schedule 200 life forever start-time now
track 200 ip sla 200 reachability
!
--------------------------------------------------------------------------------
62
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイ設定をテストする方法
カスタマーゲートウェイ設定をテストする方法
各トンネルに対して、ゲートウェイ設定をテストすることができます。
各トンネルのカスタマーゲートウェイ設定をテストするには
1.
AWS によって提供される設定テンプレートで指示されているとおり、カスタマーゲートウェイに
VPC への静的ルートがあることを確認します。
2.
静的ルートが VPN 接続に追加され、トラフィックがカスタマーゲートウェイに戻るようになって
いることを確認します。たとえば、ローカルサブネットのプレフィックスが 198.10.0.0/16 の
場合、その CIDR 範囲の静的ルートを VPN 接続に追加する必要があります。両方のトンネルに
VPC への静的ルートがあることを確認します。
次に、VPC でインスタンスを起動し、ホームネットワークからインスタンスへの ping を実行して、
各トンネルの接続をテストする必要があります。開始する前に、以下を確認してください。
• ping リクエストに応答する AMI を使用します。Amazon Linux AMI のいずれかを使用することをお
勧めします。
• インスタンスのセキュリティグループとネットワーク ACL を設定し、インバウンド ICMP トラ
フィックを有効にします。
• VPN 接続用のルーティングを設定していることを確認します。サブネットのルートテーブルに仮想
プライベートゲートウェイへのルートが含まれている必要があります。詳細については、Amazon
VPC ユーザーガイド の「ルートテーブルでルート伝達を有効にする」を参照してください。
各トンネルのエンドツーエンド接続をテストするには
1.
VPC で Amazon Linux AMI の 1 つのインスタンスを起動します。AWS マネジメントコンソール
からインスタンスを起動すると、起動ウィザードのリストに Amazon Linux AMI が表示されま
す。詳細については、「Amazon VPC 入門ガイド」を参照してください。
2.
インスタンスが実行中になった後、そのプライベート IP アドレス (例えば 10.0.0.4) を取得し
ます。 コンソールにインスタンスの詳細の一部としてアドレスが表示されます。
3.
ホームネットワークのシステムで、インスタンスの IP アドレスに対して ping コマンドを実行し
ます。ping を実行するコンピューターがカスタマーゲートウェイの背後にないことを確認しま
す。正常なレスポンスは次のようになります。
PROMPT> ping 10.0.0.4
Pinging 10.0.0.4 with 32 bytes of data:
Reply from 10.0.0.4: bytes=32 time<1ms TTL=128
Reply from 10.0.0.4: bytes=32 time<1ms TTL=128
Reply from 10.0.0.4: bytes=32 time<1ms TTL=128
Ping statistics for 10.0.0.4:
Packets: Sent = 3, Received = 3, Lost = 0 (0% loss),
Approximate round trip times in milliseconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
Note
カスタマーゲートウェイルーターからインスタンスへの ping を実行する場合は、ping
メッセージの送信元がトンネル IP アドレスではなく内部 IP アドレスになるようにして
ください。一部の AMI は、トンネル IP アドレスからの ping メッセージに応答しませ
ん。
63
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイ設定をテストする方法
4.
(オプション) トンネル フェイルオーバーをテストするため、カスタマーゲートウェイのトンネル
の 1 つを一時的に無効化し、上記の手順を繰り返すことができます。VPN 接続の AWS 側のトン
ネルを無効化することはできません。
トンネルのテストを正常に実施できない場合は、「ボーダーゲートウェイプロトコル接続を使用しな
い Cisco IOS カスタマーゲートウェイのトラブルシューティング (p. 172)」を参照してください。
64
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイの概要
例: Dell SonicWALL デバイス
このトピックでは、カスタマーゲートウェイが Dell SonicWALL ルーターである場合のルーターの設
定方法の例について説明します。
このセクションでは、Amazon VPC コンソールで、静的ルーティングの VPN 接続が設定されている
ことを前提としています。詳細については、『Amazon VPC ユーザーガイド』の「VPC へのハード
ウェア仮想プライベートゲートウェイの追加」を参照してください。
トピック
• カスタマーゲートウェイの概要 (p. 65)
• 構成ファイルの例 (p. 66)
• 管理インターフェイスを使用して SonicWALL デバイスを設定する (p. 70)
• カスタマーゲートウェイ設定をテストする方法 (p. 71)
カスタマーゲートウェイの概要
次の図は、カスタマーゲートウェイの全般的な説明を示しています。VPN 接続が 2 つの個別のトンネ
ル (Tunnel 1 と Tunnel 2) で構成されている点に注意してください。冗長なトンネルを使用すること
で、デバイス障害の発生時にも可用性を継続的に維持できます。
65
Amazon Virtual Private Cloud ネットワーク管理者ガイド
構成ファイルの例
構成ファイルの例
Amazon VPC コンソールからダウンロードした設定ファイルには、OS 6.2 上でコマンドラインツー
ルを使用して、各トンネル、および SonicWALL デバイスの IKE と IPsec の設定に必要な値が含まれ
ています。
Important
以下の設定情報では、サンプル値ではなく、必ず実際の値を使用します。それ以外の場合、
実装は失敗します。
! Amazon Web Services
! Virtual Private Cloud
!
! VPN Connection Configuration
!
================================================================================
! AWS utilizes unique identifiers to manipulate the configuration of
! a VPN Connection. Each VPN Connection is assigned a VPN Connection
Identifier
! and is associated with two other identifiers, namely the
! Customer Gateway Identifier and the Virtual Private Gateway Identifier.
!
! Your VPN Connection ID
: vpn-44a8938f
! Your Virtual Private Gateway ID
: vgw-8db04f81
! Your Customer Gateway ID
: cgw-ff628496
!
! This configuration consists of two tunnels. Both tunnels must be
! configured on your Customer Gateway.
66
Amazon Virtual Private Cloud ネットワーク管理者ガイド
構成ファイルの例
!
! This configuration was tested on a SonicWALL TZ 600 running OS 6.2.5.1-26n
!
! You may need to populate these values throughout the config based on your
setup:
! <vpc_subnet> - VPC address range
!
! IPSec Tunnel !1
!
================================================================================
! #1: Internet Key Exchange (IKE) Configuration
!
! Please note, these sample configurations are for the minimum requirement of
AES128, SHA1, and DH Group 2.
! You can modify these sample configuration files to use AES128, SHA1,
AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.
! The address of the external interface for your customer gateway must be a
static address.
! Your customer gateway may reside behind a device performing network address
translation (NAT).
! To ensure that NAT traversal (NAT-T) can function, you must adjust your
firewall rules to unblock UDP port 4500. If not behind NAT, we recommend
disabling NAT-T.
!
config
address-object ipv4 AWSVPC network 172.30.0.0/16
vpn policy tunnel-interface vpn-44a8938f-1
gateway primary 72.21.209.193
bound-to interface X1
auth-method shared-secret
shared-secret PRE-SHARED-KEY-IN-PLAIN-TEXT
ike-id local ip your_customer_gateway_IP_address
ike-id peer ip 72.21.209.193
end
!
!
!
!
!
!
#2: IPSec Configuration
The IPSec (Phase 2) proposal defines the protocol, authentication,
encryption, and lifetime parameters for our IPSec security association.
Please note, you may use these additionally supported IPSec parameters for
encryption like AES256 and other DH groups like 1,2, 5, 14-18, 22, 23, and
24.
!
config
proposal ipsec
proposal ipsec
proposal ipsec
proposal ipsec
proposal ipsec
keep-alive
enable
commit
end
lifetime 3600
authentication sha1
encryption aes128
perfect-forward-secrecy dh-group 2
protocol ESP
67
Amazon Virtual Private Cloud ネットワーク管理者ガイド
構成ファイルの例
!
!
! You can use other supported IPSec parameters for encryption such as AES256,
and other DH groups such as 1,2, 5, 14-18, 22, 23, and 24.
! IPSec Dead Peer Detection (DPD) will be enabled on the AWS Endpoint. We
! recommend configuring DPD on your endpoint as follows:
- DPD Interval
: 120
- DPD Retries
: 3
! To configure Dead Peer Detection for the SonicWall device, use the SonicOS
management interface.
!
! #3: Tunnel Interface Configuration
!
! The tunnel interface is configured with the internal IP address.
!
! To establish connectivity between your internal network and the VPC, you
! must have an interface facing your internal network in the "Trust" zone.
!
config
tunnel-interface vpn T1
ip-assignment VPN static
ip 169.254.44.242 netmask 255.255.255.252
!
!
! #4: Border Gateway Protocol (BGP) Configuration:
!
! BGP is used within the tunnel to exchange prefixes between the
! Virtual Private Gateway and your Customer Gateway. The Virtual Private
Gateway
! will announce the prefix corresponding to your VPC.
! !
! The local BGP Autonomous System Number (ASN) (65000)
! is configured as part of your Customer Gateway. If the ASN must
! be changed, the Customer Gateway and VPN Connection will need to be
recreated with AWS.
!
routing
bgp
configure terminal
router bgp YOUR_BGP_ASN
network <Local_subnet>/24
neighbor 169.254.44.242 remote-as 7224
neighbor 169.254.44.242 timers 10 30
neighbor 169.254.44.242 soft-reconfiguration inbound
end
exit
commit
end
!
! IPSec Tunnel #2
!
--------------------------------------------------------------------------------
68
Amazon Virtual Private Cloud ネットワーク管理者ガイド
構成ファイルの例
! #1: Internet Key Exchange (IKE) Configuration
!
! Please note, these sample configurations are for the minimum requirement of
AES128, SHA1, and DH Group 2.
! You can modify these sample configuration files to use AES128, SHA1,
AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.
! The address of the external interface for your customer gateway must be a
static address.
! Your customer gateway may reside behind a device performing network address
translation (NAT).
! To ensure that NAT traversal (NAT-T) can function, you must adjust your
firewall rules to unblock UDP port 4500. If not behind NAT, we recommend
disabling NAT-T.
!
config
address-object ipv4 AWSVPC network 172.30.0.0/16
vpn policy tunnel-interface vpn-44a8938f-1
gateway primary 72.21.209.225
bound-to interface X1
auth-method shared-secret
shared-secret PRE-SHARED-KEY-IN-PLAIN-TEXT
ike-id local ip your_customer_gateway_IP_address
ike-id peer ip 72.21.209.225
end
!
!
!
!
!
!
#2: IPSec Configuration
The IPSec (Phase 2) proposal defines the protocol, authentication,
encryption, and lifetime parameters for our IPSec security association.
Please note, you may use these additionally supported IPSec parameters for
encryption like AES256 and other DH groups like 1,2, 5, 14-18, 22, 23, and
24.
!
config
proposal ipsec lifetime 3600
proposal ipsec authentication sha1
proposal ipsec encryption aes128
proposal ipsec perfect-forward-secrecy dh-group 2
proposal ipsec protocol ESP
keep-alive
enable
commit
end
!
!
! You can use other supported IPSec parameters for encryption such as AES256,
and other DH groups such as 1,2, 5, 14-18, 22, 23, and 24.
! IPSec Dead Peer Detection (DPD) will be enabled on the AWS Endpoint. We
! recommend configuring DPD on your endpoint as follows:
- DPD Interval
: 120
- DPD Retries
: 3
! To configure Dead Peer Detection for the SonicWall device, use the SonicOS
management interface.
69
Amazon Virtual Private Cloud ネットワーク管理者ガイド
管理インターフェイスを使用し
て SonicWALL デバイスを設定する
!
! #3: Tunnel Interface Configuration
!
! The tunnel interface is configured with the internal IP address.
!
! To establish connectivity between your internal network and the VPC, you
! must have an interface facing your internal network in the "Trust" zone.
!
config
tunnel-interface vpn T2
ip-assignment VPN static
ip 169.254.44.114 netmask 255.255.255.252
!
! #4: Border Gateway Protocol (BGP) Configuration:
!
! BGP is used within the tunnel to exchange prefixes between the
! Virtual Private Gateway and your Customer Gateway. The Virtual Private
Gateway
! will announce the prefix corresponding to your VPC.
!
! The local BGP Autonomous System Number (ASN) (65000)
! is configured as part of your Customer Gateway. If the ASN must
! be changed, the Customer Gateway and VPN Connection will need to be
recreated with AWS.
!
routing
bgp
configure terminal
router bgp YOUR_BGP_ASN
network <Local_subnet>/24
neighbor 169.254.44.114 remote-as 7224
neighbor 169.254.44.114 timers 10 30
neighbor 169.254.44.114 soft-reconfiguration inbound
end
exit
commit
end
管理インターフェイスを使用して SonicWALL デ
バイスを設定する
また、SonicOS 管理インターフェイスを使用して SonicWALL デバイスを設定することもできます。
詳細については、「管理インターフェイスを使用して SonicWALL デバイスを設定する (p. 78)」を
参照してください。
このSonicOS 管理インターフェイスを使用して、デバイスの BGP を設定することはできません。代
わりに、[BGP] というセクションの下にある、上記例の設定ファイル内のコマンドライン手順を使用
します。
70
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイ設定をテストする方法
カスタマーゲートウェイ設定をテストする方法
各トンネルに対して、ゲートウェイ設定をテストすることができます。
各トンネルのカスタマーゲートウェイ設定をテストするには
1.
カスタマーゲートウェイで、BGP ステータスが Active であるかどうかを確認します。
BGP ピアがアクティブになるまでに約 30 秒かかります。
2.
カスタマーゲートウェイが仮想プライベートゲートウェイへのルートをアドバタイズしているこ
とを確認します。このルートは、デフォルトルート (0.0.0.0/0) の場合と、任意で特定したルー
トの場合があります。
正しく設定されている場合、BGP ピアは、VPC 統合チームが VPC 用に指定したプレフィックス (た
とえば、10.0.0.0/24) に対応する仮想プライベートゲートウェイから 1 つのルートを受け取りま
す。BGP ピアが確立された場合は、プレフィックスを受け取り、プレフィックスをアドバタイズし
て、トンネルが正しく設定されます。両方のトンネルがこの状態であることを確認します。
次に、VPC でインスタンスを起動し、ホームネットワークからインスタンスへの ping を実行して、
各トンネルの接続をテストする必要があります。開始する前に、以下を確認してください。
• ping リクエストに応答する AMI を使用します。Amazon Linux AMI のいずれかを使用することをお
勧めします。
• インスタンスのセキュリティグループとネットワーク ACL を設定し、インバウンド ICMP トラ
フィックを有効にします。
• VPN 接続用のルーティングを設定していることを確認します。サブネットのルートテーブルに仮想
プライベートゲートウェイへのルートが含まれている必要があります。詳細については、Amazon
VPC ユーザーガイド の「ルートテーブルでルート伝達を有効にする」を参照してください。
各トンネルのエンドツーエンド接続をテストするには
1.
VPC で Amazon Linux AMI の 1 つのインスタンスを起動します。Amazon EC2 コンソールからイ
ンスタンスを起動すると、起動ウィザードのリストに Amazon Linux AMI が表示されます。詳細
については、「Amazon VPC 入門ガイド」を参照してください。
2.
インスタンスが実行中になった後、そのプライベート IP アドレス (例えば 10.0.0.4) を取得し
ます。 コンソールにインスタンスの詳細の一部としてアドレスが表示されます。
3.
ホームネットワークのシステムで、インスタンスの IP アドレスに対して ping コマンドを実行し
ます。ping を実行するコンピューターがカスタマーゲートウェイの背後にないことを確認しま
す。正常なレスポンスは次のようになります。
PROMPT> ping 10.0.0.4
Pinging 10.0.0.4 with 32 bytes of data:
Reply from 10.0.0.4: bytes=32 time<1ms TTL=128
Reply from 10.0.0.4: bytes=32 time<1ms TTL=128
Reply from 10.0.0.4: bytes=32 time<1ms TTL=128
Ping statistics for 10.0.0.4:
Packets: Sent = 3, Received = 3, Lost = 0 (0% loss),
Approximate round trip times in milliseconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
71
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイ設定をテストする方法
Note
カスタマーゲートウェイルーターからインスタンスへの ping を実行する場合は、ping
メッセージの送信元がトンネル IP アドレスではなく内部 IP アドレスになるようにして
ください。一部の AMI は、トンネル IP アドレスからの ping メッセージに応答しませ
ん。
4.
(オプション) トンネル フェイルオーバーをテストするため、カスタマーゲートウェイのトンネル
の 1 つを一時的に無効化し、上記の手順を繰り返すことができます。VPN 接続の AWS 側のトン
ネルを無効化することはできません。
トンネルのテストを正常に実施できない場合は、「ボーダーゲートウェイプロトコルを使用した一般
的なデバイスのカスタマーゲートウェイ接続のトラブルシューティング (p. 186)」を参照してくださ
い。
72
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイの概要
例: ボーダーゲートウェイプロト
コルを使用しない Dell SonicWALL
SonicOS デバイス
このトピックでは、カスタマーゲートウェイが、SonicOS 5.9 または 6.2 を搭載した Dell SonicWALL
ルーターの場合のルーターの設定方法の例を取り上げます。
このセクションでは、Amazon VPC コンソールで、静的ルーティングの VPN 接続が設定されている
ことを前提としています。詳細については、『Amazon VPC ユーザーガイド』の「VPC へのハード
ウェア仮想プライベートゲートウェイの追加」を参照してください。
トピック
• カスタマーゲートウェイの概要 (p. 73)
• 構成ファイルの例 (p. 74)
• 管理インターフェイスを使用して SonicWALL デバイスを設定する (p. 78)
• カスタマーゲートウェイ設定をテストする方法 (p. 79)
カスタマーゲートウェイの概要
次の図は、カスタマーゲートウェイの全般的な説明を示しています。VPN 接続が 2 つの個別のトンネ
ル (Tunnel 1 と Tunnel 2) で構成されている点に注意してください。冗長なトンネルを使用すること
で、デバイス障害の発生時にも可用性を継続的に維持できます。
73
Amazon Virtual Private Cloud ネットワーク管理者ガイド
構成ファイルの例
構成ファイルの例
Amazon VPC コンソールからダウンロードした設定ファイルには、OS 6.2 上でコマンドラインツー
ルを使用して、各トンネル、および SonicWALL デバイスの IKE と IPsec の設定に必要な値が含まれ
ています。
Important
以下の設定情報では、サンプル値ではなく、必ず実際の値を使用します。それ以外の場合、
実装は失敗します。
! Amazon Web Services
! Virtual Private Cloud
!
! VPN Connection Configuration
!
================================================================================
! AWS utilizes unique identifiers to manipulate the configuration of
! a VPN Connection. Each VPN Connection is assigned a VPN Connection
Identifier
! and is associated with two other identifiers, namely the
! Customer Gateway Identifier and the Virtual Private Gateway Identifier.
!
74
Amazon Virtual Private Cloud ネットワーク管理者ガイド
構成ファイルの例
!
!
!
!
!
!
!
!
!
!
Your VPN Connection ID
Your Virtual Private Gateway ID
Your Customer Gateway ID
: vpn-44a8938f
: vgw-8db04f81
: cgw-ff628496
This configuration consists of two tunnels. Both tunnels must be
configured on your customer gateway.
This configuration was tested on a SonicWALL TZ 600 running OS 6.2.5.1-26n
You may need to populate these values throughout the config based on your
setup:
! <vpc_subnet> - VPC IP address range
!
================================================================================
! #1: Internet Key Exchange (IKE) Configuration
!
! These sample configurations are for the minimum requirement of AES128,
SHA1, and DH Group 2.
! You can modify these sample configuration files to use AES128, SHA1,
AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.
! The address of the external interface for your customer gateway must be a
static address.
! Your customer gateway may reside behind a device performing network address
translation (NAT).
! To ensure that NAT traversal (NAT-T) can function, you must adjust your
firewall rules to unblock UDP port 4500. If not behind NAT, we recommend
disabling NAT-T.
!
config
address-object ipv4 AWSVPC network 172.30.0.0/16
vpn policy tunnel-interface vpn-44a8938f-1
gateway primary 72.21.209.193
bound-to interface X1
auth-method shared-secret
shared-secret PRE-SHARED-KEY-IN-PLAIN-TEXT
ike-id local ip your_customer_gateway_IP_address
ike-id peer ip 72.21.209.193
end
!
!
!
!
!
#2: IPSec Configuration
The IPSec (Phase 2) proposal defines the protocol, authentication,
encryption, and lifetime parameters for our IPSec security association.
Please note, you may use these additionally supported IPSec parameters for
encryption like AES256 and other DH groups like 1,2, 5, 14-18, 22, 23, and
24.
!
config
proposal
proposal
proposal
proposal
proposal
ipsec
ipsec
ipsec
ipsec
ipsec
lifetime 3600
authentication sha1
encryption aes128
perfect-forward-secrecy dh-group 2
protocol ESP
75
Amazon Virtual Private Cloud ネットワーク管理者ガイド
構成ファイルの例
keep-alive
enable
commit
end
!
! You can use other supported IPSec parameters for encryption such as AES256,
and other DH groups such as 1,2, 5, 14-18, 22, 23, and 24.
! IPSec Dead Peer Detection (DPD) will be enabled on the AWS Endpoint. We
! recommend configuring DPD on your endpoint as follows:
! - DPD Interval
: 120
! - DPD Retries
: 3
! To configure Dead Peer Detection for the SonicWall device, use the SonicOS
management interface.
!
! #3: Tunnel Interface Configuration
!
! The tunnel interface is configured with the internal IP address.
!
! To establish connectivity between your internal network and the VPC, you
! must have an interface facing your internal network in the "Trust" zone.
!
!
config
tunnel-interface vpn T1
ip-assignment VPN static
ip 169.254.255.6 netmask 255.255.255.252
exit
!
!
! #4 Static Route Configuration
!
! Create a firewall policy permitting traffic from your local subnet to the
VPC subnet and vice versa
! This example policy permits all traffic from the local subnet to the VPC
through the tunnel interface.
!
!
policy interface T1 metric 1 source any destination name AWSVPC service any
gateway 169.254.255.5
!
IPSec Tunnel !2
================================================================================
! #1: Internet Key Exchange (IKE) Configuration
!
! These sample configurations are for the minimum requirement of AES128,
SHA1, and DH Group 2.
! You can modify these sample configuration files to use AES128, SHA1,
AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.
! The address of the external interface for your customer gateway must be a
static address.
! Your customer gateway may reside behind a device performing network address
translation (NAT).
76
Amazon Virtual Private Cloud ネットワーク管理者ガイド
構成ファイルの例
! To ensure that NAT traversal (NAT-T) can function, you must adjust your
firewall rules to unblock UDP port 4500. If not behind NAT, we recommend
disabling NAT-T.
!
config
address-object ipv4 AWSVPC network 172.30.0.0/16
vpn policy tunnel-interface vpn-44a8938f-2
gateway primary 72.21.209.225
bound-to interface X1
auth-method shared-secret
shared-secret PRE-SHARED-KEY-IN-PLAIN-TEXT
ike-id local ip your_customer_gateway_IP_address
ike-id peer ip 72.21.209.225
end
!
!
!
!
!
!
#2: IPSec Configuration
The IPSec (Phase 2) proposal defines the protocol, authentication,
encryption, and lifetime parameters for our IPSec security association.
Please note, you may use these additionally supported IPSec parameters for
encryption like AES256 and other DH groups like 1,2, 5, 14-18, 22, 23, and
24.
!
config
proposal ipsec lifetime 3600
proposal ipsec authentication sha1
proposal ipsec encryption aes128
proposal ipsec perfect-forward-secrecy dh-group 2
proposal ipsec protocol ESP
keep-alive
enable
commit
end
!
! You can use other supported IPSec parameters for encryption such as AES256,
and other DH groups such as 1,2, 5, 14-18, 22, 23, and 24.
!
! IPSec Dead Peer Detection (DPD) will be enabled on the AWS Endpoint. We
! recommend configuring DPD on your endpoint as follows:
! - DPD Interval
: 120
! - DPD Retries
: 3
! To configure Dead Peer Detection for the SonicWall device, use the SonicOS
management interface.
!
! #3: Tunnel Interface Configuration
!
! The tunnel interface is configured with the internal IP address.
!
! To establish connectivity between your internal network and the VPC, you
! must have an interface facing your internal network in the "Trust" zone.
!
!
config
77
Amazon Virtual Private Cloud ネットワーク管理者ガイド
管理インターフェイスを使用し
て SonicWALL デバイスを設定する
tunnel-interface vpn T2
ip-assignment VPN static
ip 169.254.255.2 netmask 255.255.255.252
!
! #4 Static Route Configuration
!
! Create a firewall policy permitting traffic from your local subnet to the
VPC subnet and vice versa
! This example policy permits all traffic from the local subnet to the VPC
through the tunnel interface.
!
!
policy interface T2 metric 1 source any destination name AWSVPC service any
gateway 169.254.255.1
管理インターフェイスを使用して SonicWALL デ
バイスを設定する
次の手順では、SonicOS 管理インターフェイスを使用して SonicWALL デバイスに VPN トンネルを設
定する方法を説明します。手順内の例の値は設定ファイルで提供される値に置き換えてください。
トンネルを設定するには
1.
SonicWALL SonicOS 管理インターフェイスを開きます。
2.
左側のペインで、[VPN]、[Settings] の順に選択します。[VPN Policies] の下で、[Add...] を選択し
ます。
3.
[General] タブの VPN ポリシーウィンドウで、次の情報を入力します。
• [Policy Type]: [Site to Site] を選択します。
• [Authentication Method]: [IKE using Preshared Secret] を選択します。
• [Name]: VPN ポリシーの名前を入力します。設定ファイルに記載されている通り、VPN ID 名
を使用することをお勧めします。
• IPsec Primary Gateway Name or Address: 設定ファイルに記載されている通り、仮想プライ
ベートゲートウェイ (AWS エンドポイント) の IP アドレス (例: 72.21.209.193) を入力しま
す。
• IPsec Primary Gateway Name or Address: デフォルト値のままにします。
• Shared Secret: 設定ファイルに記載されている通りに事前共有キーを入力後、[Confirm Shared
Secret] で再入力します。
• Local IKE ID: カスタマーゲートウェイ (SonicWALL デバイス) の IPv4 アドレスを入力します。
• Peer IKE ID: 仮想プライベートゲートウェイ (AWS エンドポイント) の IPv4 アドレスを入力し
ます。
4.
[Network] タブで、次の情報を入力します。
• [Local Networks] で、[Any address] を選択します。このオプションを使用して、ローカルネッ
トワーク接続の問題を防ぐことをお勧めします。
• [Remote Networks] で、[Choose a destination network from list] を選択します。AWS 内に VPC
の CIDR を持つアドレスオブジェクトを作成します。
5.
[Policy] タブで、次の情報を入力します。
• [IKE (Phase 1) Proposal] で、以下の作業を行います。
• Exchange: [Main Mode] を選択します。
78
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイ設定をテストする方法
• DH Group: Diffie-Hellman Group の値 (例: 2) を入力します。
• Encryption: [AES-128] または [AES-256] を選択します。
• Authentication: [SHA1] または [SHA256] を選択します。
• Life Time: 28800 と入力します。
• [IKE (Phase 2) Proposal] で、以下の作業を行います。
• Protocol: [ESP] を選択します。
• Encryption: [AES-128] または [AES-256] を選択します。
• Authentication: [SHA1] または [SHA256] を選択します。
• [Enable Perfect Forward Secrecy] チェックボックスをオンにし、Diffie-Hellman group を選択
します。
• Life Time: 3600 と入力します。
Important
仮想プライベートゲートウェイを作成したのが 2015 年 10 月より前の場合は、両方の
フェーズで Diffie-Hellman group 2、AES-128、SHA1 を指定する必要があります。
6.
[Advanced] タブで、次の情報を入力します。
• [Enable Keep Alive] を選択します。
• [Enable Phase2 Dead Peer Detection] を選択し、次のように入力します。
• [Dead Peer Detection Interval] に、120 (SonicWALL デバイスで入力可能な最小値) と入力し
ます。
• [Failure Trigger Level] で、2 と入力します。
• [VPN Policy bound to] で、[Interface X1] を選択します。パブリック IP アドレスで一般的に指
定されたインターフェイスです。
7.
[OK] を選択します。[Settings] ページで、トンネルの [Enable] チェックボックスをデフォルトで
オンにします。緑の点は、トンネルが稼働していることを表します。
カスタマーゲートウェイ設定をテストする方法
各トンネルに対して、最初にゲートウェイ設定をテストする必要があります。
各トンネルのカスタマーゲートウェイ設定をテストするには
•
カスタマーゲートウェイで、トンネルインターフェイスを使用する VPC CIDR IP 空間への静的
ルートが追加されていることを確認します。
次に、VPC でインスタンスを起動し、ホームネットワークからインスタンスへの ping を実行して、
各トンネルの接続をテストする必要があります。開始する前に、以下を確認してください。
• ping リクエストに応答する AMI を使用します。Amazon Linux AMI のいずれかを使用することをお
勧めします。
• インスタンスのセキュリティグループとネットワーク ACL を設定し、インバウンド ICMP トラ
フィックを有効にします。
• VPN 接続用のルーティングが設定されていることを確認します。仮想プライベートゲートウェ
イへのルートがサブネットのルートテーブルに含まれている必要があります。詳細について
は、Amazon VPC ユーザーガイド の「ルートテーブルでルート伝達を有効にする」を参照してくだ
さい。
79
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイ設定をテストする方法
各トンネルのエンドツーエンド接続をテストするには
1.
2.
3.
Amazon Linux AMI の 1 つのインスタンスを VPC で起動します。AWS マネジメントコンソー
ル の [Launch Instances (インスタンスの起動)] ウィザードを使用して、[Quick Start] メニューの
Amazon Linux AMI を使用します。詳細については、「Amazon VPC 入門ガイド」を参照してく
ださい。
インスタンスが実行中になった後、そのプライベート IP アドレス (たとえば 10.0.0.4) を取得しま
す。 コンソールにインスタンスの詳細の一部としてアドレスが表示されます。
ホームネットワークのシステムで、インスタンスの IP アドレスに対して ping コマンドを実行し
ます。ping を実行するコンピューターがカスタマーゲートウェイの背後にないことを確認しま
す。正常なレスポンスは次のようになります。
PROMPT> ping 10.0.0.4
Pinging 10.0.0.4 with 32 bytes of data:
Reply from 10.0.0.4: bytes=32 time<1ms TTL=128
Reply from 10.0.0.4: bytes=32 time<1ms TTL=128
Reply from 10.0.0.4: bytes=32 time<1ms TTL=128
Ping statistics for 10.0.0.4:
Packets: Sent = 3, Received = 3, Lost = 0 (0% loss),
Approximate round trip times in milliseconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
Note
カスタマーゲートウェイルーターからインスタンスへの ping を実行する場合は、ping メッ
セージの送信元がトンネル IP アドレスではなく内部 IP アドレスになるようにしてくださ
い。一部の AMI は、トンネル IP アドレスからの ping メッセージに応答しません。
トンネルのテストを正常に実施できない場合は、「ボーダーゲートウェイプロトコルを使用した一般
的なデバイスのカスタマーゲートウェイ接続のトラブルシューティング (p. 186)」を参照してくださ
い。
80
Amazon Virtual Private Cloud ネットワーク管理者ガイド
例: Fortinet Fortigate デバイス
トピック
• カスタマーゲートウェイの概要 (p. 82)
• カスタマーゲートウェイの詳細と設定例 (p. 82)
• カスタマーゲートウェイ設定をテストする方法 (p. 91)
次のトピックでは、お使いのカスタマーゲートウェイが Fortinet Fortigate 40+ デバイスである場合、
統合チームより提供される設定情報の例をご覧いただけます。
2 つの図で設定例を紹介します。最初の図はカスタマーゲートウェイのレイアウトの概要を表し、2
番目の図はこの設定例の詳細を表しています。統合チームから受け取った実際の設定情報を使用し
て、カスタマーゲートウェイに適用する必要があります。
81
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイの概要
カスタマーゲートウェイの概要
次の図は、カスタマーゲートウェイの全般的な説明を示しています。VPN 接続が 2 つの個別のトンネ
ルで構成されている点に注意してください。冗長なトンネルを使用することで、デバイス障害の発生
時にも可用性を継続的に維持できます。
カスタマーゲートウェイの詳細と設定例
このセクションの図は、一般的な Fortinet カスタマーゲートウェイの例を示しています。図の後に
は、統合チームから提供される設定情報の対応する例が示されています。この設定例には、各トンネ
ルに設定する必要のある一連の情報が含まれています。
さらに、指定する必要ある以下の項目が示されています。
• YOUR_UPLINK_ADDRESS - カスタマーゲートウェイ上のインターネットでルーティング可能な外
部インターフェイスの IP アドレス (静的アドレスである必要があり、ネットワークアドレス変換
(NAT) を実行するデバイスの背後のアドレスである可能性があります)。
• YOUR_BGP_ASN - カスタマーゲートウェイの BGP ASN (デフォルトで 65000 を使用します)
この設定例には、設定がどのように機能するかを理解するために役立つサンプル値が含まれていま
す。たとえば、VPN 接続 ID (vpn-44a8938f)、仮想プライベートゲートウェイ ID (vgw-8db04f81)、IP
アドレス (72.21.209.*, 169.254.255.*)、リモート ASN (7224) です。これらのサンプル値を、受け取っ
た設定情報に含まれる実際の値で置き換えます。
次の図および設定例では、イタリックの赤い文字の項目を、特定の設定に適用される値で置き換える
必要があります。
82
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイの詳細と設定例
Warning
次の設定情報の例は、統合チームから提供されることが想定される内容です。この例に示さ
れた値の多くは、実際に受け取る設定情報とは異なります。ここに示されるサンプル値では
なく、実際の値を使用する必要があります。そうしないと、実装が失敗します。
! Amazon Web Services
! Virtual Private Cloud
!
!
!
!
!
!
!
!
!
AWS utilizes unique identifiers to manipulate the configuration of
a VPN Connection. Each VPN Connection is assigned an identifier and is
associated with two other identifiers, namely the
Customer Gateway Identifier and Virtual Private Gateway Identifier.
Your VPN Connection ID
: vpn-44a8938f
Your Virtual Private Gateway ID
: vgw-8db04f81
Your Customer Gateway ID
: cgw-b4dc3961
83
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイの詳細と設定例
!
! This configuration consists of two tunnels. Both tunnels must be
! configured on your Customer Gateway.
!
!
-------------------------------------------------------------------------------! IPSec Tunnel #1
!
--------------------------------------------------------------------------------
!
!
!
!
!
#1: Internet Key Exchange (IKE) Configuration
A policy is established for the supported ISAKMP encryption,
authentication, Diffie-Hellman, lifetime, and key parameters.
Please note, these sample configurations are for the minimum requirement of
AES128, SHA1, and DH Group 2.
! You will need to modify these sample configuration files to take advantage
of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.
!
! The address of the external interface for your customer gateway must be a
static address.
! Your customer gateway may reside behind a device performing network address
translation (NAT).
! To ensure that NAT traversal (NAT-T) can function, you must adjust your
firewall rules to unblock UDP port 4500. If not behind NAT, we recommend
disabling NAT-T.
!
! Configuration begins in root VDOM.
config vpn ipsec phase1-interface
edit vpn-44a8938f-0 ! Name must be shorter than 15 chars, best if shorter
than 12
set interface "wan1"
! The IPSec Dead Peer Detection causes periodic messages to be
! sent to ensure a Security Association remains operational
set
set
set
set
set
set
set
set
next
end
dpd enable
local-gw YOUR_UPLINK_ADDRESS
dhgrp 2
proposal aes128-sha1
keylife 28800
remote-gw 72.21.209.193
psksecret plain-text-password1
dpd-retryinterval 10
! #2: IPSec Configuration
!
! The IPSec transform set defines the encryption, authentication, and IPSec
! mode parameters.
84
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイの詳細と設定例
!
! Please note, you may use these additionally supported IPSec parameters for
encryption like AES256 and other DH groups like 1, 2, 5, 14-18, 22, 23, and
24.
config vpn ipsec phase2-interface
edit "vpn-44a8938f-0"
set phase1name "vpn-44a8938f-0"
set proposal aes128-sha1
set dhgrp 2
set keylifeseconds 3600
next
!
-------------------------------------------------------------------------------#3: Tunnel Interface Configuration
!
!
!
!
!
!
!
!
!
!
!
!
A tunnel interface is configured to be the logical interface associated
with the tunnel. All traffic routed to the tunnel interface will be
encrypted and transmitted to the VPC. Similarly, traffic from the VPC
will be logically received on this interface.
The address of the interface is configured with the setup for your
Customer Gateway. If the address changes, the Customer Gateway and VPN
Connection must be recreated with Amazon VPC.
config system interface
edit "vpn-44a8938f-0"
set vdom "root"
set ip 169.254.255.2 255.255.255.255
set allowaccess ping
set type tunnel
!
!
!
This option causes the router to reduce the Maximum Segment Size of
TCP packets to prevent packet fragmentation.
set
set
set
set
next
tcp-mss 1387
remote-ip 169.254.255.1
mtu 1427
interface "wan1"
!
-------------------------------------------------------------------------------! #4: Border Gateway Protocol (BGP) Configuration
85
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイの詳細と設定例
!
! BGP is used within the tunnel to exchange prefixes between the
! Virtual Private Gateway and your Customer Gateway. The Virtual Private
Gateway
! will announce the prefix corresponding to your VPC.
!
!
!
! The local BGP Autonomous System Number (ASN) (YOUR_BGP_ASN)
! is configured as part of your Customer Gateway. If the ASN must
! be changed, the Customer Gateway and VPN Connection will need to be
recreated with AWS.
!
config router bgp
set as YOUR_BGP_ASN
config neighbor
edit 169.254.255.1
set remote-as 7224
end
! Your Customer Gateway may announce a default route (0.0.0.0/0) to us.
! This is done using prefix list and route-map in Fortigate.
config router bgp
config neighbor
edit 169.254.255.1
set capability-default-originate enable
end
end
config router prefix-list
edit "default_route"
config rule
edit 1
set prefix 0.0.0.0 0.0.0.0
next
end
set router-id YOUR_UPLINK_ADDRESS
end
config router route-map
edit "routemap1"
config rule
edit 1
set match-ip-address "default_route"
next
end
next
end
! To advertise additional prefixes to Amazon VPC, add these prefixes to the
'network'
86
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイの詳細と設定例
! statement and identify the prefix you wish to advertise. Make sure the
prefix is present
! in the routing table of the device with a valid next-hop. If you want to
advertise
! 192.168.0.0/16 to Amazon, this can be done using the following:
config router bgp
config network
edit 1
set prefix 192.168.0.0 255.255.0.0
next
end
set router-id YOUR_UPLINK_ADDRESS
end
!
-------------------------------------------------------------------------------! #5 Firewall Policy Configuration
!
! Create a firewall policy permitting traffic from your local subnet to the
VPC subnet and vice versa
!
! This example policy permits all traffic from the local subnet to the VPC
! First, find the policies that exist
show firewall policy
! Next, create a new firewall policy starting with the next available policy
ID. If policies 1, 2, 3, and 4 were shown, then in this example the policy
created starts 5
config firewall policy
edit 5
set srcintf "vpn-44a8938f-0"
set dstintf internal
set srcaddr all
set dstaddr all
set action accept
set schedule always
set service ANY
next
end
config firewall policy
edit 5
set srcintf internal
set dstintf "vpn-44a8938f-0"
set srcaddr all
set dstaddr all
set action accept
set schedule always
set service ANY
next
end
87
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイの詳細と設定例
!
-------------------------------------------------------------------------------! IPSec Tunnel #2
!
-------------------------------------------------------------------------------! #1: Internet Key Exchange (IKE) Configuration
!
! A policy is established for the supported ISAKMP encryption,
! authentication, Diffie-Hellman, lifetime, and key parameters.
!
! The address of the external interface for your customer gateway must be a
static address.
! Your customer gateway may reside behind a device performing network address
translation (NAT).
! To ensure that NAT traversal (NAT-T) can function, you must adjust your
firewall rules to unblock UDP port 4500. If not behind NAT, we recommend
disabling NAT-T.
!
! Configuration begins in root VDOM.
config vpn ipsec phase1-interface
edit vpn-44a8938f-1 ! Name must be shorter than 15 chars, best if shorter
than 12
set interface "wan1"
! The IPSec Dead Peer Detection causes periodic messages to be
! sent to ensure a Security Association remains operational
set
set
set
set
set
set
set
set
next
end
!
!
!
!
!
!
dpd enable
local-gw YOUR_UPLINK_ADDRESS
dhgrp 2
proposal aes128-sha1
keylife 28800
remote-gw 72.21.209.225
psksecret plain-text-password2
dpd-retryinterval 10
#2: IPSec Configuration
The IPSec transform set defines the encryption, authentication, and IPSec
mode parameters.
Please note, you may use these additionally supported IPSec parameters for
encryption like AES256 and other DH groups like 1, 2, 5, 14-18, 22, 23, and
24.
config vpn ipsec phase2-interface
edit "vpn-44a8938f-1"
set phase1name "vpn-44a8938f-1"
set proposal aes128-sha1
88
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイの詳細と設定例
set dhgrp 2
set keylifeseconds 3600
next
!
-------------------------------------------------------------------------------#3: Tunnel Interface Configuration
!
!
!
!
!
!
!
!
!
!
!
!
A tunnel interface is configured to be the logical interface associated
with the tunnel. All traffic routed to the tunnel interface will be
encrypted and transmitted to the VPC. Similarly, traffic from the VPC
will be logically received on this interface.
The address of the interface is configured with the setup for your
Customer Gateway. If the address changes, the Customer Gateway and VPN
Connection must be recreated with Amazon VPC.
config system interface
edit "vpn-44a8938f-1"
set vdom "root"
set ip 169.254.255.6 255.255.255.255
set allowaccess ping
set type tunnel
!
!
!
This option causes the router to reduce the Maximum Segment Size of
TCP packets to prevent packet fragmentation.
set
set
set
set
next
tcp-mss 1387
remote-ip 169.254.255.5
mtu 1427
interface "wan1"
!
-------------------------------------------------------------------------------! #4: Border Gateway Protocol (BGP) Configuration
!
! BGP is used within the tunnel to exchange prefixes between the
! Virtual Private Gateway and your Customer Gateway. The Virtual Private
Gateway
! will announce the prefix corresponding to your VPC.
!
!
!
! The local BGP Autonomous System Number (ASN) (YOUR_BGP_ASN)
89
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイの詳細と設定例
! is configured as part of your Customer Gateway. If the ASN must
! be changed, the Customer Gateway and VPN Connection will need to be
recreated with AWS.
!
config router bgp
set as YOUR_BGP_ASN
config neighbor
edit 169.254.255.5
set remote-as 7224
end
! Your Customer Gateway may announce a default route (0.0.0.0/0) to us.
! This is done using prefix list and route-map in Fortigate.
config router bgp
config neighbor
edit 169.254.255.5
set capability-default-originate enable
end
end
config router prefix-list
edit "default_route"
config rule
edit 1
set prefix 0.0.0.0 0.0.0.0
next
end
set router-id YOUR_UPLINK_ADDRESS
end
config router route-map
edit "routemap1"
config rule
edit 1
set match-ip-address "default_route"
next
end
next
end
! To advertise additional prefixes to Amazon VPC, add these prefixes to the
'network'
! statement and identify the prefix you wish to advertise. Make sure the
prefix is present
! in the routing table of the device with a valid next-hop. If you want to
advertise
! 192.168.0.0/16 to Amazon, this can be done using the following:
config router bgp
config network
edit 1
set prefix 192.168.0.0 255.255.0.0
90
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイ設定をテストする方法
next
end
set router-id YOUR_UPLINK_ADDRESS
end
!
!
-------------------------------------------------------------------------------! #5 Firewall Policy Configuration
!
! Create a firewall policy permitting traffic from your local subnet to the
VPC subnet and vice versa
!
! This example policy permits all traffic from the local subnet to the VPC
! First, find the policies that exist
show firewall policy
! Next, create a new firewall policy starting with the next available policy
ID. If policies 1, 2, 3, and 4 were shown, then in this example the policy
created starts 5
config firewall policy
edit 5
set srcintf "vpn-44a8938f-1"
set dstintf internal
set srcaddr all
set dstaddr all
set action accept
set schedule always
set service ANY
next
end
config firewall policy
edit 5
set srcintf internal
set dstintf "vpn-44a8938f-1"
set srcaddr all
set dstaddr all
set action accept
set schedule always
set service ANY
next
end
!
--------------------------------------------------------------------------------
カスタマーゲートウェイ設定をテストする方法
各トンネルに対して、ゲートウェイ設定をテストすることができます。
各トンネルのカスタマーゲートウェイ設定をテストするには
1.
カスタマーゲートウェイで、BGP ステータスが Active であるかどうかを確認します。
91
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイ設定をテストする方法
BGP ピアがアクティブになるまでに約 30 秒かかります。
2.
カスタマーゲートウェイが仮想プライベートゲートウェイへのルートをアドバタイズしているこ
とを確認します。このルートは、デフォルトルート (0.0.0.0/0) の場合と、任意で特定したルー
トの場合があります。
正しく設定されている場合、BGP ピアは、VPC 統合チームが VPC 用に指定したプレフィックス (た
とえば、10.0.0.0/24) に対応する仮想プライベートゲートウェイから 1 つのルートを受け取りま
す。BGP ピアが確立された場合は、プレフィックスを受け取り、プレフィックスをアドバタイズし
て、トンネルが正しく設定されます。両方のトンネルがこの状態であることを確認します。
次に、VPC でインスタンスを起動し、ホームネットワークからインスタンスへの ping を実行して、
各トンネルの接続をテストする必要があります。開始する前に、以下を確認してください。
• ping リクエストに応答する AMI を使用します。Amazon Linux AMI のいずれかを使用することをお
勧めします。
• インスタンスのセキュリティグループとネットワーク ACL を設定し、インバウンド ICMP トラ
フィックを有効にします。
• VPN 接続用のルーティングを設定していることを確認します。サブネットのルートテーブルに仮想
プライベートゲートウェイへのルートが含まれている必要があります。詳細については、Amazon
VPC ユーザーガイド の「ルートテーブルでルート伝達を有効にする」を参照してください。
各トンネルのエンドツーエンド接続をテストするには
1.
VPC で Amazon Linux AMI の 1 つのインスタンスを起動します。Amazon EC2 コンソールからイ
ンスタンスを起動すると、起動ウィザードのリストに Amazon Linux AMI が表示されます。詳細
については、「Amazon VPC 入門ガイド」を参照してください。
2.
インスタンスが実行中になった後、そのプライベート IP アドレス (例えば 10.0.0.4) を取得し
ます。 コンソールにインスタンスの詳細の一部としてアドレスが表示されます。
ホームネットワークのシステムで、インスタンスの IP アドレスに対して ping コマンドを実行し
ます。ping を実行するコンピューターがカスタマーゲートウェイの背後にないことを確認しま
す。正常なレスポンスは次のようになります。
3.
PROMPT> ping 10.0.0.4
Pinging 10.0.0.4 with 32 bytes of data:
Reply from 10.0.0.4: bytes=32 time<1ms TTL=128
Reply from 10.0.0.4: bytes=32 time<1ms TTL=128
Reply from 10.0.0.4: bytes=32 time<1ms TTL=128
Ping statistics for 10.0.0.4:
Packets: Sent = 3, Received = 3, Lost = 0 (0% loss),
Approximate round trip times in milliseconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
Note
カスタマーゲートウェイルーターからインスタンスへの ping を実行する場合は、ping
メッセージの送信元がトンネル IP アドレスではなく内部 IP アドレスになるようにして
ください。一部の AMI は、トンネル IP アドレスからの ping メッセージに応答しませ
ん。
4.
(オプション) トンネル フェイルオーバーをテストするため、カスタマーゲートウェイのトンネル
の 1 つを一時的に無効化し、上記の手順を繰り返すことができます。VPN 接続の AWS 側のトン
ネルを無効化することはできません。
92
Amazon Virtual Private Cloud ネットワーク管理者ガイド
例: Juniper J-Series JunOS デバイ
ス
トピック
• カスタマーゲートウェイの概要 (p. 94)
• カスタマーゲートウェイの詳細と設定例 (p. 95)
• カスタマーゲートウェイ設定をテストする方法 (p. 102)
このセクションでは、JunOS 9.5 (またはそれ以降の) ソフトウェアを実行している Juniper J-Series
ルーターをカスタマーゲートウェイとして使用する場合に、統合チームから提供される設定情報の例
について説明します。
2 つの図で設定例を紹介します。最初の図はカスタマーゲートウェイのレイアウトの概要を表し、2
番目の図はこの設定例の詳細を表しています。統合チームから受け取った実際の設定情報を使用し
て、カスタマーゲートウェイに適用する必要があります。
93
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイの概要
カスタマーゲートウェイの概要
次の図は、カスタマーゲートウェイの全般的な説明を示しています。VPN 接続が 2 つの個別のトンネ
ルで構成されている点に注意してください。冗長なトンネルを使用することで、デバイス障害の発生
時にも可用性を継続的に維持できます。
94
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイの詳細と設定例
カスタマーゲートウェイの詳細と設定例
このセクションの図は、Juniper JunOS のカスタマーゲートウェイの例を示しています。図の後に
は、統合チームから提供される設定情報の対応する例が示されています。この設定例には、各トンネ
ルに設定する必要のある一連の情報が含まれています。
さらに、指定する必要ある以下の項目が示されています。
• YOUR_UPLINK_ADDRESS—カスタマーゲートウェイ上のインターネットルーティングが可能な外部
インターフェイスの IP アドレス。このアドレスは静的である必要があります。また、ネットワー
クアドレス変換 (NAT) を実行するデバイスの背後のアドレスを使用することができます。NAT トラ
バーサル (NAT-T) を正しく機能させるには、UDP ポート 4500 のブロックを解除するようにファイ
アウォールのルールを調整する必要があります。
• YOUR_BGP_ASN - カスタマーゲートウェイの BGP ASN (デフォルトで 65000 を使用します)
この設定例には、設定がどのように機能するかを理解するために役立つサンプル値が含まれていま
す。たとえば、VPN 接続 ID (vpn-44a8938f)、仮想プライベートゲートウェイ ID (vgw-8db04f81)、IP
アドレス (72.21.209.*, 169.254.255.*)、リモート ASN (7224) です。これらのサンプル値を、受け取っ
た設定情報に含まれる実際の値で置き換えます。
さらに、以下を実行する必要があります。
• 外部インターフェイスを設定します (設定例では ge-0/0/0.0 と示されています)。
• トンネルインターフェイス ID を設定します (設定例では st0.1 および st0.2 と示されています)。
• カスタマーゲートウェイとローカルネットワークとの間でトラフィックを動かす内部ルーティング
をすべて設定します。
• アップリンクインターフェイスのセキュリティゾーンを特定します (次の設定情報ではデフォルト
ゾーンの "untrust" を使用します)。
• 内部インターフェイスのセキュリティゾーンを特定します (次の設定情報ではデフォルトゾーンの
"trust" を使用します)。
次の図および設定例では、イタリックの赤い文字の項目を、特定の設定に適用される値で置き換える
必要があります。
95
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイの詳細と設定例
Warning
次の設定情報の例は、統合チームから提供されることが想定される内容です。この例に示さ
れた値の多くは、実際に受け取る設定情報とは異なります。ここに示されるサンプル値では
なく、実際の値を使用する必要があります。そうしないと、実装が失敗します。
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
Amazon Web Services
Virtual Private Cloud
AWS utilizes unique identifiers to manipulate the configuration of
a VPN Connection. Each VPN Connection is assigned a VPN Connection
Identifier and is associated with two other identifiers, namely the
Customer Gateway Identifier and the Virtual Private Gateway Identifier.
Your VPN Connection ID
: vpn-44a8938f
Your Virtual Private Gateway ID : vgw-8db04f81
Your Customer Gateway ID
: cgw-b4dc3961
This configuration consists of two tunnels. Both tunnels must be
configured on your Customer Gateway.
------------------------------------------------------------------------IPsec Tunnel #1
-------------------------------------------------------------------------
# #1: Internet Key Exchange (IKE) Configuration
#
# A proposal is established for the supported IKE encryption,
# authentication, Diffie-Hellman, and lifetime parameters.
96
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイの詳細と設定例
#
# Please note, these sample configurations are for the minimum requirement of
AES128, SHA1, and DH Group 2.
# You will need to modify these sample configuration files to take advantage
of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.
# The address of the external interface for your customer gateway must be a
static address.
# To ensure that NAT traversal (NAT-T) can function, you must adjust your
firewall rules to unblock UDP port 4500. If not behind NAT, we recommend
disabling NAT-T.
#
set security ike proposal ike-prop-vpn-44a8938f-1 authentication-method preshared-keys
set security ike proposal ike-prop-vpn-44a8938f-1 authentication-algorithm
sha1
set security ike proposal ike-prop-vpn-44a8938f-1 encryption-algorithm
aes-128-cbc
set security ike proposal ike-prop-vpn-44a8938f-1 lifetime-seconds 28800
set security ike proposal ike-prop-vpn-44a8938f-1 dh-group group2
# An IKE policy is established to associate a Pre Shared Key with the
# defined proposal.
#
set security ike policy ike-pol-vpn-44a8938f-1 mode main
set security ike policy ike-pol-vpn-44a8938f-1 proposals ike-propvpn-44a8938f-0
set security ike policy ike-pol-vpn-44a8938f-1 pre-shared-key asciitext plain-text-password1
# The IKE gateway is defined to be the Virtual Private Gateway. The gateway
# configuration associates a local interface, remote IP address, and
# IKE policy.
#
# This example shows the outside of the tunnel as interface ge-0/0/0.0.
# This should be set to the interface that IP address YOUR_UPLINK_ADDRESS is
# associated with.
# This address is configured with the setup for your Customer Gateway.
#
# If the address changes, the Customer Gateway and VPN Connection must
# be recreated.
set security ike gateway gw-vpn-44a8938f-1 ike-policy ike-pol-vpn-44a8938f-0
set security ike gateway gw-vpn-44a8938f-1 external-interface ge-0/0/0.0
set security ike gateway gw-vpn-44a8938f-1 address 72.21.209.225
#
#
#
#
#
#
#
Troubleshooting IKE connectivity can be aided by enabling IKE tracing.
The configuration below will cause the router to log IKE messages to
the 'kmd' log. Run 'show messages kmd' to retrieve these logs.
set security ike traceoptions file kmd
set security ike traceoptions file size 1024768
set security ike traceoptions file files 10
set security ike traceoptions flag all
# #2: IPsec Configuration
#
# The IPsec proposal defines the protocol, authentication, encryption, and
# lifetime parameters for our IPsec security association.
97
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイの詳細と設定例
# Please note, you may use these additionally supported IPSec parameters for
encryption like AES256 and other DH groups like 1,2, 5, 14-18, 22, 23, and
24.
#
set security ipsec proposal ipsec-prop-vpn-44a8938f-1 protocol esp
set security ipsec proposal ipsec-prop-vpn-44a8938f-1 authenticationalgorithm hmac-sha1-96
set security ipsec proposal ipsec-prop-vpn-44a8938f-1 encryption-algorithm
aes-128-cbc
set security ipsec proposal ipsec-prop-vpn-44a8938f-1 lifetime-seconds 3600
# The IPsec policy incorporates the Diffie-Hellman group and the IPsec
# proposal.
#
set security ipsec policy ipsec-pol-vpn-44a8938f-1 perfect-forward-secrecy
keys group2
set security ipsec policy ipsec-pol-vpn-44a8938f-1 proposals ipsec-propvpn-44a8938f-0
# A security association is defined here. The IPsec Policy and IKE gateways
# are associated with a tunnel interface (st0.1).
# The tunnel interface ID is assumed; if other tunnels are defined on
# your router, you will need to specify a unique interface name
# (for example, st0.10).
#
set security ipsec vpn vpn-44a8938f-1 bind-interface st0.1
set security ipsec vpn vpn-44a8938f-1 ike gateway gw-vpn-44a8938f-0
set security ipsec vpn vpn-44a8938f-1 ike ipsec-policy ipsec-polvpn-44a8938f-0
set security ipsec vpn vpn-44a8938f-1 df-bit clear
# This option enables IPsec Dead Peer Detection, which causes periodic
# messages to be sent to ensure a Security Association remains operational.
#
set security ike gateway gw-vpn-44a8938f-1 dead-peer-detection
# #3: Tunnel Interface Configuration
#
# The tunnel interface is configured with the internal IP address.
#
set interfaces st0.1 family inet address 169.254.255.2/30
set interfaces st0.1 family inet mtu 1436
set security zones security-zone trust interfaces st0.1
# The security zone protecting external interfaces of the router must be
# configured to allow IKE traffic inbound.
#
set security zones security-zone untrust host-inbound-traffic system-services
ike
# The security zone protecting internal interfaces (including the logical
# tunnel interfaces) must be configured to allow BGP traffic inbound.
#
set security zones security-zone trust host-inbound-traffic protocols bgp
98
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイの詳細と設定例
# This option causes the router to reduce the Maximum Segment Size of
# TCP packets to prevent packet fragmentation.
#
set security flow tcp-mss ipsec-vpn mss 1387
# #4: Border Gateway Protocol (BGP) Configuration
#
# BGP is used within the tunnel to exchange prefixes between the
# Virtual Private Gateway and your Customer Gateway. The Virtual Private
Gateway
# will announce the prefix corresponding to your VPC.
#
# Your Customer Gateway may announce a default route (0.0.0.0/0),
# which can be done with the EXPORT-DEFAULT policy.
#
# To advertise additional prefixes to Amazon VPC, add additional prefixes to
the "default" term
# EXPORT-DEFAULT policy. Make sure the prefix is present in the routing table
of the device with
# a valid next-hop.
#
# The BGP timers are adjusted to provide more rapid detection of outages.
#
# The local BGP Autonomous System Number (ASN) (YOUR_BGP_ASN) is configured
# as part of your Customer Gateway. If the ASN must be changed, the
# Customer Gateway and VPN Connection will need to be recreated with AWS.
#
# We establish a basic route policy to export a default route to the
# Virtual Private Gateway.
#
set policy-options policy-statement EXPORT-DEFAULT term default from routefilter 0.0.0.0/0 exact
set policy-options policy-statement EXPORT-DEFAULT term default then accept
set policy-options policy-statement EXPORT-DEFAULT term reject then reject
set protocols bgp group ebgp type external
set
set
set
set
protocols
protocols
protocols
protocols
bgp
bgp
bgp
bgp
group
group
group
group
ebgp
ebgp
ebgp
ebgp
neighbor
neighbor
neighbor
neighbor
169.254.255.1
169.254.255.1
169.254.255.1
169.254.255.1
export EXPORT-DEFAULT
peer-as 7224
hold-time 30
local-as YOUR_BGP_ASN
# ------------------------------------------------------------------------# IPsec Tunnel #2
# -------------------------------------------------------------------------
# #1: Internet Key Exchange (IKE) Configuration
#
# A proposal is established for the supported IKE encryption,
99
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイの詳細と設定例
# authentication, Diffie-Hellman, and lifetime parameters.
# Please note, these sample configurations are for the minimum requirement of
AES128, SHA1, and DH Group 2.
# You will need to modify these sample configuration files to take advantage
of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.
# The address of the external interface for your customer gateway must be a
static address.
# To ensure that NAT traversal (NAT-T) can function, you must adjust your
firewall rules to unblock UDP port 4500. If not behind NAT, we recommend
disabling NAT-T.
#
set security ike proposal ike-prop-vpn-44a8938f-2 authentication-method preshared-keys
set security ike proposal ike-prop-vpn-44a8938f-2 authentication-algorithm
sha1
set security ike proposal ike-prop-vpn-44a8938f-2 encryption-algorithm
aes-128-cbc
set security ike proposal ike-prop-vpn-44a8938f-2 lifetime-seconds 28800
set security ike proposal ike-prop-vpn-44a8938f-2 dh-group group2
# An IKE policy is established to associate a Pre Shared Key with the
# defined proposal.
#
set security ike policy ike-pol-vpn-44a8938f-2 mode main
set security ike policy ike-pol-vpn-44a8938f-2 proposals ike-propvpn-44a8938f-2
set security ike policy ike-pol-vpn-44a8938f-2 pre-shared-key asciitext plain-text-password2
#
#
#
#
#
#
#
#
#
#
The IKE gateway is defined to be the Virtual Private Gateway. The gateway
configuration associates a local interface, remote IP address, and
IKE policy.
This example shows the outside of the tunnel as interface ge-0/0/0.0.
This should be set to the interface that IP address YOUR_UPLINK_ADDRESS is
associated with.
This address is configured with the setup for your Customer Gateway.
If the address changes, the Customer Gateway and VPN Connection must be
recreated.
#
set security ike gateway gw-vpn-44a8938f-2 ike-policy ike-pol-vpn-44a8938f-1
set security ike gateway gw-vpn-44a8938f-2 external-interface ge-0/0/0.0
set security ike gateway gw-vpn-44a8938f-2 address 72.21.209.193
#
#
#
#
#
#
#
Troubleshooting IKE connectivity can be aided by enabling IKE tracing.
The configuration below will cause the router to log IKE messages to
the 'kmd' log. Run 'show messages kmd' to retrieve these logs.
set security ike traceoptions file kmd
set security ike traceoptions file size 1024768
set security ike traceoptions file files 10
set security ike traceoptions flag all
# #2: IPsec Configuration
#
# The IPsec proposal defines the protocol, authentication, encryption, and
100
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイの詳細と設定例
# lifetime parameters for our IPsec security association.
# Please note, you may use these additionally supported IPSec parameters for
encryption like AES256 and other DH groups like 1,2, 5, 14-18, 22, 23, and
24.
#
set security ipsec proposal ipsec-prop-vpn-44a8938f-2 protocol esp
set security ipsec proposal ipsec-prop-vpn-44a8938f-2 authenticationalgorithm hmac-sha1-96
set security ipsec proposal ipsec-prop-vpn-44a8938f-2 encryption-algorithm
aes-128-cbc
set security ipsec proposal ipsec-prop-vpn-44a8938f-2 lifetime-seconds 3600
# The IPsec policy incorporates the Diffie-Hellman group and the IPsec
# proposal.
#
set security ipsec policy ipsec-pol-vpn-44a8938f-2 perfect-forward-secrecy
keys group2
set security ipsec policy ipsec-pol-vpn-44a8938f-2 proposals ipsec-propvpn-44a8938f-2
# A security association is defined here. The IPsec Policy and IKE gateways
# are associated with a tunnel interface (st0.2).
# The tunnel interface ID is assumed; if other tunnels are defined on
# your router, you will need to specify a unique interface name
# (for example, st0.20).
#
set security ipsec vpn vpn-44a8938f-2 bind-interface st0.2
set security ipsec vpn vpn-44a8938f-2 ike gateway gw-vpn-44a8938f-2
set security ipsec vpn vpn-44a8938f-2 ike ipsec-policy ipsec-polvpn-44a8938f-2
set security ipsec vpn vpn-44a8938f-2 df-bit clear
# This option enables IPsec Dead Peer Detection, which causes periodic
# messages to be sent to ensure a Security Association remains operational.
#
set security ike gateway gw-vpn-44a8938f-2 dead-peer-detection
# #3: Tunnel Interface Configuration
#
# The tunnel interface is configured with the internal IP address.
#
set interfaces st0.2 family inet address 169.254.255.6/30
set interfaces st0.2 family inet mtu 1436
set security zones security-zone trust interfaces st0.2
# The security zone protecting external interfaces of the router must be
# configured to allow IKE traffic inbound.
#
set security zones security-zone untrust host-inbound-traffic system-services
ike
# The security zone protecting internal interfaces (including the logical
# tunnel interfaces) must be configured to allow BGP traffic inbound.
#
set security zones security-zone trust host-inbound-traffic protocols bgp
101
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイ設定をテストする方法
# This option causes the router to reduce the Maximum Segment Size of
# TCP packets to prevent packet fragmentation.
#
set security flow tcp-mss ipsec-vpn mss 1387
# #4: Border Gateway Protocol (BGP) Configuration
#
# BGP is used within the tunnel to exchange prefixes between the
# Virtual Private Gateway and your Customer Gateway. The Virtual Private
Gateway
# will announce the prefix corresponding to your VPC.
#
# Your Customer Gateway may announce a default route (0.0.0.0/0),
# which can be done with the EXPORT-DEFAULT policy.
#
# To advertise additional prefixes to Amazon VPC, add additional prefixes to
the "default" term
# EXPORT-DEFAULT policy. Make sure the prefix is present in the routing table
of the device with
# a valid next-hop.
#
# The BGP timers are adjusted to provide more rapid detection of outages.
#
# The local BGP Autonomous System Number (ASN) (YOUR_BGP_ASN) is configured
# as part of your Customer Gateway. If the ASN must be changed, the
# Customer Gateway and VPN Connection will need to be recreated with AWS.
#
# We establish a basic route policy to export a default route to the
# Virtual Private Gateway.
#
set policy-options policy-statement EXPORT-DEFAULT term default from routefilter 0.0.0.0/0 exact
set policy-options policy-statement EXPORT-DEFAULT term default then accept
set policy-options policy-statement EXPORT-DEFAULT term reject then reject
set protocols bgp group ebgp type external
set
set
set
set
protocols
protocols
protocols
protocols
bgp
bgp
bgp
bgp
group
group
group
group
ebgp
ebgp
ebgp
ebgp
neighbor
neighbor
neighbor
neighbor
169.254.255.5
169.254.255.5
169.254.255.5
169.254.255.5
export EXPORT-DEFAULT
peer-as 7224
hold-time 30
local-as YOUR_BGP_ASN
カスタマーゲートウェイ設定をテストする方法
各トンネルに対して、ゲートウェイ設定をテストすることができます。
102
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイ設定をテストする方法
各トンネルのカスタマーゲートウェイ設定をテストするには
1.
カスタマーゲートウェイで、BGP ステータスが Active であるかどうかを確認します。
BGP ピアがアクティブになるまでに約 30 秒かかります。
2.
カスタマーゲートウェイが仮想プライベートゲートウェイへのルートをアドバタイズしているこ
とを確認します。このルートは、デフォルトルート (0.0.0.0/0) の場合と、任意で特定したルー
トの場合があります。
正しく設定されている場合、BGP ピアは、VPC 統合チームが VPC 用に指定したプレフィックス (た
とえば、10.0.0.0/24) に対応する仮想プライベートゲートウェイから 1 つのルートを受け取りま
す。BGP ピアが確立された場合は、プレフィックスを受け取り、プレフィックスをアドバタイズし
て、トンネルが正しく設定されます。両方のトンネルがこの状態であることを確認します。
次に、VPC でインスタンスを起動し、ホームネットワークからインスタンスへの ping を実行して、
各トンネルの接続をテストする必要があります。開始する前に、以下を確認してください。
• ping リクエストに応答する AMI を使用します。Amazon Linux AMI のいずれかを使用することをお
勧めします。
• インスタンスのセキュリティグループとネットワーク ACL を設定し、インバウンド ICMP トラ
フィックを有効にします。
• VPN 接続用のルーティングを設定していることを確認します。サブネットのルートテーブルに仮想
プライベートゲートウェイへのルートが含まれている必要があります。詳細については、Amazon
VPC ユーザーガイド の「ルートテーブルでルート伝達を有効にする」を参照してください。
各トンネルのエンドツーエンド接続をテストするには
1.
VPC で Amazon Linux AMI の 1 つのインスタンスを起動します。Amazon EC2 コンソールからイ
ンスタンスを起動すると、起動ウィザードのリストに Amazon Linux AMI が表示されます。詳細
については、「Amazon VPC 入門ガイド」を参照してください。
2.
インスタンスが実行中になった後、そのプライベート IP アドレス (例えば 10.0.0.4) を取得し
ます。 コンソールにインスタンスの詳細の一部としてアドレスが表示されます。
3.
ホームネットワークのシステムで、インスタンスの IP アドレスに対して ping コマンドを実行し
ます。ping を実行するコンピューターがカスタマーゲートウェイの背後にないことを確認しま
す。正常なレスポンスは次のようになります。
PROMPT> ping 10.0.0.4
Pinging 10.0.0.4 with 32 bytes of data:
Reply from 10.0.0.4: bytes=32 time<1ms TTL=128
Reply from 10.0.0.4: bytes=32 time<1ms TTL=128
Reply from 10.0.0.4: bytes=32 time<1ms TTL=128
Ping statistics for 10.0.0.4:
Packets: Sent = 3, Received = 3, Lost = 0 (0% loss),
Approximate round trip times in milliseconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
Note
カスタマーゲートウェイルーターからインスタンスへの ping を実行する場合は、ping
メッセージの送信元がトンネル IP アドレスではなく内部 IP アドレスになるようにして
ください。一部の AMI は、トンネル IP アドレスからの ping メッセージに応答しませ
ん。
103
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイ設定をテストする方法
4.
(オプション) トンネル フェイルオーバーをテストするため、カスタマーゲートウェイのトンネル
の 1 つを一時的に無効化し、上記の手順を繰り返すことができます。VPN 接続の AWS 側のトン
ネルを無効化することはできません。
トンネルのテストを正常に実施できない場合は、「Juniper JunOS カスタマーゲートウェイの接続の
トラブルシューティング (p. 176)」を参照してください。
104
Amazon Virtual Private Cloud ネットワーク管理者ガイド
例: Juniper SRX JunOS デバイス
トピック
• カスタマーゲートウェイの概要 (p. 106)
• カスタマーゲートウェイの詳細と設定例 (p. 107)
• カスタマーゲートウェイ設定をテストする方法 (p. 114)
このセクションでは、JunOS 11.0 (またはそれ以降の) ソフトウェアを搭載している Juniper SRX
ルーターをカスタマーゲートウェイとして使用する場合に、統合チームから提供される設定情報の例
について説明します。
2 つの図で設定例を紹介します。最初の図はカスタマーゲートウェイのレイアウトの概要を表し、2
番目の図はこの設定例の詳細を表しています。統合チームから受け取った実際の設定情報を使用し
て、カスタマーゲートウェイに適用する必要があります。
105
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイの概要
カスタマーゲートウェイの概要
次の図は、カスタマーゲートウェイの全般的な説明を示しています。VPN 接続が 2 つの個別のトンネ
ルで構成されている点に注意してください。冗長なトンネルを使用することで、デバイス障害の発生
時にも可用性を継続的に維持できます。
106
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイの詳細と設定例
カスタマーゲートウェイの詳細と設定例
このセクションの図は、Juniper JunOS 11.0 以降のカスタマーゲートウェイの例を示しています。図
の後には、統合チームから提供される設定情報の対応する例が示されています。この設定例には、各
トンネルに設定する必要のある一連の情報が含まれています。
さらに、指定する必要ある以下の項目が示されています。
• YOUR_UPLINK_ADDRESS—カスタマーゲートウェイ上のインターネットルーティングが可能な外部
インターフェイスの IP アドレス。このアドレスは静的である必要があります。また、ネットワー
クアドレス変換 (NAT) を実行するデバイスの背後のアドレスを使用することができます。NAT トラ
バーサル (NAT-T) を正しく機能させるには、UDP ポート 4500 のブロックを解除するようにファイ
アウォールのルールを調整する必要があります。
• YOUR_BGP_ASN - カスタマーゲートウェイの BGP ASN (デフォルトで 65000 を使用します)
この設定例には、設定がどのように機能するかを理解するために役立つサンプル値が含まれていま
す。たとえば、VPN 接続 ID (vpn-44a8938f)、仮想プライベートゲートウェイ ID (vgw-8db04f81)、IP
アドレス (72.21.209.*, 169.254.255.*)、リモート ASN (7224) です。これらのサンプル値を、受け取っ
た設定情報に含まれる実際の値で置き換えます。
さらに、以下を実行する必要があります。
• 外部インターフェイスを設定します (設定例では ge-0/0/0.0 と示されています)。
• トンネルインターフェイス ID を設定します (設定例では st0.1 および st0.2 と示されています)。
• カスタマーゲートウェイとローカルネットワークとの間でトラフィックを動かす内部ルーティング
をすべて設定します。
• アップリンクインターフェイスのセキュリティゾーンを特定します (次の設定情報ではデフォルト
ゾーンの "untrust" を使用します)。
• 内部インターフェイスのセキュリティゾーンを特定します (次の設定情報ではデフォルトゾーンの
"trust" を使用します)。
次の図および設定例では、イタリックの赤い文字の項目を、特定の設定に適用される値で置き換える
必要があります。
107
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイの詳細と設定例
Warning
次の設定情報の例は、統合チームから提供されることが想定される内容です。この例に示さ
れた値の多くは、実際に受け取る設定情報とは異なります。ここに示されるサンプル値では
なく、実際の値を使用する必要があります。そうしないと、実装が失敗します。
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
Amazon Web Services
Virtual Private Cloud
AWS utilizes unique identifiers to manipulate the configuration of
a VPN Connection. Each VPN Connection is assigned a VPN Connection
Identifier and is associated with two other identifiers, namely the
Customer Gateway Identifier and the Virtual Private Gateway Identifier.
Your VPN Connection ID
: vpn-44a8938f
Your Virtual Private Gateway ID : vgw-8db04f81
Your Customer Gateway ID
: cgw-b4dc3961
This configuration consists of two tunnels. Both tunnels must be
configured on your Customer Gateway.
------------------------------------------------------------------------IPsec Tunnel #1
-------------------------------------------------------------------------
# #1: Internet Key Exchange (IKE) Configuration
#
# A proposal is established for the supported IKE encryption,
# authentication, Diffie-Hellman, and lifetime parameters.
108
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイの詳細と設定例
#
# Please note, these sample configurations are for the minimum requirement of
AES128, SHA1, and DH Group 2.
# You will need to modify these sample configuration files to take advantage
of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.
# The address of the external interface for your customer gateway must be a
static address.
# To ensure that NAT traversal (NAT-T) can function, you must adjust your
firewall rules to unblock UDP port 4500. If not behind NAT, we recommend
disabling NAT-T.
#
set security ike proposal ike-prop-vpn-44a8938f-1 authentication-method preshared-keys
set security ike proposal ike-prop-vpn-44a8938f-1 authentication-algorithm
sha1
set security ike proposal ike-prop-vpn-44a8938f-1 encryption-algorithm
aes-128-cbc
set security ike proposal ike-prop-vpn-44a8938f-1 lifetime-seconds 28800
set security ike proposal ike-prop-vpn-44a8938f-1 dh-group group2
# An IKE policy is established to associate a Pre Shared Key with the
# defined proposal.
#
set security ike policy ike-pol-vpn-44a8938f-1 mode main
set security ike policy ike-pol-vpn-44a8938f-1 proposals ike-propvpn-44a8938f-1
set security ike policy ike-pol-vpn-44a8938f-1 pre-shared-key asciitext plain-text-password1
# The IKE gateway is defined to be the Virtual Private Gateway. The gateway
# configuration associates a local interface, remote IP address, and
# IKE policy.
#
# This example shows the outside of the tunnel as interface ge-0/0/0.0.
# This should be set to the interface that IP address YOUR_UPLINK_ADDRESS is
# associated with.
# This address is configured with the setup for your Customer Gateway.
#
# If the address changes, the Customer Gateway and VPN Connection must
# be recreated.
set security ike gateway gw-vpn-44a8938f-1 ike-policy ike-pol-vpn-44a8938f-1
set security ike gateway gw-vpn-44a8938f-1 external-interface ge-0/0/0.0
set security ike gateway gw-vpn-44a8938f-1 address 72.21.209.225
set security ike gateway gw-vpn-44a8938f-1 no-nat-traversal
#
#
#
#
#
#
#
Troubleshooting IKE connectivity can be aided by enabling IKE tracing.
The configuration below will cause the router to log IKE messages to
the 'kmd' log. Run 'show messages kmd' to retrieve these logs.
set security ike traceoptions file kmd
set security ike traceoptions file size 1024768
set security ike traceoptions file files 10
set security ike traceoptions flag all
# #2: IPsec Configuration
#
# The IPsec proposal defines the protocol, authentication, encryption, and
109
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイの詳細と設定例
# lifetime parameters for our IPsec security association.
# Please note, you may use these additionally supported IPSec parameters for
encryption like AES256 and other DH groups like 1,2, 5, 14-18, 22, 23, and
24.
#
set security ipsec proposal ipsec-prop-vpn-44a8938f-1 protocol esp
set security ipsec proposal ipsec-prop-vpn-44a8938f-1 authenticationalgorithm hmac-sha1-96
set security ipsec proposal ipsec-prop-vpn-44a8938f-1 encryption-algorithm
aes-128-cbc
set security ipsec proposal ipsec-prop-vpn-44a8938f-1 lifetime-seconds 3600
# The IPsec policy incorporates the Diffie-Hellman group and the IPsec
# proposal.
#
set security ipsec policy ipsec-pol-vpn-44a8938f-1 perfect-forward-secrecy
keys group2
set security ipsec policy ipsec-pol-vpn-44a8938f-1 proposals ipsec-propvpn-44a8938f-1
# A security association is defined here. The IPsec Policy and IKE gateways
# are associated with a tunnel interface (st0.1).
# The tunnel interface ID is assumed; if other tunnels are defined on
# your router, you will need to specify a unique interface name
# (for example, st0.10).
#
set security ipsec vpn vpn-44a8938f-1 bind-interface st0.1
set security ipsec vpn vpn-44a8938f-1 ike gateway gw-vpn-44a8938f-1
set security ipsec vpn vpn-44a8938f-1 ike ipsec-policy ipsec-polvpn-44a8938f-1
set security ipsec vpn vpn-44a8938f-1 df-bit clear
# This option enables IPsec Dead Peer Detection, which causes periodic
# messages to be sent to ensure a Security Association remains operational.
#
set security ike gateway gw-vpn-44a8938f-1 dead-peer-detection
# #3: Tunnel Interface Configuration
#
# The tunnel interface is configured with the internal IP address.
#
set interfaces st0.1 family inet address 169.254.255.2/30
set interfaces st0.1 family inet mtu 1436
set security zones security-zone trust interfaces st0.1
# The security zone protecting external interfaces of the router must be
# configured to allow IKE traffic inbound.
#
set security zones security-zone untrust host-inbound-traffic system-services
ike
# The security zone protecting internal interfaces (including the logical
# tunnel interfaces) must be configured to allow BGP traffic inbound.
#
set security zones security-zone trust host-inbound-traffic protocols bgp
110
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイの詳細と設定例
# This option causes the router to reduce the Maximum Segment Size of
# TCP packets to prevent packet fragmentation.
#
set security flow tcp-mss ipsec-vpn mss 1387
# #4: Border Gateway Protocol (BGP) Configuration
#
# BGP is used within the tunnel to exchange prefixes between the
# Virtual Private Gateway and your Customer Gateway. The Virtual Private
Gateway
# will announce the prefix corresponding to your VPC.
#
# Your Customer Gateway may announce a default route (0.0.0.0/0),
# which can be done with the EXPORT-DEFAULT policy.
#
# To advertise additional prefixes to Amazon VPC, add additional prefixes to
the "default" term
# EXPORT-DEFAULT policy. Make sure the prefix is present in the routing table
of the device with
# a valid next-hop.
#
# The BGP timers are adjusted to provide more rapid detection of outages.
#
# The local BGP Autonomous System Number (ASN) (YOUR_BGP_ASN) is configured
# as part of your Customer Gateway. If the ASN must be changed, the
# Customer Gateway and VPN Connection will need to be recreated with AWS.
#
# We establish a basic route policy to export a default route to the
# Virtual Private Gateway.
#
set policy-options policy-statement EXPORT-DEFAULT term default from routefilter 0.0.0.0/0 exact
set policy-options policy-statement EXPORT-DEFAULT term default then accept
set policy-options policy-statement EXPORT-DEFAULT term reject then reject
set protocols bgp group ebgp type external
set
set
set
set
protocols
protocols
protocols
protocols
bgp
bgp
bgp
bgp
group
group
group
group
ebgp
ebgp
ebgp
ebgp
neighbor
neighbor
neighbor
neighbor
169.254.255.1
169.254.255.1
169.254.255.1
169.254.255.1
export EXPORT-DEFAULT
peer-as 7224
hold-time 30
local-as YOUR_BGP_ASN
# ------------------------------------------------------------------------# IPsec Tunnel #2
# -------------------------------------------------------------------------
# #1: Internet Key Exchange (IKE) Configuration
#
111
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイの詳細と設定例
# A proposal is established for the supported IKE encryption,
# authentication, Diffie-Hellman, and lifetime parameters.
# Please note, these sample configurations are for the minimum requirement of
AES128, SHA1, and DH Group 2.
# You will need to modify these sample configuration files to take advantage
of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.
# The address of the external interface for your customer gateway must be a
static address.
# To ensure that NAT traversal (NAT-T) can function, you must adjust your
firewall rules to unblock UDP port 4500. If not behind NAT, we recommend
disabling NAT-T.
#
set security ike proposal ike-prop-vpn-44a8938f-2 authentication-method preshared-keys
set security ike proposal ike-prop-vpn-44a8938f-2 authentication-algorithm
sha1
set security ike proposal ike-prop-vpn-44a8938f-2 encryption-algorithm
aes-128-cbc
set security ike proposal ike-prop-vpn-44a8938f-2 lifetime-seconds 28800
set security ike proposal ike-prop-vpn-44a8938f-2 dh-group group2
# An IKE policy is established to associate a Pre Shared Key with the
# defined proposal.
#
set security ike policy ike-pol-vpn-44a8938f-2 mode main
set security ike policy ike-pol-vpn-44a8938f-2 proposals ike-propvpn-44a8938f-2
set security ike policy ike-pol-vpn-44a8938f-2 pre-shared-key asciitext plain-text-password2
#
#
#
#
#
#
#
#
#
#
The IKE gateway is defined to be the Virtual Private Gateway. The gateway
configuration associates a local interface, remote IP address, and
IKE policy.
This example shows the outside of the tunnel as interface ge-0/0/0.0.
This should be set to the interface that IP address YOUR_UPLINK_ADDRESS is
associated with.
This address is configured with the setup for your Customer Gateway.
If the address changes, the Customer Gateway and VPN Connection must be
recreated.
#
set
set
set
set
#
#
#
#
#
#
#
security
security
security
security
ike
ike
ike
ike
gateway
gateway
gateway
gateway
gw-vpn-44a8938f-2
gw-vpn-44a8938f-2
gw-vpn-44a8938f-2
gw-vpn-44a8938f-2
ike-policy ike-pol-vpn-44a8938f-2
external-interface ge-0/0/0.0
address 72.21.209.193
no-nat-traversal
Troubleshooting IKE connectivity can be aided by enabling IKE tracing.
The configuration below will cause the router to log IKE messages to
the 'kmd' log. Run 'show messages kmd' to retrieve these logs.
set security ike traceoptions file kmd
set security ike traceoptions file size 1024768
set security ike traceoptions file files 10
set security ike traceoptions flag all
# #2: IPsec Configuration
112
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイの詳細と設定例
#
# The IPsec proposal defines the protocol, authentication, encryption, and
# lifetime parameters for our IPsec security association.
# Please note, you may use these additionally supported IPSec parameters for
encryption like AES256 and other DH groups like 1,2, 5, 14-18, 22, 23, and
24.
#
set security ipsec proposal ipsec-prop-vpn-44a8938f-2 protocol esp
set security ipsec proposal ipsec-prop-vpn-44a8938f-2 authenticationalgorithm hmac-sha1-96
set security ipsec proposal ipsec-prop-vpn-44a8938f-2 encryption-algorithm
aes-128-cbc
set security ipsec proposal ipsec-prop-vpn-44a8938f-2 lifetime-seconds 3600
# The IPsec policy incorporates the Diffie-Hellman group and the IPsec
# proposal.
#
set security ipsec policy ipsec-pol-vpn-44a8938f-2 perfect-forward-secrecy
keys group2
set security ipsec policy ipsec-pol-vpn-44a8938f-2 proposals ipsec-propvpn-44a8938f-2
# A security association is defined here. The IPsec Policy and IKE gateways
# are associated with a tunnel interface (st0.2).
# The tunnel interface ID is assumed; if other tunnels are defined on
# your router, you will need to specify a unique interface name
# (for example, st0.20).
#
set security ipsec vpn vpn-44a8938f-2 bind-interface st0.2
set security ipsec vpn vpn-44a8938f-2 ike gateway gw-vpn-44a8938f-2
set security ipsec vpn vpn-44a8938f-2 ike ipsec-policy ipsec-polvpn-44a8938f-2
set security ipsec vpn vpn-44a8938f-2 df-bit clear
# This option enables IPsec Dead Peer Detection, which causes periodic
# messages to be sent to ensure a Security Association remains operational.
#
set security ike gateway gw-vpn-44a8938f-2 dead-peer-detection
# #3: Tunnel Interface Configuration
#
# The tunnel interface is configured with the internal IP address.
#
set interfaces st0.2 family inet address 169.254.255.6/30
set interfaces st0.2 family inet mtu 1436
set security zones security-zone trust interfaces st0.2
# The security zone protecting external interfaces of the router must be
# configured to allow IKE traffic inbound.
#
set security zones security-zone untrust host-inbound-traffic system-services
ike
# The security zone protecting internal interfaces (including the logical
# tunnel interfaces) must be configured to allow BGP traffic inbound.
113
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイ設定をテストする方法
#
set security zones security-zone trust host-inbound-traffic protocols bgp
# This option causes the router to reduce the Maximum Segment Size of
# TCP packets to prevent packet fragmentation.
#
set security flow tcp-mss ipsec-vpn mss 1387
# #4: Border Gateway Protocol (BGP) Configuration
#
# BGP is used within the tunnel to exchange prefixes between the
# Virtual Private Gateway and your Customer Gateway. The Virtual Private
Gateway
# will announce the prefix corresponding to your VPC.
#
# Your Customer Gateway may announce a default route (0.0.0.0/0),
# which can be done with the EXPORT-DEFAULT policy.
#
# To advertise additional prefixes to Amazon VPC, add additional prefixes to
the "default" term
# EXPORT-DEFAULT policy. Make sure the prefix is present in the routing table
of the device with
# a valid next-hop.
#
# The BGP timers are adjusted to provide more rapid detection of outages.
#
# The local BGP Autonomous System Number (ASN) (YOUR_BGP_ASN) is configured
# as part of your Customer Gateway. If the ASN must be changed, the
# Customer Gateway and VPN Connection will need to be recreated with AWS.
#
# We establish a basic route policy to export a default route to the
# Virtual Private Gateway.
#
set policy-options policy-statement EXPORT-DEFAULT term default from routefilter 0.0.0.0/0 exact
set policy-options policy-statement EXPORT-DEFAULT term default then accept
set policy-options policy-statement EXPORT-DEFAULT term reject then reject
set protocols bgp group ebgp type external
set
set
set
set
protocols
protocols
protocols
protocols
bgp
bgp
bgp
bgp
group
group
group
group
ebgp
ebgp
ebgp
ebgp
neighbor
neighbor
neighbor
neighbor
169.254.255.5
169.254.255.5
169.254.255.5
169.254.255.5
export EXPORT-DEFAULT
peer-as 7224
hold-time 30
local-as YOUR_BGP_ASN
カスタマーゲートウェイ設定をテストする方法
各トンネルに対して、ゲートウェイ設定をテストすることができます。
114
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイ設定をテストする方法
各トンネルのカスタマーゲートウェイ設定をテストするには
1.
カスタマーゲートウェイで、BGP ステータスが Active であるかどうかを確認します。
BGP ピアがアクティブになるまでに約 30 秒かかります。
2.
カスタマーゲートウェイが仮想プライベートゲートウェイへのルートをアドバタイズしているこ
とを確認します。このルートは、デフォルトルート (0.0.0.0/0) の場合と、任意で特定したルー
トの場合があります。
正しく設定されている場合、BGP ピアは、VPC 統合チームが VPC 用に指定したプレフィックス (た
とえば、10.0.0.0/24) に対応する仮想プライベートゲートウェイから 1 つのルートを受け取りま
す。BGP ピアが確立された場合は、プレフィックスを受け取り、プレフィックスをアドバタイズし
て、トンネルが正しく設定されます。両方のトンネルがこの状態であることを確認します。
次に、VPC でインスタンスを起動し、ホームネットワークからインスタンスへの ping を実行して、
各トンネルの接続をテストする必要があります。開始する前に、以下を確認してください。
• ping リクエストに応答する AMI を使用します。Amazon Linux AMI のいずれかを使用することをお
勧めします。
• インスタンスのセキュリティグループとネットワーク ACL を設定し、インバウンド ICMP トラ
フィックを有効にします。
• VPN 接続用のルーティングを設定していることを確認します。サブネットのルートテーブルに仮想
プライベートゲートウェイへのルートが含まれている必要があります。詳細については、Amazon
VPC ユーザーガイド の「ルートテーブルでルート伝達を有効にする」を参照してください。
各トンネルのエンドツーエンド接続をテストするには
1.
VPC で Amazon Linux AMI の 1 つのインスタンスを起動します。Amazon EC2 コンソールからイ
ンスタンスを起動すると、起動ウィザードのリストに Amazon Linux AMI が表示されます。詳細
については、「Amazon VPC 入門ガイド」を参照してください。
2.
インスタンスが実行中になった後、そのプライベート IP アドレス (例えば 10.0.0.4) を取得し
ます。 コンソールにインスタンスの詳細の一部としてアドレスが表示されます。
3.
ホームネットワークのシステムで、インスタンスの IP アドレスに対して ping コマンドを実行し
ます。ping を実行するコンピューターがカスタマーゲートウェイの背後にないことを確認しま
す。正常なレスポンスは次のようになります。
PROMPT> ping 10.0.0.4
Pinging 10.0.0.4 with 32 bytes of data:
Reply from 10.0.0.4: bytes=32 time<1ms TTL=128
Reply from 10.0.0.4: bytes=32 time<1ms TTL=128
Reply from 10.0.0.4: bytes=32 time<1ms TTL=128
Ping statistics for 10.0.0.4:
Packets: Sent = 3, Received = 3, Lost = 0 (0% loss),
Approximate round trip times in milliseconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
Note
カスタマーゲートウェイルーターからインスタンスへの ping を実行する場合は、ping
メッセージの送信元がトンネル IP アドレスではなく内部 IP アドレスになるようにして
ください。一部の AMI は、トンネル IP アドレスからの ping メッセージに応答しませ
ん。
115
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイ設定をテストする方法
4.
(オプション) トンネル フェイルオーバーをテストするため、カスタマーゲートウェイのトンネル
の 1 つを一時的に無効化し、上記の手順を繰り返すことができます。VPN 接続の AWS 側のトン
ネルを無効化することはできません。
トンネルのテストを正常に実施できない場合は、「Juniper JunOS カスタマーゲートウェイの接続の
トラブルシューティング (p. 176)」を参照してください。
116
Amazon Virtual Private Cloud ネットワーク管理者ガイド
例: Juniper ScreenOS デバイス
トピック
• カスタマーゲートウェイの概要 (p. 118)
• カスタマーゲートウェイの詳細と設定例 (p. 119)
• カスタマーゲートウェイ設定をテストする方法 (p. 125)
このセクションでは、Juniper ScreenOS ソフトウェアを実行している Juniper SSG または Netscreen
シリーズのデバイスをカスタマーゲートウェイとして使用する場合に、統合チームから提供される設
定情報の例について説明します。
2 つの図で設定例を紹介します。最初の図はカスタマーゲートウェイのレイアウトの概要を表し、2
番目の図はこの設定例の詳細を表しています。統合チームから受け取った実際の設定情報を使用し
て、カスタマーゲートウェイに適用する必要があります。
117
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイの概要
カスタマーゲートウェイの概要
次の図は、カスタマーゲートウェイの全般的な説明を示しています。VPN 接続が 2 つの個別のトンネ
ルで構成されている点に注意してください。冗長なトンネルを使用することで、デバイス障害の発生
時にも可用性を継続的に維持できます。
118
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイの詳細と設定例
カスタマーゲートウェイの詳細と設定例
このセクションの図は、Juniper ScreenOS カスタマーゲートウェイの例を示しています。図の後に
は、統合チームから提供される設定情報の対応する例が示されています。この設定例には、各トンネ
ルに設定する必要のある情報が含まれています。
さらに、指定する必要ある以下の項目が示されています。
• YOUR_UPLINK_ADDRESS—カスタマーゲートウェイ上のインターネットルーティングが可能な外部
インターフェイスの IP アドレス。このアドレスは静的である必要があります。また、ネットワー
クアドレス変換 (NAT) を実行するデバイスの背後のアドレスを使用することができます。NAT トラ
バーサル (NAT-T) を正しく機能させるには、UDP ポート 4500 のブロックを解除するようにファイ
アウォールのルールを調整する必要があります。
• YOUR_BGP_ASN - カスタマーゲートウェイの BGP ASN (デフォルトで 65000 を使用します)
この設定例には、設定がどのように機能するかを理解するために役立つサンプル値が含まれていま
す。たとえば、VPN 接続 ID (vpn-44a8938f)、仮想プライベートゲートウェイ ID (vgw-8db04f81)、IP
アドレス (72.21.209.*, 169.254.255.*)、リモート ASN (7224) です。これらのサンプル値を、受け取っ
た設定情報に含まれる実際の値で置き換えます。
さらに、以下を実行する必要があります。
• 外部インターフェイスを設定します (設定例では ethernet0/0 と示されています)。
• トンネルインターフェイス ID を設定します (設定例では tunnel.1 および tunnel.2 と示されて
います)。
• カスタマーゲートウェイとローカルネットワークとの間でトラフィックを動かす内部ルーティング
をすべて設定します。
次の図および設定例では、イタリックの赤い文字の項目を、特定の設定に適用される値で置き換える
必要があります。
119
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイの詳細と設定例
Warning
次の設定情報の例は、統合チームから提供されることが想定される内容です。この例の値の
多くは、受け取る設定情報とは異なります。ここに示されるサンプル値ではなく、実際の値
を使用する必要があります。そうしないと、実装が失敗します。
Important
以下の設定は、ScreenOS バージョン 6.2 以降に適しています。ScreenOS バージョン 6.1
に固有の設定をダウンロードできます。[Download Configuration] ダイアログボックスで、
[Vendor] リストから [Juniper Networks, Inc.] を選択、[Platform] リストから [SSG and
ISG Series Routers] を選択、[Software] リストから [ScreenOS 6.1] を選択します。
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
Amazon Web Services
Virtual Private Cloud
AWS utilizes unique identifiers to manipulate the configuration of a VPN
Connection. Each VPN Connection is assigned a VPN Connection Identifier
and is associated with two other identifiers, namely the Customer Gateway
Identifier and the Virtual Private Gateway Identifier.
Your VPN Connection ID
: vpn-44a8938f
Your Virtual Private Gateway ID : vgw-8db04f81
Your Customer Gateway ID
: cgw-b4dc3961
This configuration consists of two tunnels. Both tunnels must be configured
on your Customer Gateway.
This configuration was tested on a Juniper SSG-5 running ScreenOS 6.3R2.
-------------------------------------------------------------------------------# IPsec Tunnel #1
#
--------------------------------------------------------------------------------
#
#
#
#
#
#
#1: Internet Key Exchange (IKE) Configuration
A proposal is established for the supported IKE encryption, authentication,
Diffie-Hellman, and lifetime parameters.
Please note, these sample configurations are for the minimum requirement of
AES128, SHA1, and DH Group 2.
# You will need to modify these sample configuration files to take advantage
of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.
# The address of the external interface for your customer gateway must be a
static address.
# Your customer gateway may reside behind a device performing network address
translation (NAT).
# To ensure that NAT traversal (NAT-T) can function, you must adjust your
firewall rules to unblock UDP port 4500. If not behind NAT, we recommend
disabling NAT-T.
#
120
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイの詳細と設定例
set ike p1-proposal ike-prop-vpn-44a8938f-1 preshare group2 esp aes128 sha-1
second 28800
# The IKE gateway is defined to be the Virtual Private Gateway. The gateway
configuration
# associates a local interface, remote IP address, and IKE policy.
#
# This example shows the outside of the tunnel as interface ethernet0/0. This
# should be set to the interface that IP address YOUR_UPLINK_ADDRESS is
# associated with.
# This address is configured with the setup for your Customer Gateway.
#
#If the address changes, the Customer Gateway and VPN Connection must be
recreated.
#
set ike gateway gw-vpn-44a8938f-1 address 72.21.209.225 id 72.21.209.225 main
outgoing-interface ethernet0/0 preshare "plain-text-password1" proposal ikeprop-vpn-44a8938f-1
#
#
#
#
#
#
Troubleshooting IKE connectivity can be aided by enabling IKE debugging.
To do so, run the following commands:
clear dbuf
-- Clear debug buffer
debug ike all
-- Enable IKE debugging
get dbuf stream
-- View debug messages
undebug all
-- Turn off debugging
#
#
#
#
#
#2: IPsec Configuration
The IPsec (Phase 2) proposal defines the protocol, authentication,
encryption, and lifetime parameters for our IPsec security association.
Please note, you may use these additionally supported IPSec parameters for
encryption like AES256 and other DH groups like 1,2, 5, 14-18, 22, 23, and
24.
#
set ike p2-proposal ipsec-prop-vpn-44a8938f-1 group2 esp aes128 sha-1 second
3600
set ike gateway gw-vpn-44a8938f-1 dpd-liveness interval 10
set vpn IPSEC-vpn-44a8938f-1 gateway gw-vpn-44a8938f-1 replay tunnel proposal
ipsec-prop-vpn-44a8938f-1
#
#
#
#
#
#
#
#3: Tunnel Interface Configuration
The tunnel interface is configured with the internal IP address.
To establish connectivity between your internal network and the VPC, you
must have an interface facing your internal network in the "Trust" zone.
set interface tunnel.1 zone Trust
set interface tunnel.1 ip 169.254.255.2/30
set interface tunnel.1 mtu 1436
121
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイの詳細と設定例
set vpn IPSEC-vpn-44a8938f-1 bind interface tunnel.1
#
#
#
#
#
#
By default, the router will block asymmetric VPN traffic, which may occur
with this VPN Connection. This occurs, for example, when routing policies
cause traffic to sent from your router to VPC through one IPsec tunnel
while traffic returns from VPC through the other.
This command allows this traffic to be received by your device.
set zone Trust asymmetric-vpn
# This option causes the router to reduce the Maximum Segment Size of TCP
# packets to prevent packet fragmentation.
#
set flow vpn-tcp-mss 1387
# #4: Border Gateway Protocol (BGP) Configuration
#
# BGP is used within the tunnel to exchange prefixes between the Virtual
Private Gateway
# and your Customer Gateway. The Virtual Private Gateway will announce the
prefix
# corresponding to your VPC.
#
# Your Customer Gateway may announce a default route (0.0.0.0/0).
#
# The BGP timers are adjusted to provide more rapid detection of outages.
#
# The local BGP Autonomous System Number (ASN) (YOUR_BGP_ASN) is configured
# as part of your Customer Gateway. If the ASN must be changed, the
# Customer Gateway and VPN Connection will need to be recreated with AWS.
#
set vrouter trust-vr
set max-ecmp-routes 2
set protocol bgp YOUR_BGP_ASN
set hold-time 30
set network 0.0.0.0/0
# To advertise additional prefixes to Amazon VPC, copy the 'network'
statement and
# identify the prefix you wish to advertise (set ipv4 network X.X.X.X/X).
Make sure the
# prefix is present in the routing table of the device with a valid nexthop.
set enable
set neighbor 169.254.255.1 remote-as 7224
set neighbor 169.254.255.1 enable
exit
exit
set interface tunnel.1 protocol bgp
# ------------------------------------------------------------------------# IPsec Tunnel #2
122
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイの詳細と設定例
# -------------------------------------------------------------------------
#
#
#
#
#
#1: Internet Key Exchange (IKE) Configuration
A proposal is established for the supported IKE encryption, authentication,
Diffie-Hellman, and lifetime parameters.
Please note, these sample configurations are for the minimum requirement of
AES128, SHA1, and DH Group 2.
# You will need to modify these sample configuration files to take advantage
of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.
# The address of the external interface for your customer gateway must be a
static address.
# Your customer gateway may reside behind a device performing network address
translation (NAT).
# To ensure that NAT traversal (NAT-T) can function, you must adjust your
firewall !rules to unblock UDP port 4500. If not behind NAT, we recommend
disabling NAT-T.
#
set ike p1-proposal ike-prop-vpn-44a8938f-2 preshare group2 esp aes128 sha-1
second 28800
# The IKE gateway is defined to be the Virtual Private Gateway. The gateway
configuration
# associates a local interface, remote IP address, and IKE policy.
#
# This example shows the outside of the tunnel as interface ethernet0/0. This
# should be set to the interface that IP address YOUR_UPLINK_ADDRESS is
# associated with.
#
# This address is configured with the setup for your Customer Gateway. If the
# address changes, the Customer Gateway and VPN Connection must be recreated.
#
set ike gateway gw-vpn-44a8938f-2 address 72.21.209.193 id 72.21.209.193 main
outgoing-interface ethernet0/0 preshare "plain-text-password2" proposal ikeprop-vpn-44a8938f-2
#
#
#
#
#
#
Troubleshooting IKE connectivity can be aided by enabling IKE debugging.
To do so, run the following commands:
clear dbuf
-- Clear debug buffer
debug ike all
-- Enable IKE debugging
get dbuf stream
-- View debug messages
undebug all
-- Turn off debugging
#
#
#
#
#
#2: IPsec Configuration
The IPsec (Phase 2) proposal defines the protocol, authentication,
encryption, and lifetime parameters for our IPsec security association.
Please note, you may use these additionally supported IPSec parameters for
encryption like AES256 and other DH groups like 1,2, 5, 14-18, 22, 23, and
24.
#
123
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイの詳細と設定例
set ike p2-proposal ipsec-prop-vpn-44a8938f-2 group2 esp aes128 sha-1 second
3600
set ike gateway gw-vpn-44a8938f-2 dpd-liveness interval 10
set vpn IPSEC-vpn-44a8938f-2 gateway gw-vpn-44a8938f-2 replay tunnel proposal
ipsec-prop-vpn-44a8938f-2
#
#
#
#
#
#
#3: Tunnel Interface Configuration
The tunnel interface is configured with the internal IP address.
To establish connectivity between your internal network and the VPC, you
must have an interface facing your internal network in the "Trust" zone.
set
set
set
set
#
#
#
#
#
#
interface tunnel.2 zone Trust
interface tunnel.2 ip 169.254.255.6/30
interface tunnel.2 mtu 1436
vpn IPSEC-vpn-44a8938f-2 bind interface tunnel.2
By default, the router will block asymmetric VPN traffic, which may occur
with this VPN Connection. This occurs, for example, when routing policies
cause traffic to sent from your router to VPC through one IPsec tunnel
while traffic returns from VPC through the other.
This command allows this traffic to be received by your device.
set zone Trust asymmetric-vpn
# This option causes the router to reduce the Maximum Segment Size of TCP
# packets to prevent packet fragmentation.
set flow vpn-tcp-mss 1387
# #4: Border Gateway Protocol (BGP) Configuration
#
# BGP is used within the tunnel to exchange prefixes between the Virtual
Private Gateway
# and your Customer Gateway. The Virtual Private Gateway will announce the
prefix
# corresponding to your VPC.
#
# Your Customer Gateway may announce a default route (0.0.0.0/0).
#
# The BGP timers are adjusted to provide more rapid detection of outages.
#
# The local BGP Autonomous System Number (ASN) (YOUR_BGP_ASN) is configured
# as part of your Customer Gateway. If the ASN must be changed, the
# Customer Gateway and VPN Connection will need to be recreated with AWS.
#
set
set
set
set
vrouter trust-vr
max-ecmp-routes 2
protocol bgp YOUR_BGP_ASN
hold-time 30
124
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイ設定をテストする方法
set network 0.0.0.0/0
# To advertise additional prefixes to Amazon VPC, copy the 'network'
statement and
# identify the prefix you wish to advertise (set ipv4 network X.X.X.X/X).
Make sure the
# prefix is present in the routing table of the device with a valid nexthop.
set enable
set neighbor 169.254.255.5 remote-as 7224
set neighbor 169.254.255.5 enable
exit
exit
set interface tunnel.2 protocol bgp
カスタマーゲートウェイ設定をテストする方法
各トンネルに対して、ゲートウェイ設定をテストすることができます。
各トンネルのカスタマーゲートウェイ設定をテストするには
1.
2.
カスタマーゲートウェイで、BGP ステータスが Active であるかどうかを確認します。
BGP ピアがアクティブになるまでに約 30 秒かかります。
カスタマーゲートウェイが仮想プライベートゲートウェイへのルートをアドバタイズしているこ
とを確認します。このルートは、デフォルトルート (0.0.0.0/0) の場合と、任意で特定したルー
トの場合があります。
正しく設定されている場合、BGP ピアは、VPC 統合チームが VPC 用に指定したプレフィックス (た
とえば、10.0.0.0/24) に対応する仮想プライベートゲートウェイから 1 つのルートを受け取りま
す。BGP ピアが確立された場合は、プレフィックスを受け取り、プレフィックスをアドバタイズし
て、トンネルが正しく設定されます。両方のトンネルがこの状態であることを確認します。
次に、VPC でインスタンスを起動し、ホームネットワークからインスタンスへの ping を実行して、
各トンネルの接続をテストする必要があります。開始する前に、以下を確認してください。
• ping リクエストに応答する AMI を使用します。Amazon Linux AMI のいずれかを使用することをお
勧めします。
• インスタンスのセキュリティグループとネットワーク ACL を設定し、インバウンド ICMP トラ
フィックを有効にします。
• VPN 接続用のルーティングを設定していることを確認します。サブネットのルートテーブルに仮想
プライベートゲートウェイへのルートが含まれている必要があります。詳細については、Amazon
VPC ユーザーガイド の「ルートテーブルでルート伝達を有効にする」を参照してください。
各トンネルのエンドツーエンド接続をテストするには
1.
2.
3.
VPC で Amazon Linux AMI の 1 つのインスタンスを起動します。Amazon EC2 コンソールからイ
ンスタンスを起動すると、起動ウィザードのリストに Amazon Linux AMI が表示されます。詳細
については、「Amazon VPC 入門ガイド」を参照してください。
インスタンスが実行中になった後、そのプライベート IP アドレス (例えば 10.0.0.4) を取得し
ます。 コンソールにインスタンスの詳細の一部としてアドレスが表示されます。
ホームネットワークのシステムで、インスタンスの IP アドレスに対して ping コマンドを実行し
ます。ping を実行するコンピューターがカスタマーゲートウェイの背後にないことを確認しま
す。正常なレスポンスは次のようになります。
PROMPT> ping 10.0.0.4
125
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイ設定をテストする方法
Pinging 10.0.0.4 with 32 bytes of data:
Reply from 10.0.0.4: bytes=32 time<1ms TTL=128
Reply from 10.0.0.4: bytes=32 time<1ms TTL=128
Reply from 10.0.0.4: bytes=32 time<1ms TTL=128
Ping statistics for 10.0.0.4:
Packets: Sent = 3, Received = 3, Lost = 0 (0% loss),
Approximate round trip times in milliseconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
Note
カスタマーゲートウェイルーターからインスタンスへの ping を実行する場合は、ping
メッセージの送信元がトンネル IP アドレスではなく内部 IP アドレスになるようにして
ください。一部の AMI は、トンネル IP アドレスからの ping メッセージに応答しませ
ん。
4.
(オプション) トンネル フェイルオーバーをテストするため、カスタマーゲートウェイのトンネル
の 1 つを一時的に無効化し、上記の手順を繰り返すことができます。VPN 接続の AWS 側のトン
ネルを無効化することはできません。
トンネルのテストを正常に実施できない場合は、「Juniper ScreenOS カスタマーゲートウェイの接続
のトラブルシューティング (p. 180)」を参照してください。
126
Amazon Virtual Private Cloud ネットワーク管理者ガイド
例: パロアルトネットワークスのデ
バイス
トピック
• カスタマーゲートウェイの概要 (p. 128)
• カスタマーゲートウェイの詳細と設定例 (p. 128)
• カスタマーゲートウェイ設定をテストする方法 (p. 135)
次のトピックでは、お使いのカスタマーゲートウェイがパロアルトネットワークスの PANOS 4.1.2+
デバイスである場合、統合チームより提供される設定情報の例をご覧いただけます。
2 つの図で設定例を紹介します。最初の図はカスタマーゲートウェイのレイアウトの概要を表し、2
番目の図はこの設定例の詳細を表しています。統合チームから受け取った実際の設定情報を使用し
て、カスタマーゲートウェイに適用する必要があります。
127
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイの概要
カスタマーゲートウェイの概要
次の図は、カスタマーゲートウェイの全般的な説明を示しています。VPN 接続が 2 つの個別のトンネ
ルで構成されている点に注意してください。冗長なトンネルを使用することで、デバイス障害の発生
時にも可用性を継続的に維持できます。
カスタマーゲートウェイの詳細と設定例
このセクションの図は、パロアルトのカスタマーゲートウェイの例を示しています。図の後には、統
合チームから提供される設定情報の対応する例が示されています。この設定例には、各トンネルに設
定する必要のある一連の情報が含まれています。
さらに、指定する必要ある以下の項目が示されています。
• YOUR_UPLINK_ADDRESS - カスタマーゲートウェイのインターネットでルーティング可能な外部イ
ンターフェイスの IP アドレス (このアドレスは静的である必要があります。また、ネットワークア
ドレス変換 (NAT) を実行するデバイスの背後に存在する可能性があります。ただし、NAT トラバー
サル (NAT-T) はサポートされていません)。
• YOUR_BGP_ASN - カスタマーゲートウェイの BGP ASN (デフォルトで 65000 を使用します)
この設定例には、設定がどのように機能するかを理解するために役立つサンプル値が含まれていま
す。たとえば、VPN 接続 ID (vpn-44a8938f)、仮想プライベートゲートウェイ ID (vgw-8db04f81)、IP
アドレス (72.21.209.*, 169.254.255.*)、リモート ASN (7224) です。これらのサンプル値を、受け取っ
た設定情報に含まれる実際の値で置き換えます。
次の図および設定例では、イタリックの赤い文字の項目を、特定の設定に適用される値で置き換える
必要があります。
128
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイの詳細と設定例
Warning
次の設定情報の例は、統合チームから提供されることが想定される内容です。この例に示さ
れた値の多くは、実際に受け取る設定情報とは異なります。ここに示されるサンプル値では
なく、実際の値を使用する必要があります。そうしないと、実装が失敗します。
! Amazon Web Services
! Virtual Private Cloud
!
!
!
!
!
!
!
!
AWS utilizes unique identifiers to manipulate the configuration of
a VPN Connection. Each VPN Connection is assigned an identifier and is
associated with two other identifiers, namely the
Customer Gateway Identifier and Virtual Private Gateway Identifier.
Your VPN Connection ID
: vpn-44a8938f
Your Virtual Private Gateway ID : vgw-8db04f81
Your Customer Gateway ID
: cgw-b4dc3961
129
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイの詳細と設定例
!
!
! This configuration consists of two tunnels. Both tunnels must be
! configured on your Customer Gateway.
!
!
-------------------------------------------------------------------------------! IPSec Tunnel #1
!
--------------------------------------------------------------------------------
!
!
!
!
!
#1: Internet Key Exchange (IKE) Configuration
A policy is established for the supported ISAKMP encryption,
authentication, Diffie-Hellman, lifetime, and key parameters.
Please note, these sample configurations are for the minimum requirement of
AES128, SHA1, and DH Group 2.
! You will need to modify these sample configuration files to take advantage
of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.
! The address of the external interface for your customer gateway must be a
static address.
! Your customer gateway may reside behind a device performing network address
translation (NAT).
! To ensure that NAT traversal (NAT-T) can function, you must adjust your
firewall rules to unblock UDP port 4500. If not behind NAT, we recommend
disabling NAT-T.
!
configure
edit network ike crypto-profiles ike-crypto-profiles ike-cryptovpn-44a8938f-0
set dh-group group2
set hash sha1
set lifetime seconds 28800
set encryption aes128
top
edit network ike gateway ike-vpn-44a8938f-0
set protocol ikev1 dpd interval 10 retry 3 enable yes
set protocol ikev1 ike-crypto-profile ike-crypto-vpn-44a8938f-0 exchangemode main
set authentication pre-shared-key key plain-text-password1
set local-address ip YOUR_UPLINK_ADDRESS
set local-address interface ethernet1/1
set peer-address ip 72.21.209.193
top
! #2: IPSec Configuration
!
! The IPSec transform set defines the encryption, authentication, and IPSec
! mode parameters.
130
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイの詳細と設定例
!
! Please note, you may use these additionally supported IPSec parameters for
encryption like AES256 and other DH groups like 1,2, 5, 14-18, 22, 23, and
24.
edit
set
set
set
top
network ike crypto-profiles ipsec-crypto-profiles ipsec-vpn-44a8938f-0
esp authentication sha1
esp encryption aes128
dh-group group2 lifetime seconds 3600
!
-------------------------------------------------------------------------------#3: Tunnel Interface Configuration
!
!
!
!
!
!
!
!
!
!
!
!
!
!
A tunnel interface is configured to be the logical interface associated
with the tunnel. All traffic routed to the tunnel interface will be
encrypted and transmitted to the VPC. Similarly, traffic from the VPC
will be logically received on this interface.
Association with the IPSec security association is done through the
"tunnel protection" command.
The address of the interface is configured with the setup for your
Customer Gateway. If the address changes, the Customer Gateway and VPN
Connection must be recreated with Amazon VPC.
edit
set
set
set
top
network interface tunnel
ip 169.254.255.5/30
units tunnel.1
mtu 1427
edit
set
set
set
set
network tunnel ipsec ipsec-tunnel-1
auto-key ike-gateway ike-vpn-44a8938f-0
auto-key ipsec-crypto-profile ipsec-vpn-44a8938f-0
tunnel-interface tunnel.1
anti-replay yes
!
-------------------------------------------------------------------------------! #4: Border Gateway Protocol (BGP) Configuration
!
131
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイの詳細と設定例
! BGP is used within the tunnel to exchange prefixes between the
! Virtual Private Gateway and your Customer Gateway. The Virtual Private
Gateway
! will announce the prefix corresponding to your VPC.
!
!
!
! The local BGP Autonomous System Number (ASN) (YOUR_BGP_ASN)
! is configured as part of your Customer Gateway. If the ASN must
! be changed, the Customer Gateway and VPN Connection will need to be
recreated with AWS.
!
edit network virtual-router default protocol bgp
set enable yes
set router-id YOUR_UPLINK_ADDRESS
set local-as YOUR_BGP_ASN
edit peer-group AmazonBGP
edit peer amazon-tunnel-44a8938f-0
set connection-options keep-alive-interval 10
set connection-options hold-time 30
set enable yes
set local-address ip 169.254.255.5/30
set local-address interface tunnel.1
set peer-as 7224
set peer-address ip 169.254.255.2
top
! Your Customer Gateway may announce a default route (0.0.0.0/0) to us.
edit
set
set
set
top
network virtual-router default protocol bgp policy
export rules vr-export action allow
match address-prefix 0.0.0.0/0 exact yes
used-by AmazonBGP enable yes
! To advertise additional prefixes to Amazon VPC, add these prefixes to the
'address-prefix'
! statement and identify the prefix you wish to advertise. Make sure the
prefix is present
! in the routing table of the device with a valid next-hop. If you want to
advertise
! 192.168.0.0/16 to Amazon, this can be done using the following.
edit
set
set
set
top
network virtual-router default protocol bgp policy
export rules vr-export action allow
match address-prefix 192.168.0.0/16 exact yes
used-by AmazonBGP enable yes
!
132
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイの詳細と設定例
!
-------------------------------------------------------------------------------! IPSec Tunnel #2
!
-------------------------------------------------------------------------------! #1: Internet Key Exchange (IKE) Configuration
!
! A policy is established for the supported ISAKMP encryption,
! authentication, Diffie-Hellman, lifetime, and key parameters.
! Please note, these sample configurations are for the minimum requirement of
AES128, SHA1, and DH Group 2.
! You will need to modify these sample configuration files to take advantage
of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.
! The address of the external interface for your customer gateway must be a
static address.
! Your customer gateway may reside behind a device performing network address
translation (NAT).
! To ensure that NAT traversal (NAT-T) can function, you must adjust your
firewall !rules to unblock UDP port 4500. If not behind NAT, we recommend
disabling NAT-T.
!
configure
edit network ike crypto-profiles ike-crypto-profiles ike-cryptovpn-44a8938f-1
set dh-group group2
set hash sha1
set lifetime seconds 28800
set encryption aes128
top
edit network ike gateway ike-vpn-44a8938f-1
set protocol ikev1 dpd interval 10 retry 3 enable yes
set protocol ikev1 ike-crypto-profile ike-crypto-vpn-35a6445c-1 exchangemode main
set authentication pre-shared-key key plain-text-password2
set local-address ip YOUR_UPLINK_ADDRESS
set local-address interface ethernet1/1
set peer-address ip 72.21.209.225
top
! #2: IPSec Configuration
!
! The IPSec transform set defines the encryption, authentication, and IPSec
! mode parameters.
!
133
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイの詳細と設定例
! Please note, you may use these additionally supported IPSec parameters for
encryption like AES256 and other DH groups like 1,2, 5, 14-18, 22, 23, and
24.
edit
set
set
set
top
network ike crypto-profiles ipsec-crypto-profiles ipsec-vpn-44a8938f-1
esp authentication sha1
esp encryption aes128
dh-group group2 lifetime seconds 3600
!
-------------------------------------------------------------------------------#3: Tunnel Interface Configuration
!
!
!
!
!
!
!
!
!
!
!
!
!
!
A tunnel interface is configured to be the logical interface associated
with the tunnel. All traffic routed to the tunnel interface will be
encrypted and transmitted to the VPC. Similarly, traffic from the VPC
will be logically received on this interface.
Association with the IPSec security association is done through the
"tunnel protection" command.
The address of the interface is configured with the setup for your
Customer Gateway. If the address changes, the Customer Gateway and VPN
Connection must be recreated with Amazon VPC.
edit
set
set
set
top
network interface tunnel
ip 169.254.255.1/30
units tunnel.2
mtu 1427
edit
set
set
set
set
network tunnel ipsec ipsec-tunnel-2
auto-key ike-gateway ike-vpn-44a8938f-1
auto-key ipsec-crypto-profile ipsec-vpn-44a8938f-1
tunnel-interface tunnel.2
anti-replay yes
! #4: Border Gateway Protocol (BGP) Configuration
!
! BGP is used within the tunnel to exchange prefixes between the
! Virtual Private Gateway and your Customer Gateway. The Virtual Private
Gateway
134
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイ設定をテストする方法
!
!
!
!
!
!
!
will announce the prefix corresponding to your VPC.
The local BGP Autonomous System Number (ASN) (YOUR_BGP_ASN)
is configured as part of your Customer Gateway. If the ASN must
be changed, the Customer Gateway and VPN Connection will need to be
recreated with AWS.
!
edit network virtual-router default protocol bgp
set enable yes
set router-id YOUR_UPLINK_ADDRESS
set local-as YOUR_BGP_ASN
edit peer-group AmazonBGP
edit peer amazon-tunnel-44a8938f-1
set connection-options keep-alive-interval 10
set connection-options hold-time 30
set enable yes
set local-address ip 169.254.255.1/30
set local-address interface tunnel.2
set peer-as 7224
set peer-address ip 169.254.255.6.113
top
! Your Customer Gateway may announce a default route (0.0.0.0/0) to us.
edit
set
set
set
top
network virtual-router default protocol bgp policy
export rules vr-export action allow
match address-prefix 0.0.0.0/0 exact yes
used-by AmazonBGP enable yes
! To advertise additional prefixes to Amazon VPC, add these prefixes to the
'address-prefix'
! statement and identify the prefix you wish to advertise. Make sure the
prefix is present
! in the routing table of the device with a valid next-hop. If you want to
advertise
! 192.168.0.0/16 to Amazon, this can be done using the following.
edit
set
set
set
top
network virtual-router default protocol bgp policy
export rules vr-export action allow
match address-prefix 192.168.0.0/16 exact yes
used-by AmazonBGP enable yes
!
カスタマーゲートウェイ設定をテストする方法
各トンネルに対して、ゲートウェイ設定をテストすることができます。
135
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイ設定をテストする方法
各トンネルのカスタマーゲートウェイ設定をテストするには
1.
カスタマーゲートウェイで、BGP ステータスが Active であるかどうかを確認します。
BGP ピアがアクティブになるまでに約 30 秒かかります。
2.
カスタマーゲートウェイが仮想プライベートゲートウェイへのルートをアドバタイズしているこ
とを確認します。このルートは、デフォルトルート (0.0.0.0/0) の場合と、任意で特定したルー
トの場合があります。
正しく設定されている場合、BGP ピアは、VPC 統合チームが VPC 用に指定したプレフィックス (た
とえば、10.0.0.0/24) に対応する仮想プライベートゲートウェイから 1 つのルートを受け取りま
す。BGP ピアが確立された場合は、プレフィックスを受け取り、プレフィックスをアドバタイズし
て、トンネルが正しく設定されます。両方のトンネルがこの状態であることを確認します。
次に、VPC でインスタンスを起動し、ホームネットワークからインスタンスへの ping を実行して、
各トンネルの接続をテストする必要があります。開始する前に、以下を確認してください。
• ping リクエストに応答する AMI を使用します。Amazon Linux AMI のいずれかを使用することをお
勧めします。
• インスタンスのセキュリティグループとネットワーク ACL を設定し、インバウンド ICMP トラ
フィックを有効にします。
• VPN 接続用のルーティングを設定していることを確認します。サブネットのルートテーブルに仮想
プライベートゲートウェイへのルートが含まれている必要があります。詳細については、Amazon
VPC ユーザーガイド の「ルートテーブルでルート伝達を有効にする」を参照してください。
各トンネルのエンドツーエンド接続をテストするには
1.
VPC で Amazon Linux AMI の 1 つのインスタンスを起動します。Amazon EC2 コンソールからイ
ンスタンスを起動すると、起動ウィザードのリストに Amazon Linux AMI が表示されます。詳細
については、「Amazon VPC 入門ガイド」を参照してください。
2.
インスタンスが実行中になった後、そのプライベート IP アドレス (例えば 10.0.0.4) を取得し
ます。 コンソールにインスタンスの詳細の一部としてアドレスが表示されます。
3.
ホームネットワークのシステムで、インスタンスの IP アドレスに対して ping コマンドを実行し
ます。ping を実行するコンピューターがカスタマーゲートウェイの背後にないことを確認しま
す。正常なレスポンスは次のようになります。
PROMPT> ping 10.0.0.4
Pinging 10.0.0.4 with 32 bytes of data:
Reply from 10.0.0.4: bytes=32 time<1ms TTL=128
Reply from 10.0.0.4: bytes=32 time<1ms TTL=128
Reply from 10.0.0.4: bytes=32 time<1ms TTL=128
Ping statistics for 10.0.0.4:
Packets: Sent = 3, Received = 3, Lost = 0 (0% loss),
Approximate round trip times in milliseconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
Note
カスタマーゲートウェイルーターからインスタンスへの ping を実行する場合は、ping
メッセージの送信元がトンネル IP アドレスではなく内部 IP アドレスになるようにして
ください。一部の AMI は、トンネル IP アドレスからの ping メッセージに応答しませ
ん。
136
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイ設定をテストする方法
4.
(オプション) トンネル フェイルオーバーをテストするため、カスタマーゲートウェイのトンネル
の 1 つを一時的に無効化し、上記の手順を繰り返すことができます。VPN 接続の AWS 側のトン
ネルを無効化することはできません。
137
Amazon Virtual Private Cloud ネットワーク管理者ガイド
例: Yamaha 製デバイス
トピック
• カスタマーゲートウェイの概要 (p. 139)
• カスタマーゲートウェイの詳細と設定例 (p. 139)
• カスタマーゲートウェイ設定をテストする方法 (p. 146)
このセクションでは、カスタマーゲートウェイが
RT107e、RTX1200、RTX1500、RTX3000、SRT100 のいずれかの Yamaha 製ルーターである場合
に、統合チームから提供される設定情報の例について説明します。
2 つの図で設定例を紹介します。最初の図はカスタマーゲートウェイのレイアウトの概要を表し、2
番目の図はこの設定例の詳細を表しています。統合チームから受け取った実際の設定情報を使用し
て、カスタマーゲートウェイに適用する必要があります。
138
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイの概要
カスタマーゲートウェイの概要
次の図は、カスタマーゲートウェイの全般的な説明を示しています。VPN 接続が 2 つの個別のトンネ
ルで構成されている点に注意してください。冗長なトンネルを使用することで、デバイス障害の発生
時にも可用性を継続的に維持できます。
カスタマーゲートウェイの詳細と設定例
このセクションの図は、Yamaha 製カスタマーゲートウェイの例を示しています。図の後には、統合
チームから提供される設定情報の対応する例が示されています。この設定例には、各トンネルに設定
する必要のある一連の情報が含まれています。
さらに、指定する必要ある以下の項目が示されています。
• YOUR_UPLINK_ADDRESS—カスタマーゲートウェイ上のインターネットルーティングが可能な外部
インターフェイスの IP アドレス。このアドレスは静的である必要があります。また、ネットワー
クアドレス変換 (NAT) を実行するデバイスの背後のアドレスを使用することができます。NAT トラ
バーサル (NAT-T) を正しく機能させるには、UDP ポート 4500 のブロックを解除するようにファイ
アウォールのルールを調整する必要があります。
• YOUR_LOCAL_NETWORK_ADDRESS - ローカルネットワークに接続された LAN インターフェイスに割
り当てられた IP アドレス (多くの場合、192.168.0.1 などのプライベートアドレス)。
• YOUR_BGP_ASN - カスタマーゲートウェイの BGP ASN (デフォルトで 65000 を使用します)
この設定例には、設定がどのように機能するかを理解するために役立つサンプル値が含まれていま
す。たとえば、VPN 接続 ID (vpn-44a8938f)、仮想プライベートゲートウェイ ID (vgw-8db04f81)、IP
アドレス (72.21.209.*, 169.254.255.*)、リモート ASN (7224) です。これらのサンプル値を、受け取っ
た設定情報に含まれる実際の値で置き換えます。
139
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイの詳細と設定例
さらに、以下を実行する必要があります。
• 外部インターフェイスを設定します (設定例では LAN3 と示されています)。
• トンネルインターフェイス ID を設定します (設定例では Tunnel #1 および Tunnel #2 と示され
ています)。
• カスタマーゲートウェイとローカルネットワークとの間でトラフィックを動かす内部ルーティング
をすべて設定します。
次の図および設定例では、イタリックの赤い文字の項目を、特定の設定に適用される値で置き換える
必要があります。
Warning
次の設定情報の例は、統合チームから提供されることが想定される内容です。この例に示さ
れた値の多くは、実際に受け取る設定情報とは異なります。ここに示されるサンプル値では
なく、実際の値を使用する必要があります。そうしないと、実装が失敗します。
# Amazon Web Services
# Virtual Private Cloud
#
#
#
#
#
#
#
#
#
#
#
#
AWS utilizes unique identifiers to manage the configuration of
a VPN Connection. Each VPN Connection is assigned an identifier and is
associated with two other identifiers, namely the
Customer Gateway Identifier and Virtual Private Gateway Identifier.
Your VPN Connection ID
Your Virtual Private Gateway ID
Your Customer Gateway ID
: vpn-44a8938f
: vgw-8db04f81
: cgw-b4dc3961
This configuration consists of two tunnels. Both tunnels must be
configured on your Customer Gateway.
140
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイの詳細と設定例
#
#
-------------------------------------------------------------------------------# IPsec Tunnel #1
#
--------------------------------------------------------------------------------
#
#
#
#
#
#
#1: Internet Key Exchange (IKE) Configuration
A policy is established for the supported ISAKMP encryption,
authentication, Diffie-Hellman, lifetime, and key parameters.
Please note, these sample configurations are for the minimum requirement of
AES128, SHA1, and DH Group 2.
# You will need to modify these sample configuration files to take advantage
of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.
# The address of the external interface for your customer gateway must be a
static address.
# Your customer gateway may reside behind a device performing network address
translation (NAT).
# To ensure that NAT traversal (NAT-T) can function, you must adjust your
firewall !rules to unblock UDP port 4500. If not behind NAT, we recommend
disabling NAT-T.
#
tunnel select 1
ipsec ike encryption 1 aes-cbc
ipsec ike group 1 modp1024
ipsec ike hash 1 sha
# This line stores the Pre Shared Key used to authenticate the
# tunnel endpoints.
#
ipsec ike pre-shared-key 1 text plain-text-password1
# #2: IPsec Configuration
# The IPsec policy defines the encryption, authentication, and IPsec
# mode parameters.
# Please note, you may use these additionally supported IPSec parameters for
encryption like AES256 and other DH groups like 1,2, 5, 14-18, 22, 23, and
24.
#
# Note that there are a global list of IPSec policies, each identified by
# sequence number. This policy is defined as #201, which may conflict with
# an existing policy using the same number. If so, we recommend changing
# the sequence number to avoid conflicts.
#
ipsec tunnel 201
ipsec sa policy 201 1 esp aes-cbc
sha-hmac
141
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイの詳細と設定例
# The IPsec profile references the IPsec policy and further defines
# the Diffie-Hellman group and security association lifetime.
ipsec ike duration ipsec-sa 1 3600
ipsec ike pfs 1 on
# Additional parameters of the IPsec configuration are set here. Note that
# these parameters are global and therefore impact other IPsec
# associations.
# This option instructs the router to clear the "Don't Fragment"
# bit from packets that carry this bit and yet must be fragmented, enabling
# them to be fragmented.
#
ipsec tunnel outer df-bit clear
# This option enables IPsec Dead Peer Detection, which causes periodic
# messages to be sent to ensure a Security Association remains operational.
ipsec ike keepalive use 1 on dpd 10 3
#
-------------------------------------------------------------------------------# #3: Tunnel Interface Configuration
#
# A tunnel interface is configured to be the logical interface associated
# with the tunnel. All traffic routed to the tunnel interface will be
# encrypted and transmitted to the VPC. Similarly, traffic from the VPC
# will be logically received on this interface.
#
#
# The address of the interface is configured with the setup for your
# Customer Gateway. If the address changes, the Customer Gateway and VPN
# Connection must be recreated with Amazon VPC.
#
ipsec ike local address 1 YOUR_LOCAL_NETWORK_ADDRESS
ipsec ike remote address 1 72.21.209.225
ip tunnel address 169.254.255.2/30
ip tunnel remote address 169.254.255.1
# This option causes the router to reduce the Maximum Segment Size of
# TCP packets to prevent packet fragmentation
ip tunnel tcp mss limit 1387
tunnel enable 1
tunnel select none
ipsec auto refresh on
#
-------------------------------------------------------------------------------# #4: Border Gateway Protocol (BGP) Configuration
142
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイの詳細と設定例
#
# BGP is used within the tunnel to exchange prefixes between the
# Virtual Private Gateway and your Customer Gateway. The Virtual Private
Gateway
# will announce the prefix corresponding to your VPC.
#
# Your Customer Gateway may announce a default route (0.0.0.0/0),
# which can be done with the 'network' and 'default-originate' statements.
#
# The BGP timers are adjusted to provide more rapid detection of outages.
#
# The local BGP Autonomous System Number (ASN) (YOUR_BGP_ASN) is configured
# as part of your Customer Gateway. If the ASN must be changed, the
# Customer Gateway and VPN Connection will need to be recreated with AWS.
#
bgp use on
bgp autonomous-system YOUR_BGP_ASN
bgp neighbor 1 7224 169.254.255.1 hold-time=30 local-address=169.254.255.2
# To advertise additional prefixes to Amazon VPC, copy the 'network'
statement and
# identify the prefix you wish to advertise. Make sure the
# prefix is present in the routing table of the device with a valid next-hop.
# For example, the following two lines will advertise 192.168.0.0/16 and
10.0.0.0/16 to Amazon VPC
#
# bgp import filter 1 equal 10.0.0.0/16
# bgp import filter 1 equal 192.168.0.0/16
#
bgp import filter 1 equal 0.0.0.0/0
bgp import 7224 static filter 1
#
-------------------------------------------------------------------------------# IPsec Tunnel #2
#
--------------------------------------------------------------------------------
#
#
#
#
#
#
#1: Internet Key Exchange (IKE) Configuration
A policy is established for the supported ISAKMP encryption,
authentication, Diffie-Hellman, lifetime, and key parameters.
Please note, these sample configurations are for the minimum requirement of
AES128, SHA1, and DH Group 2.
# You will need to modify these sample configuration files to take advantage
of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.
# The address of the external interface for your customer gateway must be a
static address.
# Your customer gateway may reside behind a device performing network address
translation (NAT).
143
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイの詳細と設定例
# To ensure that NAT traversal (NAT-T) can function, you must adjust your
firewall rules to unblock UDP port 4500. If not behind NAT, we recommend
disabling NAT-T.
#
tunnel select 2
ipsec ike encryption 2 aes-cbc
ipsec ike group 2 modp1024
ipsec ike hash 2 sha
# This line stores the Pre Shared Key used to authenticate the
# tunnel endpoints.
#
ipsec ike pre-shared-key 2 text plain-text-password2
# #2: IPsec Configuration
# The IPsec policy defines the encryption, authentication, and IPsec
# mode parameters.
# Please note, you may use these additionally supported IPSec parameters for
encryption like AES256 and other DH groups like 1,2, 5, 14-18, 22, 23, and
24.
#
# Note that there are a global list of IPsec policies, each identified by
# sequence number. This policy is defined as #202, which may conflict with
# an existing policy using the same number. If so, we recommend changing
# the sequence number to avoid conflicts.
#
ipsec tunnel 202
ipsec sa policy 202 2 esp aes-cbc
sha-hmac
# The IPsec profile references the IPsec policy and further defines
# the Diffie-Hellman group and security association lifetime.
ipsec ike duration ipsec-sa 2 3600
ipsec ike pfs 2 on
# Additional parameters of the IPsec configuration are set here. Note that
# these parameters are global and therefore impact other IPsec
# associations.
# This option instructs the router to clear the "Don't Fragment"
# bit from packets that carry this bit and yet must be fragmented, enabling
# them to be fragmented.
#
ipsec tunnel outer df-bit clear
# This option enables IPsec Dead Peer Detection, which causes periodic
# messages to be sent to ensure a Security Association remains operational.
ipsec ike keepalive use 2 on dpd 10 3
144
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイの詳細と設定例
#
-------------------------------------------------------------------------------# #3: Tunnel Interface Configuration
#
# A tunnel interface is configured to be the logical interface associated
# with the tunnel. All traffic routed to the tunnel interface will be
# encrypted and transmitted to the VPC. Similarly, traffic from the VPC
# will be logically received on this interface.
#
# Association with the IPsec security association is done through the
# "tunnel protection" command.
#
# The address of the interface is configured with the setup for your
# Customer Gateway. If the address changes, the Customer Gateway and VPN
# Connection must be recreated with Amazon VPC.
#
ipsec ike local address 2 YOUR_LOCAL_NETWORK_ADDRESS
ipsec ike remote address 2 72.21.209.193
ip tunnel address 169.254.255.6/30
ip tunnel remote address 169.254.255.5
# This option causes the router to reduce the Maximum Segment Size of
# TCP packets to prevent packet fragmentation
ip tunnel tcp mss limit 1387
tunnel enable 2
tunnel select none
ipsec auto refresh on
#
-------------------------------------------------------------------------------# #4: Border Gateway Protocol (BGP) Configuration
#
# BGP is used within the tunnel to exchange prefixes between the
# Virtual Private Gateway and your Customer Gateway. The Virtual Private
Gateway
# will announce the prefix corresponding to your VPC.
#
# Your Customer Gateway may announce a default route (0.0.0.0/0),
# which can be done with the 'network' and 'default-originate' statements.
#
#
# The BGP timers are adjusted to provide more rapid detection of outages.
#
# The local BGP Autonomous System Number (ASN) (YOUR_BGP_ASN) is configured
# as part of your Customer Gateway. If the ASN must be changed, the
# Customer Gateway and VPN Connection will need to be recreated with AWS.
#
bgp use on
bgp autonomous-system YOUR_BGP_ASN
bgp neighbor 2 7224 169.254.255.5 hold-time=30 local-address=169.254.255.6
# To advertise additional prefixes to Amazon VPC, copy the 'network'
statement and
145
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイ設定をテストする方法
# identify the prefix you wish to advertise. Make sure the
# prefix is present in the routing table of the device with a valid next-hop.
# For example, the following two lines will advertise 192.168.0.0/16 and
10.0.0.0/16 to Amazon VPC
#
# bgp import filter 1 equal 10.0.0.0/16
# bgp import filter 1 equal 192.168.0.0/16
#
bgp import filter 1 equal 0.0.0.0/0
bgp import 7224 static filter 1
bgp configure refresh
カスタマーゲートウェイ設定をテストする方法
各トンネルに対して、ゲートウェイ設定をテストすることができます。
各トンネルのカスタマーゲートウェイ設定をテストするには
1.
2.
カスタマーゲートウェイで、BGP ステータスが Active であるかどうかを確認します。
BGP ピアがアクティブになるまでに約 30 秒かかります。
カスタマーゲートウェイが仮想プライベートゲートウェイへのルートをアドバタイズしているこ
とを確認します。このルートは、デフォルトルート (0.0.0.0/0) の場合と、任意で特定したルー
トの場合があります。
正しく設定されている場合、BGP ピアは、VPC 統合チームが VPC 用に指定したプレフィックス (た
とえば、10.0.0.0/24) に対応する仮想プライベートゲートウェイから 1 つのルートを受け取りま
す。BGP ピアが確立された場合は、プレフィックスを受け取り、プレフィックスをアドバタイズし
て、トンネルが正しく設定されます。両方のトンネルがこの状態であることを確認します。
次に、VPC でインスタンスを起動し、ホームネットワークからインスタンスへの ping を実行して、
各トンネルの接続をテストする必要があります。開始する前に、以下を確認してください。
• ping リクエストに応答する AMI を使用します。Amazon Linux AMI のいずれかを使用することをお
勧めします。
• インスタンスのセキュリティグループとネットワーク ACL を設定し、インバウンド ICMP トラ
フィックを有効にします。
• VPN 接続用のルーティングを設定していることを確認します。サブネットのルートテーブルに仮想
プライベートゲートウェイへのルートが含まれている必要があります。詳細については、Amazon
VPC ユーザーガイド の「ルートテーブルでルート伝達を有効にする」を参照してください。
各トンネルのエンドツーエンド接続をテストするには
1.
2.
3.
VPC で Amazon Linux AMI の 1 つのインスタンスを起動します。Amazon EC2 コンソールからイ
ンスタンスを起動すると、起動ウィザードのリストに Amazon Linux AMI が表示されます。詳細
については、「Amazon VPC 入門ガイド」を参照してください。
インスタンスが実行中になった後、そのプライベート IP アドレス (例えば 10.0.0.4) を取得し
ます。 コンソールにインスタンスの詳細の一部としてアドレスが表示されます。
ホームネットワークのシステムで、インスタンスの IP アドレスに対して ping コマンドを実行し
ます。ping を実行するコンピューターがカスタマーゲートウェイの背後にないことを確認しま
す。正常なレスポンスは次のようになります。
PROMPT> ping 10.0.0.4
146
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイ設定をテストする方法
Pinging 10.0.0.4 with 32 bytes of data:
Reply from 10.0.0.4: bytes=32 time<1ms TTL=128
Reply from 10.0.0.4: bytes=32 time<1ms TTL=128
Reply from 10.0.0.4: bytes=32 time<1ms TTL=128
Ping statistics for 10.0.0.4:
Packets: Sent = 3, Received = 3, Lost = 0 (0% loss),
Approximate round trip times in milliseconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
Note
カスタマーゲートウェイルーターからインスタンスへの ping を実行する場合は、ping
メッセージの送信元がトンネル IP アドレスではなく内部 IP アドレスになるようにして
ください。一部の AMI は、トンネル IP アドレスからの ping メッセージに応答しませ
ん。
4.
(オプション) トンネル フェイルオーバーをテストするため、カスタマーゲートウェイのトンネル
の 1 つを一時的に無効化し、上記の手順を繰り返すことができます。VPN 接続の AWS 側のトン
ネルを無効化することはできません。
トンネルのテストを正常に実施できない場合は、「Yamaha 製カスタマーゲートウェイの接続のトラ
ブルシューティング (p. 183)」を参照してください。
147
Amazon Virtual Private Cloud ネットワーク管理者ガイド
例: ボーダーゲートウェイプロトコ
ルを使用した一般的なカスタマー
ゲートウェイ
トピック
• カスタマーゲートウェイの概要 (p. 149)
• カスタマーゲートウェイの詳細と設定例 (p. 149)
• カスタマーゲートウェイ設定をテストする方法 (p. 154)
このガイドでこれまで説明したタイプとは異なるカスタマーゲートウェイを使用する場合は、任意の
カスタマーゲートウェイの設定に使用できる一般的な情報が統合チームから提供されます。このセク
ションでは、その情報の例を紹介します。
2 つの図で設定例を紹介します。最初の図はカスタマーゲートウェイのレイアウトの概要を表し、2
番目の図はこの設定例の詳細を表しています。統合チームから受け取った実際の設定情報を使用し
て、カスタマーゲートウェイに適用する必要があります。
148
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイの概要
カスタマーゲートウェイの概要
次の図は、カスタマーゲートウェイの全般的な説明を示しています。VPN 接続が 2 つの個別のトンネ
ルで構成されている点に注意してください。冗長なトンネルを使用することで、デバイス障害の発生
時にも可用性を継続的に維持できます。
カスタマーゲートウェイの詳細と設定例
このセクションの図は、一般的なカスタマーゲートウェイの例を示しています。図の後には、統合
チームから提供される設定情報の対応する例が示されています。この設定例には、各トンネルに設定
する必要のある一連の情報が含まれています。
さらに、指定する必要ある以下の項目が示されています。
• YOUR_UPLINK_ADDRESS—カスタマーゲートウェイ上のインターネットルーティングが可能な外部
インターフェイスの IP アドレス。このアドレスは静的である必要があります。また、ネットワー
クアドレス変換 (NAT) を実行するデバイスの背後のアドレスを使用することができます。NAT トラ
バーサル (NAT-T) を正しく機能させるには、UDP ポート 4500 のブロックを解除するようにファイ
アウォールのルールを調整する必要があります。
• YOUR_BGP_ASN - カスタマーゲートウェイの BGP ASN (デフォルトで 65000 を使用します)
この設定例には、設定がどのように機能するかを理解するために役立つサンプル値が含まれていま
す。たとえば、VPN 接続 ID (vpn-44a8938f)、仮想プライベートゲートウェイ ID (vgw-8db04f81)、IP
アドレス (72.21.209.*, 169.254.255.*)、リモート ASN (7224) です。これらのサンプル値を、受け取っ
た設定情報に含まれる実際の値で置き換えます。
次の図および設定例では、イタリックの赤い文字の項目を、特定の設定に適用される値で置き換える
必要があります。
149
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイの詳細と設定例
Amazon Web Services
Virtual Private Cloud
VPN Connection Configuration
===============================================
AWS utilizes unique identifiers to manipulate the configuration of
a VPN Connection. Each VPN Connection is assigned a VPN identifier
and is associated with two other identifiers, namely the
Customer Gateway Identifier and the Virtual Private Gateway Identifier.
Your VPN Connection ID
Your Virtual Private Gateway ID
Your Customer Gateway ID
: vpn-44a8938f
: vgw-8db04f81
: cgw-b4dc3961
A VPN Connection consists of a pair of IPsec tunnel security associations
(SAs).
It is important that both tunnel security associations be configured.
IPsec Tunnel #1
================================================
#1: Internet Key Exchange Configuration
Configure the IKE SA as follows:
Please note, these sample configurations are for the minimum requirement of
AES128, SHA1, and DH Group 2.
You will need to modify these sample configuration files to take advantage of
AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.
The address of the external interface for your customer gateway must be a
static address.
150
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイの詳細と設定例
Your customer gateway may reside behind a device performing network address
translation (NAT).
To ensure that NAT traversal (NAT-T) can function, you must adjust your
firewall rules to unblock UDP port 4500. If not behind NAT, we recommend
disabling NAT-T.
- Authentication Method
: Pre-Shared Key
- Pre-Shared Key
: plain-text-password1
- Authentication Algorithm : sha1
- Encryption Algorithm
: aes-128-cbc
- Lifetime
: 28800 seconds
- Phase 1 Negotiation Mode : main
- Perfect Forward Secrecy : Diffie-Hellman Group 2
#2: IPsec Configuration
Configure the IPsec SA as follows:
Please note, you may use these additionally supported IPSec parameters for
encryption like AES256 and other DH groups like 1,2, 5, 14-18, 22, 23, and
24.
- Protocol
: esp
- Authentication Algorithm : hmac-sha1-96
- Encryption Algorithm
: aes-128-cbc
- Lifetime
: 3600 seconds
- Mode
: tunnel
- Perfect Forward Secrecy : Diffie-Hellman Group 2
IPsec Dead Peer Detection (DPD) will be enabled on the AWS Endpoint. We
recommend configuring DPD on your endpoint as follows:
- DPD Interval
: 10
- DPD Retries
: 3
IPsec ESP (Encapsulating Security Payload) inserts additional
headers to transmit packets. These headers require additional space,
which reduces the amount of space available to transmit application data.
To limit the impact of this behavior, we recommend the following
configuration on your Customer Gateway:
- TCP MSS Adjustment
: 1387 bytes
- Clear Don't Fragment Bit : enabled
- Fragmentation
: Before encryption
#3: Tunnel Interface Configuration
Your Customer Gateway must be configured with a tunnel interface that is
associated with the IPsec tunnel. All traffic transmitted to the tunnel
interface is encrypted and transmitted to the Virtual Private Gateway.
The Customer Gateway and Virtual Private Gateway each have two addresses that
relate
to this IPsec tunnel. Each contains an outside address, upon which encrypted
traffic is exchanged. Each also contain an inside address associated with
the tunnel interface.
151
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイの詳細と設定例
The Customer Gateway outside IP address was provided when the Customer
Gateway
was created. Changing the IP address requires the creation of a new
Customer Gateway.
The Customer Gateway inside IP address should be configured on your tunnel
interface.
Outside IP Addresses:
- Customer Gateway:
- Virtual Private Gateway
: YOUR_UPLINK_ADDRESS
: 72.21.209.193
Inside IP Addresses
- Customer Gateway
- Virtual Private Gateway
: 169.254.255.6/30
: 169.254.255.5/30
Configure your tunnel to fragment at the optimal size:
- Tunnel interface MTU
: 1436 bytes
#4: Border Gateway Protocol (BGP) Configuration:
The Border Gateway Protocol (BGPv4) is used within the tunnel, between the
inside
IP addresses, to exchange routes from the VPC to your home network. Each
BGP router has an Autonomous System Number (ASN). Your ASN was provided
to AWS when the Customer Gateway was created.
BGP Configuration Options:
- Customer Gateway ASN
- Virtual Private Gateway ASN
- Neighbor IP Address
- Neighbor Hold Time
:
:
:
:
YOUR_BGP_ASN
7224
169.254.255.1
30
Configure BGP to announce routes to the Virtual Private Gateway. The gateway
will announce prefixes to your customer gateway based upon the prefix you
assigned to the VPC at creation time.
IPsec Tunnel #2
=====================================================
#1: Internet Key Exchange Configuration
Configure the IKE SA as follows:
Please note, these sample configurations are for the minimum requirement of
AES128, SHA1, and DH Group 2.
You will need to modify these sample configuration files to take advantage of
AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.
The address of the external interface for your customer gateway must be a
static address.
Your customer gateway may reside behind a device performing network address
translation (NAT).
To ensure that NAT traversal (NAT-T) can function, you must adjust your
firewall rules to unblock UDP port 4500. If not behind NAT, we recommend
disabling NAT-T.
152
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイの詳細と設定例
-
Authentication Method
Pre-Shared Key
Authentication Algorithm
Encryption Algorithm
Lifetime
Phase 1 Negotiation Mode
Perfect Forward Secrecy
:
:
:
:
:
:
:
Pre-Shared Key
plain-text-password2
sha1
aes-128-cbc
28800 seconds
main
Diffie-Hellman Group 2
#2: IPsec Configuration
Configure the IPsec SA as follows:
Please note, you may use these additionally supported IPSec parameters for
encryption like AES256 and other DH groups like 1,2, 5, 14-18, 22, 23, and
24.
- Protocol
: esp
- Authentication Algorithm : hmac-sha1-96
- Encryption Algorithm
: aes-128-cbc
- Lifetime
: 3600 seconds
- Mode
: tunnel
- Perfect Forward Secrecy : Diffie-Hellman Group 2
IPsec Dead Peer Detection (DPD) will be enabled on the AWS Endpoint. We
recommend configuring DPD on your endpoint as follows:
- DPD Interval
: 10
- DPD Retries
: 3
IPsec ESP (Encapsulating Security Payload) inserts additional
headers to transmit packets. These headers require additional space,
which reduces the amount of space available to transmit application data.
To limit the impact of this behavior, we recommend the following
configuration on your Customer Gateway:
- TCP MSS Adjustment
: 1387 bytes
- Clear Don't Fragment Bit : enabled
- Fragmentation
: Before encryption
#3: Tunnel Interface Configuration
Your Customer Gateway must be configured with a tunnel interface that is
associated with the IPsec tunnel. All traffic transmitted to the tunnel
interface is encrypted and transmitted to the Virtual Private Gateway.
The Customer Gateway and Virtual Private Gateway each have two addresses that
relate
to this IPsec tunnel. Each contains an outside address, upon which encrypted
traffic is exchanged. Each also contain an inside address associated with
the tunnel interface.
The Customer Gateway outside IP address was provided when the Customer
Gateway
was created. Changing the IP address requires the creation of a new
Customer Gateway.
The Customer Gateway inside IP address should be configured on your tunnel
153
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイ設定をテストする方法
interface.
Outside IP Addresses:
- Customer Gateway:
- Virtual Private Gateway
: YOUR_UPLINK_ADDRESS
: 72.21.209.193
Inside IP Addresses
- Customer Gateway
- Virtual Private Gateway
: 169.254.255.6/30
: 169.254.255.5/30
Configure your tunnel to fragment at the optimal size:
- Tunnel interface MTU
: 1436 bytes
#4: Border Gateway Protocol (BGP) Configuration:
The Border Gateway Protocol (BGPv4) is used within the tunnel, between the
inside
IP addresses, to exchange routes from the VPC to your home network. Each
BGP router has an Autonomous System Number (ASN). Your ASN was provided
to AWS when the Customer Gateway was created.
BGP Configuration Options:
- Customer Gateway ASN
- Virtual Private Gateway ASN
- Neighbor IP Address
- Neighbor Hold Time
:
:
:
:
YOUR_BGP_ASN
7224
169.254.255.5
30
Configure BGP to announce routes to the Virtual Private Gateway. The gateway
will announce prefixes to your customer gateway based upon the prefix you
assigned to the VPC at creation time.
カスタマーゲートウェイ設定をテストする方法
各トンネルに対して、ゲートウェイ設定をテストすることができます。
各トンネルのカスタマーゲートウェイ設定をテストするには
1.
2.
カスタマーゲートウェイで、BGP ステータスが Active であるかどうかを確認します。
BGP ピアがアクティブになるまでに約 30 秒かかります。
カスタマーゲートウェイが仮想プライベートゲートウェイへのルートをアドバタイズしているこ
とを確認します。このルートは、デフォルトルート (0.0.0.0/0) の場合と、任意で特定したルー
トの場合があります。
正しく設定されている場合、BGP ピアは、VPC 統合チームが VPC 用に指定したプレフィックス (た
とえば、10.0.0.0/24) に対応する仮想プライベートゲートウェイから 1 つのルートを受け取りま
す。BGP ピアが確立された場合は、プレフィックスを受け取り、プレフィックスをアドバタイズし
て、トンネルが正しく設定されます。両方のトンネルがこの状態であることを確認します。
次に、VPC でインスタンスを起動し、ホームネットワークからインスタンスへの ping を実行して、
各トンネルの接続をテストする必要があります。開始する前に、以下を確認してください。
• ping リクエストに応答する AMI を使用します。Amazon Linux AMI のいずれかを使用することをお
勧めします。
154
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイ設定をテストする方法
• インスタンスのセキュリティグループとネットワーク ACL を設定し、インバウンド ICMP トラ
フィックを有効にします。
• VPN 接続用のルーティングを設定していることを確認します。サブネットのルートテーブルに仮想
プライベートゲートウェイへのルートが含まれている必要があります。詳細については、Amazon
VPC ユーザーガイド の「ルートテーブルでルート伝達を有効にする」を参照してください。
各トンネルのエンドツーエンド接続をテストするには
1.
VPC で Amazon Linux AMI の 1 つのインスタンスを起動します。Amazon EC2 コンソールからイ
ンスタンスを起動すると、起動ウィザードのリストに Amazon Linux AMI が表示されます。詳細
については、「Amazon VPC 入門ガイド」を参照してください。
2.
インスタンスが実行中になった後、そのプライベート IP アドレス (例えば 10.0.0.4) を取得し
ます。 コンソールにインスタンスの詳細の一部としてアドレスが表示されます。
3.
ホームネットワークのシステムで、インスタンスの IP アドレスに対して ping コマンドを実行し
ます。ping を実行するコンピューターがカスタマーゲートウェイの背後にないことを確認しま
す。正常なレスポンスは次のようになります。
PROMPT> ping 10.0.0.4
Pinging 10.0.0.4 with 32 bytes of data:
Reply from 10.0.0.4: bytes=32 time<1ms TTL=128
Reply from 10.0.0.4: bytes=32 time<1ms TTL=128
Reply from 10.0.0.4: bytes=32 time<1ms TTL=128
Ping statistics for 10.0.0.4:
Packets: Sent = 3, Received = 3, Lost = 0 (0% loss),
Approximate round trip times in milliseconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
Note
カスタマーゲートウェイルーターからインスタンスへの ping を実行する場合は、ping
メッセージの送信元がトンネル IP アドレスではなく内部 IP アドレスになるようにして
ください。一部の AMI は、トンネル IP アドレスからの ping メッセージに応答しませ
ん。
4.
(オプション) トンネル フェイルオーバーをテストするため、カスタマーゲートウェイのトンネル
の 1 つを一時的に無効化し、上記の手順を繰り返すことができます。VPN 接続の AWS 側のトン
ネルを無効化することはできません。
トンネルのテストを正常に実施できない場合は、「ボーダーゲートウェイプロトコルを使用した一般
的なデバイスのカスタマーゲートウェイ接続のトラブルシューティング (p. 186)」を参照してくださ
い。
155
Amazon Virtual Private Cloud ネットワーク管理者ガイド
例: ボーダーゲートウェイプロトコ
ルを使用しない一般的なカスタマー
ゲートウェイ
トピック
• カスタマーゲートウェイの概要 (p. 157)
• カスタマーゲートウェイの詳細と設定例 (p. 157)
• カスタマーゲートウェイ設定をテストする方法 (p. 162)
このガイドでこれまで説明したタイプとは異なるカスタマーゲートウェイを使用する場合は、任意の
カスタマーゲートウェイの設定に使用できる一般的な情報が統合チームから提供されます。このセク
ションでは、その情報の例を紹介します。
2 つの図で設定例を紹介します。最初の図はカスタマーゲートウェイのレイアウトの概要を表し、2
番目の図はこの設定例の詳細を表しています。統合チームから受け取った実際の設定情報を使用し
て、カスタマーゲートウェイに適用する必要があります。
156
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイの概要
カスタマーゲートウェイの概要
次の図は、カスタマーゲートウェイの全般的な説明を示しています。VPN 接続が 2 つの個別のトンネ
ル (Tunnel 1 と Tunnel 2) で構成されている点に注意してください。冗長なトンネルを使用すること
で、デバイス障害の発生時にも可用性を継続的に維持できます。
カスタマーゲートウェイの詳細と設定例
このセクションの図は、一般的なカスタマーゲートウェイ (BGP なし) の例を示しています。図の後に
は、統合チームから提供される設定情報の対応する例が示されています。この設定例には、各トンネ
ルに設定する必要のある一連の情報が含まれています。
このセクションの図は、VPN 接続に静的ルーティングを使用する一般的なカスタマーゲートウェイ
を示しています (ここでは、動的ルーティング、つまりボーダーゲートウェイプロトコル (BGP) はサ
ポートされません)。図の後には、統合チームから提供される設定情報の対応する例が示されていま
す。この設定例には、2 個のトンネルに設定する必要のある一連の情報が含まれています。
さらに、指定する必要がある以下の項目についても示されています。
• YOUR_UPLINK_ADDRESS—カスタマーゲートウェイ上のインターネットルーティングが可能な外部
インターフェイスの IP アドレス。このアドレスは静的である必要があります。また、ネットワー
クアドレス変換 (NAT) を実行するデバイスの背後のアドレスを使用することができます。NAT トラ
バーサル (NAT-T) を正しく機能させるには、UDP ポート 4500 のブロックを解除するようにファイ
アウォールのルールを調整する必要があります。
157
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイの詳細と設定例
この設定例には、設定がどのように機能するかを理解するために役立つサンプル値が含ま
れています。たとえば、VPN 接続 ID (vpn-44a8938f)、仮想プライベートゲートウェイ ID
(vgw-8db04f81)、VGW IP アドレス (72.21.209.*, 169.254.255.*) です。これらのサンプル値を、受け
取った設定情報に含まれる実際の値で置き換えます。
次の図および設定例では、イタリックの赤い文字の項目を、特定の設定に適用される値で置き換える
必要があります。
Important
次の設定情報の例は、統合チームから提供されることが想定される内容です。この例に示さ
れた値の多くは、実際に受け取る設定情報とは異なります。ここに示されるサンプル値では
なく、実際の値を使用する必要があります。そうしないと、実装が失敗します。
Amazon Web Services
Virtual Private Cloud
VPN Connection Configuration
================================================================================
AWS utilizes unique identifiers to manipulate the configuration of
a VPN Connection. Each VPN Connection is assigned a VPN Connection Identifier
and is associated with two other identifiers, namely the
Customer Gateway Identifier and the Virtual Private Gateway Identifier.
Your VPN Connection ID
Your Virtual Private Gateway ID
Your Customer Gateway ID
: vpn-44a8938f
: vgw-8db04f81
: cgw-ff628496
A VPN Connection consists of a pair of IPSec tunnel security associations
(SAs).
It is important that both tunnel security associations be configured.
IPSec Tunnel #1
158
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイの詳細と設定例
================================================================================
#1: Internet Key Exchange Configuration
Configure the IKE SA as follows
Please note, these sample configurations are for the minimum requirement of
AES128, SHA1, and DH Group 2.
You will need to modify these sample configuration files to take advantage of
AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.
The address of the external interface for your customer gateway must be a
static address.
Your customer gateway may reside behind a device performing network address
translation (NAT).
To ensure that NAT traversal (NAT-T) can function, you must adjust your
firewall rules to unblock UDP port 4500. If not behind NAT, we recommend
disabling NAT-T.
- Authentication Method
: Pre-Shared Key
- Pre-Shared Key
: PRE-SHARED-KEY-IN-PLAIN-TEXT
- Authentication Algorithm : sha1
- Encryption Algorithm
: aes-128-cbc
- Lifetime
: 28800 seconds
- Phase 1 Negotiation Mode : main
- Perfect Forward Secrecy : Diffie-Hellman Group 2
#2: IPSec Configuration
Configure the IPSec SA as follows:
Please note, you may use these additionally supported IPSec parameters for
encryption like AES256 and other DH groups like 1,2, 5, 14-18, 22, 23, and
24.
- Protocol
: esp
- Authentication Algorithm : hmac-sha1-96
- Encryption Algorithm
: aes-128-cbc
- Lifetime
: 3600 seconds
- Mode
: tunnel
- Perfect Forward Secrecy : Diffie-Hellman Group 2
IPSec Dead Peer Detection (DPD) will be enabled on the AWS Endpoint. We
recommend configuring DPD on your endpoint as follows:
- DPD Interval
: 10
- DPD Retries
: 3
IPSec ESP (Encapsulating Security Payload) inserts additional
headers to transmit packets. These headers require additional space,
which reduces the amount of space available to transmit application data.
To limit the impact of this behavior, we recommend the following
configuration on your Customer Gateway:
- TCP MSS Adjustment
: 1387 bytes
- Clear Don't Fragment Bit : enabled
- Fragmentation
: Before encryption
159
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイの詳細と設定例
#3: Tunnel Interface Configuration
Your Customer Gateway must be configured with a tunnel interface that is
associated with the IPSec tunnel. All traffic transmitted to the tunnel
interface is encrypted and transmitted to the Virtual Private Gateway.
The Customer Gateway and Virtual Private Gateway each have two addresses that
relate
to this IPSec tunnel. Each contains an outside address, upon which encrypted
traffic is exchanged. Each also contain an inside address associated with
the tunnel interface.
The Customer Gateway outside IP address was provided when the Customer
Gateway
was created. Changing the IP address requires the creation of a new
Customer Gateway.
The Customer Gateway inside IP address should be configured on your tunnel
interface.
Outside IP Addresses:
- Customer Gateway
- Virtual Private Gateway
: YOUR_UPLINK_ADDRESS
: 72.21.209.193
Inside IP Addresses
- Customer Gateway
- Virtual Private Gateway
: 169.254.255.74/30
: 169.254.255.73/30
Configure your tunnel to fragment at the optimal size:
- Tunnel interface MTU
: 1436 bytes
#4: Static Routing Configuration:
To route traffic between your internal network and your VPC,
you will need a static route added to your router.
Static Route Configuration Options:
- Next hop
: 169.254.255.73
You should add static routes towards your internal network on the VGW.
The VGW will then send traffic towards your internal network over
the tunnels.
IPSec Tunnel #2
================================================================================
#1: Internet Key Exchange Configuration
Configure the IKE SA as follows:
Please note, these sample configurations are for the minimum requirement of
AES128, SHA1, and DH Group 2.
You will need to modify these sample configuration files to take advantage of
AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.
160
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイの詳細と設定例
The address of the external interface for your customer gateway must be a
static address.
Your customer gateway may reside behind a device performing network address
translation (NAT).
To ensure that NAT traversal (NAT-T) can function, you must adjust your
firewall rules to unblock UDP port 4500. If not behind NAT, we recommend
disabling NAT-T.
- Authentication Method
: Pre-Shared Key
- Pre-Shared Key
: PRE-SHARED-KEY-IN-PLAIN-TEXT
- Authentication Algorithm : sha1
- Encryption Algorithm
: aes-128-cbc
- Lifetime
: 28800 seconds
- Phase 1 Negotiation Mode : main
- Perfect Forward Secrecy : Diffie-Hellman Group 2
#2: IPSec Configuration
Configure the IPSec SA as follows:
Please note, you may use these additionally supported IPSec parameters for
encryption like AES256 and other DH groups like 1,2, 5, 14-18, 22, 23, and
24.
- Protocol
: esp
- Authentication Algorithm : hmac-sha1-96
- Encryption Algorithm
: aes-128-cbc
- Lifetime
: 3600 seconds
- Mode
: tunnel
- Perfect Forward Secrecy : Diffie-Hellman Group 2
IPSec Dead Peer Detection (DPD) will be enabled on the AWS Endpoint. We
recommend configuring DPD on your endpoint as follows:
- DPD Interval
: 10
- DPD Retries
: 3
IPSec ESP (Encapsulating Security Payload) inserts additional
headers to transmit packets. These headers require additional space,
which reduces the amount of space available to transmit application data.
To limit the impact of this behavior, we recommend the following
configuration on your Customer Gateway:
- TCP MSS Adjustment
: 1387 bytes
- Clear Don't Fragment Bit : enabled
- Fragmentation
: Before encryption
#3: Tunnel Interface Configuration
Your Customer Gateway must be configured with a tunnel interface that is
associated with the IPSec tunnel. All traffic transmitted to the tunnel
interface is encrypted and transmitted to the Virtual Private Gateway.
The Customer Gateway and Virtual Private Gateway each have two addresses that
relate
to this IPSec tunnel. Each contains an outside address, upon which encrypted
traffic is exchanged. Each also contain an inside address associated with
the tunnel interface.
161
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイ設定をテストする方法
The Customer Gateway outside IP address was provided when the Customer
Gateway
was created. Changing the IP address requires the creation of a new
Customer Gateway.
The Customer Gateway inside IP address should be configured on your tunnel
interface.
Outside IP Addresses:
- Customer Gateway
- Virtual Private Gateway
: YOUR_UPLINK_ADDRESS
: 72.21.209.225
Inside IP Addresses
- Customer Gateway
- Virtual Private Gateway
: 169.254.255.78/30
: 169.254.255.77/30
Configure your tunnel to fragment at the optimal size:
- Tunnel interface MTU
: 1436 bytes
#4: Static Routing Configuration:
To route traffic between your internal network and your VPC,
you will need a static route added to your router.
Static Route Configuration Options:
- Next hop
: 169.254.255.77
You should add static routes towards your internal network on the VGW.
The VGW will then send traffic towards your internal network over
the tunnels.
カスタマーゲートウェイ設定をテストする方法
各トンネルに対して、最初にゲートウェイ設定をテストする必要があります。
各トンネルのカスタマーゲートウェイ設定をテストするには
•
カスタマーゲートウェイで、トンネルインターフェイスを使用する VPC CIDR IP 空間への静的
ルートが追加されていることを確認します。
次に、VPC でインスタンスを起動し、ホームネットワークからインスタンスへの ping を実行して、
各トンネルの接続をテストする必要があります。開始する前に、以下を確認してください。
• ping リクエストに応答する AMI を使用します。Amazon Linux AMI のいずれかを使用することをお
勧めします。
• インスタンスのセキュリティグループとネットワーク ACL を設定し、インバウンド ICMP トラ
フィックを有効にします。
• VPN 接続用のルーティングを設定していることを確認します。サブネットのルートテーブルに仮想
プライベートゲートウェイへのルートが含まれている必要があります。詳細については、Amazon
VPC ユーザーガイド の「ルートテーブルでルート伝達を有効にする」を参照してください。
162
Amazon Virtual Private Cloud ネットワーク管理者ガイド
カスタマーゲートウェイ設定をテストする方法
各トンネルのエンドツーエンド接続をテストするには
1.
2.
3.
VPC で Amazon Linux AMI の 1 つのインスタンスを起動します。AWS マネジメントコンソール
の [Launch Instances Wizard] を使用すると、[Quick Start] メニューで Amazon Linux AMI を利用
できます。詳細については、「Amazon VPC 入門ガイド」を参照してください。
インスタンスが実行中になった後、そのプライベート IP アドレス (たとえば 10.0.0.4) を取得しま
す。 コンソールにインスタンスの詳細の一部としてアドレスが表示されます。
ホームネットワークのシステムで、インスタンスの IP アドレスに対して ping コマンドを実行し
ます。ping を実行するコンピューターがカスタマーゲートウェイの背後にないことを確認しま
す。正常なレスポンスは次のようになります。
PROMPT> ping 10.0.0.4
Pinging 10.0.0.4 with 32 bytes of data:
Reply from 10.0.0.4: bytes=32 time<1ms TTL=128
Reply from 10.0.0.4: bytes=32 time<1ms TTL=128
Reply from 10.0.0.4: bytes=32 time<1ms TTL=128
Ping statistics for 10.0.0.4:
Packets: Sent = 3, Received = 3, Lost = 0 (0% loss),
Approximate round trip times in milliseconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
Note
カスタマーゲートウェイルーターからインスタンスへの ping を実行する場合は、ping メッ
セージの送信元がトンネル IP アドレスではなく内部 IP アドレスになるようにしてくださ
い。一部の AMI は、トンネル IP アドレスからの ping メッセージに応答しません。
トンネルのテストを正常に実施できない場合は、「ボーダーゲートウェイプロトコルを使用した一般
的なデバイスのカスタマーゲートウェイ接続のトラブルシューティング (p. 186)」を参照してくださ
い。
163
Amazon Virtual Private Cloud ネットワーク管理者ガイド
Cisco ASA カスタマーゲートウェイの接続
トラブルシューティング
以下のトピックには、トンネルの状態が適切でない場合にカスタマーゲートウェイをテストするため
のトラブルシューティング情報が含まれています。
トピック
• Cisco ASA カスタマーゲートウェイの接続のトラブルシューティング (p. 164)
• Cisco IOS カスタマーゲートウェイの接続のトラブルシューティング (p. 167)
• ボーダーゲートウェイプロトコル接続を使用しない Cisco IOS カスタマーゲートウェイのトラブ
ルシューティング (p. 172)
• Juniper JunOS カスタマーゲートウェイの接続のトラブルシューティング (p. 176)
• Juniper ScreenOS カスタマーゲートウェイの接続のトラブルシューティング (p. 180)
• Yamaha 製カスタマーゲートウェイの接続のトラブルシューティング (p. 183)
• ボーダーゲートウェイプロトコルを使用した一般的なデバイスのカスタマーゲートウェイ接続の
トラブルシューティング (p. 186)
• ボーダーゲートウェイプロトコル接続を使用しない一般的なデバイスのカスタマーゲートウェイ
のトラブルシューティング (p. 189)
Cisco ASA カスタマーゲートウェイの接続のトラ
ブルシューティング
Cisco のカスタマーゲートウェイの接続をトラブルシューティングするときに、IKE、IPsec、および
ルーティングという 3 つの要素を考慮する必要があります。これらの領域を任意の順序でトラブル
シューティングできますが、IKE から (ネットワークスタックの下から) 開始して上に進むことをお勧
めします。
Important
一部の Cisco ASA ではアクティブ/スタンバイモードのみがサポートされています。これら
の Cisco ASA を使用する場合は、アクティブなトンネルを一度に 1 個のみ保持できます。
最初のトンネルが利用不可になった場合にのみ、他方のスタンバイトンネルがアクティブ
になります。スタンバイトンネルはログファイルで次のエラーを生成する場合があります
が、無視できます。Rejecting IPSec tunnel: no matching crypto map entry
for remote proxy 0.0.0.0/0.0.0.0/0/0 local proxy 0.0.0.0/0.0.0.0/0/0 on
interface outside
164
Amazon Virtual Private Cloud ネットワーク管理者ガイド
IKE
IKE
次のコマンドを使用します。このレスポンスは、IKE が正しく設定されたカスタマーゲートウェイを
示しています。
ciscoasa# show crypto isakmp sa
Active SA: 2
Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 2
1
IKE Peer: AWS_ENDPOINT_1
Type
: L2L
Rekey
: no
Role
State
: initiator
: MM_ACTIVE
トンネル内の指定されたリモートゲートウェイの src を含む 1 つ以上の行が表示されます。state は
MM_ACTIVE、status は ACTIVE になっている必要があります。エントリがない場合、またはエントリ
が別の状態になっている場合は、IKE が正しく設定されていないことを示しています。
さらにトラブルシューティングする場合は、次のコマンドを実行して診断情報を提供するログメッ
セージを有効にします。
router# term mon
router# debug crypto isakmp
デバッグを無効にするには、次のコマンドを使用します。
router# no debug crypto isakmp
IPsec
次のコマンドを使用します。このレスポンスは、IPsec が正しく設定されたカスタマーゲートウェイ
を示しています。
ciscoasa# show crypto ipsec sa
interface: outside
Crypto map tag: VPN_crypto_map_name, seq num: 2, local addr:
172.25.50.101
access-list integ-ppe-loopback extended permit ip
any vpc_subnet subnet_mask
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (vpc_subnet/subnet_mask/0/0)
current_peer: integ-ppe1
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
#pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
#pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
#PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly:
0
#send errors: 0, #recv errors: 0
local crypto endpt.: 172.25.50.101, remote crypto
endpt.: AWS_ENDPOINT_1
165
Amazon Virtual Private Cloud ネットワーク管理者ガイド
IPsec
path mtu 1500, ipsec overhead 74, media mtu 1500
current outbound spi: 6D9F8D3B
current inbound spi : 48B456A6
inbound esp sas:
spi: 0x48B456A6 (1219778214)
transform: esp-aes esp-sha-hmac no compression
in use settings ={L2L, Tunnel, PFS Group 2, }
slot: 0, conn_id: 4710400, crypto-map: VPN_cry_map_1
sa timing: remaining key lifetime (kB/sec): (4374000/3593)
IV size: 16 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x00000001
outbound esp sas:
spi: 0x6D9F8D3B (1839172923)
transform: esp-aes esp-sha-hmac no compression
in use settings ={L2L, Tunnel, PFS Group 2, }
slot: 0, conn_id: 4710400, crypto-map: VPN_cry_map_1
sa timing: remaining key lifetime (kB/sec): (4374000/3593)
IV size: 16 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x00000001
各トンネルインターフェイスに対して、"inbound esp sas" と "outbound esp sas" が両方とも表示され
ます。ただし、SA が示され (たとえば、spi: 0x48B456A6)、IPsec が正しく設定されていることが前
提となっています。
Cisco ASA で、IPsec は "対象となる" トラフィックが送信された後のみ表示されます。IPsec を常に
アクティブにするには、SLA モニターを設定することをお勧めします。SLA モニターは、対象となる
トラフィックを継続的に送信し、IPsec を常にアクティブにします。
また、次の ping コマンドを使用して、ネゴシエーションを開始して上に移動することを IPsec に強制
することもできます。
ping ec2_instance_ip_address
Pinging ec2_instance_ip_address with 32 bytes of data:
Reply from ec2_instance_ip_address: bytes=32 time<1ms TTL=128
Reply from ec2_instance_ip_address: bytes=32 time<1ms TTL=128
Reply from ec2_instance_ip_address: bytes=32 time<1ms TTL=128
Ping statistics for 10.0.0.4:
Packets: Sent = 3, Received = 3, Lost = 0 (0% loss),
Approximate round trip times in milliseconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
さらにトラブルシューティングする場合は、次のコマンドを使用してデバッグを有効にします。
router# debug crypto ipsec
デバッグを無効にするには、次のコマンドを使用します。
router# no debug crypto ipsec
166
Amazon Virtual Private Cloud ネットワーク管理者ガイド
ルーティング
ルーティング
トンネルのもう一方の端で ping を実行します。これが機能する場合、IPsec は正常に起動して動作し
ています。これが機能しない場合は、アクセスリストを確認し、前の IPsec のセクションを参照して
ください。
インスタンスに到達できない場合は、以下を確認してください。
1.
アクセスリストが、暗号化マップに関連付けられたトラフィックを許可するように設定されてい
ることを確認します。
これを行うには、次のコマンドを実行します。
ciscoasa# show run crypto
crypto ipsec transform-set transform-amzn esp-aes esp-sha-hmac
crypto map VPN_crypto_map_name 1 match address access-list-name
crypto map VPN_crypto_map_name 1 set pfs
crypto map VPN_crypto_map_name 1 set peer AWS_ENDPOINT_1 AWS_ENDPOINT_2
crypto map VPN_crypto_map_name 1 set transform-set transform-amzn
crypto map VPN_crypto_map_name 1 set security-association lifetime seconds
3600
2.
次に、以下のようにアクセスリストを確認します。
ciscoasa# show run access-list access-list-name
access-list access-list-name extended permit ip any vpc_subnet subnet_mask
以下に例を示します。
access-list access-list-name extended permit ip any 10.0.0.0 255.255.0.0
3.
4.
5.
アクセスリストが正しいことを確認します。前のステップの例のアクセスリストは、VPC サブ
ネット 10.0.0.0/16 へのすべての内部トラフィックを許可しています。
Cisco ASA デバイスから traceroute を実行し、Amazon ルーター (たとえ
ば、AWS_ENDPOINT_1/AWS_ENDPOINT_2) に到達するかどうかを確認します。
これが Amazon ルーターに到達する場合は、Amazon コンソールで追加した静的ルートを確認
し、特定のインスタンスのセキュリティグループも確認します。
さらにトラブルシューティングする場合は、設定を確認します。
Cisco IOS カスタマーゲートウェイの接続のトラ
ブルシューティング
Cisco のカスタマーゲートウェイの接続をトラブルシューティングするときに、IKE、IPsec、トンネ
ル、および BGP という 4 つの要素を考慮する必要があります。これらの領域を任意の順序でトラブ
ルシューティングできますが、IKE から (ネットワークスタックの下から) 開始して上に進むことをお
勧めします。
IKE
次のコマンドを使用します。このレスポンスは、IKE が正しく設定されたカスタマーゲートウェイを
示しています。
router# show crypto isakmp sa
167
Amazon Virtual Private Cloud ネットワーク管理者ガイド
IPsec
IPv4 Crypto ISAKMP SA
dst
src
192.168.37.160 72.21.209.193
192.168.37.160 72.21.209.225
state
QM_IDLE
QM_IDLE
conn-id slot status
2001
0 ACTIVE
2002
0 ACTIVE
トンネル内の指定されたリモートゲートウェイの src を含む 1 つ以上の行が表示されます。state は
QM_IDLE、status は ACTIVE になっている必要があります。エントリがない場合、またはエントリが
別の状態になっている場合は、IKE が正しく設定されていないことを示しています。
さらにトラブルシューティングする場合は、次のコマンドを実行して診断情報を提供するログメッ
セージを有効にします。
router# term mon
router# debug crypto isakmp
デバッグを無効にするには、次のコマンドを使用します。
router# no debug crypto isakmp
IPsec
次のコマンドを使用します。このレスポンスは、IPsec が正しく設定されたカスタマーゲートウェイ
を示しています。
router# show crypto ipsec sa
interface: Tunnel1
Crypto map tag: Tunnel1-head-0, local addr 192.168.37.160
protected vrf: (none)
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
current_peer 72.21.209.225 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 149, #pkts encrypt: 149, #pkts digest: 149
#pkts decaps: 146, #pkts decrypt: 146, #pkts verify: 146
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0
local crypto endpt.: 174.78.144.73, remote crypto endpt.: 72.21.209.225
path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0
current outbound spi: 0xB8357C22(3090512930)
inbound esp sas:
spi: 0x6ADB173(112046451)
transform: esp-aes esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 1, flow_id: Motorola SEC 2.0:1, crypto map: Tunnel1-head-0
sa timing: remaining key lifetime (k/sec): (4467148/3189)
IV size: 16 bytes
replay detection support: Y replay window size: 128
Status: ACTIVE
inbound ah sas:
inbound pcp sas:
168
Amazon Virtual Private Cloud ネットワーク管理者ガイド
IPsec
outbound esp sas:
spi: 0xB8357C22(3090512930)
transform: esp-aes esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 2, flow_id: Motorola SEC 2.0:2, crypto map: Tunnel1-head-0
sa timing: remaining key lifetime (k/sec): (4467148/3189)
IV size: 16 bytes
replay detection support: Y replay window size: 128
Status: ACTIVE
outbound ah sas:
outbound pcp sas:
interface: Tunnel2
Crypto map tag: Tunnel2-head-0, local addr 174.78.144.73
protected vrf: (none)
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
current_peer 72.21.209.193 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 26, #pkts encrypt: 26, #pkts digest: 26
#pkts decaps: 24, #pkts decrypt: 24, #pkts verify: 24
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0
local crypto endpt.: 174.78.144.73, remote crypto endpt.: 72.21.209.193
path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0
current outbound spi: 0xF59A3FF6(4120526838)
inbound esp sas:
spi: 0xB6720137(3060924727)
transform: esp-aes esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 3, flow_id: Motorola SEC 2.0:3, crypto map: Tunnel2-head-0
sa timing: remaining key lifetime (k/sec): (4387273/3492)
IV size: 16 bytes
replay detection support: Y replay window size: 128
Status: ACTIVE
inbound ah sas:
inbound pcp sas:
outbound esp sas:
spi: 0xF59A3FF6(4120526838)
transform: esp-aes esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 4, flow_id: Motorola SEC 2.0:4, crypto map: Tunnel2-head-0
sa timing: remaining key lifetime (k/sec): (4387273/3492)
IV size: 16 bytes
replay detection support: Y replay window size: 128
Status: ACTIVE
outbound ah sas:
169
Amazon Virtual Private Cloud ネットワーク管理者ガイド
トンネル
outbound pcp sas:
各トンネルインターフェイスに対して、inbound esp sas と outbound esp sas が両方とも表示されま
す。SA が示され (たとえば、"spi: 0xF95D2F3C")、Status が ACTIVE で、IPsec が正しく設定されて
いることが前提となっています。
さらにトラブルシューティングする場合は、次のコマンドを使用してデバッグを有効にします。
router# debug crypto ipsec
次のコマンドを使用して、デバッグを無効にします。
router# no debug crypto ipsec
トンネル
最初に、必要なファイアウォールルールがあることを確認します。ルールのリストについては、「イ
ンターネットとカスタマーゲートウェイの間にファイアウォールがある場合 (p. 11)」を参照してくだ
さい。
ファイアウォールルールが正しくセットアップされた場合は、次のコマンドでトラブルシューティン
グを継続します。
router# show interfaces tun1
Tunnel1 is up, line protocol is up
Hardware is Tunnel
Internet address is 169.254.255.2/30
MTU 17867 bytes, BW 100 Kbit/sec, DLY 50000 usec,
reliability 255/255, txload 2/255, rxload 1/255
Encapsulation TUNNEL, loopback not set
Keepalive not set
Tunnel source 174.78.144.73, destination 72.21.209.225
Tunnel protocol/transport IPSEC/IP
Tunnel TTL 255
Tunnel transport MTU 1427 bytes
Tunnel transmit bandwidth 8000 (kbps)
Tunnel receive bandwidth 8000 (kbps)
Tunnel protection via IPSec (profile "ipsec-vpn-92df3bfb-0")
Last input never, output never, output hang never
Last clearing of "show interface" counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: fifo
Output queue: 0/0 (size/max)
5 minute input rate 0 bits/sec, 1 packets/sec
5 minute output rate 1000 bits/sec, 1 packets/sec
407 packets input, 30010 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
line protocol が up であることを確認します。トンネルソース IP アドレス、ソースインターフェイ
ス、および宛先がそれぞれ、IP アドレス外部のカスタマーゲートウェイ、インターフェイス、お
よび IP アドレス外部の仮想プライベートゲートウェイのトンネル設定に対応することを確認しま
す。Tunnel protection via IPSec が指定されていることを確認します。両方のトンネルインターフェ
イスでコマンドを実行することを確認します。ここですべての問題を解決するには、設定を確認しま
す。
170
Amazon Virtual Private Cloud ネットワーク管理者ガイド
BGP
また、次のコマンドを使用して、169.254.255.1 を仮想プライベートゲートウェイの内部 IP アドレ
スで置き換えます。
router# ping 169.254.255.1 df-bit size 1410
Type escape sequence to abort.
Sending 5, 1410-byte ICMP Echos to 169.254.255.1, timeout is 2 seconds:
Packet sent with the DF bit set
!!!!!
5 個の感嘆符が表示されます。
さらにトラブルシューティングする場合は、設定を確認します。
BGP
次の コマンドを使用します。
router# show ip bgp summary
BGP router identifier 192.168.37.160, local AS number 65000
BGP table version is 8, main routing table version 8
2 network entries using 312 bytes of memory
2 path entries using 136 bytes of memory
3/1 BGP path/bestpath attribute entries using 444 bytes of memory
1 BGP AS-PATH entries using 24 bytes of memory
0 BGP route-map cache entries using 0 bytes of memory
0 BGP filter-list cache entries using 0 bytes of memory
Bitfield cache entries: current 1 (at peak 2) using 32 bytes of memory
BGP using 948 total bytes of memory
BGP activity 4/1 prefixes, 4/1 paths, scan interval 15 secs
Neighbor
PfxRcd
169.254.255.1
169.254.255.5
V
4
4
AS MsgRcvd MsgSent
7224
7224
363
364
TblVer
323
323
8
8
InQ OutQ Up/Down
0
0
State/
0 00:54:21
0 00:00:24
ここで、両方のネイバーが示されます。それぞれ、State/PfxRcd の値が 1 です。
BGP ピアが起動している場合は、カスタマーゲートウェイルーターが VPC へのデフォルトルート
(0.0.0.0/0) をアドバタイズしていることを確認します。
router# show bgp all neighbors 169.254.255.1 advertised-routes
For address family: IPv4 Unicast
BGP table version is 3, local router ID is 174.78.144.73
Status codes: s suppressed, d damped, h history, * valid, > best, i internal,
r RIB-failure, S Stale
Origin codes: i - IGP, e - EGP, ? - incomplete
Originating default network 0.0.0.0
Network
*> 10.120.0.0/16
Next Hop
169.254.255.1
Metric
100
Total number of prefixes 1
171
LocPrf Weight Path
0
7224
i
1
1
Amazon Virtual Private Cloud ネットワーク管理者ガイド
仮想プライベートゲートウェイのアタッチ
さらに、VPC に対応するプレフィックスを仮想プライベートゲートウェイから受け取っていることを
確認します。
router# show ip route bgp
10.0.0.0/16 is subnetted, 1 subnets
B
10.255.0.0 [20/0] via 169.254.255.1, 00:00:20
さらにトラブルシューティングする場合は、設定を確認します。
仮想プライベートゲートウェイのアタッチ
仮想プライベートゲートウェイが VPC にアタッチされていることを確認します。統合チーム
は、AWS Management Console でこれを行います。
質問がある場合やサポートが必要な場合は、Amazon VPC forum をご利用ください。
ボーダーゲートウェイプロトコル接続を使用しな
い Cisco IOS カスタマーゲートウェイのトラブル
シューティング
Cisco のカスタマーゲートウェイの接続をトラブルシューティングするときに、IKE、IPsec、および
トンネルという 3 つの要素を考慮する必要があります。これらの領域を任意の順序でトラブルシュー
ティングできますが、IKE から (ネットワークスタックの下から) 開始して上に進むことをお勧めしま
す。
IKE
次のコマンドを使用します。このレスポンスは、IKE が正しく設定されたカスタマーゲートウェイを
示しています。
router# show crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst
src
state
174.78.144.73 205.251.233.121 QM_IDLE
174.78.144.73 205.251.233.122 QM_IDLE
conn-id slot status
2001
0 ACTIVE
2002
0 ACTIVE
トンネル内の指定されたリモートゲートウェイの src を含む 1 つ以上の行が表示されます。state は
QM_IDLE、status は ACTIVE になっている必要があります。エントリがない場合、またはエントリが
別の状態になっている場合は、IKE が正しく設定されていないことを示しています。
さらにトラブルシューティングする場合は、次のコマンドを実行して診断情報を提供するログメッ
セージを有効にします。
router# term mon
router# debug crypto isakmp
デバッグを無効にするには、次のコマンドを使用します。
router# no debug crypto isakmp
172
Amazon Virtual Private Cloud ネットワーク管理者ガイド
IPsec
IPsec
次のコマンドを使用します。このレスポンスは、IPsec が正しく設定されたカスタマーゲートウェイ
を示しています。
router# show crypto ipsec sa
interface: Tunnel1
Crypto map tag: Tunnel1-head-0, local addr 174.78.144.73
protected vrf: (none)
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
current_peer 72.21.209.225 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 149, #pkts encrypt: 149, #pkts digest: 149
#pkts decaps: 146, #pkts decrypt: 146, #pkts verify: 146
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0
local crypto endpt.: 174.78.144.73, remote crypto endpt.:205.251.233.121
path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0
current outbound spi: 0xB8357C22(3090512930)
inbound esp sas:
spi: 0x6ADB173(112046451)
transform: esp-aes esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 1, flow_id: Motorola SEC 2.0:1, crypto map: Tunnel1-head-0
sa timing: remaining key lifetime (k/sec): (4467148/3189)
IV size: 16 bytes
replay detection support: Y replay window size: 128
Status: ACTIVE
inbound ah sas:
inbound pcp sas:
outbound esp sas:
spi: 0xB8357C22(3090512930)
transform: esp-aes esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 2, flow_id: Motorola SEC 2.0:2, crypto map: Tunnel1-head-0
sa timing: remaining key lifetime (k/sec): (4467148/3189)
IV size: 16 bytes
replay detection support: Y replay window size: 128
Status: ACTIVE
outbound ah sas:
outbound pcp sas:
interface: Tunnel2
Crypto map tag: Tunnel2-head-0, local addr 205.251.233.122
protected vrf: (none)
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
173
Amazon Virtual Private Cloud ネットワーク管理者ガイド
IPsec
remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
current_peer 72.21.209.193 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 26, #pkts encrypt: 26, #pkts digest: 26
#pkts decaps: 24, #pkts decrypt: 24, #pkts verify: 24
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0
local crypto endpt.: 174.78.144.73, remote crypto endpt.:205.251.233.122
path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0
current outbound spi: 0xF59A3FF6(4120526838)
inbound esp sas:
spi: 0xB6720137(3060924727)
transform: esp-aes esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 3, flow_id: Motorola SEC 2.0:3, crypto map: Tunnel2-head-0
sa timing: remaining key lifetime (k/sec): (4387273/3492)
IV size: 16 bytes
replay detection support: Y replay window size: 128
Status: ACTIVE
inbound ah sas:
inbound pcp sas:
outbound esp sas:
spi: 0xF59A3FF6(4120526838)
transform: esp-aes esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 4, flow_id: Motorola SEC 2.0:4, crypto map: Tunnel2-head-0
sa timing: remaining key lifetime (k/sec): (4387273/3492)
IV size: 16 bytes
replay detection support: Y replay window size: 128
Status: ACTIVE
outbound ah sas:
outbound pcp sas:
各トンネルインターフェイスに対して、"inbound esp sas" と "outbound esp sas" が両方とも表示され
ます。これは、SA が示され (たとえば、spi: 0x48B456A6)、Status が ACTIVE であり、IPsec が正し
く設定されていることが前提となっています。
さらにトラブルシューティングする場合は、次のコマンドを使用してデバッグを有効にします。
router# debug crypto ipsec
デバッグを無効にするには、次のコマンドを使用します。
router# no debug crypto ipsec
174
Amazon Virtual Private Cloud ネットワーク管理者ガイド
トンネル
トンネル
最初に、必要なファイアウォールルールがあることを確認します。ルールのリストについては、「イ
ンターネットとカスタマーゲートウェイの間にファイアウォールがある場合 (p. 11)」を参照してくだ
さい。
ファイアウォールルールが正しくセットアップされた場合は、次のコマンドでトラブルシューティン
グを継続します。
router# show interfaces tun1
Tunnel1 is up, line protocol is up
Hardware is Tunnel
Internet address is 169.254.249.18/30
MTU 17867 bytes, BW 100 Kbit/sec, DLY 50000 usec,
reliability 255/255, txload 2/255, rxload 1/255
Encapsulation TUNNEL, loopback not set
Keepalive not set
Tunnel source 174.78.144.73, destination 205.251.233.121
Tunnel protocol/transport IPSEC/IP
Tunnel TTL 255
Tunnel transport MTU 1427 bytes
Tunnel transmit bandwidth 8000 (kbps)
Tunnel receive bandwidth 8000 (kbps)
Tunnel protection via IPSec (profile "ipsec-vpn-92df3bfb-0")
Last input never, output never, output hang never
Last clearing of "show interface" counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: fifo
Output queue: 0/0 (size/max)
5 minute input rate 0 bits/sec, 1 packets/sec
5 minute output rate 1000 bits/sec, 1 packets/sec
407 packets input, 30010 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
line protocol が up であることを確認します。トンネルのソース IP アドレス、ソースインターフェ
イス、および宛先がそれぞれ、IP アドレス外部のカスタマーゲートウェイ、インターフェイス、お
よび IP アドレス外部の仮想プライベートゲートウェイのトンネル設定に対応することを確認しま
す。IPSec 経由のトンネル保護が存在することを確認します。両方のトンネルインターフェイスでコ
マンドを実行することを確認します。すべての問題を解決するには、設定を確認します。
また、次のコマンドを使用して、169.254.249.18 を仮想プライベートゲートウェイの内部 IP アド
レスで置き換えます。
router# ping 169.254.249.18 df-bit size 1410
Type escape sequence to abort.
Sending 5, 1410-byte ICMP Echos to 169.254.249.18, timeout is 2 seconds:
Packet sent with the DF bit set
!!!!!
5 個の感嘆符が表示されます。
ルーティング
静的ルートテーブルを表示するには、次のコマンドを使用します。
router# sh ip route static
175
Amazon Virtual Private Cloud ネットワーク管理者ガイド
仮想プライベートゲートウェイのアタッチ
1.0.0.0/8 is variably subnetted
S
10.0.0.0/16 is directly connected, Tunnel1
is directly connected, Tunnel2
両方のトンネルを経由した VPC CIDR の静的ルートが存在していることを確認します。それが存在し
ていない場合は、次に示すように静的ルートを追加します。
router# ip route 10.0.0.0 255.255.0.0 Tunnel1 track 100
router# ip route 10.0.0.0 255.255.0.0 Tunnel2 track 200
SLA モニターの確認
router# show ip sla statistics 100
IPSLAs Latest Operation Statistics
IPSLA operation id: 100
Latest RTT: 128 milliseconds
Latest operation start time: *18:08:02.155 UTC Wed Jul
Latest operation return code: OK
Number of successes: 3
Number of failures: 0
Operation time to live: Forever
15 2012
router# show ip sla statistics 200
IPSLAs Latest Operation Statistics
IPSLA operation id: 200
Latest RTT: 128 milliseconds
Latest operation start time: *18:08:02.155 UTC Wed Jul
Latest operation return code: OK
Number of successes: 3
Number of failures: 0
Operation time to live: Forever
15 2012
“Number of successes” の値は、SLA モニターが正常にセットアップされたかどうかを示します。
さらにトラブルシューティングする場合は、設定を確認します。
仮想プライベートゲートウェイのアタッチ
仮想プライベートゲートウェイが VPC にアタッチされていることを確認します。統合チーム
は、AWS Management Console でこれを行います。
質問がある場合やサポートが必要な場合は、Amazon VPC forum をご利用ください。
Juniper JunOS カスタマーゲートウェイの接続の
トラブルシューティング
Juniper のカスタマーゲートウェイの接続をトラブルシューティングするときに、IKE、IPsec、トン
ネル、および BGP という 4 つの要素を考慮する必要があります。これらの領域を任意の順序でトラ
ブルシューティングできますが、IKE から (ネットワークスタックの下から) 開始して上に進むことを
お勧めします。
176
Amazon Virtual Private Cloud ネットワーク管理者ガイド
IKE
IKE
次のコマンドを使用します。このレスポンスは、IKE が正しく設定されたカスタマーゲートウェイを
示しています。
user@router> show security ike
Index
Remote Address State
4
72.21.209.225
UP
3
72.21.209.193
UP
security-associations
Initiator cookie Responder cookie
c4cd953602568b74 0d6d194993328b02
b8c8fb7dc68d9173 ca7cb0abaedeb4bb
Mode
Main
Main
トンネル内の指定されたリモートゲートウェイのリモートアドレスを含む 1 つ以上の行が表示されま
す。State は UP になっている必要があります。エントリがない場合、またはエントリが別の状態に
なっている場合 (DOWN など) は、IKE が正しく設定されていないことを示しています。
さらにトラブルシューティングする場合は、設定情報の例で推奨されているように、IKE トレースオ
プションを有効にします (「例: Juniper J-Series JunOS デバイス (p. 93)」を参照してください)。次
に、以下のコマンドを実行すると、さまざまなデバッグメッセージが画面に表示されます。
user@router> monitor start kmd
外部ホストから、次のコマンドでログファイル全体を取得できます。
scp username@router.hostname:/var/log/kmd
IPsec
次のコマンドを使用します。このレスポンスは、IPsec が正しく設定されたカスタマーゲートウェイ
を示しています。
user@router> show security ipsec security-associations
Total active tunnels: 2
ID
Gateway
Port Algorithm
SPI
<131073 72.21.209.225 500
ESP:aes-128/sha1 df27aae4
>131073 72.21.209.225 500
ESP:aes-128/sha1 5de29aa1
<131074 72.21.209.193 500
ESP:aes-128/sha1 dd16c453
>131074 72.21.209.193 500
ESP:aes-128/sha1 c1e0eb29
Life:sec/kb Mon vsys
326/ unlim
0
326/ unlim
0
300/ unlim
0
300/ unlim
0
具体的には、 (リモートゲートウェイに対応する) ゲートウェイアドレスごとに 2 行以上が表示されま
す。各行の最初に、特定のエントリのトラフィックの方向を示す挿入記号 (< >) があることに注目し
てください。出力には、インバウンドトラフィック (仮想プライベートゲートウェイからこのカスタ
マーゲートウェイへのトラフィック、"<" で表されます) およびアウトバウンドトラフィック (">" で表
されます) が別々の行として含まれます。
さらにトラブルシューティングする場合は、IKE のトレースオプションを有効にします (詳細について
は、IKE に関する前のセクションを参照してください)。
トンネル
最初に、必要なファイアウォールルールがあることをもう一度確認します。ルールのリストについて
は、「インターネットとカスタマーゲートウェイの間にファイアウォールがある場合 (p. 11)」を参照
してください。
ファイアウォールルールが正しくセットアップされた場合は、次のコマンドでトラブルシューティン
グを継続します。
177
Amazon Virtual Private Cloud ネットワーク管理者ガイド
BGP
user@router> show interfaces st0.1
Logical interface st0.1 (Index 70) (SNMP ifIndex 126)
Flags: Point-To-Point SNMP-Traps Encapsulation: Secure-Tunnel
Input packets : 8719
Output packets: 41841
Security: Zone: Trust
Allowed host-inbound traffic : bgp ping ssh traceroute
Protocol inet, MTU: 9192
Flags: None
Addresses, Flags: Is-Preferred Is-Primary
Destination: 169.254.255.0/30, Local: 169.254.255.2
Security: Zone が正しいことを確認し、Local のアドレスがアドレス内部のカスタマーゲートウェイト
ンネルに一致することを確認します。
次に、以下のコマンドを使用して、169.254.255.1 を仮想プライベートゲートウェイの内部 IP アド
レスで置き換えます。次に示すようなレスポンスが結果として返されます。
user@router> ping 169.254.255.1 size 1382 do-not-fragment
PING 169.254.255.1 (169.254.255.1): 1410 data bytes
64 bytes from 169.254.255.1: icmp_seq=0 ttl=64 time=71.080 ms
64 bytes from 169.254.255.1: icmp_seq=1 ttl=64 time=70.585 ms
さらにトラブルシューティングする場合は、設定を確認します。
BGP
次の コマンドを使用します。
user@router> show bgp summary
Groups: 1 Peers: 2 Down peers: 0
Table
Tot Paths Act Paths Suppressed
History Damp State
Pending
inet.0
2
1
0
0
0
0
Peer
AS
InPkt
OutPkt
OutQ
Flaps Last Up/Dwn
State|#Active/Received/Accepted/Damped...
169.254.255.1
7224
9
10
0
0
1:00
1/1/1/0
0/0/0/0
169.254.255.5
7224
8
9
0
0
56
0/1/1/0
0/0/0/0
さらにトラブルシューティングする場合は、次のコマンドを使用して、169.254.255.1 を仮想プラ
イベートゲートウェイの内部 IP アドレスで置き換えます。
user@router> show bgp neighbor 169.254.255.1
Peer: 169.254.255.1+179 AS 7224 Local: 169.254.255.2+57175 AS 65000
Type: External
State: Established
Flags: <ImportEval Sync>
Last State: OpenConfirm
Last Event: RecvKeepAlive
Last Error: None
Export: [ EXPORT-DEFAULT ]
Options: <Preference HoldTime PeerAS LocalAS Refresh>
Holdtime: 30 Preference: 170 Local AS: 65000 Local System AS: 0
Number of flaps: 0
Peer ID: 169.254.255.1
Local ID: 10.50.0.10
Active Holdtime: 30
178
Amazon Virtual Private Cloud ネットワーク管理者ガイド
仮想プライベートゲートウェイのアタッチ
Keepalive Interval: 10
Peer index: 0
BFD: disabled, down
Local Interface: st0.1
NLRI for restart configured on peer: inet-unicast
NLRI advertised by peer: inet-unicast
NLRI for this session: inet-unicast
Peer supports Refresh capability (2)
Restart time configured on the peer: 120
Stale routes from peer are kept for: 300
Restart time requested by this peer: 120
NLRI that peer supports restart for: inet-unicast
NLRI that restart is negotiated for: inet-unicast
NLRI of received end-of-rib markers: inet-unicast
NLRI of all end-of-rib markers sent: inet-unicast
Peer supports 4 byte AS extension (peer-as 7224)
Table inet.0 Bit: 10000
RIB State: BGP restart is complete
Send state: in sync
Active prefixes:
1
Received prefixes:
1
Accepted prefixes:
1
Suppressed due to damping:
0
Advertised prefixes:
1
Last traffic (seconds): Received 4
Sent 8
Checked 4
Input messages: Total 24
Updates 2
Refreshes 0
Output messages: Total 26
Updates 1
Refreshes 0
Output Queue[0]: 0
Octets 505
Octets 582
ここでは、Received prefixes および Advertised prefixes がそれぞれ 1 になっています。これ
は、Table inet.0 セクション内にあります。
State が Established でない場合は、Last State および Last Error を調べて、問題の修正に何が必要
かについて詳細を確認します。
BGP ピアが起動している場合は、カスタマーゲートウェイルーターが VPC へのデフォルトルート
(0.0.0.0/0) をアドバタイズしていることを確認します。
user@router> show route advertising-protocol bgp 169.254.255.1
inet.0: 10 destinations, 11 routes (10 active, 0 holddown, 0 hidden)
Prefix
Nexthop
MED
Lclpref
AS path
* 0.0.0.0/0
Self
I
さらに、VPC に対応するプレフィックスを仮想プライベートゲートウェイから受け取っていることを
確認します。
user@router> show route receive-protocol bgp 169.254.255.1
inet.0: 10 destinations, 11 routes (10 active, 0 holddown, 0 hidden)
Prefix
Nexthop
MED
Lclpref
AS path
* 10.110.0.0/16
169.254.255.1
100
7224 I
仮想プライベートゲートウェイのアタッチ
仮想プライベートゲートウェイが VPC にアタッチされていることを確認します。統合チーム
は、AWS Management Console でこれを行います。
179
Amazon Virtual Private Cloud ネットワーク管理者ガイド
Juniper ScreenOS カスタマーゲートウェイの接続
質問がある場合やサポートが必要な場合は、Amazon VPC forum をご利用ください。
Juniper ScreenOS カスタマーゲートウェイの接
続のトラブルシューティング
Juniper ScreenOS ベースのカスタマーゲートウェイの接続をトラブルシューティングするとき
に、IKE、IPsec、トンネル、および BGP という 4 つの要素を考慮する必要があります。これらの領
域を任意の順序でトラブルシューティングできますが、IKE から (ネットワークスタックの下から) 開
始して上に進むことをお勧めします。
IKE と IPsec
次のコマンドを使用します。このレスポンスは、IKE が正しく設定されたカスタマーゲートウェイを
示しています。
ssg5-serial-> get sa
total configured sa: 2
HEX ID
Gateway
Port Algorithm
SPI
Life:sec kb
vsys
00000002<
72.21.209.225 500 esp:a128/sha1 80041ca4 3385 unlim
00000002>
72.21.209.225 500 esp:a128/sha1 8cdd274a 3385 unlim
00000001<
72.21.209.193 500 esp:a128/sha1 ecf0bec7 3580 unlim
00000001>
72.21.209.193 500 esp:a128/sha1 14bf7894 3580 unlim
Sta
PID
A/A/A/A/-
-1
-1
-1
-1
0
0
0
0
トンネル内の指定されたリモートゲートウェイのリモートアドレスを含む 1 つ以上の行が表示されま
す。Sta は A/-、SPI は 00000000 以外の 16 進数になっている必要があります。その他の状態のエン
トリは、IKE が正しく設定されていないことを示しています。
さらにトラブルシューティングする場合は、設定情報の例で推奨されているように、IKE トレースオ
プションを有効にします (「例: Juniper ScreenOS デバイス (p. 117)」を参照してください)。
トンネル
最初に、必要なファイアウォールルールがあることをもう一度確認します。ルールのリストについて
は、「インターネットとカスタマーゲートウェイの間にファイアウォールがある場合 (p. 11)」を参照
してください。
ファイアウォールルールが正しくセットアップされた場合は、次のコマンドでトラブルシューティン
グを継続します。
ssg5-serial-> get interface tunnel.1
Interface tunnel.1:
description tunnel.1
number 20, if_info 1768, if_index 1, mode route
link ready
vsys Root, zone Trust, vr trust-vr
admin mtu 1500, operating mtu 1500, default mtu 1500
*ip 169.254.255.2/30
*manage ip 169.254.255.2
route-deny disable
bound vpn:
IPSEC-1
180
Amazon Virtual Private Cloud ネットワーク管理者ガイド
BGP
Next-Hop Tunnel Binding table
Flag Status Next-Hop(IP)
tunnel-id
VPN
pmtu-v4 disabled
ping disabled, telnet disabled, SSH disabled, SNMP disabled
web disabled, ident-reset disabled, SSL disabled
OSPF disabled BGP enabled RIP disabled RIPng disabled mtrace disabled
PIM: not configured IGMP not configured
NHRP disabled
bandwidth: physical 0kbps, configured egress [gbw 0kbps mbw 0kbps]
configured ingress mbw 0kbps, current bw 0kbps
total allocated gbw 0kbps
link:ready が表示され、IP アドレスがカスタマーゲートウェイトンネルの内部のアドレスと一致する
ことを確認します。
次に、以下のコマンドを使用して、169.254.255.1 を仮想プライベートゲートウェイの内部 IP アド
レスで置き換えます。次に示すようなレスポンスが結果として返されます。
ssg5-serial-> ping 169.254.255.1
Type escape sequence to abort
Sending 5, 100-byte ICMP Echos to 169.254.255.1, timeout is 1 seconds
!!!!!
Success Rate is 100 percent (5/5), round-trip time min/avg/max=32/32/33 ms
さらにトラブルシューティングする場合は、設定を確認します。
BGP
次の コマンドを使用します。
ssg5-serial-> get vrouter trust-vr protocol bgp neighbor
Peer AS Remote IP
Local IP
Wt Status
State
ConnID Up/
Down
-------------------------------------------------------------------------------7224 169.254.255.1
169.254.255.2
100 Enabled ESTABLISH
10
00:01:01
7224 169.254.255.5
169.254.255.6
100 Enabled ESTABLISH
11
00:00:59
両方の BGP ピアが "State: ESTABLISH" としてリストされます。これは、仮想プライベートゲート
ウェイへの BGP 接続がアクティブであることを示します。
さらにトラブルシューティングする場合は、次のコマンドを使用して、169.254.255.1 を仮想プラ
イベートゲートウェイの内部 IP アドレスで置き換えます。
ssg5-serial-> get vr trust-vr prot bgp neigh 169.254.255.1
peer: 169.254.255.1, remote AS: 7224, admin status: enable
type: EBGP, multihop: 0(disable), MED: node default(0)
connection state: ESTABLISH, connection id: 18 retry interval: node
default(120s), cur retry time 15s
configured hold time: node default(90s), configured keepalive: node
default(30s)
configured adv-interval: default(30s)
181
Amazon Virtual Private Cloud ネットワーク管理者ガイド
仮想プライベートゲートウェイのアタッチ
designated local IP: n/a
local IP address/port: 169.254.255.2/13946, remote IP address/port:
169.254.255.1/179
router ID of peer: 169.254.255.1, remote AS: 7224
negotiated hold time: 30s, negotiated keepalive interval: 10s
route map in name: , route map out name:
weight: 100 (default)
self as next hop: disable
send default route to peer: disable
ignore default route from peer: disable
send community path attribute: no
reflector client: no
Neighbor Capabilities:
Route refresh: advertised and received
Address family IPv4 Unicast: advertised and received
force reconnect is disable
total messages to peer: 106, from peer: 106
update messages to peer: 6, from peer: 4
Tx queue length 0, Tx queue HWM: 1
route-refresh messages to peer: 0, from peer: 0
last reset 00:05:33 ago, due to BGP send Notification(Hold Timer Expired)
(code 4 : subcode 0)
number of total successful connections: 4
connected: 2 minutes 6 seconds
Elapsed time since last update: 2 minutes 6 seconds
BGP ピアが起動している場合は、カスタマーゲートウェイルーターが VPC へのデフォルトルート
(0.0.0.0/0) をアドバタイズしていることを確認します。このコマンドが、ScreenOS バージョン 6.2.0
以降に適用される点に注意してください。
ssg5-serial-> get vr trust-vr protocol bgp rib neighbor 169.254.255.1
advertised
i: IBGP route, e: EBGP route, >: best route, *: valid route
Prefix
Nexthop
Wt Pref
Med Orig
AS-Path
------------------------------------------------------------------------------------->i
0.0.0.0/0
0.0.0.0 32768
100
0 IGP
Total IPv4 routes advertised: 1
さらに、VPC に対応するプレフィックスを仮想プライベートゲートウェイから受け取っていること
を確認します。このコマンドが、ScreenOS バージョン 6.2.0 以降に適用される点に注意してくださ
い。
ssg5-serial-> get vr trust-vr protocol bgp rib neighbor 169.254.255.1
received
i: IBGP route, e: EBGP route, >: best route, *: valid route
Prefix
Nexthop
Wt Pref
Med Orig
AS-Path
------------------------------------------------------------------------------------->e*
10.0.0.0/16
169.254.255.1
100
100
100 IGP
7224
Total IPv4 routes received: 1
仮想プライベートゲートウェイのアタッチ
仮想プライベートゲートウェイが VPC にアタッチされていることを確認します。統合チーム
は、AWS Management Console でこれを行います。
質問がある場合やサポートが必要な場合は、Amazon VPC forum をご利用ください。
182
Amazon Virtual Private Cloud ネットワーク管理者ガイド
Yamaha 製カスタマーゲートウェイの接続
Yamaha 製カスタマーゲートウェイの接続のトラ
ブルシューティング
Yamaha 製カスタマーゲートウェイの接続をトラブルシューティングするときに、IKE、IPsec、トン
ネル、および BGP という 4 つの要素を考慮する必要があります。これらの領域を任意の順序でトラ
ブルシューティングできますが、IKE から (ネットワークスタックの下から) 開始して上に進むことを
お勧めします。
IKE
次のコマンドを使用します。このレスポンスは、IKE が正しく設定されたカスタマーゲートウェイを
示しています。
# show ipsec sa gateway 1
sgw flags local-id
remote-id
# of sa
-------------------------------------------------------------------------1
U K
YOUR_LOCAL_NETWORK_ADDRESS
72.21.209.225
i:2 s:1 r:1
トンネル内の指定されたリモートゲートウェイの remote-id を含む行が表示されます。トンネル番号
を省略すると、すべての Security Association (SA) を表示できます。
さらにトラブルシューティングする場合は、次のコマンドを実行して、診断情報を提供する DEBUG
レベルログメッセージを有効にします。
# syslog debug on
# ipsec ike log message-info payload-info key-info
ログに記録された項目をキャンセルするには、次のコマンドを使用します。
# no ipsec ike log
# no syslog debug on
IPsec
次のコマンドを使用します。このレスポンスは、IPsec が正しく設定されたカスタマーゲートウェイ
を示しています。
# show ipsec sa gateway 1 detail
SA[1] Duration: 10675s
Local ID: YOUR_LOCAL_NETWORK_ADDRESS
Remote ID: 72.21.209.225
Protocol: IKE
Algorithm: AES-CBC, SHA-1, MODP 1024bit
SPI: 6b ce fd 8a d5 30 9b 02 0c f3 87 52 4a 87 6e 77
Key: ** ** ** ** ** (confidential)
** ** ** ** **
---------------------------------------------------SA[2] Duration: 1719s
Local ID: YOUR_LOCAL_NETWORK_ADDRESS
Remote ID: 72.21.209.225
Direction: send
Protocol: ESP (Mode: tunnel)
Algorithm: AES-CBC (for Auth.: HMAC-SHA)
183
Amazon Virtual Private Cloud ネットワーク管理者ガイド
トンネル
SPI: a6 67 47 47
Key: ** ** ** ** ** (confidential)
** ** ** ** **
---------------------------------------------------SA[3] Duration: 1719s
Local ID: YOUR_LOCAL_NETWORK_ADDRESS
Remote ID: 72.21.209.225
Direction: receive
Protocol: ESP (Mode: tunnel)
Algorithm: AES-CBC (for Auth.: HMAC-SHA)
SPI: 6b 98 69 2b
Key: ** ** ** ** ** (confidential)
** ** ** ** **
---------------------------------------------------SA[4] Duration: 10681s
Local ID: YOUR_LOCAL_NETWORK_ADDRESS
Remote ID: 72.21.209.225
Protocol: IKE
Algorithm: AES-CBC, SHA-1, MODP 1024bit
SPI: e8 45 55 38 90 45 3f 67 a8 74 ca 71 ba bb 75 ee
Key: ** ** ** ** ** (confidential)
** ** ** ** **
----------------------------------------------------
各トンネルインターフェースに対して、receive sas と send sas が両方とも表示されます。
さらにトラブルシューティングする場合は、次のコマンドを使用してデバッグを有効にします。
# syslog debug on
# ipsec ike log message-info payload-info key-info
次のコマンドを使用して、デバッグを無効にします。
# no ipsec ike log
# no syslog debug on
トンネル
最初に、必要なファイアウォールルールがあることを確認します。ルールのリストについては、「イ
ンターネットとカスタマーゲートウェイの間にファイアウォールがある場合 (p. 11)」を参照してくだ
さい。
ファイアウォールルールが正しくセットアップされた場合は、次のコマンドでトラブルシューティン
グを継続します。
# show status tunnel 1
TUNNEL[1]:
Description:
Interface type: IPsec
Current status is Online.
from 2011/08/15 18:19:45.
5 hours 7 minutes 58 seconds connection.
Received:
(IPv4) 3933 packets [244941 octets]
(IPv6) 0 packet [0 octet]
Transmitted: (IPv4) 3933 packets [241407 octets]
(IPv6) 0 packet [0 octet]
current status が online であることを確認します。また、Interface type が IPsec であることを確認し
ます。両方のトンネルインターフェイスでコマンドを実行することを確認します。ここですべての問
題を解決するには、設定を確認します。
184
Amazon Virtual Private Cloud ネットワーク管理者ガイド
BGP
BGP
次の コマンドを使用します。
# show status bgp neighbor
BGP neighbor is 169.254.255.1, remote AS 7224, local AS 65000, external link
BGP version 0, remote router ID 0.0.0.0
BGP state = Active
Last read 00:00:00, hold time is 0, keepalive interval is 0 seconds
Received 0 messages, 0 notifications, 0 in queue
Sent 0 messages, 0 notifications, 0 in queue
Connection established 0; dropped 0
Last reset never
Local host: unspecified
Foreign host: 169.254.255.1, Foreign port: 0
BGP neighbor is 169.254.255.5, remote AS 7224, local AS 65000, external link
BGP version 0, remote router ID 0.0.0.0
BGP state = Active
Last read 00:00:00, hold time is 0, keepalive interval is 0 seconds
Received 0 messages, 0 notifications, 0 in queue
Sent 0 messages, 0 notifications, 0 in queue
Connection established 0; dropped 0
Last reset never
Local host: unspecified
Foreign host: 169.254.255.5, Foreign port:
ここで、両方のネイバーが示されます。それぞれに対して、BGP state の値が Active になります。
BGP ピアが起動している場合は、カスタマーゲートウェイルーターが VPC へのデフォルトルート
(0.0.0.0/0) をアドバタイズしていることを確認します。
# show status bgp neighbor 169.254.255.1 advertised-routes
Total routes: 1
*: valid route
Network
Next Hop
Metric LocPrf Path
* default
0.0.0.0
0
IGP
さらに、VPC に対応するプレフィックスを仮想プライベートゲートウェイから受け取っていることを
確認します。
# show ip route
Destination
default
10.0.0.0/16
Gateway
***.***.***.***
169.254.255.1
Interface
LAN3(DHCP)
TUNNEL[1]
Kind Additional Info.
static
BGP path=10124
さらにトラブルシューティングする場合は、設定を確認します。
仮想プライベートゲートウェイのアタッチ
仮想プライベートゲートウェイが VPC にアタッチされていることを確認します。統合チーム
は、AWS Management Console でこれを行います。
質問がある場合やサポートが必要な場合は、Amazon VPC forum をご利用ください。
185
Amazon Virtual Private Cloud ネットワーク管理者ガイド
一般的なデバイスのカスタマーゲートウェイの接続
ボーダーゲートウェイプロトコルを使用した一般
的なデバイスのカスタマーゲートウェイ接続のト
ラブルシューティング
次の図と表は、このガイドで示されていないデバイスのボーダーゲートウェイプロトコルを使用した
カスタマーゲートウェイをトラブルシューティングする、一般的な手順を示しています。
Tip
問題をトラブルシューティングするときに、ゲートウェイデバイスのデバッグ機能を有効に
すると便利な場合があります。詳細については、ゲートウェイデバイスのベンダーに問い合
わせてください。
186
Amazon Virtual Private Cloud ネットワーク管理者ガイド
一般的なデバイスのカスタマーゲートウェイの接続
187
Amazon Virtual Private Cloud ネットワーク管理者ガイド
一般的なデバイスのカスタマーゲートウェイの接続
IKE Security Association があるかどうかを確認します。
IKE Security Association は、IPsec Security Association を確立するために使用される
キーの交換に必要です。
IKE Security Association がない場合は、IKE 設定を確認します。カスタマーゲート
ウェイ設定に示されている暗号化、認証、Perfect Forward Secrecy、およびモードの
パラメーターを設定する必要があります。
IKE Security Association が存在する場合は、IPsec に進みます。
IPsec Security Association が存在するかどうかを確認します。
IPsec Security Association はトンネル自体です。カスタマーゲートウェイにクエリを
実行し、IPsec Security Association がアクティブであるかどうかを確認します。IPsec
SA の適切な設定が重要です。カスタマーゲートウェイ設定に示されている暗号化、認
証、Perfect Forward Secrecy、およびモードのパラメーターを設定する必要がありま
す。
IPsec Security Association が見つからない場合は、IPsec 設定を確認します。
IPsec Security Association が存在する場合は、トンネルに進みます。
必須のファイアウォールルールがセットアップされていることを確認します (ルール
のリストについては、「インターネットとカスタマーゲートウェイの間にファイア
ウォールがある場合 (p. 11)」を参照してください)。セットアップされている場合は、
次に進みます。
トンネル経由の IP 接続があるかどうかを確認します。
トンネルのそれぞれの側に、カスタマーゲートウェイ設定で指定された IP アドレス
が含まれます。仮想プライベートゲートウェイアドレスは、BGP ネイバーアドレスと
して使用されます。カスタマーゲートウェイから、このアドレスに対する ping を実行
し、IP トラフィックが正しく暗号化および復号されるかどうかを確認します。
ping が失敗した場合は、トンネルインターフェイス設定を調べて、正しい IP アドレス
が設定されていることを確認します。
ping が成功した場合は、BGP に進みます。
BGP ピアがアクティブであるかどうかを確認します。
各トンネルについて、以下を実行します。
• カスタマーゲートウェイで、BGP ステータスが Active または Established であるか
どうかを確認します。BGP ピアがアクティブになるまで約 30 秒かかる場合があり
ます。
• カスタマーゲートウェイが仮想プライベートゲートウェイへのデフォルトルート
(0.0.0.0/0) をアドバタイズしていることを確認します。
トンネルがこの状態にない場合は、BGP 設定を確認します。
BGP ピアが確立された場合は、プレフィックスを受け取り、プレフィックスをアドバ
タイズして、トンネルが正しく設定されます。両方のトンネルがこの状態であること
を確認し、終了します。
仮想プライベートゲートウェイが VPC にアタッチされていることを確認します。統合
チームは、AWS Management Console でこれを行います。
188
Amazon Virtual Private Cloud ネットワーク管理者ガイド
一般的なデバイスのカスタマー
ゲートウェイ接続 (BGP なし)
すべてのカスタマーゲートウェイに適用できる一般的なテストの手順については、「カスタマーゲー
トウェイ設定をテストする方法 (p. 154)」を参照してください。
質問がある場合やサポートが必要な場合は、Amazon VPC forum をご利用ください。
ボーダーゲートウェイプロトコル接続を使用しな
い一般的なデバイスのカスタマーゲートウェイの
トラブルシューティング
次の図と表は、ボーダーゲートウェイプロトコルを使用しないカスタマーゲートウェイデバイスをト
ラブルシューティングする、一般的な手順を示しています。
Tip
問題をトラブルシューティングするときに、ゲートウェイデバイスのデバッグ機能を有効に
すると便利な場合があります。詳細については、ゲートウェイデバイスのベンダーに問い合
わせてください。
189
Amazon Virtual Private Cloud ネットワーク管理者ガイド
一般的なデバイスのカスタマー
ゲートウェイ接続 (BGP なし)
190
Amazon Virtual Private Cloud ネットワーク管理者ガイド
一般的なデバイスのカスタマー
ゲートウェイ接続 (BGP なし)
IKE Security Association があるかどうかを確認します。
IKE Security Association は、IPsec Security Association を確立するために使用される
キーの交換に必要です。
IKE Security Association がない場合は、IKE 設定を確認します。カスタマーゲート
ウェイ設定に示されている暗号化、認証、Perfect Forward Secrecy、およびモードの
パラメーターを設定する必要があります。
IKE Security Association が存在する場合は、IPsec に進みます。
IPsec Security Association が存在するかどうかを確認します。
IPsec Security Association はトンネル自体です。カスタマーゲートウェイにクエリを
実行し、IPsec Security Association がアクティブであるかどうかを確認します。IPsec
SA の適切な設定が重要です。カスタマーゲートウェイ設定に示されている暗号化、認
証、Perfect Forward Secrecy、およびモードのパラメーターを設定する必要がありま
す。
IPsec Security Association が見つからない場合は、IPsec 設定を確認します。
IPsec Security Association が存在する場合は、トンネルに進みます。
必須のファイアウォールルールがセットアップされていることを確認します (ルール
のリストについては、「インターネットとカスタマーゲートウェイの間にファイア
ウォールがある場合 (p. 11)」を参照してください)。セットアップされている場合は、
次に進みます。
トンネル経由の IP 接続があるかどうかを確認します。
トンネルのそれぞれの側に、カスタマーゲートウェイ設定で指定された IP アドレス
が含まれます。仮想プライベートゲートウェイアドレスは、BGP ネイバーアドレスと
して使用されます。カスタマーゲートウェイから、このアドレスに対する ping を実行
し、IP トラフィックが正しく暗号化および復号されるかどうかを確認します。
ping が失敗した場合は、トンネルインターフェイス設定を調べて、正しい IP アドレス
が設定されていることを確認します。
ping が成功した場合は、ルーティングに進みます。
静的ルート ルーティング:
各トンネルについて、以下を実行します。
• トンネルで次のホップとして VPC CIDR への静的ルートが追加されていることを確
認します。
• AWS コンソールで静的ルートが追加されていることを確認し、トラフィックを内部
ネットワークにルーティングするように VGW に指示します。
トンネルがこの状態にない場合は、デバイス設定を確認します。
両方のトンネルがこの状態であることを確認し、終了します。
仮想プライベートゲートウェイが VPC にアタッチされていることを確認します。統合
チームは、AWS Management Console でこれを行います。
質問がある場合やサポートが必要な場合は、Amazon VPC forum をご利用ください。
191
Amazon Virtual Private Cloud ネットワーク管理者ガイド
前提条件
Windows Server 2008 R2 のカスタ
マーゲートウェイとしての設定
Windows Server 2008 R2 を VPC 用のカスタマーゲートウェイとして設定できます。Windows Server
2008 R2 を VPC 内の EC2 インスタンスで実行しているか独自のサーバーで実行しているかに関わら
ず、次のプロセスを使用します。
トピック
• 前提条件 (p. 192)
• ステップ 1: VPN 接続を作成する (p. 194)
• ステップ 2: VPN 接続の設定ファイルをダウンロードする (p. 194)
• ステップ 3: Windows Server を設定する (p. 196)
• ステップ 4: VPN トンネルを設定する (p. 198)
• ステップ 5: 停止しているゲートウェイを検出する (p. 206)
• ステップ 6: VPN 接続をテストする (p. 207)
前提条件
開始する前に、カスタマーゲートウェイと VPN のコンポーネントを設定していることを確認します。
トピック
• Windows Server の設定 (p. 192)
• VPC の VPN コンポーネントの設定 (p. 193)
Windows Server の設定
Windows Server をカスタマーゲートウェイとして設定するには、次のものが揃っていることを確認し
てください。
• 独自のネットワーク、または VPC 内の EC2 インスタンスの Windows Server 2008 R2. Windows
AMI から起動した EC2 インスタンスを使用している場合は、以下の作業を行います。
• インスタンスの送信元/送信先チェックを無効にします。詳細については、「ネットワークイン
ターフェイスの送信元/送信先チェックを変更する」を参照してください。
• アダプタ設定を更新します。詳細については、「Windows アダプタの設定の更新 (p. 193)」を
参照してください。
192
Amazon Virtual Private Cloud ネットワーク管理者ガイド
VPC の VPN コンポーネントの設定
• Elastic IP アドレスとインスタンスを関連付けます。詳細については、「Elastic IP アドレスの操
作」を参照してください。
• インスタンスのセキュリティグループのルールでアウトバウンドの IPsec トラフィックが許可さ
れていることを確認します。デフォルトでは、セキュリティグループはすべてのアウトバウンド
トラフィックを許可します。ただし、セキュリティグループのアウトバウンドルールが元の状態
から変更されている場合、IPsec トラフィック用にアウトバウンドのカスタムプロトコルルール
(IP プロトコル 50、IP プロトコル 51、UDP 500) を作成する必要があります。
• Windows Server が存在するネットワークの CIDR 範囲 (たとえば、172.31.0.0/16)。
Windows アダプタの設定の更新
Windows Server インスタンスを現在の Windows AMI から起動した場合、アダプタ設定を更新しない
限り他のインスタンスからのトラフィックをルーティングできなくなることがあります。
アダプタ設定を更新するには
1.
Windows インスタンスに接続します。詳細については、「Windows インスタンスへの接続」を
参照してください。
2.
3.
[コントロールパネル] を開き、[デバイスマネージャー] を起動します。
[ネットワークアダプター] ノードを展開します。
4.
[Citrix network adapter] を右クリックし、[Properties] をクリックします。
5.
[Advanced] タブで、[IPv4 Checksum Offload]、[TCP Checksum Offload (IPv4)]、および [UDP
Checksum Offload (IPv4)] プロパティを無効にし、[OK] をクリックします。
VPC の VPN コンポーネントの設定
VPC から VPN 接続を作成するには、次のものが揃っていることを確認してください。
• VPC の CIDR ブロック (10.0.0.0/16 など)。
• Windows Server 2008 R2 サーバーの IP アドレスを指定するカスタマーゲートウェイ. ルーティン
グのタイプとして静的なルーティングを指定します。カスタマーゲートウェイの作成の詳細につい
ては、「カスタマーゲートウェイを作成する」を参照してください。
Note
このアドレスは静的である必要があります。また、ネットワークアドレス変換 (NAT) を実
行するデバイスの背後のアドレスを使用することができます。NAT トラバーサル (NAT-T)
を正しく機能させるには、UDP ポート 4500 のブロックを解除するようにファイアウォー
ルのルールを調整する必要があります。カスタマーゲートウェイが Windows Server インス
タンスである場合は、Elastic IP アドレスを使用します。
• VPC にアタッチされた仮想プライベートゲートウェイ. 詳細については、「仮想プライベートゲー
トウェイを作成する」を参照してください。
• Windows Server と通信するインスタンスを起動するためのプライベートサブネット
Note
プライベートサブネットは、インターネットゲートウェイへのルートがないサブネットで
す。
• VPN 接続のルーティング:
• 仮想プライベートゲートウェイをターゲットに指定し、Windows Server のネットワーク (CIDR
範囲) を宛先に指定して、プライベートサブネットのルートテーブルにルートを追加します。
• 仮想プライベートゲートウェイのルート伝達を有効にします。詳細については、Amazon VPC
ユーザーガイド の「ルートテーブル」を参照してください。
193
Amazon Virtual Private Cloud ネットワーク管理者ガイド
ステップ 1: VPN 接続を作成する
• ネットワークと VPC 間の通信を許可する、インスタンスのセキュリティグループ設定:
• ネットワークからのインバウンド RDP または SSH アクセスを許可するルールを追加します。こ
れにより、ネットワークから VPC のインスタンスに接続できます。たとえば、ネットワークのイ
ンスタンスが VPC 内の Linux インスタンスにアクセスできるようにするには、SSH タイプのイ
ンバウンドルールを作成し、ソースをネットワークの CIDR 範囲 (172.31.0.0/16 など) に設定
します。詳細については、「Amazon VPC ユーザーガイド」の「VPC のセキュリティグループ」
を参照してください。
• ネットワークからのインバウンド ICMP アクセスを許可するルールを追加します。これによ
り、Windows Server から VPC 内のインスタンスへの ping を実行して、VPN 接続をテストでき
ます。
ステップ 1: VPN 接続を作成する
VPN 接続を作成するには、最初に、前提条件に関するセクション「VPC の VPN コンポーネン
トの設定 (p. 193)」で指定したように、VPN に必要なコンポーネントを設定する必要がありま
す。Windows Server が存在するネットワークの CIDR 範囲 (たとえば、172.31.0.0/16) も指定する
必要があります。
VPN 接続を作成するには
1.
https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。
2.
ナビゲーションペインで [VPN 接続] をクリックし、[VPN 接続の作成] をクリックします。
3.
仮想プライベートゲートウェイとカスタマーゲートウェイをリストから選択します。[Static] ルー
ティングオプションを選択し、ネットワークの [Static IP Prefixes] の値を CIDR 表記で入力し
て、[Yes, Create] をクリックします。
ステップ 2: VPN 接続の設定ファイルをダウン
ロードする
Amazon VPC コンソールを使用して、VPN 接続用の Windows Server 設定ファイルをダウンロードで
きます。
設定ファイルをダウンロードするには
1.
https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。
2.
ナビゲーションペインで [VPN Connections] をクリックします。
3.
VPN 接続を選択し、[Download Configuration] をクリックします。
4.
ベンダーとして [Microsoft]、プラットフォームとして [Windows Server]、ソフトウェアとして
[2008 R2] を選択します。[Yes, Download] をクリックします。ファイルを開くか保存できます。
設定ファイルには、次の例のような情報のセクションが含まれます。この情報は、2 回 (トンネルごと
に 1 回ずつ) 記述されています。Windows Server 2008 R2 サーバーを設定するときに、この情報を使
用します。
vgw-1a2b3c4d Tunnel1
-------------------------------------------------------------------Local Tunnel Endpoint:
203.0.113.1
Remote Tunnel Endpoint:
203.83.222.237
Endpoint 1:
[Your_Static_Route_IP_Prefix]
Endpoint 2:
[Your_VPC_CIDR_Block]
194
Amazon Virtual Private Cloud ネットワーク管理者ガイド
ステップ 2: VPN 接続の設定ファイルをダウンロードする
Preshared key:
xCjNLsLoCmKsakwcdoR9yX6GsEXAMPLE
Local Tunnel Endpoint
ネットワーク側の VPN 接続を停止するカスタマーゲートウェイ (この場合は Windows Server) の
IP アドレスです。カスタマーゲートウェイが Windows サーバーインスタンスである場合、これ
はインスタンスのプライベート IP アドレスです。
Remote Tunnel Endpoint
仮想プライベートゲートウェイの 2 つの IP アドレスのうちの 1 つで、AWS 側の VPN 接続の終
端です。
Endpoint 1
VPN 接続を作成したときに静的ルートとして指定した IP プレフィックスです。VPN 接続を使用
して VPC にアクセスすることを許可された、ネットワーク上の IP アドレスです。
Endpoint 2
仮想プライベートゲートウェイにアタッチされた VPC の IP アドレス範囲 (CIDR ブロック) (たと
えば、10.0.0.0/16) です。
Preshared key
Local Tunnel Endpoint と Remote Tunnel Endpoint との間で IPsec VPN 接続を確立する
ために使用される事前共有キーです。
両方のトンネルを VPN 接続の一部として設定することをお勧めします。各トンネルは、VPN 接続
の Amazon 側にある別個の VPN コネクタに接続します。一度に起動できるトンネルは 1 つだけです
が、1 番目のトンネルが停止すると、2 番目のトンネルが自動的に接続を確立します。冗長なトンネ
ルを設定することで、デバイス障害の発生時にも可用性を継続的に維持できます。一度に使用できる
トンネルは 1 つだけであるため、その 1 つのトンネルが停止したことが Amazon VPC コンソールに
表示されます。これは予期されている動作のため、お客様が操作を行う必要はありません。
トンネルを 2 つ設定しておけば、AWS でデバイス障害が発生した場合、VPN 接続は AWS 仮想プラ
イベートゲートウェイの 2 番目のトンネルに数分以内に自動的にフェイルオーバーします。カスタ
マーゲートウェイを設定するときは、両方のトンネルを設定することが重要です。
Note
AWS はときどき、仮想プライベートゲートウェイに対して定期的にメンテナンスを実行しま
す。このメンテナンスによって VPN の 2 つのトンネルのうち 1 つが短時間無効になること
があります。このメンテナンスの実行中、VPN 接続は自動的に 2 番目のトンネルにフェイル
オーバーします。
Internet Key Exchange (IKE) および IPsec Security Associations (SA) についての追加情報が、ダウン
ロードした設定ファイルに記述されています。AWS VPC VPN の推奨設定は Windows Server 2008
R2 のデフォルトの IPsec 構成の設定と同じなので、ユーザー側の作業は最小限で済みます。
MainModeSecMethods:
MainModeKeyLifetime:
QuickModeSecMethods:
QuickModePFS:
DHGroup2-AES128-SHA1,DHGroup2-3DES-SHA1
480min,0sec
ESP:SHA1-AES128+60min+100000kb,
ESP:SHA1-3D ES+60min+100000kb
DHGroup2
MainModeSecMethods
IKE SA 用の暗号化および認証のアルゴリズムです。これらは、VPN 接続用の推奨設定
と、Windows Server 2008 R2 IPsec VPN 接続用のデフォルト設定です。
MainModeKeyLifetime
IKE SA キーの有効期間です。これは VPN 接続用の推奨設定であり、Windows Server 2008 R2
IPsec VPN 接続用のデフォルト設定です。
195
Amazon Virtual Private Cloud ネットワーク管理者ガイド
ステップ 3: Windows Server を設定する
QuickModeSecMethods
IPsec SA 用の暗号化および認証のアルゴリズムです。これらは、VPN 接続用の推奨設定
と、Windows Server 2008 R2 IPsec VPN 接続用のデフォルト設定です。
QuickModePFS
IPsec セッションにはマスターキーの PFS (Perfect Forward Secrecy) を使用することが推奨され
ます。
ステップ 3: Windows Server を設定する
VPN トンネルを設定する前に、リモートユーザーがネットワーク上のリソースにアクセスできるよう
に、Windows Server でルーティングとリモート アクセス サービスをインストールして設定する必要
があります。
ルーティングとリモートアクセスサービスを Windows Server 2008 R2 にインストールするに
は
1.
Windows Server 2008 R2 サーバーにログオンします。
2.
[Start] をクリックし、[All Programs]、[Administrative Tools] の順にポイントして、[Server
Manager] をクリックします。
3.
ルーティングおよびリモートアクセスサービスをインストールします。
a.
b.
[Server Manager] ナビゲーションペインで [Roles] をクリックします。
[Roles] ペインで、[Add Roles] をクリックします。
c.
[Before You Begin] ページで、サーバーが前提条件を満たしていることを確認し、[Next] をク
リックします。
d.
[Select Server Roles] ページで [Network Policy and Access Services] をクリックし、次に
[Next] をクリックします。
[Network Policy and Access Services] ページで、[Next] をクリックします。
[Select Role Services] ページで、[Routing and Remote Access Services] をクリックし、
[Remote Access Service] および [Routing] を選択したまま、[Next] をクリックします。
e.
f.
196
Amazon Virtual Private Cloud ネットワーク管理者ガイド
ステップ 3: Windows Server を設定する
g.
[Confirm Installation Selections] ページで、[Install] をクリックします。
h.
ウィザードが完了したら、[Close] をクリックします。
ルーティングおよびリモートアクセスサーバーを設定して有効にするには
1.
2.
[サーバーマネージャ] ナビゲーションペインで、[Roles] を展開し、次に [Network Policy and
Access] を展開します。
[Routing and Remote Access Server] を右クリックし、[Configure and Enable Routing and
Remote Access] をクリックします。
3.
4.
[Routing and Remote Access Setup Wizard] の [Welcome] ページで、[Next] をクリックします。
[Configuration] ページで、[Custom Configuration] をクリックし、[Next] をクリックします。
5.
[LAN routing] をクリックし、[Next] をクリックします。
6.
[Finish] をクリックします。
7.
[Routing and Remote Access] ダイアログボックスにメッセージが表示されたら、[Start service]
をクリックします。
197
Amazon Virtual Private Cloud ネットワーク管理者ガイド
ステップ 4: VPN トンネルを設定する
ステップ 4: VPN トンネルを設定する
ダウンロードした設定ファイルに含まれている netsh スクリプトを実行するか、Windows Server で新
規の接続セキュリティのルールウィザードを使用して、VPN トンネルを設定できます。
Important
IPsec セッションにはマスターキー PFS (Perfect Forward Secrecy) を使用することを推奨し
ます。ただし、Windows Server 2008 R2 ユーザーインターフェイスを使用して PFS を有効
にすることはできません。この設定を有効にするには、qmpfs=dhgroup2 を指定して netsh ス
クリプトを実行する必要があります。そのため、要件を確認してからオプションを選択して
ください。詳細については、Microsoft TechNet ライブラリの「キー交換の設定」を参照して
ください。
オプション 1: netsh スクリプトを実行する
ダウンロードした設定ファイルから netsh スクリプトをコピーし、変数を置き換えます。スクリプト
の例を次に示します。
netsh advfirewall consec add rule Name="VGW-1a2b3c4d Tunnel 1" Enable=Yes ^
Profile=any Type=Static Mode=Tunnel
LocalTunnelEndpoint=Windows_Server_Private_IP_address ^
RemoteTunnelEndpoint=203.83.222.236 Endpoint1=Static_Route_IP_Prefix ^
Endpoint2=VPC_CIDR_Block Protocol=Any Action=RequireInClearOut ^
Auth1=ComputerPSK Auth1PSK=xCjNLsLoCmKsakwcdoR9yX6Gsexample ^
QMSecMethods=ESP:SHA1-AES128+60min+100000kb ^
ExemptIPsecProtectedConnections=No ApplyAuthz=No QMPFS=dhgroup2
[Name]: 推奨された名前 (VGW-1a2b3c4d Tunnel 1)) を選択した名前で置き換えることができま
す。
[LocalTunnelEndpoint]: ネットワークの Windows Server のプライベート IP アドレスを入力します。
[Endpoint1]: Windows Server が存在するネットワークの CIDR ブロック (たとえ
ば、172.31.0.0/16) です。
[Endpoint2]: VPC または VPC のサブネットの CIDR ブロック (たとえば、10.0.0.0/16) です。
更新したスクリプトをコマンドプロンプトウィンドウで実行します (^ を使用すると、コマンド行で折
り返しテキストの切り取りと貼り付けができます)。この VPN 接続に 2 番目の VPN トンネルを設定
するには、設定ファイルにある 2 番目の netsh スクリプトを使用してこのプロセスを繰り返します。
作業が終了したら、「2.4: Windows ファイアウォールを設定する (p. 203)」を参照してください。
netsh パラメーターの詳細については、Microsoft TechNet ライブラリの「Netsh AdvFirewall Consec
コマンド」を参照してください。
オプション 2: Windows Server ユーザーインター
フェイスを使用する
Windows Server ユーザーインターフェイスを使用して VPN トンネルを設定することもできます。こ
のセクションでは、その手順を説明します。
Important
Windows Server 2008 R2 ユーザーインターフェイスを使用してマスターキー PFS (Perfect
Forward Secrecy) を有効にすることはできません。そのため、PFS を使用する場合は、この
198
Amazon Virtual Private Cloud ネットワーク管理者ガイド
オプション 2: Windows Server ユー
ザーインターフェイスを使用する
オプションで説明するユーザーインターフェイスではなく、オプション 1 で説明した netsh
スクリプトを使用する必要があります。
• 2.1: VPN トンネル用のセキュリティルールを設定する (p. 199)
• 2.3: トンネルの設定を確認する (p. 203)
• 2.4: Windows ファイアウォールを設定する (p. 203)
2.1: VPN トンネル用のセキュリティルールを設定する
このセクションでは、Windows Server のセキュリティルールを設定して VPN トンネルを作成しま
す。
VPN トンネル用のセキュリティルールを設定するには
1.
[サーバーマネージャ] ナビゲーションペインで、[Configuration] を展開し、次に [Windows
Firewall with Advanced Security] を展開します。
2.
[Connection Security Rules] を右クリックし、[New Rule] をクリックします。
3.
[New Connection Security Rule] ウィザードの [Rule Type] ページで、[Tunnel] をクリックし、
[Next] をクリックします。
4.
[Tunnel Type] ページの [Tunnel Type] で、[Custom Configuration] をクリックします。[Would
you like to exempt IPsec-protected connections from this tunnel] で、デフォルト値を選択したま
ま ([No. Send all network traffic that matches this connection security rule through the tunnel])、
[Next] をクリックします。
5.
[Requirements] ページで、[Require authentication for inbound connections. Do not establish
tunnels for outbound connections] をクリックし、[Next] をクリックします。
6.
[Tunnel Endpoints] ページの [Which computers are in Endpoint 1] で、[Add] をクリックします。
ネットワーク (Windows Server カスタマーゲートウェイの背後にある) の CIDR 範囲を入力し、
199
Amazon Virtual Private Cloud ネットワーク管理者ガイド
オプション 2: Windows Server ユー
ザーインターフェイスを使用する
[OK] をクリックします (この範囲にはカスタマーゲートウェイの IP アドレスを含めることができ
ます)。
7.
[What is the local tunnel endpoint (closest to computer in Endpoint 1)] で、[Edit] をクリックしま
す。Windows Server のプライベート IP アドレスを入力し、[OK] をクリックします。
8.
[What is the remote tunnel endpoint (closest to computers in Endpoint 2)] で、[Edit] をクリックし
ます。設定ファイルにあるトンネル 1 の仮想プライベートゲートウェイの IP アドレスを入力し
(Remote Tunnel Endpoint を参照)、[OK] をクリックします。
Important
トンネル 2 に対してこの手順を繰り返す場合は、トンネル 2 のエンドポイントを選択し
てください。
9.
[Which computers are in Endpoint 2] で、[Add] をクリックします。VPC の CIDR ブロックを入力
し、[OK] をクリックします。
Important
[Which computers are in Endpoint 2] が表示されるまでダイアログボックスをスクロール
します。このステップが完了するまで、[Next] をクリックしないでください。サーバーに
接続できなくなります。
200
Amazon Virtual Private Cloud ネットワーク管理者ガイド
オプション 2: Windows Server ユー
ザーインターフェイスを使用する
10. 指定したすべての設定が正しいことを確認し、[Next] をクリックします。
11. [Authentication Method] ページで、[Advanced] を選択し、次に [Customize] をクリックします。
12. [First authentication methods] で、[Add] をクリックします。
13. [Pre-Shared key] を選択し、設定ファイルにある事前共有キーの値を入力して、[OK] をクリック
します。
Important
トンネル 2 に対してこの手順を繰り返す場合は、トンネル 2 の事前共有キーを選択して
ください。
201
Amazon Virtual Private Cloud ネットワーク管理者ガイド
オプション 2: Windows Server ユー
ザーインターフェイスを使用する
14. [First authentication is optional] が選択されていないことを確認し、[OK] をクリックします。
15. [Authentication Method] ページで、[Next] をクリックします。
16. [Profile] ページで、次の 3 つのチェックボックスをすべてオンにします。[Domain]、[Private]、お
よび [Public]。選択したら [Next] をクリックします。
17. [Name] ページで、接続ルールの名前を入力し、[Finish] をクリックします。
上記の手順を繰り返し、設定ファイルにあるトンネル 2 のデータを指定します。
202
Amazon Virtual Private Cloud ネットワーク管理者ガイド
オプション 2: Windows Server ユー
ザーインターフェイスを使用する
完了すると、VPN 接続に 2 つのトンネルが設定されます。
2.3: トンネルの設定を確認する
トンネルの設定を確認するには
1.
[サーバーマネージャ] ナビゲーションペインで、[Configuration] ノードを展開し、[Windows
Firewall with Advanced Security] を展開して、[Connection Security Rules] をクリックします。
2.
両方のトンネルについて次の設定を確認します。
• [Enabled] は Yes。
• [Authentication mode] は Require inbound and clear outbound。
• [Authentication method] は Custom。
• [Endpoint 1 port] は Any。
• [Endpoint 2 port] は Any。
• [Protocol] は Any。
3.
1 番目のトンネルのセキュリティルールをダブルクリックします。
4.
[Computers] タブで、次の設定を確認します。
• [Endpoint 1] で、表示されている CIDR ブロック範囲が、使用しているネットワークの CIDR ブ
ロック範囲と一致している。
5.
• [Endpoint 2] で、表示されている CIDR ブロック範囲が、使用している VPC の CIDR ブロック
範囲と一致している。
[Authentication] タブの [Method] で、[Customize] をクリックし、[First authentication methods]
に、設定ファイルにあるトンネルの正しい事前共有キーが指定されていることを確認し、[OK] を
クリックします。
6.
[Advanced] タブで、[Domain]、[Private]、および [Public] がすべて選択されていることを確認し
ます。
7.
[IPsec tunneling] の [Customize] をクリックします。IPsec トンネリングが次のように設定されて
いることを確認します。
8.
• [Use IPsec tunneling] が選択されている。
• [Local tunnel endpoint (closest to Endpoint 1)] に、使用しているサーバーの IP アドレスが設定
されている。カスタマーゲートウェイが Windows サーバーインスタンスである場合、これはイ
ンスタンスのプライベート IP アドレスです。
• [Remote tunnel endpoint (closest to Endpoint 2)] に、このトンネルの仮想プライベートゲート
ウェイの IP アドレスが設定されている。
2 番目のトンネルのセキュリティルールをダブルクリックします。このトンネルに対してステッ
プ 4 から 7 までを繰り返します。
2.4: Windows ファイアウォールを設定する
サーバーのセキュリティルールを設定した後、仮想プライベートゲートウェイと連動するように基本
的な IPsec 設定を行います。
Windows ファイアウォールを設定するには
1.
2.
3.
4.
[Server Manager] ナビゲーションペインで、[Windows Firewall with Advanced Security] をクリッ
クし、次に [Properties] をクリックします。
[IPsec Settings] タブをクリックします。
[IPsec exemptions] で、[Exempt ICMP from IPsec] が [No (default)] であることを確認します。
[IPsec tunnel authorization] が [None] であることを確認します。
[IPsec defaults] の [Customize] をクリックします。
203
Amazon Virtual Private Cloud ネットワーク管理者ガイド
オプション 2: Windows Server ユー
ザーインターフェイスを使用する
5.
[Customize IPsec Settings] ダイアログボックスの [Key exchange (Main Mode)] で、[Advanced]
を選択し、[Customize] をクリックします。
6.
[Customize Advanced Key Exchange Settings] の [Security Method] で、最初のエントリに次のデ
フォルト値が使用されていることを確認します。
• 整合性: SHA-1
• 暗号化: AES-CBC 128
• キー交換アルゴリズム: Diffie-Hellman Group 2
• [Key lifetimes] で、[Minutes] が 480 で [Sessions] が 0 であることを確認します。
これらの設定は、設定ファイルの次のエントリに対応します。
MainModeSecMethods: DHGroup2-AES128-SHA1,DHGroup2-3DES-SHA1
MainModeKeyLifetime: 480min,0sec
7.
[Key exchange options] で、[Use Diffie-Hellman for enhanced security] を選択し、[OK] をクリッ
クします。
8.
[Data protection (Quick Mode)] の [Advanced] をクリックし、次に [Customize] をクリックしま
す。
9.
[Require encryption for all connection security rules that use these settings] をクリックします。
10. [Data integrity and encryption algorithms] は次のようにデフォルト値のままにします。
• プロトコル: ESP
• 整合性: SHA-1
• 暗号化: AES-CBC 128
• 有効期間: 60 分
これらの値は、設定ファイルの次のエントリに対応します。
QuickModeSecMethods:
204
Amazon Virtual Private Cloud ネットワーク管理者ガイド
オプション 2: Windows Server ユー
ザーインターフェイスを使用する
ESP:SHA1-AES128+60min+100000kb,ESP:SHA1-3D ES+60min+100000kb
11. [OK] をクリックして [Customize IPsec Settings] ダイアログボックスを開き、[OK] を再度クリッ
クして設定を保存します。
205
Amazon Virtual Private Cloud ネットワーク管理者ガイド
ステップ 5: 停止しているゲートウェイを検出する
ステップ 5: 停止しているゲートウェイを検出す
る
次に、ゲートウェイが使用できなくなったら検出するように TCP を設定する必要があります。それ
には、レジストリキー HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters を変
更します。このステップは、これより前のセクションを完了してから実行してください。レジストリ
キーの変更後、サーバーを再起動する必要があります。
停止しているゲートウェイを検出するには
1.
サーバーで、[Start] をクリックし、regedit と入力して [レジストリエディタ] を起動します。
2.
[HKEY_LOCAL_MACHINE]、[SYSTEM]、[CurrentControlSet]、[Services]、[Tcpip]、[Parameters]
の順に展開します。
3.
もう 1 つのペインで右クリックし、[New] をポイントして、[DWORD (32-bit) Value] を選択しま
す。
4.
名前として [EnableDeadGWDetect] を入力します。
5.
[EnableDeadGWDetect] を右クリックし、[Modify] をクリックします。
6.
7.
[Value data] に [1] を入力し、[OK] をクリックします。
[レジストリエディタ] を終了し、サーバーを再起動します。
詳細については、Microsoft TechNet Library の「EnableDeadGWDetect」を参照してください。
206
Amazon Virtual Private Cloud ネットワーク管理者ガイド
ステップ 6: VPN 接続をテストする
ステップ 6: VPN 接続をテストする
VPN 接続が正常に動作していることテストするには、インスタンスを VPC 内で起動し、インター
ネットに接続されていないことを確認します。インスタンスを起動した後、Windows Server からプラ
イベート IP アドレスに対して ping を実行します。トラフィックがカスタマーゲートウェイから生成
されると VPN 接続が開始されるため、ping コマンドによっても VPN トンネルが開始されます。
VPC 内でインスタンスを起動し、そのプライベート IP アドレスを取得するには
1.
Amazon EC2 コンソールを開き、[インスタンスの作成] をクリックします。
2.
Amazon Linux AMI を選択し、インスタンスタイプを選択します。
3.
[ステップ 3: インスタンスの詳細の設定] ページで、[ネットワーク] のリストから VPC を選択
し、[サブネット] のリストからサブネットを選択します。「VPC の VPN コンポーネントの設
定 (p. 193)」で設定したプライベートサブネットを選択していることを確認します。
4.
[自動割り当てパブリック IP] リストで、[無効化] が設定されていることを確認します。
5.
[ステップ 6: セキュリティグループの設定] ページが表示されるまで、[次の手順] をクリックしま
す。「前提条件」セクション (「VPC の VPN コンポーネントの設定 (p. 193)」) で設定した既存
のセキュリティグループを選択するか、または新しいセキュリティグループを作成し、Windows
Server の IP アドレスからの ICMP トラフィックをすべて許可するルールがあることを確認しま
す。
6.
ウィザードの残りの手順を完了し、インスタンスを起動します。
7.
[Instances] ページで、 インスタンスを選択します。詳細ペインの [Private IPs] フィールドでプラ
イベート IP アドレスを取得します。
Windows Server に接続またはログオンし、コマンドプロンプトを開いて、ping コマンドでインス
タンスのプライベート IP アドレスを使用してインスタンスに ping を実行します。以下に例を示しま
す。
PROMPT> ping 10.0.0.4
Pinging 10.0.0.4 with 32 bytes of data:
Reply from 10.0.0.4: bytes=32 time=2ms TTL=62
Reply from 10.0.0.4: bytes=32 time=2ms TTL=62
Reply from 10.0.0.4: bytes=32 time=2ms TTL=62
Reply from 10.0.0.4: bytes=32 time=2ms TTL=62
Ping statistics for 10.0.0.4:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 2ms, Maximum = 2ms, Average = 2ms
ping コマンドが失敗した場合、次の情報を確認します。
• VPC 内のインスタンスに対して ICMP が許容されるように、セキュリティグループのルールが設定
されていることを確認します。Windows Server が EC2 インスタンスである場合は、セキュリティ
グループのアウトバウンドルールで IPsec トラフィックが許可されていることを確認します。詳細
については、「前提条件 (p. 192)」を参照してください。
• ping 対象のインスタンスのオペレーティングシステムが ICMP に応答するように設定されているこ
とを確認します。Amazon Linux AMI のいずれかを使用することをお勧めします。
• ping 対象のインスタンスが Windows インスタンスである場合は、インスタンスにログイン
し、Windows ファイアウォールでインバウンド ICMPv4 を有効にします。
• VPC またはサブネットのルートテーブルが正しく設定されていることを確認します。詳細について
は、「前提条件 (p. 192)」を参照してください。
207
Amazon Virtual Private Cloud ネットワーク管理者ガイド
ステップ 6: VPN 接続をテストする
• カスタマーゲートウェイが Windows サーバーインスタンスである場合は、インスタンスに対
して送信元/送信先チェックが無効になっていることを確認します。詳細については、「前提条
件 (p. 192)」を参照してください。
Amazon VPC コンソールの [VPN Connections] ページで、使用している VPN 接続を選択します。1
番目のトンネルは起動状態です。2 番目のトンネルは、最初のトンネルが停止するまで使用されませ
んが、設定は必要です。暗号化されたトンネルを確立するのに数分かかることがあります。
208
Amazon Virtual Private Cloud ネットワーク管理者ガイド
前提条件
Windows Server 2012 R2 のカスタ
マーゲートウェイとしての設定
Windows Server 2012 R2 を VPC 用のカスタマーゲートウェイとして設定できます。Windows Server
2012 R2 を VPC 内の EC2 インスタンスで実行しているか独自のサーバーで実行しているかに関わら
ず、次のプロセスを使用します。
トピック
• 前提条件 (p. 209)
• ステップ 1: VPN 接続を作成する (p. 211)
• ステップ 2: VPN 接続の設定ファイルをダウンロードする (p. 211)
• ステップ 3: Windows Server を設定する (p. 213)
• ステップ 4: VPN トンネルを設定する (p. 215)
• ステップ 5: 停止しているゲートウェイを検出する (p. 221)
• ステップ 6: VPN 接続をテストする (p. 222)
前提条件
開始する前に、カスタマーゲートウェイと VPN のコンポーネントを設定していることを確認します。
トピック
• Windows Server の設定 (p. 209)
• VPC の VPN コンポーネントの設定 (p. 210)
Windows Server の設定
Windows Server をカスタマーゲートウェイとして設定するには、次のものが揃っていることを確認し
てください。
• 独自のネットワーク、または VPC 内の EC2 インスタンスの Windows Server 2012 R2. Windows
AMI から起動した EC2 インスタンスを使用している場合は、以下の作業を行います。
• インスタンスの送信元/送信先チェックを無効にします。詳細については、「ネットワークイン
ターフェイスの送信元/送信先チェックを変更する」を参照してください。
• アダプタ設定を更新します。詳細については、「Windows アダプタの設定の更新 (p. 210)」を
参照してください。
209
Amazon Virtual Private Cloud ネットワーク管理者ガイド
VPC の VPN コンポーネントの設定
• Elastic IP アドレスとインスタンスを関連付けます。詳細については、「Elastic IP アドレスの操
作」を参照してください。このアドレスは書き留めておきます。VPC でカスタマーゲートウェイ
を作成する際に必要になります。
• インスタンスのセキュリティグループのルールでアウトバウンドの IPsec トラフィックが許可さ
れていることを確認します。デフォルトでは、セキュリティグループはすべてのアウトバウンド
トラフィックを許可します。ただし、セキュリティグループのアウトバウンドルールが元の状態
から変更されている場合、IPsec トラフィック用にアウトバウンドのカスタムプロトコルルール
(IP プロトコル 50、IP プロトコル 51、UDP 500) を作成する必要があります。
• Windows Server が存在するネットワークの CIDR 範囲 (たとえば、172.31.0.0/16)。
Windows アダプタの設定の更新
Windows Server インスタンスを現在の Windows AMI から起動した場合、アダプタ設定を更新しない
限り他のインスタンスからのトラフィックをルーティングできなくなることがあります。
アダプタ設定を更新するには
1.
Windows インスタンスに接続します。詳細については、「Windows インスタンスへの接続」を
参照してください。
2.
[コントロールパネル] を開き、[デバイスマネージャー] を起動します。
3.
[ネットワーク アダプター] ノードを展開します。
4.
AWS PV ネットワークデバイスを選択して [アクション] を選択し、次に [プロパティ] を選択しま
す。
5.
[詳細設定] タブで、[IPv4 Checksum Offload]、[TCP Checksum Offload (IPv4)]、および [UDP
Checksum Offload (IPv4)] の各プロパティを無効にし、[OK] を選択します。
VPC の VPN コンポーネントの設定
VPC から VPN 接続を作成するには、VPC があることを確認し、その CIDR ブロック (10.0.0.0/16
など) を書き留めます。次に、 以下の作業を行います。
• Windows サーバーの IP アドレスを指定するカスタマーゲートウェイを作成します。ルーティング
のタイプとして静的なルーティングを指定します。詳細については、「カスタマーゲートウェイを
作成する」を参照してください。
Note
この IP アドレスは静的である必要があります。また、ネットワークアドレス変換 (NAT) を
実行するデバイスの背後のアドレスを使用することができます。NAT トラバーサル (NATT) を正しく機能させるには、UDP ポート 4500 のブロックを解除するようにファイア
ウォールのルールを調整する必要があります。カスタマーゲートウェイが EC2 Windows
Server インスタンスである場合は、その Elastic IP アドレスを使用します。
• 仮想プライベートゲートウェイを作成して、それをお客様の VPC にアタッチします。詳細について
は、「仮想プライベートゲートウェイを作成する」を参照してください。
• Windows サーバーと通信するインスタンスを起動するためのプライベートサブネットを VPC で作
成します (まだ、ない場合)。詳細については、「VPC にサブネットを追加する」を参照してくださ
い。
Note
プライベートサブネットは、インターネットゲートウェイへのルートがないサブネットで
す。このサブネットのルーティングについては、次の項目で説明します。
• VPN 接続のルートテーブルを更新します。
210
Amazon Virtual Private Cloud ネットワーク管理者ガイド
ステップ 1: VPN 接続を作成する
• 仮想プライベートゲートウェイをターゲットに指定し、Windows Server のネットワーク (CIDR
範囲) を宛先に指定して、プライベートサブネットのルートテーブルにルートを追加します。
• 仮想プライベートゲートウェイのルート伝達を有効にします。詳細については、Amazon VPC
ユーザーガイド の「ルートテーブル」を参照してください。
• VPC とネットワーク間の通信を許可する、インスタンスのセキュリティグループ設定を作成しま
す。
• ネットワークからのインバウンド RDP または SSH アクセスを許可するルールを追加します。こ
れにより、ネットワークから VPC のインスタンスに接続できます。たとえば、ネットワークのコ
ンピュータが VPC 内の Linux インスタンスにアクセスできるようにするには、SSH タイプのイ
ンバウンドルールを作成し、ソースをネットワークの CIDR 範囲 (172.31.0.0/16 など) に設定
します。詳細については、「Amazon VPC ユーザーガイド」の「VPC のセキュリティグループ」
を参照してください。
• ネットワークからのインバウンド ICMP アクセスを許可するルールを追加します。これによ
り、Windows Server から VPC 内のインスタンスへの ping を実行して、VPN 接続をテストでき
ます。
ステップ 1: VPN 接続を作成する
VPN 接続を作成するには、最初に、前提条件に関するセクション「VPC の VPN コンポーネン
トの設定 (p. 210)」で指定したように、VPN に必要なコンポーネントを設定する必要がありま
す。Windows Server が存在するネットワークの CIDR 範囲 (たとえば、172.31.0.0/16) も指定する
必要があります。
VPN 接続を作成するには
1.
https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。
2.
3.
ナビゲーションペインで [VPN 接続] を選択し、[VPN 接続の作成] を選択します。
仮想プライベートゲートウェイとカスタマーゲートウェイをリストから選択します。ルーティン
グオプションとして [静的] を選択し、ネットワークの [静的 IP プレフィックス] の値を CIDR 表
記で入力して、[作成] を選択します。
ステップ 2: VPN 接続の設定ファイルをダウン
ロードする
Amazon VPC コンソールを使用して、VPN 接続用の Windows Server 設定ファイルをダウンロードで
きます。
設定ファイルをダウンロードするには
1.
https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。
2.
3.
4.
ナビゲーションペインで [VPN 接続] を選択します。
VPN 接続を選択し、[設定のダウンロード] を選択します。
ベンダーとして [Microsoft]、プラットフォームとして [Windows Server]、ソフトウェアとして
[2012 R2] を選択します。[ダウンロード] を選択します。ファイルを開くか保存できます。
設定ファイルには、次の例のような情報のセクションが含まれます。この情報は、2 回 (トンネルごと
に 1 回ずつ) 記述されています。Windows Server 2012 R2 サーバーを設定するときに、この情報を使
用します。
vgw-1a2b3c4d Tunnel1
211
Amazon Virtual Private Cloud ネットワーク管理者ガイド
ステップ 2: VPN 接続の設定ファイルをダウンロードする
-------------------------------------------------------------------Local Tunnel Endpoint:
203.0.113.1
Remote Tunnel Endpoint:
203.83.222.237
Endpoint 1:
[Your_Static_Route_IP_Prefix]
Endpoint 2:
[Your_VPC_CIDR_Block]
Preshared key:
xCjNLsLoCmKsakwcdoR9yX6GsEXAMPLE
Local Tunnel Endpoint
ネットワーク側の VPN 接続を停止するカスタマーゲートウェイ (この場合は Windows Server) の
IP アドレスです。カスタマーゲートウェイが Windows サーバーインスタンスである場合、これ
はインスタンスのプライベート IP アドレスです。
Remote Tunnel Endpoint
仮想プライベートゲートウェイの 2 つの IP アドレスのうちの 1 つで、AWS 側の VPN 接続の終
端です。
Endpoint 1
VPN 接続を作成したときに静的ルートとして指定した IP プレフィックスです。VPN 接続を使用
して VPC にアクセスすることを許可された、ネットワークの IP アドレスです。
Endpoint 2
仮想プライベートゲートウェイにアタッチされた VPC の IP アドレス範囲 (CIDR ブロック) (たと
えば、10.0.0.0/16) です。
Preshared key
Local Tunnel Endpoint と Remote Tunnel Endpoint との間で IPsec VPN 接続を確立する
ために使用される事前共有キーです。
両方のトンネルを VPN 接続の一部として設定することをお勧めします。各トンネルは、VPN 接続
の Amazon 側にある別個の VPN コネクタに接続します。一度に起動できるトンネルは 1 つだけです
が、1 番目のトンネルが停止すると、2 番目のトンネルが自動的に接続を確立します。冗長なトンネ
ルを設定することで、デバイス障害の発生時にも可用性を継続的に維持できます。一度に使用できる
トンネルは 1 つだけであるため、その 1 つのトンネルが停止したことが Amazon VPC コンソールに
表示されます。これは予期されている動作のため、お客様が操作を行う必要はありません。
トンネルを 2 つ設定しておけば、AWS でデバイス障害が発生した場合、VPN 接続は AWS 仮想プラ
イベートゲートウェイの 2 番目のトンネルに数分以内に自動的にフェイルオーバーします。カスタ
マーゲートウェイを設定するときは、両方のトンネルを設定することが重要です。
Note
AWS はときどき、仮想プライベートゲートウェイに対して定期的にメンテナンスを実行しま
す。このメンテナンスによって VPN の 2 つのトンネルのうち 1 つが短時間無効になること
があります。このメンテナンスの実行中、VPN 接続は自動的に 2 番目のトンネルにフェイル
オーバーします。
Internet Key Exchange (IKE) および IPsec Security Associations (SA) についての追加情報が、ダウン
ロードした設定ファイルに記述されています。VPC VPN の推奨設定は Windows Server 2012 R2 のデ
フォルトの IPsec 構成の設定と同じなので、ユーザー側の作業は最小限で済みます。
MainModeSecMethods:
MainModeKeyLifetime:
QuickModeSecMethods:
QuickModePFS:
DHGroup2-AES128-SHA1
480min,0sess
ESP:SHA1-AES128+60min+100000kb
DHGroup2
MainModeSecMethods
IKE SA 用の暗号化および認証のアルゴリズムです。これらは、VPN 接続用の推奨設定
と、Windows Server 2012 R2 IPsec VPN 接続用のデフォルト設定です。
212
Amazon Virtual Private Cloud ネットワーク管理者ガイド
ステップ 3: Windows Server を設定する
MainModeKeyLifetime
IKE SA キーの有効期間です。これは VPN 接続用の推奨設定であり、Windows Server 2012 R2
IPsec VPN 接続用のデフォルト設定です。
QuickModeSecMethods
IPsec SA 用の暗号化および認証のアルゴリズムです。これらは、VPN 接続用の推奨設定
と、Windows Server 2012 R2 IPsec VPN 接続用のデフォルト設定です。
QuickModePFS
IPsec セッションにはマスターキー PFS (Perfect Forward Secrecy) を使用することを推奨しま
す。
ステップ 3: Windows Server を設定する
VPN トンネルを設定する前に、リモートユーザーがネットワーク上のリソースにアクセスできるよう
に、Windows Server でルーティングとリモート アクセス サービスをインストールして設定する必要
があります。
ルーティングとリモートアクセスサービスを Windows Server 2012 R2 にインストールするに
は
1.
Windows Server 2012 R2 サーバーにログオンします。
2.
[Start] メニューに移動し、[Server Manager] を選択します。
3.
ルーティングおよびリモートアクセスサービスをインストールします。
a.
[Manage]メニューから、[Add Roles and Features] を選択します。
b.
[Before You Begin] ページで、サーバーが前提条件を満たしていることを確認し、[Next] を選
択します。
c.
[Role-based or feature-based installation] を選択し、次に [Next] を選択します。
d.
[Select a server from the server pool] を選択し、Windows 2012 R2 サーバーを選択して
[Next] を選択します。
e.
リストで [Network Policy and Access Services] を選択します。表示されるダイアログボック
スで、[Add Features] を選択してこのロールに必要な機能を確認します。
f.
同じリストで、[Remote Access] を選択し、次に [Next] を選択します。
g.
[Select features] ページで、[Next] を選択します。
h.
[Network Policy and Access Services] ページで、[Next] を選択します。[Network Policy
Server] は選択されたままにして、[Next] を選択します。
i.
[Remote Access] ページで、[Next] を選択します。次のページで、[DirectAccess and VPN
(RAS)] を選択します。表示されるダイアログボックスで、[Add Features] を選択してこの
ロールサービスに必要な機能を確認します。同じリストで、[Routing] を選択し、次に [Next]
を選択します。
j.
[Web Server Role (IIS)] ページで、[Next] を選択します。デフォルトの選択のまま残して、
[Next] を選択します。
k.
[Install] を選択します。インストールが完了したら、[Close] を選択します。
ルーティングおよびリモートアクセスサーバーを設定して有効にするには
1.
ダッシュボードで、[Notifications] (フラグのアイコン) を選択します。デプロイ後の設定を完了す
るためのタスクが必要になる場合があります。[Open the Getting Started Wizard] リンクを選択し
ます。
2.
[Deploy VPN only] を選択します。
3.
[Routing and Remote Access] ダイアログボックスで、サーバー名を選択します。さらに [Action]
を選択して [Configure and Enable Routing and Remote Access] を選択します。
213
Amazon Virtual Private Cloud ネットワーク管理者ガイド
ステップ 3: Windows Server を設定する
4.
[Routing and Remote Access Server Setup Wizard] の最初のページで、[Next] を選択します。
5.
6.
7.
[Configuration] ページで、[Custom Configuration] を選択し、[Next] を選択します。
[LAN routing]、[Next]、[Finish] の順に選択します。
[Routing and Remote Access] ダイアログボックスにメッセージが表示されたら、[Start service]
を選択します。
214
Amazon Virtual Private Cloud ネットワーク管理者ガイド
ステップ 4: VPN トンネルを設定する
ステップ 4: VPN トンネルを設定する
ダウンロードした設定ファイルに含まれている netsh スクリプトを実行するか、Windows Server で新
規の接続セキュリティのルールウィザードを使用して、VPN トンネルを設定できます。
Important
IPsec セッションにはマスターキー PFS (Perfect Forward Secrecy) を使用することを推奨し
ます。詳細については、Microsoft TechNet ライブラリの「キー交換の設定」を参照してくだ
さい。netsh スクリプトを実行することを選択した場合、スクリプトには PFSを有効にするた
めのパラメータ (qmpfs=dhgroup2) が含まれています。Windows Server 2012 R2 ユーザー
インターフェイスを使用して PFS を有効にすることはできません。この設定を有効にするに
はコマンドラインを使う必要があります。
オプション 1: netsh スクリプトを実行する
ダウンロードした設定ファイルから netsh スクリプトをコピーし、変数を置き換えます。スクリプト
の例を次に示します。
netsh advfirewall consec add rule Name="vgw-1a2b3c4d Tunnel 1" ^
Enable=Yes Profile=any Type=Static Mode=Tunnel ^
LocalTunnelEndpoint=Windows_Server_Private_IP_address ^
RemoteTunnelEndpoint=203.83.222.236 Endpoint1=Your_Static_Route_IP_Prefix ^
Endpoint2=Your_VPC_CIDR_Block Protocol=Any Action=RequireInClearOut ^
Auth1=ComputerPSK Auth1PSK=xCjNLsLoCmKsakwcdoR9yX6GsEXAMPLE ^
QMSecMethods=ESP:SHA1-AES128+60min+100000kb ^
ExemptIPsecProtectedConnections=No ApplyAuthz=No QMPFS=dhgroup2
[Name]: 推奨された名前 (vgw-1a2b3c4d Tunnel 1)) を選択した名前で置き換えることができま
す。
[LocalTunnelEndpoint]: ネットワークの Windows Server のプライベート IP アドレスを入力します。
[Endpoint1]: Windows Server が存在するネットワークの CIDR ブロック (たとえ
ば、172.31.0.0/16) です。
[Endpoint2]: VPC または VPC のサブネットの CIDR ブロック (たとえば、10.0.0.0/16) です。
更新したスクリプトを Windows Server のコマンドプロンプトウィンドウで実行します。 (^ を使用す
ると、コマンド行で折り返しテキストの切り取りと貼り付けができます)。この VPN 接続に 2 番目の
VPN トンネルを設定するには、設定ファイルにある 2 番目の netsh スクリプトを使用してこのプロセ
スを繰り返します。
作業が終了したら、「2.4: Windows ファイアウォールを設定する (p. 219)」を参照してください。
netsh パラメーターの詳細については、Microsoft TechNet ライブラリの「Netsh AdvFirewall Consec
コマンド」を参照してください。
オプション 2: Windows Server ユーザーインター
フェイスを使用する
Windows Server ユーザーインターフェイスを使用して VPN トンネルを設定することもできます。こ
のセクションでは、その手順を説明します。
215
Amazon Virtual Private Cloud ネットワーク管理者ガイド
オプション 2: Windows Server ユー
ザーインターフェイスを使用する
Important
Windows Server 2012 R2 ユーザーインターフェイスを使用してマスターキー PFS (Perfect
Forward Secrecy) を有効にすることはできません。PFS を有効にするには、「マスターキー
PFS (Perfect Forward Secrecy) を有効にする。 (p. 218)」で説明されているように、コマン
ドラインを使う必要があります。
トピック
• 2.1: VPN トンネル用のセキュリティルールを設定する (p. 216)
• 2.3: トンネルの設定を確認する (p. 218)
• マスターキー PFS (Perfect Forward Secrecy) を有効にする。 (p. 218)
2.1: VPN トンネル用のセキュリティルールを設定する
このセクションでは、Windows Server のセキュリティルールを設定して VPN トンネルを作成しま
す。
VPN トンネル用のセキュリティルールを設定するには
1.
Server Manager を開き、[Tools] を選択し、[Windows Firewall with Advanced Security] を選択し
ます。
2.
[Connection Security Rules] を選択し、[Action] を選択して [New Rule] を選択します。
3.
[New Connection Security Rule] ウィザードの [Rule Type] ページで、[Tunnel] を選択し、[Next]
を選択します。
4.
[Tunnel Type] ページの [What type of tunnel would you like to create] で、[Custom Configuration]
を選択します。[Would you like to exempt IPsec-protected connections from this tunnel] で、デ
フォルト値を選択したまま ([No. Send all network traffic that matches this connection security rule
through the tunnel]) にして、[Next] を選択します。
5.
[Requirements] ページで、[Require authentication for inbound connections. Do not establish
tunnels for outbound connections] を選択し、[Next] を選択します。
6.
[Tunnel Endpoints] ページの [Which computers are in Endpoint 1] で、[Add] を選択しま
す。ネットワーク (Windows Server カスタマーゲートウェイの背後にある) の CIDR 範囲
(172.31.0.0/16 など) を入力し、[OK] をクリックします (この範囲にはカスタマーゲートウェ
イの IP アドレスを含めることができます)。
7.
[What is the local tunnel endpoint (closest to computer in Endpoint 1)] で、[Edit] を選択します。
[IPv4 address] フィールドに Windows Server のプライベート IP アドレスを入力し、[OK] を選択
します。
8.
[What is the remote tunnel endpoint (closest to computers in Endpoint 2)] で、[Edit] を選択しま
す。[IPv4 address] フィールドに、設定ファイルにあるトンネル 1 の仮想プライベートゲート
ウェイの IP アドレス (「Remote Tunnel Endpoint」を参照) を入力し、[OK] を選択します。
Important
トンネル 2 に対してこの手順を繰り返す場合は、トンネル 2 のエンドポイントを選択し
てください。
9.
[Which computers are in Endpoint 2] で、[Add] を選択します。[This IP address or subnet field] に
VPC の CIDR ブロックを入力して、[OK] を選択します。
Important
[Which computers are in Endpoint 2] が表示されるまでダイアログボックスをスクロール
します。このステップが完了するまで、[Next] を選択しないでください。サーバーに接続
できなくなります。
216
Amazon Virtual Private Cloud ネットワーク管理者ガイド
オプション 2: Windows Server ユー
ザーインターフェイスを使用する
10. 指定したすべての設定が正しいことを確認し、[Next] を選択します。
11. [Authentication Method] ページで、[Advanced] を選択し、次に [Customize] を選択します。
12. [First authentication methods] で、[Add] を選択します。
13. [Preshared key] を選択し、設定ファイルにある事前共有キーの値を入力して、[OK] を選択しま
す。
Important
トンネル 2 に対してこの手順を繰り返す場合は、トンネル 2 の事前共有キーを選択して
ください。
14. [First authentication is optional] が選択されていないことを確認し、[OK] を選択します。
15. [Next] を選択します。
217
Amazon Virtual Private Cloud ネットワーク管理者ガイド
オプション 2: Windows Server ユー
ザーインターフェイスを使用する
16. [Profile] ページで、[Domain]、[Private]、[Public] の 3 つのチェックボックスをすべてオンにし
て、[Next] を選択します。
17. [Name] ページで、接続ルールの名前 (VPN to AWS Tunnel 1 など) を入力し、[Finish] を選択し
ます。
上記の手順を繰り返し、設定ファイルにあるトンネル 2 のデータを指定します。
完了すると、VPN 接続に 2 つのトンネルが設定されます。
2.3: トンネルの設定を確認する
トンネルの設定を確認するには
1.
Server Manager を開き、[Tools] を選択して、[Windows Firewall with Advanced Security] を選択
します。次に [Connection Security Rules] を選択します。
2.
両方のトンネルについて次の設定を確認します。
• [Enabled] は Yes。
• [Endpoint 1] はネットワークの CIDR ブロックです。
• [Endpoint 2] は VPC の CIDR ブロックです。
• [Authentication mode] は Require inbound and clear outbound。
• [Authentication method] は Custom。
• [Endpoint 1 port] は Any。
• [Endpoint 2 port] は Any。
• [Protocol] は Any。
3.
最初のルールを選択し、[Properties] を選択します。
4.
[Authentication] タブの [Method] で、[Customize] を選択し、[First authentication methods] に、設
定ファイルにあるトンネルの正しい事前共有キーが指定されていることを確認し、[OK] を選択し
ます。
5.
[Advanced] タブで、[Domain]、[Private]、および [Public] がすべて選択されていることを確認し
ます。
6.
[IPsec tunneling] の [Customize] を選択します。IPsec トンネリングが次のように設定されている
ことを確認して [OK] を選択します。再度 [OK] を選択してダイアログボックスを閉じます。
• [Use IPsec tunneling] が選択されている。
• [Local tunnel endpoint (closest to Endpoint 1)] に、Windows Server の IP アドレスが設定されて
いる。カスタマーゲートウェイが EC2 インスタンスである場合、これはインスタンスのプライ
ベート IP アドレスです。
• [Remote tunnel endpoint (closest to Endpoint 2)] に、このトンネルの仮想プライベートゲート
ウェイの IP アドレスが設定されている。
7.
2 番目のトンネルのプロパティを開きます。このトンネルに対してステップ 4 から 7 までを繰り
返します。
マスターキー PFS (Perfect Forward Secrecy) を有効にする。
マスターキー PFS (Perfect Forward Secrecy) を有効にするにはコマンドラインを使用できます。ユー
ザーインターフェイスを使用してこの機能を有効にすることはできません。
マスターキー PFS (Perfect Forward Secrecy) を有効にするには
1.
Windows Server で、新しいコマンドプロンプトウィンドウを開きます。
2.
次のコマンドを入力します。rule_name は最初の接続ルールに指定した名前に置き換えます。
218
Amazon Virtual Private Cloud ネットワーク管理者ガイド
2.4: Windows ファイアウォールを設定する
netsh advfirewall consec set rule name="rule_name" new QMPFS=dhgroup2
QMSecMethods=ESP:SHA1-AES128+60min+100000kb
3.
2 番目のトンネルにステップ 2 を繰り返します。今回は rule_name を 2 番目の接続ルールに指
定した名前に置き換えます。
2.4: Windows ファイアウォールを設定する
サーバーのセキュリティルールを設定した後、仮想プライベートゲートウェイと連動するように基本
的な IPsec 設定を行います。
Windows ファイアウォールを設定するには
1.
Server Manager を開き、[Tools] を選択して [Windows Firewall with Advanced Security] を選択し
ます。次に [Properties] を選択します。
2.
[IPsec Settings] タブの [IPsec exemptions] で、[Exempt ICMP from IPsec] が [No (default)] になっ
ていることを確認します。[IPsec tunnel authorization] が [None] であることを確認します。
3.
[IPsec defaults] の [Customize] を選択します。
4.
[Key exchange (Main Mode)] の [Advanced] を選択し、[Customize] を選択します。
5.
[Customize Advanced Key Exchange Settings] の [Security Method] で、最初のエントリに次のデ
フォルト値が使用されていることを確認します。
• 整合性: SHA-1
• 暗号化: AES-CBC 128
• キー交換アルゴリズム: Diffie-Hellman Group 2
• [Key lifetimes] で、[Minutes] が 480 で [Sessions] が 0 であることを確認します。
これらの設定は、設定ファイルの次のエントリに対応します。
MainModeSecMethods: DHGroup2-AES128-SHA1,DHGroup2-3DES-SHA1
MainModeKeyLifetime: 480min,0sec
6.
[Key exchange options] の [Use Diffie-Hellman for enhanced security] を選択し、[OK] を選択しま
す。
7.
[Data protection (Quick Mode)] の [Advanced] を選択し、[Customize] を選択します。
8.
[Require encryption for all connection security rules that use these settings] を選択します。
9.
[Data integrity and encryption ] は次のようにデフォルト値のままにします。
• プロトコル: ESP
• 整合性: SHA-1
• 暗号化: AES-CBC 128
• 有効期間: 60 分
これらの値は、設定ファイルの次のエントリに対応します。
QuickModeSecMethods:
ESP:SHA1-AES128+60min+100000kb
10. [OK] を選択して [Customize IPsec Settings] ダイアログボックスに戻り、再度 [OK] を選択して設
定を保存します。
219
Amazon Virtual Private Cloud ネットワーク管理者ガイド
2.4: Windows ファイアウォールを設定する
220
Amazon Virtual Private Cloud ネットワーク管理者ガイド
ステップ 5: 停止しているゲートウェイを検出する
ステップ 5: 停止しているゲートウェイを検出す
る
次に、ゲートウェイが使用できなくなったら検出するように TCP を設定する必要があります。それ
には、レジストリキー HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters を変
更します。このステップは、これより前のセクションを完了してから実行してください。レジストリ
キーの変更後、サーバーを再起動する必要があります。
停止しているゲートウェイを検出するには
1.
Windows Server でコマンドプロンプトまたは PowerShell セッションを起動し、「regedit」と入
力してレジストリエディタを起動します。
2.
[HKEY_LOCAL_MACHINE]、[SYSTEM]、[CurrentControlSet]、[Services]、[Tcpip]、[Parameters]
の順に展開します。
3.
[Edit] メニューの [New] を選択し、[DWORD (32-bit) Value] を選択します。
4.
名前として [EnableDeadGWDetect] を入力します。
5.
[EnableDeadGWDetect] を選択し、[Edit] メニューの [Modify] を選択します。
6.
7.
[Value data] に「1」と入力し、[OK] を選択します。
レジストリエディタを終了し、サーバーを再起動します。
詳細については、Microsoft TechNet Library の「EnableDeadGWDetect」を参照してください。
221
Amazon Virtual Private Cloud ネットワーク管理者ガイド
ステップ 6: VPN 接続をテストする
ステップ 6: VPN 接続をテストする
VPN 接続が正常に動作していることテストするには、インスタンスを VPC 内で起動し、インター
ネットに接続されていないことを確認します。インスタンスを起動した後、Windows Server からプラ
イベート IP アドレスに対して ping を実行します。トラフィックがカスタマーゲートウェイから生成
されると VPN 接続が開始されるため、ping コマンドによっても VPN トンネルが開始されます。
VPC 内でインスタンスを起動し、そのプライベート IP アドレスを取得するには
1.
Amazon EC2 コンソールを開き、[インスタンスの作成] を選択します。
2.
Amazon Linux AMI を選択し、インスタンスタイプを選択します。
3.
[ステップ 3: インスタンスの詳細の設定] ページで、[ネットワーク] のリストから VPC を選択
し、[サブネット] のリストからサブネットを選択します。「前提条件 (p. 209)」で設定したプライ
ベートサブネットを選択していることを確認します。
4.
[自動割り当てパブリック IP] リストで、[無効化] が設定されていることを確認します。
5.
[Step 6: Configure Security Group] ページが表示されるまで、[Next] を選択します。「前提条件」
セクション (「前提条件 (p. 209)」) で設定した既存のセキュリティグループを選択するか、ま
たは新しいセキュリティグループを作成し、Windows Server の IP アドレスからの ICMP トラ
フィックをすべて許可するルールがあることを確認します。
6.
ウィザードの残りの手順を完了し、インスタンスを起動します。
7.
[Instances] ページで、 インスタンスを選択します。詳細ペインの [Private IPs] フィールドでプラ
イベート IP アドレスを取得します。
Windows Server に接続またはログオンし、コマンドプロンプトを開いて、ping コマンドでインス
タンスのプライベート IP アドレスを使用してインスタンスに ping を実行します。以下に例を示しま
す。
PROMPT> ping 10.0.0.4
Pinging 10.0.0.4 with 32 bytes of data:
Reply from 10.0.0.4: bytes=32 time=2ms TTL=62
Reply from 10.0.0.4: bytes=32 time=2ms TTL=62
Reply from 10.0.0.4: bytes=32 time=2ms TTL=62
Reply from 10.0.0.4: bytes=32 time=2ms TTL=62
Ping statistics for 10.0.0.4:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 2ms, Maximum = 2ms, Average = 2ms
ping コマンドが失敗した場合、次の情報を確認します。
• VPC 内のインスタンスに対して ICMP が許容されるように、セキュリティグループのルールが設定
されていることを確認します。Windows Server が EC2 インスタンスである場合は、セキュリティ
グループのアウトバウンドルールで IPsec トラフィックが許可されていることを確認します。詳細
については、「前提条件 (p. 209)」を参照してください。
• ping 対象のインスタンスのオペレーティングシステムが ICMP に応答するように設定されているこ
とを確認します。Amazon Linux AMI のいずれかを使用することをお勧めします。
• ping 対象のインスタンスが Windows インスタンスである場合は、そのインスタンスに接続
し、Windows ファイアウォールでインバウンド ICMPv4 を有効にします。
• VPC またはサブネットのルートテーブルが正しく設定されていることを確認します。詳細について
は、「前提条件 (p. 209)」を参照してください。
222
Amazon Virtual Private Cloud ネットワーク管理者ガイド
ステップ 6: VPN 接続をテストする
• カスタマーゲートウェイが Windows サーバーインスタンスである場合は、インスタンスに対
して送信元/送信先チェックが無効になっていることを確認します。詳細については、「前提条
件 (p. 209)」を参照してください。
Amazon VPC コンソールの [VPN Connections] ページで、使用している VPN 接続を選択します。1
番目のトンネルは起動状態です。2 番目のトンネルは、最初のトンネルが停止するまで使用されませ
んが、設定は必要です。暗号化されたトンネルを確立するのに数分かかることがあります。
223
Amazon Virtual Private Cloud ネットワーク管理者ガイド
ドキュメント履歴
次の表に、この Amazon VPC ガイドの各リリースにおける重要な変更点を示します。
変更
説明
リリース日
VPN の機能強化
VPN 接続では、接続のフェーズ 1 およびフェーズ 2 中
に、AES 256 ビットの暗号化関数、SHA-256 ハッシュ関
数、NAT トラバーサル、および追加の Diffie-Hellman グ
ループをサポートするようになりました。さらに、同じカ
スタマーゲートウェイデバイスを使用する各 VPN 接続用に
同じカスタマーゲートウェイ IP アドレスを使用できるよう
になりました。
2015 年 10 月
28 日
静的なルーティング
設定を使用した VPN
接続
このリリースでは、静的なルーティング設定を使用して
Amazon VPC への IPsec VPN 接続を作成できます。以前
は、VPN 接続にはボーダーゲートウェイプロトコル (BGP)
を使用する必要がありました。現在では両方のタイプの接
続をサポートしており、Cisco ASA や Microsoft Windows
Server 2008 R2 など、BGP をサポートしていないデバイス
からの接続も可能です。
2012 年 9 月
13 日
ルートの自動伝播
VPN および Direct Connect リンクから VPC ルーティング
テーブルへのルートの自動伝播を設定できるようになりま
した。この機能により、Amazon VPC への接続を作成して
維持する手間が簡略化されます。
2012 年 9 月
13 日
AWS VPN CloudHub
と冗長な VPN 接続
このリリースでは、ネットワーク管理者のガイドの内容が
更新されており、AWS VPN CloudHub に関する情報が反映
されています。AWS VPN CloudHub により、サイト間で
VPC を使用した、または使用しない、セキュリティで保護
された通信が可能になります。また、冗長な VPN 接続を使
用した、VPC との耐障害性のある接続の実現に関する情報
も反映されています。
2011年9月29
日
VPC Everywhere
このリリースでは、ネットワーク管理者のガイドの内容が
更新されており、2011 年 7 月 15 日 API バージョンで追加
された新機能が反映されています。
2011 年 8 月
03 日
MTU サポート情報の
追加
最大送信単位 (MTU) のサポートに関する情報を追加しまし
た。詳細については、「」のトンネルを論理インターフェ
イスに結合する (経路ベースの VPN) カスタマーゲートウェ
イの要件 (p. 9)要件を参照してください。
2011年5月04
日
224
Amazon Virtual Private Cloud ネットワーク管理者ガイド
変更
説明
リリース日
設定テンプレートの
更新
設定テンプレートを更新して、断片化した後のパッケージ
の暗号化に関する情報を含めました。また、Cisco の設定か
ら VRF に関する情報を削除し、Juniper JunOS の設定から
ルーティングインスタンス (RI) に関する情報を削除しまし
た。
2011 年 2 月
15 日
225