AWS VPN のよくある質問

Q: VPN の接続にはどのようなオプションがありますか?

A: 仮想プライベートゲートウェイ経由でハードウェア VPN 接続を使用して、お客様の自社データセンターに VPC を接続できます。

Q: インスタンスにパブリック IP アドレスがない場合、どのようにインターネットにアクセスすればよいですか?

A: パブリック IP アドレスがないインスタンスは、次の 2 つの方法のいずれかでインターネットにアクセスすることができます。

パブリック IP アドレスがないインスタンスは、ネットワークアドレス変換 (NAT) ゲートウェイや NAT インスタンスを通してトラフィックをルーティングし、インターネットにアクセスできます。こういったインスタンスは、NAT ゲートウェイや NAT インスタンスのパブリック IP アドレスを使って、インターネットに接続します。NAT ゲートウェイや NAT インスタンスはアウトバウンド通信を許可しますが、インターネット上のマシンがプライベートにアドレスを付与されたインスタンスへの接続を開始することは許可しません。

ハードウェア VPN 接続や Direct Connect 接続を使用する VPC の場合、インスタンスからのインターネットトラフィックは、仮想プライベートゲートウェイ経由でお客様の既存のデータセンターにルーティングできます。そこから、既存のエグレスポイントとネットワークセキュリティ/モニタリングデバイスを介して、インターネットにアクセスできます。

Q: AWS サイト間 VPN 接続は、Amazon VPC とどのように連携するのですか?

A. AWS サイト間 VPN 接続では、VPC をお客様のデータセンターに接続します。Amazon は、インターネットプロトコルセキュリティ (IPsec) VPN 接続をサポートしています。VPC とデータセンター間で転送されるデータは、転送中データの機密性と整合性を維持するために、暗号化された VPN 接続を介してルーティングします。インターネットゲートウェイでサイト間 VPN 接続を確立する必要はありません。

Q: IPSec とは何ですか?

A. IPsec は、データストリームの各 IP パケットを認証して暗号化することで、インターネットプロトコル (IP) 通信を保護するプロトコルスイートです。

Q: Amazon VPC に接続するには、どのカスタマーゲートウェイデバイスを使用することができますか?

A: 作成できる AWS サイト間 VPN 接続のタイプは 2 つあります。1 つは静的ルーティングを使用する VPN 接続、もう 1 つは動的ルーティングを使用する VPN 接続です。静的ルーティングを使用する VPN 接続をサポートするカスタマーゲートウェイデバイスは、次の機能を備えている必要があります。

Pre-Shared キーを使用して IKE Security Association を確立する

Tunnel モードで IPsec Security Association を確立する

AES 128 ビット、256 ビット、128 ビット GCM-16、または 256-GCM-16 暗号化機能を利用する

SHA-1、SHA-2 (256)、SHA2 (384)、または SHA2 (512) のハッシュ関数を利用する

「グループ 2」モード、または AWS がサポートする追加の DH グループの 1 つで Diffie-Hellman (DH) Perfect Forward Secrecy を使用する

暗号化の前にパケットの断片化を実行する

動的ルーティングを使用する AWS サイト間 VPN 接続をサポートする装置は、上記の機能に加えて、次の機能も備えている必要があります。

Border Gateway Protocol (BGP) ピア接続を確立する

トンネルを論理インターフェイス (ルートベースの VPN) にバインドする

IPsec デッドピア検出の利用

Q: どの Diffie-Hellman グループをサポートしていますか?

A: 以下のフェーズ 1 およびフェーズ 2 の Diffie-Hellman (DH) グループをサポートしています。

フェーズ 1 DH グループ 2、14～24。

フェーズ 2 DH グループ 2、5、14～24。

Q: IKE キー更新が必要な場合、AWS はどのアルゴリズムを勧めますか?

A: デフォルトでは、AWS 側の VPN エンドポイントは AES-128、SHA-1、DH グループ 2 を提案します。キー更新に関する特定の提案が必要な場合は、VPN トンネルオプションの変更を使用して、トンネルオプションを特定の必須 VPN パラメータに制限することをお勧めします。

Q: Amazon VPC で機能することが知られているカスタマーゲートウェイデバイスにはどのようなものがありますか?

A: 前述の要件を満たすデバイスのリストは、ネットワーク管理者ガイドに記載されています。これらは、ハードウェア VPN 接続で動作することが知られており、お客様のデバイスに適切な設定ファイルを自動生成するコマンドラインツールをサポートしています。

Q: 私のデバイスが対応リストにない場合、これを Amazon VPC で使用するための詳細な情報はどこで入手できますか?

A: 他のお客様がすでにお客様のデバイスと同じものを使用している可能性があるため、Amazon VPC フォーラムをご確認いただくことをお勧めします。

Q: サイト間 VPN 接続の最大スループットはどれくらいですか?

A: 各 AWS サイト間 VPN 接続には 2 つのトンネルがあり、各トンネルは最大 1.25 Gbps のスループットをサポートします。VPN 接続が仮想プライベートゲートウェイに接続されている場合、集約されたスループット制限が適用されます。

Q: 仮想プライベートゲートウェイには集約されたスループット制限がありますか?

A: 仮想プライベートゲートウェイには、接続タイプごとの集約スループット制限があります。同じ仮想プライベートゲートウェイへの複数の VPN 接続は、AWS から最大 1.25 Gbps のオンプレミスへの集約スループット制限によってバインドされます。仮想プライベートゲートウェイ上の AWS Direct Connect 接続の場合、スループットは Direct Connect 物理ポート自体によって制限されます。複数の VPC に接続し、より高いスループット制限を達成するには、AWS Transit Gateway を使用します。

Q: VPN 接続のスループットに影響を与える要因は何ですか?

A: VPN 接続のスループットは、カスタマーゲートウェイの能力、接続のキャパシティー、平均パケットサイズ、使用されているプロトコル (TCP またはUDP)、カスタマーゲートウェイと仮想プライベートゲートウェイの間のネットワークレイテンシーなど、複数の要因によって変わります。

Q: サイト間 VPN 接続 1 秒あたりのの最大パケット数はどれくらいですか?

A: 各 AWS サイト間 VPN 接続には 2 つのトンネルがあり、各トンネルは 1 秒あたり最大 140,000 のパケットをサポートします。

Q: サイト間 VPN 設定のトラブルシューティングには、どのツールが利用できますか?

A: DescribeVPNConnection API には、どちらかのトンネルが「ダウン」した場合に、各 VPN トンネルの状態 (「アップ」/「ダウン」) や対応するエラーメッセージなど、VPN 接続ステータスが表示されます。この情報は AWS マネジメントコンソールにも表示されます。

Q: VPC を企業のデータセンターとどのように接続するのですか?

A: お客様の既存のネットワークと Amazon VPC の間にハードウェア VPN 接続を確立することによって、あたかもそれらがお客様の既存のネットワーク内にあるかのように、VPC 内にある Amazon EC2 インスタンスと通信を行うことができます。AWS は、ハードウェア VPN 接続を経由してアクセスされる VPC 内にある Amazon EC2 インスタンスとの通信では、ネットワークアドレス変換 (NAT) を実行しません。

Q: ルーターまたはファイアウォールの背後でカスタマーゲートウェイに対して NAT を有効にできますか?

A: NAT デバイスのパブリック IP アドレスを使用します。

Q: カスタマーゲートウェイアドレスにはどの IP アドレスを使用しますか?

A: NAT デバイスのパブリック IP アドレスを使用します。

Q: 接続で NAT-T を無効にするにはどうすればよいですか?

A: デバイスで NAT-T を無効にする必要があります。NAT-T を使用する予定がなくデバイスで無効にされていない場合は、AWS が UDP ポート 4500 を介したトンネルの確立を試行します。このポートが開いていない場合、トンネルは確立されません。

Q: NAT の背後で複数のカスタマーゲートウェイを持つように設定するには何をする必要がありますか?

A: デバイスで NAT-T を無効にする必要があります。NAT-T を使用する予定がなくデバイスで無効にされていない場合は、AWS が UDP ポート 4500 を介したトンネルの確立を試行します。このポートが開いていない場合、トンネルは確立されません。

Q: 1 つのトンネルにつき同時に確立できる IPsec Security Association は何個ですか?

AWS VPN サービスはルートベースのソリューションであるため、ルートベースの設定で SA の上限数が問題になることはありません。ただし、ポリシーベースのソリューションでは、サービスがルートベースのソリューションとなるため、単一の SA に制限する必要があります。

Q: VPC パブリック IP アドレス範囲をインターネットにアドバタイズできますか? またそのトラフィックを、自社のデータセンター、サイト間 VPN 経由で、自社の Amazon VPC に到達するようにルーティングできますか?

A: はい。ハードウェア VPN 接続経由でトラフィックのルーティングを行って、お客様のホームネットワークからアドレス範囲をアドバタイズすることができます。

Q: VPN 接続は最大いくつのルートをカスタマーゲートウェイデバイスにアドバタイズできますか?

A: VPN 接続は、カスタマーゲートウェイデバイスへのルートを最大 1,000 個アドバタイズします。仮想プライベートゲートウェイの VPN の場合、アドバタイズされたルートソースには、VPC ルート、他の VPN ルート、および DX 仮想インターフェイスからのルートが含まれます。AWS Transit Gateway の VPN の場合、アドバタイズされたルートは、VPN アタッチメントに関連付けられたルートテーブルから取得されます。1,000 個を超えるルートを送信しようとすると、1,000 個のサブセットのみがアドバタイズされます。

Q: カスタマーゲートウェイデバイスから私の VPN 接続にアドバタイズできるルート数は最大いくつですか?

A: カスタマーゲートウェイデバイスから仮想プライベートゲートウェイ上のサイト間 VPN 接続へのルート最大 100 個、または AWS Transit Gateway 上のサイト間 VPN 接続へのルート最大 1,000 個をアドバタイズできます。静的ルートを使用する VPN 接続の場合、100 個を超える静的ルートを追加することはできません。BGP を使用する VPN 接続の場合、ゲートウェイタイプの最大値を超えるルートをアドバタイズしようとすると、BGP セッションがリセットされます。

Q:VPN 接続は IPv6 トラフィックをサポートしていますか?

A: はい。AWS Transit Gateway への VPN 接続は IPv4 または IPv6 トラフィックのいずれかをサポートすることができ、これは新しい VPN 接続の作成時に選択できます。VPN トラフィックに IPv6 を選択するには、内部 IP バージョンの VPN トンネルオプションを IPv6 に設定します。トンネルエンドポイントとカスタマーゲートウェイの IP アドレスは IPv4 のみです。ご注意ください。

Q: VPN トンネルのどちら側が Internet Key Exchange (IKE) セッションを開始しますか?

A: デフォルトでは、カスタマーゲートウェイ (CGW) が IKE を開始する必要があります。または、AWS VPN エンドポイントは、適切なオプションを有効にすることで開始できます。