VPNゲートウェイに関するFAQ - VPN Gateway - Alibaba Cloud ドキュメントセンター

このトピックでは、VPNゲートウェイに関するよくある質問に対する回答を提供します。

クラシックネットワークにVPNゲートウェイをデプロイできますか?
IPsec-VPNを介してデータセンターをVPCに接続するための前提条件は何ですか?
VPN Gatewayを使用して、リージョン間のVPCを接続できますか。
どのタイプのゲートウェイデバイスがVPNゲートウェイに接続できますか?
VPNゲートウェイに確立できるIPsec-VPN接続はいくつですか?
VPNゲートウェイを使用してインターネットにアクセスできますか?
VPC間のネットワークトラフィックはインターネットを横断しますか。
IPsec-VPN接続に複数のクライアントCIDRブロックを指定できますか?
VPNゲートウェイをダウングレードできますか?
SSL-VPNのリリース日より前に作成されたVPN GatewayのSSL-VPNを有効にできますか?
VPNゲートウェイでネットワークアクセス制御リスト (ACL) ルールを設定するにはどうすればよいですか?
Alibaba Cloud IPsec-VPN経由でAWS VPNに接続できないのはなぜですか?
IPsecサーバーとSSLサーバーの違いは何ですか?
ボーダー間接続とボーダー内接続とは何ですか?

クラシックネットワークにVPNゲートウェイをデプロイできますか?

いいえ、クラシックネットワークにVPNゲートウェイをデプロイすることはできません。

VPN Gatewayは、仮想プライベートクラウド (VPC) のみをサポートします。クラシックネットワークのリソースでVPCのVPNゲートウェイを使用する場合は、VPCのClassicLinkを有効にする必要があります。詳細については、「IPsec-VPNを使用してデータセンターをクラシックネットワークに接続する」をご参照ください。

IPsec-VPNを介してデータセンターをVPCに接続するための前提条件は何ですか?

データセンターのゲートウェイデバイスは、IKEv1およびIKEv2プロトコルをサポートする必要があります。
IPsec-VPNはIKEv1とIKEv2の両方をサポートします。 IKEv1およびIKEv2プロトコルをサポートするすべてのゲートウェイデバイスは、Alibaba Cloud上のVPNゲートウェイに接続できます。
静的パブリックIPアドレスは、データセンターのゲートウェイデバイスに割り当てられます。
クライアントCIDRブロックとVPC CIDRブロックは重複しません。

IPsec-VPNを介してデータセンターをVPCに接続する方法の詳細については、「データセンターをVPCに接続する」をご参照ください。

VPN Gatewayを使用して、リージョン間のVPCを接続できますか。

はい。VPNゲートウェイを使用して、リージョン間でVPCを接続できます。詳細については、「2つのVPC間のIPsec-VPN接続の確立」をご参照ください。

どのタイプのゲートウェイデバイスがVPNゲートウェイに接続できますか?

Alibaba Cloud VPNゲートウェイは、標準のIKEv1およびIKEv2プロトコルをサポートしています。 IKEv1およびIKEv2プロトコルをサポートするすべてのゲートウェイデバイスは、Alibaba Cloud上のVPNゲートウェイに接続できます。たとえば、H3C、Hillstone、Sangfor、Cisco ASA、Juniper、SonicWall、Nokia、IBM、およびIxiaによって製造されたゲートウェイデバイスは、Alibaba Cloud上のVPNゲートウェイに接続できます。詳細については、「データセンターでのゲートウェイデバイスの設定」をご参照ください。

VPNゲートウェイに確立できるIPsec-VPN接続はいくつですか?

デフォルトでは、VPNゲートウェイへのIPsec-VPN接続を最大10個確立できます。制限を調整することはできません。

VPNゲートウェイを使用してインターネットにアクセスできますか?

いいえ、VPNゲートウェイを使用してインターネットにアクセスすることはできません。

VPNゲートウェイを使用して、プライベート接続を介してVPCのみにアクセスできます。

VPC間のネットワークトラフィックはインターネットを横断しますか。

いいえ、VPC間のネットワークトラフィックはインターネットを通過しません。

VPNゲートウェイを使用してVPCをリージョン間で接続する場合、ネットワークトラフィックはAlibaba Cloud内でのみ送信されます。

IPsec-VPN接続に複数のクライアントCIDRブロックを指定できますか?

はい。IPsec-VPN接続に複数のクライアントCIDRブロックを指定できます。

接続の作成時にIKEv2を指定することを推奨します。

VPNゲートウェイをダウングレードできますか?

はい、VPNゲートウェイをダウングレードできます。

VPNゲートウェイをダウングレードするには、チケットの送信します。

SSL-VPNのリリース日より前に作成されたVPN GatewayのSSL-VPNを有効にできますか?

いいえ、SSL-VPNのリリース日より前に作成されたVPN GatewayのSSL-VPNを有効にすることはできません。

SSL-VPNのリリース日より前に作成されたVPN GatewayのSSL-VPNを有効にする必要がある場合は、チケットの送信してください。

VPNゲートウェイでネットワークアクセス制御リスト (ACL) ルールを設定するにはどうすればよいですか?


VPNゲートウェイのタイプ	ルールの設定
IPsec-VPN	次のCIDRブロックとIPアドレスを許可するように、アウトバウンドルールとインバウンドルールを設定します。このようにして、VPNゲートウェイはIPsec − VPN接続を確立できる。 100.64.0.0/10 説明 Alibaba Cloudは100.64.0.0/10を使用してサービスを提供します。 VPNゲートウェイが期待どおりに機能するように、100.64.0.0/10 CIDRブロックを許可する必要があります。カスタマーゲートウェイのIPアドレス VPNゲートウェイのIPアドレス
SSL-VPN	次のIPアドレスとCIDRブロックを許可するようにインバウンドルールとアウトバウンドルールを設定し、次のポートを開きます。このようにして、VPNゲートウェイはSSL-VPN接続を確立できます。 100.64.0.0/10 説明 Alibaba Cloudは100.64.0.0/10を使用してサービスを提供します。 VPNゲートウェイが期待どおりに機能するように、100.64.0.0/10 CIDRブロックを許可する必要があります。クライアントのパブリックIPアドレス VPNゲートウェイのIPアドレス SSL-VPN接続で使用できるポート。たとえば、ポート1194を指定できます。

Alibaba Cloud IPsec-VPN経由でAWS VPNに接続できないのはなぜですか?

原因

AWS VPN暗号化トンネルはマルチSAネゴシエーションをサポートしていません。ルーティングモードを保護されたデータフローに設定し、Alibaba Cloud側でローカルCIDRブロックまたはピアCIDRブロックに複数の値を設定した場合、制限によりAWS VPN側からパケットを送信できません。

ソリューション

ルーティングモードを保護データフローに設定した場合、ローカルCIDRブロックおよびピアCIDRブロックパラメーターのいずれかを設定します。
Alibaba CloudのIPsec-VPN接続のルーティングモードを宛先ルーティングモードに変更します。

IPsecサーバーとSSLサーバーの違いは何ですか?


項目	IPsec-VPNサーバー	SSL-VPNサーバー
シナリオ	エンドツーエンドの接続を提供します。	エンドツーエンドの接続を提供します。
クライアントモード	iOSを実行するモバイルクライアントがAlibaba CloudへのIPsec-VPN接続を確立できるようにします。	Androidとコンピューターを実行するモバイルクライアントがAlibaba CloudへのSSL-VPN接続を確立できるようにします。
接続モード	iOSを実行するモバイルクライアントが、組み込みVPN機能を使用してAlibaba CloudへのIPsec-VPN接続を確立できるようにします。	Androidとコンピューターを実行するモバイルクライアントが、OpenVPNを使用してAlibaba CloudへのSSL-VPN接続を確立できるようにします。
暗号化方法	IPsec プロトコル	SSL 証明書

ボーダー間接続とボーダー内接続とは何ですか?

Alibaba Cloud VPN Gatewayは、中国の州のポリシーおよび規制に準拠したサービスを提供します。 VPN Gatewayを使用して、境界内接続のみを確立できます。

インターボーダー接続

IPsec-VPN接続を作成するとき、データセンターのリージョンとIPsec-VPN接続が次のいずれかの条件を満たす場合、接続は境界線間になります。
- データセンターは中国 (香港) を除く中国にあり、IPsec-VPN接続は中国本土の外にあります。
- データセンターは中国国外または中国 (香港) にあり、IPsec-VPN接続は中国本土にあります。
SSL-VPN接続を作成するとき、クライアントとSSLサーバーのリージョンが次のいずれかの条件を満たす場合、接続は境界線間になります。
- SSLサーバーは中国 (香港) を除く中国にあり、クライアントは中国本土以外にあります。
- クライアントは中国国外または中国 (香港) にあり、SSLサーバーは中国本土にあります。

国境間接続を作成する必要がある場合は、Cloud Enterprise Network (CEN) サービスを使用することを推奨します。詳細については、「CEN について」をご参照ください。

ボーダー内接続

IPsec-VPN接続を作成するとき、データセンターのリージョンとIPsec-VPN接続が次のいずれかの条件を満たす場合、接続は境界内になります。
- データセンターは中国 (香港) を除く中国にあり、IPsec-VPN接続は中国本土にあります。
- データセンターは中国国外または中国 (香港) にあり、IPsec-VPN接続は中国本土の外にあります。
SSL-VPN接続を作成するとき、クライアントとSSLサーバーのリージョンが次のいずれかの条件を満たす場合、接続は境界内になります。
- クライアントは中国 (香港) を除く中国にあり、SSLサーバーは中国本土にあります。
- クライアントは中国以外または中国 (香港) にあり、SSLサーバーは中国本土以外にあります。

IPsec-VPN接続またはSSLサーバーのリージョンを選択するにはどうすればよいですか?

IPsec-VPN接続をVPNゲートウェイに接続する必要がある場合、IPsec-VPN接続とVPNゲートウェイは同じリージョンにある必要があります。
IPsec-VPN接続をトランジットルーターに接続する必要がある場合は、データセンターに最も近いリージョンを選択します。
SSLサーバーとVPNゲートウェイは同じリージョンにある必要があります。

どの地域が中国本土にあり、どの地域が中国本土の外にありますか?

次の表に、中国本土または中国本土以外のリージョンを示します。


地域	リージョン
中国本土	中国 (青島) 、中国 (北京) 、中国 (張家口) 、中国 (フフホト) 、中国 (ウランカブ) 、中国 (深セン) 、中国 (河源) 、中国 (広州) 、中国 (杭州) 、中国 (上海) 、中国 (南京-地方地域) 、中国 (福州-地方地域) 、中国 (成都)
中国本土外	中国 (香港) 、シンガポール、マレーシア (クアラルンプール) 、日本 (東京) 、インドネシア (ジャカルタ) 、インド (ムンバイ) 、フィリピン (マニラ) 、韓国 (ソウル) 、タイ (バンコク) 、ドイツ (フランクフルト) 、英国 (ロンドン) 、オーストラリア (シドニー) 、アラブ首長国連邦 (ドバイ) 、米国 (シリコンバレー) 、米国 (バージニア)