サイト間VPN設定

[更新: 2023年09月26日]

VPCルータのサイト間VPN機能(site-to-site IPsec VPN機能)についての説明です。

サイト間VPN機能の概要 

サイト間VPN機能は、さくらのクラウド上に作成したVPCルータと、他のネットワークに設置したサイト間VPN接続対応機器でVPN接続を行う機能です。

インターネットを介して接続される各ネットワーク間は、IPsec VPNにより暗号化された仮想的な専用IP回線で接続され、さくらのクラウド内に構築したネットワークを既存のネットワークの拡張部分としてシームレスに利用することが可能となります。これにより、柔軟で即時的なサーバ・ネットワーク環境構築が可能なIaaSを基盤として活用したバーチャルプライベートクラウド環境を容易に構築することができるようになります。

VPCルータの仕様 

VPCルータのサイト間VPN機能の仕様は以下の通りです。対向側でこの仕様に対応した機器を使用することにより、サイト間VPN機能を使用することができます。

認証方式	Pre-Shared Key(事前共有鍵) (＊1)
暗号アルゴリズム	AES128 もしくは AES256
暗号利用モード	CBC
ハッシュアルゴリズム	SHA1 もしくは SHA256
メッセージ認証符号	HMAC
PFS(Perfect Forward Secrecy)	有効
DH(Diffie-Hellman)グループ	MODP1024(グループ2)、MODP2048(グループ14)、 MODP3072(グループ15) もしくは MODP4096(グループ16) から選択
ISAKMP SAの寿命	28800秒 (30〜86400秒の範囲で変更可能)
IPsec SAの寿命	1800秒 (30〜86400秒の範囲で変更可能)
交換モード(exchange mode)	メインモード (アグレッシブモード非対応)
IKEバージョン	IKEv1
IKEフェーズ1 ID	VPCルータのグローバルIPアドレス
IKEフェーズ2 ID	タイプ1(ID_IPV4_ADDR)
Vendor ID	受け付けない / 送信しない
IKEキープアライブ(DPD)	有効(インターバル15秒/タイムアウト30秒) (＊2)
対向Prefix/ローカルPrefix 設定可能ネットマスク長	/8～/32

＊1 使用可能な文字はアルファベット(大文字, 小文字)・数字・アンダースコア(_)の組み合わせとなります。文字数は1～40文字となります。
＊2 IKEキープアライブ(DPD)のインターバルは10〜86400秒、タイムアウトは30〜86400秒の範囲で変更可能です。

注釈

暗号アルゴリズム、ハッシュアルゴリズム、IKEキープアライブ(DPD)に関するパラメータを変更した際には、VPNの再接続が必要となる場合があります。

ネットワーク環境に関する注意事項 

サイト間接続を利用する場合は、ご利用のネットワーク環境が下記を満たしている必要があります。

特に、IPoE環境ではIPsecで利用する通信方法がサポートされていないことがあリますので、ご利用の回線や機器の仕様をご確認ください。場合によってはPPPoEとの併用をご検討ください。

以下のポート/プロトコルで対向の機器と通信ができること
（ご利用の回線や機器によってはファイアウォールやパススルーの設定が必要になる場合があります）
- 500/UDP
- 4500/UDP
- ESP プロトコル
下記の環境では正常に通信ができない場合があります
- NAT環境

動作確認済みアプライアンス 

弊社にてVPCルータとサイト間VPN接続が可能であることを確認済みのアプライアンスは以下のとおりです。

ヤマハ RTXシリーズ(※1)
- ヤマハ公式サイトさくらのクラウドとの接続にてRTX830、RTX1210での設定例を公開しています
Juniper NetScreen/SSGシリーズ
Vyatta / VyOS
Cisco ISRシリーズ(※2)
Fortinet Fortigateシリーズ(※3)
アライドテレシス ARシリーズ(※4)

※1：弊社で動作確認ができている機種はRTX1200およびRTX1210となります。
※2：弊社で動作確認ができている機種はCisco891Fとなります。
※3：弊社で動作確認ができている機種はFortigate-60C(FortiOS4系), Fortigate-60E(FortiOS5系),Fortigate-60E(FortiOS6系)となります。
※4：弊社で動作確認ができている機種はAT-AR2050V(Bootloader version : 5.1.9, Software version : 5.5.2-0.1)となります。

設定例 

サイト間VPN アプライアンス側設定例のページにて、動作確認済みアプライアンスを中心に想定ネットワーク構成の場合の設定例を掲載しています。

設定例のダウンロード 

YAMAHA RTXシリーズを利用する場合のアプライアンス側の設定例をコントロールパネルから確認・ダウンロードすることができます。

設定例を参照するには、サイト間VPNの一覧のダウンロードボタンをクリックします。

表示されている設定例をローカルPCに保存するには下の「保存」ボタンをクリックします。

他のアプライアンスを利用の場合はサイト間VPN アプライアンス側設定例を確認ください。

特殊タグについて 

特殊タグを付与することで、VPCルータの設定チューニングを行うことが可能です。

特殊タグの設定は、対象となるVPCルータの情報画面右下の「編集」ボタンをクリックして表示されるVPCルータ情報変更ダイアログボックスの「タグ」入力欄に各特殊タグを入力し、Enterキーを押下することで行います。詳しい利用方法はタグ機能のページを参照ください。

注意

・特殊タグ設定後に一度VPCルータの「反映」ボタンをクリックしてください。これにより特殊タグの機能が有効化されます。
・特殊タグは通常は必要ありません。初期状態でうまく動作しない場合にご利用ください。
・これらはVPCルータ向けの特殊タグです。サーバに適用しても効果はありませんのでご注意ください。

@sitetosite-use-vti 

付与タグ名: @sitetosite-use-vti

サイト間VPN機能において、VTI(Virtual Tunnel Interface)を使用する設定を行います。特定機種との複数Prefixでの接続時、IKEの相互接続性が改善する場合があります。

注意

・プライベートサブネットが複数存在する場合、本タグが必要になる場合があります。
・本タグを設定した場合、L2TP/IPsecでのリモートアクセスができなくなります。

@sitetosite-use-policy 

重要

VPCルータバージョン2においてはデフォルトで本タグが付与された場合と同様の動作となるため、明示的に設定しなくとも本タグが付与された状態と同様の状態で動作します。VTIを使用する場合は @sitetosite-use-vti タグを付与してください。

付与タグ名: @sitetosite-use-policy

サイト間VPN機能において、ポリシーベースのIKEを使用する設定を行います。特定機種との複数Prefixでの接続時、IKEの相互接続性が改善する場合があります。

閉域接続機能について 

閉域接続機能とは、クラウド環境内のトラフィックを直接インターネットと通信させず、IPsecにより暗号化された経路を通してお客様手元のネットワーク内ルータを介して接続する機能です。

この機能を利用することで、お客様手元側のルータで実施する通信の制御や監査を、クラウド上のリソースの通信に対しても容易に行うことができます。

設定方法 

サイト間VPN設定画面内の「対向Prefix」欄で「0.0.0.0/0」を設定します。

これにより、VPCルータを入出力するトラフィックが全て対向アプライアンス側に経由されます。

注意事項 

本機能を利用した場合、サイト間VPN以外のトラフィックが直接インターネットに送受信できなくなるため、以下の機能が使用できません。
- フォワードNAT
- スタティックNAT
- ポートフォワーディング(サイト間VPNの通信には適用されません)
- ファイアウォール(サイト間VPNの通信には適用されません)
- リモートアクセス(PPTP,L2TP/IPsec)
サイト間VPNのセッションが落ちた場合、フォールバックせず完全に通信断になります
サイト間VPNのいずれか1サイトのみに、対向Prefixとして0.0.0.0/0を設定できます(同一Prefixを複数サイトに記入した場合はエラーとなります)。

VPNの再接続 

VPN接続にて、不具合が生じた場合、「VPN再接続」ボタンを押すことで、VPCルータを再起動せずにVPNのみ再接続することができます。

「VPN再接続」ボタンを押すと確認画面が表示されます。

※ WireGuard以外の全てのVPN接続が一度切断されます。
※ 再接続はVPNのログにて確認ができます。

□ コントロールパネルからの状況確認

サイト間VPN設定画面より、以下の項目をご確認ください

設定後「反映」ボタンを押下したか	コントロールパネルから新たにVPCルータへの設定を追加/変更した場合、実際にVPCルータへ設定値を投入するための「反映」ボタンのクリックが必要となります。コントロールパネルからの各設定内容が正しい事を確認後、「反映」ボタンのクリックをお試しください。
ステータスが「UP」であるか	「UP」以外の表示の場合、お客様側機器とサイト間VPN接続がされていない状態です。サイト間VPN設定画面の各パラメータ、お客様側機器の設定が正しいか再度ご確認ください。
サイト間VPN設定例の内容とお客様側機器(※)の設定内容が合致しているか ※YAMAHA RTXシリーズの場合	サイト間VPN設定例エクスポート機能では、さくらのクラウド側で設定されたサイト間VPNのパラメータに基づいてYAMAHA RTXシリーズ向けの設定例が生成されます。お客様側機器の設定内容と相違が生じている場合は接続が行えない場合があります。
ログ内容に異常がないか	ログ閲覧画面からVPCルータのVPNログを確認します。ログとして出力される内容は多岐にわたりますが、原因特定のための参考となる場合があります。例: VPCルータ自身の起動や停止のログ以外は何も出力されていない場合、IPの疎通性がなく初期段階の接続が行えていない可能性
マイグレーション機能によるアップデート	コントロールパネルにて「マイグレーション」ボタンが表示されている際は、最新バージョンへの移行を検討してください。サイト間VPNの接続性の改善がされている場合があります。
バージョン2の利用	情報タブ内よりVPCルータのバージョンを確認することができます。ルータバージョンが1の場合、バージョン2への移行を検討してください。
さくらのクラウドに障害が発生していないか	不具合発生時間帯に障害が発生していたか、またはメンテナンスが行われていたかどうかをご確認ください。さくらのクラウドのネットワーク、VPCルータなどアプライアンス単体で障害が発生し、その間は通信が行えない状態となっていた可能性があります。 ※サービスが停止するメンテナンスについてはWebへの掲載と同時にあらかじめお客様へメールでのご連絡を行っております。

□ お客様側機器の設定内容の確認

お客様側機器の設定内容が正しいか、再度ご確認ください。具体的な確認手順として以下の方法があります。

サイト間VPN アプライアンス側設定例のページを参照する。
サイト間VPN設定例エクスポート機能の設定内容と合致しているかを確認する。
お客様側機器のベンダーが提供するサポートサイトを確認する。

□ VPN再接続ボタンの使用

接続が安定しない場合、 VPNの再接続をお試しください。VPCルータでは「VPN再接続」ボタンを押すことで、VPCルータを再起動せずにVPNのみ再接続することができます。

□ お客様側機器の調整

接続が不安定となる場合は、お客様側機器にて以下の操作をお試しください。

VPN接続(IPsec)の再接続
機器の再起動

お問い合わせ時にお知らせいただきたい項目 

チェックリストでの再確認でも問題が解決しない場合はサポートお問い合わせフォームより、会員IDやアカウント名などの基本情報に加えて以下の情報を記載し送信ください。

VPCルータのリソースID	不具合が発生しているVPCルータのリソースID
発生日時	設定当初は問題なかったがその後不具合が生じたケースの場合。繰り返し発生する場合はそれぞれの発生日時や収束日時など、可能な範囲で記載をお願いします。
不具合の内容	VPN接続そのものができないのか、VPN接続はできているが通信ができないのかなど、不具合の内容を詳細に記載ください。また、コントロールパネル上でステータスがUPになっていない、お客様側機器でリンクランプが点灯しないなど、正常時と異なる状況となっている場合はその旨もお知らせください。
不具合の確認方法	VPCルータのログや機器のログで確認した、PINGが通らない、TCPアクセスができないなど、不具合発生時にそれらををどのように確認したかを具体的に記載ください。
不具合の解消のために試したこと	上記のチェック項目で行った具体的な操作など、不具合解消のために行った操作をそれぞれ記載ください。
事象は現在も継続しているか	調査を開始した時点での設定状態で事象が発生しているのかどうかをお知らせください。継続した状態なのか、復旧したのか、復旧した場合は一時的に設定を変更して復旧したのかどうかなども合わせてお知らせください。
VPCルータ対向ネットワーク情報	対向の機器の名称、可能な範囲で対向機器の設定内容。また、ネットワーク構成の一覧やネットワーク図などをお知らせください。

◇お問い合わせフォーム記載テンプレート例

・VPCルータのリソースID: 11330XXXXXXX
・発生日時: 2021年XX月XX日 XX時XX分
・不具合の内容: サイト間VPN接続が確立できない
・不具合の確認方法:
VPCルータのサイト間VPNを設定し、自社内ネットワークのルータと接続しようとしたがうまく接続できない。
接続を開始しようとするとVPCルータ側のログに以下のような内容が表示される。
...
・不具合の解消のために試したこと:
マニュアルに記載されている不具合発生時の確認チェックリストの一通りの確認
・事象は現在も継続しているか:
継続中
・VPCルータ対向ネットワーク情報:
機種はYAMAHA RTX-XXX、WAN側インタフェースのグローバルIPアドレスはXXX.XXX.XXX.XXX

注釈

弊社にてお問い合わせ内容を確認後、折り返しのご連絡にてお客様側機器のログや設定状況など、さらなる情報の提示をお願いする場合があります。

参考情報 

YAMAHAルータとのサイト間VPNを構築する際の注意すべきポイントについてまとめたTIPSです。
VPCルータとのサイト間VPNを設定する上でのポイント～RTX1210を例に～ – 「さくらのクラウド入門」(7)

VPC内部に仮想サーバを使用してセグメント分けされている際の設定についてまとめたTIPSです。
VPC内部で多段ネットワークを構成している場合のVPN設定 – 「さくらのクラウド入門」(8)

設定後「反映」ボタンを押下したか	コントロールパネルから新たにVPCルータへの設定を追加/変更した場合、実際にVPCルータへ設定値を投入するための「反映」ボタンのクリックが必要となります。コントロールパネルからの各設定内容が正しい事を確認後、「反映」ボタンのクリックをお試しください。
ステータスが「UP」であるか	「UP」以外の表示の場合、お客様側機器とサイト間VPN接続がされていない状態です。サイト間VPN設定画面の各パラメータ、お客様側機器の設定が正しいか再度ご確認ください。
サイト間VPN設定例の内容とお客様側機器(※)の設定内容が合致しているか ※YAMAHA RTXシリーズの場合	サイト間VPN設定例エクスポート機能では、さくらのクラウド側で設定されたサイト間VPNのパラメータに基づいてYAMAHA RTXシリーズ向けの設定例が生成されます。お客様側機器の設定内容と相違が生じている場合は接続が行えない場合があります。
ログ内容に異常がないか	ログ閲覧画面からVPCルータのVPNログを確認します。ログとして出力される内容は多岐にわたりますが、原因特定のための参考となる場合があります。例: VPCルータ自身の起動や停止のログ以外は何も出力されていない場合、IPの疎通性がなく初期段階の接続が行えていない可能性
マイグレーション機能によるアップデート	コントロールパネルにて「マイグレーション」ボタンが表示されている際は、最新バージョンへの移行を検討してください。サイト間VPNの接続性の改善がされている場合があります。
バージョン2の利用	情報タブ内よりVPCルータのバージョンを確認することができます。ルータバージョンが1の場合、バージョン2への移行を検討してください。
さくらのクラウドに障害が発生していないか	不具合発生時間帯に障害が発生していたか、またはメンテナンスが行われていたかどうかをご確認ください。さくらのクラウドのネットワーク、VPCルータなどアプライアンス単体で障害が発生し、その間は通信が行えない状態となっていた可能性があります。 ※サービスが停止するメンテナンスについてはWebへの掲載と同時にあらかじめお客様へメールでのご連絡を行っております。