サイト間VPN設定

[更新: 2019年9月3日]

VPCルータのサイト間VPN機能(site-to-site IPsec VPN機能)についての説明です。

1. サイト間VPN機能の概要

サイト間VPN機能は、さくらのクラウド上に作成したVPCルータと、他のネットワークに設置したサイト間VPN接続対応機器でVPN接続を行う機能です。

インターネットを介して接続される各ネットワーク間は、IPsec VPNにより暗号化された仮想的な専用IP回線で接続され、さくらのクラウド内に構築したネットワークを既存のネットワークの拡張部分としてシームレスに利用することが可能となります。これにより、柔軟で即時的なサーバ・ネットワーク環境構築が可能なIaaSを基盤として活用したバーチャルプライベートクラウド環境を容易に構築することができるようになります。

VPCルータの仕様

VPCルータのサイト間VPN機能の仕様は以下の通りです。対向側でこの仕様に対応した機器を使用することにより、サイト間VPN機能を使用することができます。

認証方式 Pre-Shared Key(事前共有鍵) (*1)
暗号アルゴリズム AES128
暗号利用モード CBC
ハッシュアルゴリズム SHA1
メッセージ認証符号 HMAC
PFS(Perfect Forward Secrecy) 有効
DH(Diffie-Hellman)グループ MODP1024(グループ2)
ISAKMP SAの寿命 28800秒
IPsec SAの寿命 1800秒
交換モード(exchange mode) メインモード (アグレッシブモード非対応)
IKEフェーズ1 ID VPCルータのグローバルIPアドレス
IKEフェーズ2 ID タイプ1(ID_IPV4_ADDR)
Vendor ID 受け付けない / 送信しない
IKEキープアライブ(DPD) 有効(インターバル15秒/タイムアウト30秒)
対向Prefix/ローカルPrefix 設定可能ネットマスク長 /8~/32

*1 使用可能な文字はアルファベット(大文字, 小文字)・数字・アンダースコア(_)の組み合わせとなります。文字数は1~40文字となります。

動作確認済みアプライアンス

弊社にてVPCルータとサイト間VPN接続が可能であることを確認済みのアプライアンスは以下のとおりです。

  • ヤマハ RTXシリーズ(※1)
  • Juniper NetScreen/SSGシリーズ
  • Vyatta / VyOS
  • Cisco ISRシリーズ(※2)
  • Fortinet Fortigateシリーズ(※3)

※1:弊社で動作確認ができている機種はRTX1200およびRTX1210となります。
※2:弊社で動作確認ができている機種はCisco891Fとなります。
※2:弊社で動作確認ができている機種はFortigate-60C(FortiOS4系), Fortigate-60E(FortiOS5系),Fortigate-60E(FortiOS6系)となります。

3. 特殊タグについて

特殊タグを付与することで、VPCルータの設定チューニングを行うことが可能です。
設定を行いたいVPCルータの情報画面を表示します。この画面の右下の「編集」ボタンをクリックし、VPCルータ情報変更ダイアログボックスを表示します。

「タグ」入力欄に以下の特殊タグを記入し、Enterキーを押下します。
「更新」ボタンをクリックして設定を保存します。

@sitetosite-use-vti

サイト間VPN機能において、VTI(Virtual Tunnel Interface)を使用する設定を行います。特定機種との複数Prefixでの接続時、IKEの相互接続性が改善する場合があります。本タグを設定した後、一度VPCルータの「反映」ボタンを押してください。

注意

※通常は使用する必要はありません。初期状態ではうまく動作しない場合などにご利用ください。
※本タグはVPCルータ専用の特殊タグです。サーバには適用しないようご注意ください。
※プライベートサブネットが複数存在する場合、本タグが必要になる場合がございます。
※また、本タグを設定した場合、L2TP/IPsecでのリモートアクセスができなくなります。

4. 閉域接続機能について

閉域接続機能とは、クラウド環境内のトラフィックを直接インターネットと通信させず、IPsecにより暗号化された経路を通してお客様手元のネットワーク内ルータを介して接続する機能です。

この機能を利用することで、お客様手元側のルータで実施する通信の制御や監査を、クラウド上のリソースの通信に対しても容易に行うことができます。

設定方法

サイト間VPN設定画面内の「対向Prefix」欄で「0.0.0.0/0」を設定します。

これにより、VPCルータを入出力するトラフィックが全て対向アプライアンス側に経由されます。

注意事項

  • 本機能を利用した場合、サイト間VPN以外のトラフィックが直接インターネットに送受信できなくなるため、以下の機能が使用できません。
    • フォワードNAT
    • スタティックNAT
    • ポートフォワーディング(サイト間VPNの通信には適用されません)
    • ファイアウォール(サイト間VPNの通信には適用されません)
    • リモートアクセス(PPTP,L2TP/IPsec)
  • サイト間VPNのセッションが落ちた場合、フォールバックせず完全に通信断になります
  • サイト間VPNのいずれか1サイトのみに、対向Prefixとして0.0.0.0/0を設定できます(同一Prefixを複数サイトに記入した場合はエラーとなります)。

5. VPNのログ閲覧

VPCルータの詳細画面にて「ログ」タブをクリックし、「VPN」タブをクリックすると、ログが表示されます。

※記録されているログのうち最新の100件が表示されます。
※最新100件よりも過去のログをコントロールパネルにて表示する機能の実装予定はございません。syslog転送機能をご利用ください。

6. 参考情報

YAMAHAルータとのサイト間VPNを構築する際の注意すべきポイントについてまとめたTIPSです。
VPCルータとのサイト間VPNを設定する上でのポイント~RTX1210を例に~ – 「さくらのクラウド入門」(7)

VPC内部に仮想サーバを使用してセグメント分けされている際の設定についてまとめたTIPSです。
VPC内部で多段ネットワークを構成している場合のVPN設定 – 「さくらのクラウド入門」(8)