VPN Gateway

プロダクト紹介

VPN Gateway とは

VPN Gateway とは、暗号化されたチャネルを介して企業のデータセンター、企業オフィスネットワーク、またはインターネット端末を Alibaba Cloud VPC に安全かつ確実に接続するインターネットベースのサービスです。 VPN Gateway は、IPsec-VPN 接続と SSL-VPN 接続の両方をサポートしています。

注:Alibaba Cloud VPN Gateway は、国内のポリシーおよび法律に従ってサービスを提供しており、インターネットにアクセスする機能は提供していません。

VPN Gateway

特徴

VPN Gateway には次の特徴があります。

  • IPsec-VPN

    IPsec-VPN はサイト間 VPN 接続を提供しています。 IPsec-VPN 接続を使用して、VPC をローカルデータセンターに接続したり、2つの VPC を接続したりすることができます。 IPsec-VPN は、IKEv1 プロトコルと IKEv2 プロトコルをサポートしています。 この2つのプロトコルをサポートするデバイスは、VPN Gateway に接続できます。 両方のプロトコルをサポートするデバイスには、 Huawei、H3C、Hillstone、Sangfor、Cisco、ASA、Juniper、SonicWall、Nokia、IBM、Yamaha および Ixia があります。

    詳細については、サイト間接続の設定 および VPC 間接続の設定 をご参照ください。

  • SSL-VPN

    SSL-VPN 接続を作成して、リモートクライアントを VPC にデプロイされたアプリケーションへ接続することができます。 デプロイメントの完了時、クライアントで証明書をロードして接続を開始するだけで済みます。

    詳細については、Linux クライアントリモートアクセス、Windows クライアントリモートアクセス および Mac クライアントリモートアクセス をご参照ください。

利点

VPN Gateway には、次のような利点があります。

  • 高セキュリティ性: IKE および IPsec プロトコルを使用して送信データを暗号化し、データのセキュリティと信頼性を確保できます。
  • 高可用性: アクティブ/スタンバイホットバックアップアーキテクチャを使用すると、VPN Gateway は1秒以内に自動的にフェイルオーバーモードになります。 クライアントデータ処理への影響を最小限にすることができます。
  • 低コスト: インターネットベースの暗号化チャネルは、専用回線よりも費用対効果が高いため、ハイブリッドクラウドを迅速に構築できます。
  • 使いやすさ: 設定がシンプルで、すぐに使い始めることができます。

シナリオ

サイト間接続

IPsec VPN トンネルを作成することでハイブリッドクラウド環境を構築し、VPC をローカルデータセンターに接続することができます。

注:IPsec 接続では、ローカルデータセンターと VPC の IP アドレス範囲が互いに競合しないようにすることが必要です。 加えて、静的なパブリック IP がローカルゲートウェイデバイスに設定されている必要があります。

サイト間接続

複数サイト接続

複数の IPsec-VPN 接続を作成して、複数サイトを VPC に接続することができます。 VPN Gateway が提供する VPN-Hub 機能により、各サイトは VPC と通信するだけでなく、互いに通信することもできます。 VPN-Hub は、大規模企業のニーズを満たし、さまざまなサイト間でイントラネット通信を確立します。

注:IPsec 接続では、各サイトの IP アドレス範囲が、接続する VPC の IP アドレス範囲と競合しないようにする必要があります。

複数サイト接続

VPC 間接続

IPsec VPN トンネルを介して2つの VPC 間接続を作成できます。

注:VPC の IP アドレス範囲は互いに競合することはできません。

VPC 間接続

ポイント対サイト接続

SSL VPN トンネルを介してクライアントを VPC に接続することで、リモート作業のニーズに対応できます。 SSL-VPN コネクションでは、インターネットアクセスを利用できる限り、VPC にデプロイされたアプリケーションに安全にアクセスできます。

SSL-VPN 接続は、Windows、Linux、Mac、IOS、Android など、さまざまなオペレーティングシステムのクライアントからのリモートアクセスをサポートしています。

注:VPC アクセスに使用されるクライアントの IP アドレス範囲は、VPC の IP アドレス範囲と競合することはできません。

ポイント対サイト接続

制限

リソース デフォルト制限 例外
1アカウントあたりの VPN Gateway 数 30 クォータを増加させるためにはチケットを起票ください
リージョン内のカスタマーゲートウェイの数 30 なし
1 VPN Gateway ごとの IPsec 接続数 10 なし
1 VPN Gateway ごとのSSLサーバー数 1 なし
SSL サーバーポート

以下のポートは許可されていません。

22、2222、22222、9000、9001、9002、7505、80、443、53、68、123、4510、4560、500、4500

なし
1 SSL サーバーごとのクライアント 50 なし
最大 SSL クライアント作成数 100 回 なし
SSL クライアント証明書の有効期間 3 年間 なし

FAQ

VPN Gateway

VPN Gateway はクラシックネットワークをサポートしていますか。

サポートしていません。 VPN Gateway は VPC ネットワークのみのサポートです。 クラシックネットワークで VPN Gateway を使用する場合は、VPC で ClassicLink 機能を有効化する必要があります。 詳しくは、クラシックネットワークでの IPsec-VPN の利用をご参照ください。

ローカルサイトが IPsec-VPN 機能を通じて VPC にアクセスするための前提条件は何ですか。

静的パブリック IP および、IKEv1 と IKEv2 をサポートするゲートウェイデバイスが必要です。 VPC の CIDR ブロックおよびローカルサイトの CIDR ブロックがお互いに重複できません。 詳しくは、サイト間接続の設定をご参照ください。

異なるリージョンでの VPC により、相互通信を行うために VPN Gateway を使用できますか。

できます。 詳しくは、VPC 間接続の設定をご参照ください。

どのローカルゲートウェイが VPN Gateway をサポートしますか。

IPsec 接続は IKEv1 プロトコルおよび IKEv2 プロトコルをサポートします。 そのため、これら 2 つのプロトコルをサポートするどのデバイスでも、Alibaba Cloud VPN Gateway に接続できます。 サポートするデバイスは、Huawei 製、H3C 製、Cisco 製、ASN 製、Juniper 製、SonicWall 製、Nokia 製、IBM 製および Ixia 製のものです。 詳しくは、H3C ファイアウォールの設定をご参照ください。

VPN Gateway は SSL-VPN はサポートしていますか。

サポートしています。 詳しくは、チュートリアルの概要をご参照ください。

それぞれの VPN Gateway にいくつの IPsec 接続を作成できますか。

それぞれの VPN Gateway は最大 10 個の IPsec 接続をサポートできます。 さらに IPsec 接続が必要な場合は、さらに VPN Gateway を作成します。

VPN Gateway を利用してインターネットへアクセスできますか。

いいえ、できません。 VPN Gateway により VPC へのイントラネットアクセスのみ提供されます。 インターネットへのアクセスは提供されません。

VPN Gateway により接続された 2 つの VPC 間のトラフィックはインターネットを介しますか。

介しません。 リージョン間の VPC 相互接続は VPN を通して行われ、トラフィックは、インターネットの代わりに Alibaba Cloud ネットワークを通過します。

1 つの IPsec 接続で複数のリモートネットワークを設定できますか。

できます。 コンマによりネットワークを分けることができます。 IKEv2 プロトコルの利用を推奨します。

VPN Gateway 設定をダウングレードできますか。

できます。 設定のダウングレードには、チケットを起票し、サポートセンターへお問い合わせください。

SSL-VPN 機能の起動前に購入した VPN Gateway インスタンスで SSL-VPN 機能を使用できますか。

SSL-VPN 機能の起動前に購入した VPN Gateway インスタンスで SSL-VPN 機能を直接有効化できません。 このような状況で SSL-VPN 機能を有効化する場合は、チケットを起票し、サポートセンターへお問い合わせください。

IPsec 接続

IPsec 接続ステータスが "IKE トンネルネゴシエーションのフェーズ 1 が失敗しました" となる場合、どうしたらいいですか。

もっとも多い最初のフェーズでのネゴシエーションエラーの原因は、パラメーター設定の不一致によるものです。 十分に注意し、Alibaba Cloud VPN Gateway の最初のフェーズの設定とローカル VPN ゲートウェイの間のパラメーター設定を行います。 最初のフェーズでのネゴシエーションエラーの可能性は以下のものがあります。

  • 事前共有キーが一致しない。

  • IKE プロトコルのバージョンが一致しない。

  • ネゴシエーションモードが一致しない。

  • "LocalId" または "RemoteId" が一致しない。

  • 暗号化アルゴリズムまたは認証アルゴリズムが一致しない。

  • DH グループが一致しない。 一部のデバイスでは、手動でパラメーターを設定する必要があります。

  • ローカルデータセンターの VPN ゲートウェイで NATトラバーサルが有効化されていない。

一部の極端な場合、パラメーターが完全に一致していてもネゴシエーションが失敗することがあります。 このような状況では、ネゴシエーションモードをアグレッシブモードに変更することを推奨します。

IPsec 接続ステータスが "IKE トンネルネゴシエーションのフェーズ 2 が失敗しました" となる場合、どうしたらいいですか。

2 番目のフェーズでのネゴシエーションエラーの可能性は以下のものがあります。

  • Alibaba Cloud VPN Gateway で設定されたローカルネットワーク または リモートネットワークが、ローカルデータセンターの VPN ゲートウェイで設定されたものと一致しない。 一部のローカル VPN ゲートウェイでは、ACL を使用してローカルネットワーク または リモートネットワークを設定できます。 この際、関連する操作マニュアルを参照する必要があります。
  • 暗号化アルゴリズムまたは認証アルゴリズムが一致しない。
  • DH グループが一致しない。 一部のデバイスでは、手動でパラメーターを設定する必要があります。

IPsec 接続ステータスが "IKE トンネルネゴシエーションのフェーズ 2 が成功しました" となっても、VPC の ECS インスタンスがローカルデータセンターのサーバーにアクセスできないのはなぜですか。

ローカルデータセンターがプライベート IP としてパブリック IP を使用している場合、ローカルデータセンターの ECS インスタンスがインターネットにアクセスできます。 以下を参照し、ルート設定を確認できます。

  • VRouter のルート設定を確認します。
  • ローカルデータセンターの firewall/iptables 設定を確認し、VPC のプライベートネットワークからのアクセスが許可されていることを確認します。

IPsec 接続ステータスが "IKE トンネルネゴシエーションのフェーズ 2 が成功しました" となっても、ローカルデータセンターのサーバーは VPC の ECS インスタンスにアクセスできないのはなぜですか。

  • ローカルデータセンターのルートおよび ACL 設定で、VPC へ送信されるトラフィックが VPN トンネルに入ることが許可されているかどうか確認します。
  • ECS インスタンスのセキュリティグループルールが、ローカルデータセンターのプライベートネットワークからのアクセスが許可されているかどうか確認します。

IPsec 接続ステータスが "IKE トンネルネゴシエーションのフェーズ 2 が成功しました" となっても、マルチネットワークシナリオで、一部のネットワークが正常に接続され、一部のネットワークが正常に接続されないのはなぜですか。

マルチネットワークシナリオでは、IKE V2 プロトコルの利用を推奨します。

IKE V2 プロトコルを使用していても問題が継続する場合は、ローカルデータセンターの VPN ゲートウェイの SA (Security Association) ステータスを確認することを推奨します。 通常、SA は 1 つのみです。 たとえば、172.30.96.0/19 === 10.0.0.0/8 172.30.128.0/17 となります。

複数の SA がある場合、ローカルデータセンターの VPN ゲートウェイは標準 IKE V2 プロトコルではありません。 この場合、複数の IPsec 接続を使用したネットワーク接続のみ可能です。 たとえば、IPsec 接続 "172.30.96.0/19 <=> 10.0.0.0/8 172.30.128.0/17" を IPsec 接続 A: "172.30.96.0/19 <=> 10.0.0.0/8" および IPsec 接続 B: "172.30.96.0/19 <=> 172.30.128.0/17" に分割できます。

注 2 つに分割された IPsec 接続は最初のフェーズの SA を共有する必要があるため、2 つの IPsec 接続の最初のフェースのネゴシエーションパラメーターが一致する必要があります。