サイト間VPN設定¶
[更新: 2019年11月28日]
VPCルータのサイト間VPN機能(site-to-site IPsec VPN機能)についての説明です。
サイト間VPN機能の概要¶
サイト間VPN機能は、さくらのクラウド上に作成したVPCルータと、他のネットワークに設置したサイト間VPN接続対応機器でVPN接続を行う機能です。
インターネットを介して接続される各ネットワーク間は、IPsec VPNにより暗号化された仮想的な専用IP回線で接続され、さくらのクラウド内に構築したネットワークを既存のネットワークの拡張部分としてシームレスに利用することが可能となります。これにより、柔軟で即時的なサーバ・ネットワーク環境構築が可能なIaaSを基盤として活用したバーチャルプライベートクラウド環境を容易に構築することができるようになります。
VPCルータの仕様¶
VPCルータのサイト間VPN機能の仕様は以下の通りです。対向側でこの仕様に対応した機器を使用することにより、サイト間VPN機能を使用することができます。
| 認証方式 | Pre-Shared Key(事前共有鍵) (*1) |
|---|---|
| 暗号アルゴリズム | AES128 |
| 暗号利用モード | CBC |
| ハッシュアルゴリズム | SHA1 |
| メッセージ認証符号 | HMAC |
| PFS(Perfect Forward Secrecy) | 有効 |
| DH(Diffie-Hellman)グループ | MODP1024(グループ2) |
| ISAKMP SAの寿命 | 28800秒 |
| IPsec SAの寿命 | 1800秒 |
| 交換モード(exchange mode) | メインモード (アグレッシブモード非対応) |
| IKEフェーズ1 ID | VPCルータのグローバルIPアドレス |
| IKEフェーズ2 ID | タイプ1(ID_IPV4_ADDR) |
| Vendor ID | 受け付けない / 送信しない |
| IKEキープアライブ(DPD) | 有効(インターバル15秒/タイムアウト30秒) |
| 対向Prefix/ローカルPrefix 設定可能ネットマスク長 | /8~/32 |
*1 使用可能な文字はアルファベット(大文字, 小文字)・数字・アンダースコア(_)の組み合わせとなります。文字数は1~40文字となります。
動作確認済みアプライアンス¶
弊社にてVPCルータとサイト間VPN接続が可能であることを確認済みのアプライアンスは以下のとおりです。
- ヤマハ RTXシリーズ(※1)
- ヤマハ公式サイト さくらのクラウドとの接続 にてRTX830、RTX1210での設定例を公開しています
- Juniper NetScreen/SSGシリーズ
- Vyatta / VyOS
- Cisco ISRシリーズ(※2)
- Fortinet Fortigateシリーズ(※3)
※1:弊社で動作確認ができている機種はRTX1200およびRTX1210となります。
※2:弊社で動作確認ができている機種はCisco891Fとなります。
※3:弊社で動作確認ができている機種はFortigate-60C(FortiOS4系), Fortigate-60E(FortiOS5系),Fortigate-60E(FortiOS6系)となります。
設定例¶
サイト間VPN アプライアンス側設定例 のページにて、動作確認済みアプライアンスを中心に 想定ネットワーク構成 の場合の設定例を掲載しています。
特殊タグについて¶
特殊タグを付与することで、VPCルータの設定チューニングを行うことが可能です。
特殊タグの設定は、対象となるVPCルータの情報画面右下の「編集」ボタンをクリックして表示されるVPCルータ情報変更ダイアログボックスの「タグ」入力欄に各特殊タグを入力し、Enterキーを押下することで行います。詳しい利用方法は タグ機能 のページを参照ください。
注意
・特殊タグ設定後に一度VPCルータの「反映」ボタンをクリックしてください。これにより特殊タグの機能が有効化されます。
・特殊タグは通常は必要ありません。初期状態でうまく動作しない場合にご利用ください。
・これらはVPCルータ向けの特殊タグです。サーバに適用しても効果はありませんのでご注意ください。
@sitetosite-use-vti (VPCルータバージョン1向け)¶
付与タグ名: @sitetosite-use-vti
サイト間VPN機能において、VTI(Virtual Tunnel Interface)を使用する設定を行います。特定機種との複数Prefixでの接続時、IKEの相互接続性が改善する場合があります。
注意
・プライベートサブネットが複数存在する場合、本タグが必要になる場合があります。
・本タグを設定した場合、L2TP/IPsecでのリモートアクセスができなくなります。
@sitetosite-use-policy (VPCルータバージョン2向け)¶
付与タグ名: @sitetosite-use-policy
サイト間VPN機能において、ポリシーベースのIKEを使用する設定を行います。特定機種との複数Prefixでの接続時、IKEの相互接続性が改善する場合があります。
4. 閉域接続機能について¶
閉域接続機能とは、クラウド環境内のトラフィックを直接インターネットと通信させず、IPsecにより暗号化された経路を通してお客様手元のネットワーク内ルータを介して接続する機能です。
この機能を利用することで、お客様手元側のルータで実施する通信の制御や監査を、クラウド上のリソースの通信に対しても容易に行うことができます。
注意事項¶
- 本機能を利用した場合、サイト間VPN以外のトラフィックが直接インターネットに送受信できなくなるため、以下の機能が使用できません。
- フォワードNAT
- スタティックNAT
- ポートフォワーディング(サイト間VPNの通信には適用されません)
- ファイアウォール(サイト間VPNの通信には適用されません)
- リモートアクセス(PPTP,L2TP/IPsec)
- サイト間VPNのセッションが落ちた場合、フォールバックせず完全に通信断になります
- サイト間VPNのいずれか1サイトのみに、対向Prefixとして0.0.0.0/0を設定できます(同一Prefixを複数サイトに記入した場合はエラーとなります)。
5. VPNのログ閲覧¶
VPCルータの詳細画面にて「ログ」タブをクリックし、「VPN」タブをクリックすると、ログが表示されます。
※記録されているログのうち最新の100件が表示されます。
※最新100件よりも過去のログをコントロールパネルにて表示する機能の実装予定はございません。syslog転送機能をご利用ください。
6. 参考情報¶
YAMAHAルータとのサイト間VPNを構築する際の注意すべきポイントについてまとめたTIPSです。
VPCルータとのサイト間VPNを設定する上でのポイント~RTX1210を例に~ – 「さくらのクラウド入門」(7)
VPC内部に仮想サーバを使用してセグメント分けされている際の設定についてまとめたTIPSです。
VPC内部で多段ネットワークを構成している場合のVPN設定 – 「さくらのクラウド入門」(8)