AWS Site-to-Site VPN 接続のトンネルオプション - AWS Site-to-Site VPN

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Site-to-Site VPN 接続のトンネルオプション

VPN 接続を使用して Site-to-Site、リモートネットワークを に接続しますVPC。各 Site-to-SiteVPN接続には 2 つのトンネルがあり、各トンネルは一意のパブリック IP アドレスを使用します。冗長性を確保するために両方のトンネルを設定することが重要です。1 つのトンネルが使用できなくなった場合 (メンテナンスのためにダウンした場合など)、ネットワークトラフィックはその特定の Site-to-SiteVPN接続で使用可能なトンネルに自動的にルーティングされます。

次の図は、VPN接続の 2 つのトンネルを示しています。可用性を高めるため、各トンネルは異なるアベイラビリティーゾーンで終了します。オンプレミスネットワークから へのトラフィックは、両方のトンネル AWS を使用します。からオンプレミスネットワーク AWS へのトラフィックは、いずれかのトンネルを優先しますが、 AWS 側で障害が発生した場合は、自動的にもう一方のトンネルにフェイルオーバーする可能性があります。

仮想プライベートゲートウェイとカスタマーゲートウェイ間のVPN接続の 2 つのトンネル。

VPN 接続を作成する Site-to-Siteときは、カスタマーゲートウェイデバイス固有の設定ファイルをダウンロードします。これには、各トンネルを設定するための情報など、デバイスを設定するための情報が含まれます。オプションで、VPN接続の作成時にトンネルオプションの一部を Site-to-Site自分で指定できます。そうしない場合、 AWS によりデフォルト値が指定されます。

注記

Site-to-Site VPN トンネルエンドポイントは、カスタマーゲートウェイからの提案の順序に関係なく、以下のリストの最小設定値からカスタマーゲートウェイからの提案を評価します。modify-vpn-connection-options コマンドを使用して、 AWS エンドポイントが受け入れるオプションのリストを制限できます。詳細については、「Amazon EC2 コマンドラインリファレンスmodify-vpn-connection-options」の「」を参照してください。

設定できるトンネルオプションは以下のとおりです。

注記

一部のトンネルオプションには複数のデフォルト値があります。例えば、IKEバージョンには ikev1と の 2 つのデフォルトのトンネルオプション値がありますikev2。特定の値を選択しない場合、すべてのデフォルト値はそのトンネルオプションに関連付けられます。クリックして、トンネルオプションに関連付けられたくないデフォルト値を削除します。例えば、ikev1IKEバージョンにのみ を使用する場合は、 ikev2 をクリックして削除します。

デッドピア検出 (DPD) タイムアウト

DPD タイムアウトが発生した後の秒数。40 秒のDPDタイムアウトは、最初のキープアライブに失敗した 30 秒後にVPNエンドポイントがピアがデッドと見なすことを意味します。30 以上を指定できます。

デフォルト: 40

DPD のタイムアウトアクション

デッドピア検出 (DPD) タイムアウトが発生した後に実行するアクション。以下を指定することができます。

  • Clear: DPDタイムアウトが発生したときにIKEセッションを終了する (トンネルを停止してルートをクリアする)

  • None: DPDタイムアウトが発生したときに何も実行しない

  • Restart: DPDタイムアウトが発生したときにIKEセッションを再起動する

詳細については、「AWS Site-to-Site VPN トンネル開始オプション」を参照してください。

デフォルト: Clear

VPN ログ記録オプション

VPN ログを使用すると、IP Security (IPsec) Site-to-Siteトンネルの確立、Internet Key Exchange (IKE) ネゴシエーション、デッドピア検出 (DPD) プロトコルメッセージの詳細にアクセスできます。

詳細については、「AWS Site-to-Site VPN ログ」を参照してください。

使用可能なログ形式: jsontext

IKE バージョン

VPN トンネルで許可されるIKEバージョン。1 つ以上のデフォルト値を指定できます。

デフォルト: ikev1ikev2

トンネル内 IPv4 CIDR

VPN トンネルの内部 (内部) IPv4 アドレスの範囲。169.254.0.0/16 範囲からサイズ /30 CIDRブロックを指定できます。CIDR ブロックは、同じ仮想プライベートゲートウェイを使用するすべての Site-to-SiteVPN接続で一意である必要があります。

注記

CIDR ブロックは、トランジットゲートウェイ上のすべての接続で一意である必要はありません。ただし、一意でない場合は、カスタマーゲートウェイで競合が発生する可能性があります。トランジットゲートウェイの複数の Site-to-SiteVPN接続で同じCIDRブロックを再使用する場合は、慎重に行ってください。

次のCIDRブロックは予約されており、使用できません。

  • 169.254.0.0/30

  • 169.254.1.0/30

  • 169.254.2.0/30

  • 169.254.3.0/30

  • 169.254.4.0/30

  • 169.254.5.0/30

  • 169.254.169.252/30

デフォルト: 169.254.0.0/16範囲からのサイズ /30 IPv4CIDRブロック。

トンネル内 IPv6 CIDR

(IPv6 VPN接続のみ) VPNトンネルの内部 (内部) IPv6 アドレスの範囲。ローカルfd00::/8範囲からサイズ /126 CIDRブロックを指定できます。CIDR ブロックは、同じトランジットゲートウェイを使用するすべての Site-to-SiteVPN接続で一意である必要があります。

デフォルト: ローカルfd00::/8範囲からのサイズ /126 IPv6CIDRブロック。

ローカルIPv4ネットワーク CIDR

(IPv4 VPN接続のみ) VPNトンネル経由で通信できるカスタマーゲートウェイ (オンプレミス) 側のIPv4CIDR範囲。

デフォルト: 0.0.0.0/0

リモートIPv4ネットワーク CIDR

(IPv4 VPN接続のみ) VPNトンネル経由で通信できる AWS 側のIPv4CIDR範囲。

デフォルト: 0.0.0.0/0

ローカルIPv6ネットワーク CIDR

(IPv6 VPN接続のみ) VPNトンネル経由で通信できるカスタマーゲートウェイ (オンプレミス) 側のIPv6CIDR範囲。

デフォルト: ::/0

リモートIPv6ネットワーク CIDR

(IPv6 VPN接続のみ) VPNトンネル経由で通信できる AWS 側のIPv6CIDR範囲。

デフォルト: ::/0

フェーズ 1 Diffie-Hellman (DH) グループ番号

IKE ネゴシエーションのフェーズ 1 のVPNトンネルで許可される DH グループ番号。1 つ以上のデフォルト値を指定できます。

デフォルト: 2、14、15、16、17、18、19、20、21、22、23、24

フェーズ 2 Diffie-Hellman (DH) グループ番号

IKE ネゴシエーションのフェーズ 2 のVPNトンネルで許可される DH グループ番号。1 つ以上のデフォルト値を指定できます。

デフォルト: 2、5、14、15、16、17、18、19、20、21、22、23、24

フェーズ 1 暗号化アルゴリズム

IKE ネゴシエーションのフェーズ 1 のVPNトンネルで許可される暗号化アルゴリズム。1 つ以上のデフォルト値を指定できます。

デフォルト: AES128、AES256、AES128-GCM-16、AES256-GCM-16

フェーズ 2 暗号化アルゴリズム

フェーズ 2 IKEネゴシエーションのVPNトンネルで許可される暗号化アルゴリズム。1 つ以上のデフォルト値を指定できます。

デフォルト: AES128、AES256、AES128-GCM-16、AES256-GCM-16

フェーズ 1 整合性アルゴリズム

IKE ネゴシエーションのフェーズ 1 のVPNトンネルで許可される整合性アルゴリズム。1 つ以上のデフォルト値を指定できます。

デフォルト: SHA1、SHA2-256、SHA2-384、SHA2-512

フェーズ 2 整合性アルゴリズム

IKE ネゴシエーションのフェーズ 2 のVPNトンネルで許可される整合性アルゴリズム。1 つ以上のデフォルト値を指定できます。

デフォルト: SHA1、SHA2-256、SHA2-384、SHA2-512

フェーズ 1 ライフタイム
注記

AWS は、フェーズ 1 のライフタイムフィールドとフェーズ 2 のライフタイムフィールドで設定されたタイミング値を使用して再キーを開始します。このようなライフタイムがネゴシエートされたハンドシェイク値と異なる場合、トンネル接続が中断される可能性があります。

IKE ネゴシエーションのフェーズ 1 の存続期間を秒単位で表します。値は 900 から 28,800 まで指定できます。

デフォルト: 28,800 (8 時間)

フェーズ 2 ライフタイム
注記

AWS は、フェーズ 1 のライフタイムフィールドとフェーズ 2 のライフタイムフィールドで設定されたタイミング値を使用して再キーを開始します。このようなライフタイムがネゴシエートされたハンドシェイク値と異なる場合、トンネル接続が中断される可能性があります。

IKE ネゴシエーションのフェーズ 2 の存続期間を秒単位で表します。値は 900 から 3,600 まで指定できます。指定する値は、フェーズ 1 のライフタイムの秒数よりも小さくする必要があります。

デフォルト: 3,600 (1 時間)

事前共有キー (PSK)

ターゲットゲートウェイとカスタマーゲートウェイ間の最初のインターネットキー交換 (PSK) セキュリティの関連付けを確立するための事前共有キー (IKE)。

の長さは 8~64 文字PSKで、ゼロ (0) で始めることはできません。使用できる文字は、英数字、ピリオド (.)、および下線 (_) です。

デフォルト: 32 文字の英数字の文字列。

キー再生成ファズ

キー再生成時間がランダムに選択される、キー再生成ウィンドウ(キー再生成マージン時間によって決定される)の割合。

0 ~ 100 のパーセント値を指定できます。

デフォルト: 100

キー再生成のマージンタイム

フェーズ 1 とフェーズ 2 の有効期間が終了する前の秒単位のマージン時間。その間、VPN接続 AWS 側がIKEリキーを実行します。

60 からフェーズ 2 のライフタイム秒の値の半分までの数値を指定できます。

キー再生成の正確な時間は、キー再生成ファズの値に基づいてランダムに選択されます。

デフォルト: 270 (4.5 分)

再生ウィンドウのサイズパケット

IKE 再生ウィンドウ内のパケットの数。

64 から 2048 までの値を指定できます。

デフォルト: 1024

開始アクション

VPN 接続のトンネルを確立するときに実行するアクション。以下を指定することができます。

  • Start: IKE トンネルを起動するためのネゴシエーション AWS を開始します。カスタマーゲートウェイが IP アドレスで設定されている場合にのみサポートされます。

  • Add: カスタマーゲートウェイデバイスは、トンネルを立ち上げるためにIKEネゴシエーションを開始する必要があります。

詳細については、「AWS Site-to-Site VPN トンネル開始オプション」を参照してください。

デフォルト: Add

トンネルエンドポイントのライフサイクル制御

トンネルエンドポイントのライフサイクル制御により、エンドポイントの置き換えスケジュールを制御できます。

詳細については、「AWS Site-to-Site VPN トンネルエンドポイントのライフサイクルコントロール」を参照してください。

デフォルト: Off

トンネルオプションは、VPN接続の作成 Site-to-Site時に指定することも、既存のVPN接続のトンネルオプションを変更することもできます。詳細については、以下の各トピックを参照してください。