このトピックでは、IPsec-VPN 接続を作成する方法について説明します。 VPN Gateway とカスタマーゲートウェイを作成後、IPsec-VPN 接続を作成して、暗号化された通信トンネルを確立できます。

手順

  1. VPC コンソールにログインします。
  2. 左側のナビゲーションペインで、 [VPN] > [IPsec Connections] を選択します。
  3. リージョンを選択します。
  4. [IPsec Connections] ページで、[IPSec 接続の作成] をクリックします。
  5. [IPsec 接続の作成] ページで、次の情報に従って IPsec-VPN 接続を設定し、[OK] をクリックします。
    設定 説明
    名前

    IPsec-VPN 接続の名前を入力します。

    名前は 2~128 文字でなければなりません。文字、数字、ハイフン、アンダースコアを含めることができます。 名前は文字で始める必要があります。

    VPN Gateway 接続する VPN Gateway を選択します。
    カスタマーゲートウェイ 接続するカスタマーゲートウェイを選択します。
    ローカルネットワーク オンプレミスデータセンターに接続する VPC の CIDR ブロックを入力します。 このパラメーターは、フェーズ 2 ネゴシエーションに使用されます。
    + ローカルネットワークの追加 オンプレミスデータセンターに接続する VPC の複数の CIDR ブロックを追加します。
    複数の CIDR ブロックが入力されている場合、IKEv2 バージョンを選択する必要があります。
    リモートネットワーク VPC に接続するオンプレミスデータセンターの CIDR ブロックを入力します。 このパラメーターは、フェーズ 2 ネゴシエーションに使用されます。
    + リモートネットワークの追加 VPC に接続するオンプレミスデータセンターの複数の CIDR ブロックを追加します。
    複数の CIDR ブロックが入力されている場合、IKEv2 バージョンを選択する必要があります。
    今すぐ有効化 IPsec-VPN 接続をすぐに有効化するかどうかを示します。
    • はい:設定の完了後、すぐにネゴシエーションを開始します。
    • いいえ:トンネルでトラフィックが検出された場合にのみネゴシエーションを開始します。
    高度な構成:IKE 構成
    事前共有鍵 VPN Gateway とカスタマーゲートウェイ間の認証に使用される事前共有鍵を入力します。 デフォルトでは、自動的に生成される値です。 事前共有鍵を指定することもできます。
    バージョン 使用する IKE バージョンを選択します。 IKEv1 と比較すると、IKEv2 は SA ネゴシエーションプロセスが簡素化されているほか、複数の CIDR ブロックシナリオのサポートが強化されています。 IKE V2 プロトコルを選択することを推奨します。
    ネゴシエーションモード IKEv1 のネゴシエーションモードを選択します。
    • メインモード:ネゴシエーションプロセスは高度なセキュリティを備えています。
    • アグレッシブモード:ネゴシエーションは高速で、ネゴシエーションの成功率が高いです。
    ネゴシエーションが成功した後、2 つのモードの情報送信セキュリティは同じです。
    暗号化アルゴリズム フェーズ 1 ネゴシエーションで使用される暗号化アルゴリズムを選択します。 有効な値:aes、aes192、aes256、des、3des。
    暗号化アルゴリズム フェーズ 1 ネゴシエーションで使用される認証アルゴリズムを選択します。 有効な値:sha1、md5、sha256、sha384、sha512。
    DH グループ フェーズ 1 ネゴシエーションで使用される Diffie-Hellman 鍵交換アルゴリズムを選択します。
    SA ライフサイクル (秒) フェーズ 1 ネゴシエーションの SA ライフサイクルを設定します。 デフォルト値は 86,400 秒です。
    LocalId フェーズ 1 ネゴシエーションに使用される VPN Gateway の ID です。 デフォルト値は、VPN Gateway のパブリック IP アドレスです。 LocalId を FQDN 形式で設定する場合、ネゴシエーションモードをアグレッシブモードに変更することを推奨します。
    RemoteId フェーズ 1 ネゴシエーションに使用されるカスタマーゲートウェイの ID です。 デフォルト値は、カスタマーゲートウェイのパブリック IP アドレスです。 RemoteId を FQDN 形式で設定する場合、ネゴシエーションモードをアグレッシブモードに変更することを推奨します。
    高度な構成:IPSec 構成
    暗号化アルゴリズム フェーズ 2 ネゴシエーションの暗号化アルゴリズムを選択します。 有効な値:aes、aes192、aes256、des、3des。
    認証アルゴリズム フェーズ 2 ネゴシエーションで使用される認証アルゴリズムを選択します。 有効な値:sha1、md5、sha256、sha384、sha512。
    DH グループ フェーズ 2 ネゴシエーションで使用される Diffie-Hellman 鍵交換アルゴリズムを選択します。
    • 無効化されていないグループを選択した場合、デフォルトで PFS (Perfect Forward Secrecy) 機能は有効になっているため 、再ネゴシエーションのたびに鍵を更新する必要があり、クライアントで PFS を有効にする必要があります。
    • PFS をサポートしないクライアントの場合、[無効化] を選択します。
    SA ライフサイクル (秒) フェーズ 2 ネゴシエーションの SA ライフサイクルを設定します。 デフォルト値:86,400 秒。
    ヘルスチェック
    宛先 IP VPC が IPsec-VPN 接続を介して通信可能なオンプレミスデータセンターの IP アドレス。
    送信元 IP オンプレミスデータセンターが IPsec-VPN 接続を介して通信可能な VPC の IP アドレス。
    再試行間隔 ヘルスチェックが再試行されるまでの時間。 単位:秒。
    再試行回数 ヘルスチェックパケットの送信を試行する回数。