サイト間VPN設定

目次

[更新: 2020年4月21日]

VPCルータのサイト間VPN機能(site-to-site IPsec VPN機能)についての説明です。

サイト間VPN機能の概要

サイト間VPN機能は、さくらのクラウド上に作成したVPCルータと、他のネットワークに設置したサイト間VPN接続対応機器でVPN接続を行う機能です。

インターネットを介して接続される各ネットワーク間は、IPsec VPNにより暗号化された仮想的な専用IP回線で接続され、さくらのクラウド内に構築したネットワークを既存のネットワークの拡張部分としてシームレスに利用することが可能となります。これにより、柔軟で即時的なサーバ・ネットワーク環境構築が可能なIaaSを基盤として活用したバーチャルプライベートクラウド環境を容易に構築することができるようになります。

VPCルータの仕様

VPCルータのサイト間VPN機能の仕様は以下の通りです。対向側でこの仕様に対応した機器を使用することにより、サイト間VPN機能を使用することができます。

認証方式	Pre-Shared Key(事前共有鍵) (＊1)
暗号アルゴリズム	AES128
暗号利用モード	CBC
ハッシュアルゴリズム	SHA1
メッセージ認証符号	HMAC
PFS(Perfect Forward Secrecy)	有効
DH(Diffie-Hellman)グループ	MODP1024(グループ2)
ISAKMP SAの寿命	28800秒
IPsec SAの寿命	1800秒
交換モード(exchange mode)	メインモード (アグレッシブモード非対応)
IKEフェーズ1 ID	VPCルータのグローバルIPアドレス
IKEフェーズ2 ID	タイプ1(ID_IPV4_ADDR)
Vendor ID	受け付けない / 送信しない
IKEキープアライブ(DPD)	有効(インターバル15秒/タイムアウト30秒)
対向Prefix/ローカルPrefix 設定可能ネットマスク長	/8～/32

＊1 使用可能な文字はアルファベット(大文字, 小文字)・数字・アンダースコア(_)の組み合わせとなります。文字数は1～40文字となります。

動作確認済みアプライアンス

弊社にてVPCルータとサイト間VPN接続が可能であることを確認済みのアプライアンスは以下のとおりです。

• ヤマハ RTXシリーズ(※1)
  • ヤマハ公式サイト さくらのクラウドとの接続 にてRTX830、RTX1210での設定例を公開しています
• Juniper NetScreen/SSGシリーズ
• Vyatta / VyOS
• Cisco ISRシリーズ(※2)
• Fortinet Fortigateシリーズ(※3)

※1：弊社で動作確認ができている機種はRTX1200およびRTX1210となります。
※2：弊社で動作確認ができている機種はCisco891Fとなります。
※3：弊社で動作確認ができている機種はFortigate-60C(FortiOS4系), Fortigate-60E(FortiOS5系),Fortigate-60E(FortiOS6系)となります。

設定例

サイト間VPN アプライアンス側設定例 のページにて、動作確認済みアプライアンスを中心に 想定ネットワーク構成 の場合の設定例を掲載しています。

• Vyatta/VyOS
• YAMAHA RTXシリーズ
• Juniper SRXシリーズ/Firefly
• Cisco ISRシリーズ
• Fortinet Fortigateシリーズ FortiOS4系
• Fortinet Fortigateシリーズ FortiOS5系
• Fortinet Fortigateシリーズ FortiOS6系

特殊タグについて

特殊タグを付与することで、VPCルータの設定チューニングを行うことが可能です。

特殊タグの設定は、対象となるVPCルータの情報画面右下の「編集」ボタンをクリックして表示されるVPCルータ情報変更ダイアログボックスの「タグ」入力欄に各特殊タグを入力し、Enterキーを押下することで行います。詳しい利用方法は タグ機能 のページを参照ください。

注意

・特殊タグ設定後に一度VPCルータの「反映」ボタンをクリックしてください。これにより特殊タグの機能が有効化されます。
・特殊タグは通常は必要ありません。初期状態でうまく動作しない場合にご利用ください。
・これらはVPCルータ向けの特殊タグです。サーバに適用しても効果はありませんのでご注意ください。

@sitetosite-use-vti

付与タグ名: @sitetosite-use-vti

サイト間VPN機能において、VTI(Virtual Tunnel Interface)を使用する設定を行います。特定機種との複数Prefixでの接続時、IKEの相互接続性が改善する場合があります。

注意

・プライベートサブネットが複数存在する場合、本タグが必要になる場合があります。
・本タグを設定した場合、L2TP/IPsecでのリモートアクセスができなくなります。

@sitetosite-use-policy

重要

VPCルータバージョン2においてはデフォルトで本タグが付与された場合と同様の動作となるため、明示的に設定しなくとも本タグが付与された状態と同様の状態で動作します。VTIを使用する場合は @sitetosite-use-vti タグを付与してください。

付与タグ名: @sitetosite-use-policy

サイト間VPN機能において、ポリシーベースのIKEを使用する設定を行います。特定機種との複数Prefixでの接続時、IKEの相互接続性が改善する場合があります。

閉域接続機能について

閉域接続機能とは、クラウド環境内のトラフィックを直接インターネットと通信させず、IPsecにより暗号化された経路を通してお客様手元のネットワーク内ルータを介して接続する機能です。

この機能を利用することで、お客様手元側のルータで実施する通信の制御や監査を、クラウド上のリソースの通信に対しても容易に行うことができます。

設定方法

サイト間VPN設定画面内の「対向Prefix」欄で「0.0.0.0/0」を設定します。

これにより、VPCルータを入出力するトラフィックが全て対向アプライアンス側に経由されます。

注意事項

• 本機能を利用した場合、サイト間VPN以外のトラフィックが直接インターネットに送受信できなくなるため、以下の機能が使用できません。
  • フォワードNAT
  • スタティックNAT
  • ポートフォワーディング(サイト間VPNの通信には適用されません)
  • ファイアウォール(サイト間VPNの通信には適用されません)
  • リモートアクセス(PPTP,L2TP/IPsec)
• サイト間VPNのセッションが落ちた場合、フォールバックせず完全に通信断になります
• サイト間VPNのいずれか1サイトのみに、対向Prefixとして0.0.0.0/0を設定できます(同一Prefixを複数サイトに記入した場合はエラーとなります)。

VPNのログ閲覧

VPCルータの詳細画面にて「ログ」タブをクリックし、「VPN」タブをクリックすると、ログが表示されます。

※記録されているログのうち最新の100件が表示されます。
※最新100件よりも過去のログをコントロールパネルにて表示する機能の実装予定はございません。syslog転送機能をご利用ください。

参考情報

YAMAHAルータとのサイト間VPNを構築する際の注意すべきポイントについてまとめたTIPSです。
VPCルータとのサイト間VPNを設定する上でのポイント～RTX1210を例に～ – 「さくらのクラウド入門」(7)

VPC内部に仮想サーバを使用してセグメント分けされている際の設定についてまとめたTIPSです。
VPC内部で多段ネットワークを構成している場合のVPN設定 – 「さくらのクラウド入門」(8)