すべてのプロダクト
Search
ドキュメントセンター

VPN Gateway:IPsec 接続 (VPN Gateway)

最終更新日:Feb 04, 2026

VPN Gateway を作成した後、データセンターを VPC に接続するには、Alibaba Cloud 側とオンプレミスデータセンター側の両方に IPsec 接続を構成する必要があります。

仕組み

デフォルトでは、IPsec 接続は高可用性と業務継続性を確保するためにデュアルトンネルモードを使用します。

  • トンネルロール:システムは、VPN Gateway の異なるパブリック IP アドレスを 2 つ使用して 2 つのトンネルを確立します。トンネルロールは固定されています。

    • トンネル 1(IP アドレス 1 を使用)はデフォルトでアクティブトンネルとなり、すべてのサービストラフィックを処理します。

    • トンネル 2(IP アドレス 2 を使用)はスタンバイトンネルとなり、待機状態を維持します。

  • ヘルスチェックとフェールオーバー:システムはアクティブトンネルに対して自動的にヘルスチェックを実行します。アクティブトンネルが障害した場合、VPN Gateway は自動的にトラフィックをスタンバイトンネルに切り替えます。アクティブトンネルが復旧すると、トラフィックは自動的に元に戻ります。

  • ゾーンディザスタリカバリ

    • IPsec 接続の 2 つのトンネルは、デフォルトで異なるゾーンにデプロイされます。1 つのゾーンが障害した場合でも、もう一方のゾーンにあるトンネルは利用可能です。これにより、ゾーン間のディザスタリカバリが提供されます。

    • 1 つのゾーンのみをサポートするリージョンでは、両方のトンネルが同じゾーンにデプロイされます。このようなデプロイメントはゾーンレベルのディザスタリカバリをサポートしませんが、リンク冗長性は提供します。

IPsec 接続の作成

前提条件

開始前に、VPN Gatewayおよびカスタマーゲートウェイを作成済みであることを確認してください。

1. IPsec 接続の構成

コンソール

VPC コンソールのIPsec 接続ページに移動し、[VPN Gateway のバインド]をクリックして、以下のパラメーターを構成します。

  • [IPsec 設定]:VPN Gateway をデプロイした[リージョン]を選択します。

  • [ゲートウェイ設定]:アタッチする VPN Gateway を選択します。

  • [ルート設定]

    • ルーティングモード

      • [宛先ルーティングモード](デフォルト):宛先 IP アドレスに基づいてトラフィックを転送します。BGP 経由または静的にルートを学習するシナリオで推奨されます。

      • [保護対象データフロー]:送信元および宛先 IP アドレスに基づいてトラフィックを転送します。特定の CIDR ブロックとの通信を制限する必要があるシナリオで推奨されます。

        • [ローカルネットワーク] (VPC CIDR ブロック) と [リモートネットワーク] (オンプレミス CIDR ブロック) を指定する必要があります。

        • システムは自動的にポリシーベースルートを生成します。このルートでは、[送信元 CIDR ブロック]は接続のローカルネットワーク[宛先 CIDR ブロック]は接続のリモートネットワーク、ネクストホップは IPsec 接続となります。このルートは VPC ルートテーブルに公開できますが、デフォルトでは公開されません。

        • オンプレミスゲートウェイのインテレストトラフィック構成がこれらの設定(ローカルネットワークとリモートネットワークを入れ替えたもの)と一致していることを確認してください。

        • 複数のネットワークセグメントを追加するには、[追加] Add アイコンをクリックします。複数のセグメントにはIKEv2が必要です。

    • 今すぐ有効化:接続を迅速に有効にするか、トラフィック遅延を回避するには [はい] を選択します。リソースを節約し、トラフィックが少ない場合は [いいえ] を選択します。

  • [デュアルトンネル設定]

    • [BGP を有効化]BGP 動的ルーティングを使用するかどうかを指定します。

      • 無効(デフォルト):静的ルートを使用します。シンプルなネットワークトポロジーで推奨されます。

      • 有効:動的ルーティングを使用して、ルートの自動配布と学習を行います。前提条件:関連付けられたカスタマーゲートウェイに ASN を構成する必要があります。

    • ローカル ASN:Alibaba Cloud 側(両方のトンネルで使用)の自律システム番号(ASN)です。

      • デフォルト:45104

      • 有効値:1 ~ 4294967295

      • 推奨事項:オンプレミスデバイスの ASN を構成する際は、非公開 ASN を使用することを推奨します。

  • [トンネル 1(プライマリ)]および[トンネル 2(バックアップ)]の構成:

    • カスタマーゲートウェイ:オンプレミスデバイスに関連付けられたカスタマーゲートウェイを選択します。同じカスタマーゲートウェイを両方のトンネルに関連付けることができます。

    • [事前共有鍵]:身分認証に使用する事前共有鍵を入力します。

      • 要件:キーはオンプレミスゲートウェイの構成と一致する必要があります。

      • 一貫性:両方のトンネルのキーは同一である必要があります。

      • デフォルト:空白のままにすると、システムが自動的にランダムなキーを生成します。

    [暗号化構成]を表示するにはクリックします。

    • [IKE 構成]

      • バージョンikev2を推奨します。SA ネゴシエーションが簡素化され、マルチセグメントシナリオへの対応が強化されます。

      • ネゴシエーションモード:ネゴシエーションが成功した後のデータ伝送におけるセキュリティレベルは、どちらのモードも同じです。

        • main(デフォルト):ネゴシエーション中に識別情報を暗号化するため、より高いセキュリティを提供します。

        • aggressive:ネゴシエーションが高速で、成功率が高くなります。

      • 暗号化アルゴリズム:フェーズ 1 ネゴシエーション用の暗号化アルゴリズムを選択します。

        • 要件:オンプレミスゲートウェイの構成と一致する必要があります。

        • サポートされるアルゴリズム:aes128(デフォルト)、aes192aes256des、および3des

        • 推奨事項:帯域幅が 200 Mbps 以上の接続では、AES アルゴリズム(aes128、aes192、aes256)を使用することを推奨します。

          • AES:強力な暗号化を提供しながら、効率的なパフォーマンス(遅延やスループットへの影響が小さい)を実現します。

          • 3des:推奨されません。計算負荷が高く、AES と比較して転送パフォーマンスが制限されます。

      • 認証アルゴリズム:フェーズ 1 ネゴシエーション用の認証アルゴリズムを選択します。

        • 要件:オンプレミスゲートウェイの構成と一致する必要があります。

        • サポートされるアルゴリズム:sha1(デフォルト)、md5sha256sha384、およびsha512

        • 注記:オンプレミスデバイスで擬似乱数関数(PRF)アルゴリズムが必要な場合は、選択した認証アルゴリズムと一致していることを確認してください。

      • DH グループ (前方秘匿性 PFS):フェーズ 1 ネゴシエーション用の Diffie-Hellman キー交換アルゴリズムを選択します。

        group1group2(デフォルト)、group5、およびgroup14は、それぞれ DH グループの DH1、DH2、DH5、DH14 を表します。

      • SA ライフサイクル (秒):フェーズ 1 セキュリティアソシエーション(SA)の有効期間を指定します。デフォルト値は86400です。有効値は0 ~ 86400です。

      • [LocalId]:トンネルの Alibaba Cloud 側の識別子です。

        • デフォルト:トンネルの IP アドレス。

        • フォーマット:IP アドレスまたは FQDN(例:example.aliyun.com)をサポートします。スペースは使用できません。

        • 推奨事項:プライベート IP アドレスを使用することを推奨します。

        • FQDN の要件:FQDN を使用する場合は、オンプレミスゲートウェイのピア ID がこの値と一致していること、およびネゴシエーションモードaggressiveに設定していることを確認してください。

      • [RemoteId]:トンネルのオンプレミス側の識別子です。

        • デフォルト:関連付けられたカスタマーゲートウェイの IP アドレス。

        • フォーマット:IP アドレスまたは FQDN(例:example.aliyun.com)をサポートします。スペースは使用できません。

        • 推奨事項:プライベート IP アドレスを使用することを推奨します。

        • FQDN の要件:FQDN を使用する場合は、オンプレミスゲートウェイのローカル ID がこの値と一致していること、およびネゴシエーションモードaggressiveに設定していることを確認してください。

    • [IPsec 構成]

      • 暗号化アルゴリズム:フェーズ 2 ネゴシエーション用の暗号化アルゴリズムを選択します。

        • サポートされるアルゴリズム:aes128(デフォルト)、aes192aes256des、および3des

        • 推奨事項:帯域幅が 200 Mbps 以上の接続では、AES アルゴリズム(aes128、aes192、aes256)を使用することを推奨します。

          • AES:高強度の暗号化を提供しながら、効率的なパフォーマンス(遅延やスループットへの影響が小さい)を実現します。

          • 3des:推奨されません。計算負荷が高く、AES と比較して転送パフォーマンスが制限されます。

      • 認証アルゴリズム:フェーズ 2 ネゴシエーション用の認証アルゴリズムを選択します。サポートされるアルゴリズム:sha1(デフォルト)、md5sha256sha384、およびsha512

      • DH グループ (前方秘匿性 PFS):フェーズ 2 ネゴシエーション用の Diffie-Hellman キー交換アルゴリズムを選択します。

        • disabled PFS を無効にします。クライアントが完全転送秘密性(PFS)をサポートしていない場合に選択します。

        • group1group2(デフォルト)、group5、およびgroup14:PFS(DH1、DH2、DH5、DH14)を有効にします。

          • 要件: 有効にした場合、再ネゴシエーションごとにキーが更新されます。対応するクライアントでも PFS を有効にする必要があります。

      • SA ライフサイクル (秒):フェーズ 2 セキュリティアソシエーション(SA)の有効期間を指定します。デフォルト値は86400です。有効値は0 ~ 86400です。

      • DPD:ピア生存確認です。

        • 推奨事項:常に DPD を有効にしてください(デフォルト)。30 秒以内にピアの障害を検出し、自動フェールオーバーをトリガーすることで、高可用性を確保します。

        • メカニズム:システムは DPD プローブを送信します。応答がない場合、ピアは切断されたと見なされ、トンネルは破棄されます。その後、システムは接続を再確立しようと試みます。

        • 注記:IKEv2 を使用する旧バージョンの VPN Gateway では、タイムアウトが 130 秒または 3600 秒になる場合があります。最新バージョンにアップグレードすると、標準の 30 秒タイムアウトが適用されます。

    • NAT トラバーサル

      • 推奨事項:この機能を有効にしてください(デフォルト)。

      • 機能:UDP ポート検証をスキップすることで、IKE ネゴシエーションが NAT デバイスを通過できるようにし、NAT 境界を越えた接続性を確保します。

    BGP 設定を表示するにはクリックします。

    BGP を有効にした場合は、各トンネルのBGP 構成を完了する必要があります。

構成の確認
  1. 構成を確認し、ページ下部の[OK]をクリックします。

  2. 表示されるダイアログボックスで、[キャンセル]をクリックします。ルーティングは後で構成できます。

  3. 対象の IPsec 接続の操作列で、[ピア構成の生成]をクリックします。IPsec-VPN 接続の設定ダイアログボックスで、構成をコピーしてローカルに保存し、オンプレミスゲートウェイデバイスを構成します。

API

IPsec 接続を作成するには、CreateVpnConnection 操作を呼び出します。

2. VPN Gateway および VPC ルートの構成

VPN Gateway のルート構成に従ってルートを構成します。

3. オンプレミスゲートウェイデバイスの構成

「IPsec 接続の構成」ステップでダウンロードしたピア構成を使用して、ファイアウォールやルーターなどのオンプレミスゲートウェイデバイスで IPsec および BGP(有効にした場合)の構成を完了します。具体的な構成手順については、ご利用のデバイスのドキュメントをご参照ください。オンプレミスゲートウェイデバイスの構成にリファレンス例を示します。

IPsec 接続の管理

BGP の有効化または無効化

IPsec 接続で BGP を有効にする前に、関連付けられたカスタマーゲートウェイに ASN が構成されていることを確認してください。構成されていない場合は、IPsec 接続を削除して再作成し、ASN が構成されたカスタマーゲートウェイに関連付ける必要があります。

以下の BGP 設定項目は、IPsec 接続に関連しています:

  • ローカル ASN:Alibaba Cloud 側(両方のトンネルで使用)の自律システム番号(ASN)です。

    • デフォルト:45104

    • 有効値:1 ~ 4294967295

    • 推奨事項:オンプレミスデバイスの ASN を構成する際は、非公開 ASN を使用することを推奨します。

  • トンネル CIDR ブロック:BGP ピアリングに使用する/30サブネット(169.254.0.0/16内)です。

    • 一意性:VPN Gateway 上の各トンネルは、一意の CIDR ブロックを使用する必要があります。

    • 除外ブロック:以下のブロックは予約済みであり、使用できません。

      • 169.254.0.0/30169.254.5.0/30

      • 169.254.169.252/30

  • ローカル BGP IP アドレス:Alibaba Cloud 側の BGP IP アドレスです。

    • 制約:トンネル CIDR ブロックに属している必要があります。

    • 例:CIDR ブロックが169.254.10.0/30の場合、169.254.10.1を使用できます。

BGP の制限事項およびルート広告の詳細については、BGP 動的ルーティングの構成をご参照ください。

コンソール

BGP の有効化

  • IPsec 接続を作成する際に、[BGP を有効化]を選択し、ローカル ASNトンネル CIDR ブロック、およびローカル BGP IP アドレスを構成することで、BGP を有効にできます。

  • 既存の IPsec 接続については、インスタンス詳細ページのIPsec 接続セクションで、[BGP を有効化]をクリックできます。

BGP の無効化

IPsec 接続詳細ページのIPsec 接続セクションで、[BGP を有効化]スイッチをオフにします。

API

  • 新しい IPsec 接続を作成する際は、CreateVpnConnection 操作の EnableTunnelsBgp パラメーターを設定して BGP を有効にし、TunnelOptionsSpecificationTunnelBgpConfig パラメーターを設定して各トンネルの BGP オプションを構成します。

  • 既存の IPsec 接続については、ModifyVpnConnectionAttribute 操作の EnableTunnelsBgp パラメーターを設定して BGP を有効化または無効化し、TunnelOptionsSpecificationTunnelBgpConfig パラメーターを設定して各トンネルの BGP オプションを構成します。

トンネル構成の変更

コンソール

  1. VPC コンソールのIPsec 接続ページに移動し、ターゲットリージョンに切り替えて、対象の IPsec 接続 ID をクリックします。

  2. IPsec 接続の詳細ページで、対象のトンネルを見つけ、操作 列で 編集 をクリックします。

  3. 編集ページでトンネル構成を変更し、OKをクリックします。

API

ModifyTunnelAttribute 操作を呼び出して、トンネル構成を変更します。

IPsec 接続構成の変更

IPsec 接続が VPN Gateway にアタッチされている場合、関連付けられた VPN Gateway を変更することはできません。ルーティングモードおよび今すぐ有効化設定のみを変更できます。

コンソール

  1. VPC コンソールのIPsec 接続ページに移動し、ターゲットリージョンに切り替えて、対象の IPsec 接続の操作列の編集をクリックします。

  2. [VPN 接続の変更]ページで、IPsec 接続名やリモート CIDR ブロックなどの設定を変更し、OKをクリックします。

    パラメーターの詳細な説明については、IPsec 接続の作成をご参照ください。

API

IPsec 接続の構成を変更するには、ModifyVpnConnectionAttribute 操作を呼び出します。

IPsec 接続の削除

コンソール

  1. VPC コンソールのIPsec 接続ページに移動し、ターゲットリージョンに切り替えて、対象の IPsec 接続の操作列の削除をクリックします。

  2. 表示されるダイアログボックスで情報を確認し、[OK]をクリックします。

API

DeleteVpnConnection 操作を呼び出して、IPsec 接続を削除します。

課金

IPsec 接続は無料です。ただし、関連付けられたVPN Gatewayには課金されます。詳細については、IPsec 接続の課金をご参照ください。

よくある質問

トンネルステータスが「フェーズ 1 ネゴシエーション失敗」と表示されるのはなぜですか?

両側を構成済みの場合は、以下の一般的な問題を確認してください。

  1. 事前共有鍵の不一致:Alibaba Cloud およびオンプレミスゲートウェイの事前共有鍵を確認してください。大文字・小文字や特殊文字を含め、完全に一致している必要があります。

  2. IKE パラメーターの不一致:すべての IKE パラメーター(バージョン、ネゴシエーションモード、暗号化/認証アルゴリズム、DH グループ)が両側で完全に一致していることを確認してください。

  3. ネットワーク接続性:オンプレミスゲートウェイのパブリック IP が到達可能であることを確認してください。ファイアウォールまたは ISP ポリシーによって UDP ポート500および4500がブロックされていないことを確認してください。

トンネルステータスは正常ですが、反対側のサーバーに ping できません。なぜですか?

フェーズ 2 ネゴシエーションが成功しても、暗号化トンネルが確立されたことを確認できますが、データ伝送が保証されるわけではありません。以下の構成を確認してください。

  1. ルート構成:Alibaba Cloud VPC およびオンプレミスデータセンターの両方のルートテーブルが、IPsec 接続にトラフィックを正しく誘導していることを確認してください。

  2. セキュリティグループおよびネットワーク ACL:ECS インスタンスのセキュリティグループルールが、オンプレミス CIDR ブロックからの ICMP またはサービストラフィックを許可していることを確認してください。

  3. オンプレミスファイアウォールポリシー:オンプレミスファイアウォールが、VPC CIDR ブロックからのトラフィックを許可していることを確認してください。

「BGP を有効化」オプションが使用できないのはなぜですか?

関連付けられたカスタマーゲートウェイに自律システム番号(ASN)が構成されていない場合、このオプションは無効になります。

解決策:

  1. 現在の IPsec 接続を削除します。

  2. 新しいカスタマーゲートウェイを作成し、ASN を構成していることを確認します。

  3. 新しいカスタマーゲートウェイを使用して、IPsec 接続を再作成します。

トンネル 2 をアクティブトンネルに設定できますか?

いいえ。トンネルロールは固定されており、変更できません。

  • トンネル 1(IP アドレス 1)は常にアクティブトンネルです。

  • トンネル 2(IP アドレス 2)は常にスタンバイトンネルです。

シングル トンネルの IPsec 接続を作成できますか?

VPN Gateway のタイプによって異なります。

  • 新規の VPN Gateway:いいえ。新しく購入したインスタンスはデュアルトンネル IPsec 接続のみをサポートします。

  • 既存のシングルトンネル Gateway:はい。これらのインスタンスでは引き続きシングルトンネル接続を作成できます。

シングルトンネル VPN Gateway 用の IPsec 接続の作成

1. IPsec 接続の構成

開始前に、カスタマーゲートウェイを作成済みであることを確認してください。

コンソール

VPN コンソールのIPsec 接続ページに移動し、[VPN Gateway のバインド]をクリックして、以下の構成を完了します。

  • [IPsec 設定]:VPN Gateway をデプロイした[リージョン]を選択します。

  • [ゲートウェイ設定]:アタッチする VPN Gateway を選択します。

  • [ルート設定]

    • ルーティングモード

      • [宛先ルーティングモード](デフォルト):宛先 IP アドレスに基づいてトラフィックを転送します。BGP 経由または静的にルートを学習するシナリオで推奨されます。

      • [保護対象データフロー]:送信元および宛先 IP アドレスに基づいてトラフィックを転送します。特定の CIDR ブロックとの通信を制限する必要があるシナリオで推奨されます。

        • ローカルネットワーク(VPC CIDR ブロック)およびリモートネットワーク(オンプレミス CIDR ブロック)を指定する必要があります。

        • システムは自動的にポリシーベースルートを生成します。このルートでは、[送信元 CIDR ブロック]は接続のローカルネットワーク[宛先 CIDR ブロック]は接続のリモートネットワーク、ネクストホップは IPsec 接続となります。このルートは VPC ルートテーブルに公開できますが、デフォルトでは公開されません。

        • オンプレミスゲートウェイのインテレストトラフィック構成がこれらの設定(ローカルネットワークとリモートネットワークを入れ替えたもの)と一致していることを確認してください。

        • 複数のネットワークセグメントを追加するには、[追加] Add アイコンをクリックします。複数のセグメントにはIKEv2が必要です。

    • 今すぐ有効化:接続を迅速に有効にするか、トラフィック遅延を回避するには [はい] を選択します。リソースを節約し、トラフィックが少ない場合は [いいえ] を選択します。

  • [トンネル設定]

    • [BGP を有効化]BGP 動的ルーティングの構成を使用するかどうかを指定します。

      • 無効(デフォルト):静的ルートを使用します。シンプルなネットワークトポロジーで推奨されます。

      • 有効:動的ルーティングを使用して、ルートの自動配布と学習を行います。前提条件:関連付けられたカスタマーゲートウェイに ASN を構成する必要があります。

    • ローカル ASN:Alibaba Cloud 側(両方のトンネルで使用)の自律システム番号(ASN)です。

      • デフォルト:45104

      • 有効値:1 ~ 4294967295

      • 推奨事項:オンプレミスデバイスの ASN を構成する際は、非公開 ASN を使用することを推奨します。

    • カスタマーゲートウェイ:オンプレミスデバイスに関連付けられたカスタマーゲートウェイを選択します。同じカスタマーゲートウェイを両方のトンネルに関連付けることができます。

    • [事前共有鍵]:身分認証に使用する事前共有鍵を入力します。

      • 要件:キーはオンプレミスゲートウェイの構成と一致する必要があります。

      • 一貫性:両方のトンネルのキーは同一である必要があります。

      • デフォルト:空白のままにすると、システムが自動的にランダムなキーを生成します。

    [暗号化構成]を表示するにはクリックします。

    • [IKE 構成]

      • バージョンikev2を推奨します。SA ネゴシエーションが簡素化され、マルチセグメントシナリオへの対応が強化されます。

      • ネゴシエーションモード:ネゴシエーションが成功した後のデータ伝送におけるセキュリティレベルは、どちらのモードも同じです。

        • main(デフォルト):ネゴシエーション中に識別情報を暗号化するため、より高いセキュリティを提供します。

        • aggressive:ネゴシエーションが高速で、成功率が高くなります。

      • 暗号化アルゴリズム:フェーズ 1 ネゴシエーション用の暗号化アルゴリズムを選択します。

        • 要件:オンプレミスゲートウェイの構成と一致する必要があります。

        • サポートされるアルゴリズム:aes128(デフォルト)、aes192aes256des、および3des

        • 推奨事項:帯域幅が 200 Mbps 以上の接続では、AES アルゴリズム(aes128、aes192、aes256)を使用することを推奨します。

          • AES:強力な暗号化を提供しながら、効率的なパフォーマンス(遅延やスループットへの影響が小さい)を実現します。

          • 3des:推奨されません。計算負荷が高く、AES と比較して転送パフォーマンスが制限されます。

      • 認証アルゴリズム:フェーズ 1 ネゴシエーション用の認証アルゴリズムを選択します。

        • 要件:オンプレミスゲートウェイの構成と一致する必要があります。

        • サポートされるアルゴリズム:sha1(デフォルト)、md5sha256sha384、およびsha512

        • 注記:オンプレミスデバイスで擬似乱数関数(PRF)アルゴリズムが必要な場合は、選択した認証アルゴリズムと一致していることを確認してください。

      • DH グループ (前方秘匿性 PFS):フェーズ 1 ネゴシエーション用の Diffie-Hellman キー交換アルゴリズムを選択します。

        group1group2(デフォルト)、group5、およびgroup14は、それぞれ DH グループの DH1、DH2、DH5、DH14 を表します。

      • SA ライフサイクル (秒):フェーズ 1 セキュリティアソシエーション(SA)の有効期間を指定します。デフォルト値は86400です。有効値は0 ~ 86400です。

      • LocalId:トンネルの Alibaba Cloud 側の識別子です。

        • デフォルト:トンネルの IP アドレス。

        • フォーマット:IP アドレスまたは FQDN(例:example.aliyun.com)をサポートします。スペースは使用できません。

        • 推奨事項:プライベート IP アドレスを使用することを推奨します。

        • FQDN の要件:FQDN を使用する場合は、オンプレミスゲートウェイのピア ID がこの値と一致していること、およびネゴシエーションモードaggressiveに設定していることを確認してください。

      • [RemoteId]:トンネルのオンプレミス側の識別子です。

        • デフォルト:関連付けられたカスタマーゲートウェイの IP アドレス。

        • フォーマット:IP アドレスまたは FQDN(例:example.aliyun.com)をサポートします。スペースは使用できません。

        • 推奨事項:プライベート IP アドレスを使用することを推奨します。

        • FQDN の要件:FQDN を使用する場合は、オンプレミスゲートウェイのローカル ID がこの値と一致していること、およびネゴシエーションモードaggressiveに設定していることを確認してください。

    • [IPsec 構成]

      • 暗号化アルゴリズム:フェーズ 2 ネゴシエーション用の暗号化アルゴリズムを選択します。

        • サポートされるアルゴリズム:aes128(デフォルト)、aes192aes256des、および3des

        • 推奨事項:帯域幅が 200 Mbps 以上の接続では、AES アルゴリズム(aes128、aes192、aes256)を使用することを推奨します。

          • AES:強力な暗号化を提供しながら、効率的なパフォーマンス(遅延やスループットへの影響が小さい)を実現します。

          • 3des:推奨されません。計算負荷が高く、AES と比較して転送パフォーマンスが制限されます。

      • 認証アルゴリズム:フェーズ 2 ネゴシエーション用の認証アルゴリズムを選択します。サポートされるアルゴリズム:sha1(デフォルト)、md5sha256sha384、およびsha512

      • DH グループ (前方秘匿性 PFS):フェーズ 2 ネゴシエーション用の Diffie-Hellman キー交換アルゴリズムを選択します。

        • disabled PFS を無効にします。クライアントが完全転送秘密性(PFS)をサポートしていない場合に選択します。

        • group1group2(デフォルト)、group5、およびgroup14:PFS(DH1、DH2、DH5、DH14)を有効にします。

          • 要件: 有効にした場合、再ネゴシエーションごとにキーが更新されます。対応するクライアントでも PFS を有効にする必要があります。

      • SA ライフサイクル (秒):フェーズ 2 セキュリティアソシエーション(SA)の有効期間を指定します。デフォルト値は86400です。有効値は0 ~ 86400です。

      • DPD:ピア生存確認。

        • 推奨事項:常に DPD を有効にしてください(デフォルト)。30 秒以内にピアの障害を検出し、自動フェールオーバーをトリガーすることで、高可用性を確保します。

        • メカニズム:システムは DPD プローブを送信します。応答がない場合、ピアは切断されたと見なされ、トンネルは破棄されます。その後、システムは接続を再確立しようと試みます。

        • 注記:IKEv2 を使用する旧バージョンの VPN Gateway では、タイムアウトが 130 秒または 3600 秒になる場合があります。最新バージョンにアップグレードすると、標準の 30 秒タイムアウトが適用されます。

      • NAT トラバーサル

        • 推奨事項:この機能を有効にしてください(デフォルト)。

        • 機能:UDP ポート検証をスキップすることで、IKE ネゴシエーションが NAT デバイスを通過できるようにし、NAT 境界を越えた接続性を確保します。

    クリックしてBGP 設定を表示

    BGP を有効にした場合は、トンネルのBGP 構成を完了する必要があります。

    [ヘルスチェック]を表示するにはクリックします。

    この機能はデフォルトで無効になっています。

    • 推奨事項:アクティブ/スタンバイ以外のシナリオでは、IPsec 接続のヘルスチェックを構成しないでください。

    • 構成要件:この機能を有効にする場合は、以下の条件を満たす必要があります。

      • ICMP サポート:宛先 IP アドレスが ICMP 応答をサポートしている必要があります。

      • オンプレミスルート:プローブが正しく動作するように、オンプレミスデータセンターに特定のルートを追加する必要があります。

        • 宛先 CIDR:ヘルスチェックの送信元 IP アドレス。

        • サブネットマスク:32 ビット(/32)。

        • ネクストホップ:IPsec 接続。

構成の確認
  1. 構成を確認し、ページ下部の[OK]をクリックします。

  2. 表示されるダイアログボックスで、[キャンセル]をクリックして、ルーティングを後で構成します。

  3. 対象の IPsec 接続の操作列で、[ピア構成の生成]をクリックし、構成をコピーしてローカルに保存し、オンプレミスゲートウェイデバイスを構成します。

API

IPsec 接続を作成するには、CreateVpnConnection 操作を呼び出します。

2. VPN Gateway および VPC ルートの構成

VPN Gateway のルート構成に従ってルートを構成します。

3. オンプレミスゲートウェイデバイスの構成

「IPsec 接続の構成」ステップでダウンロードしたピア構成を使用して、ファイアウォールやルーターなどのオンプレミスゲートウェイデバイスで IPsec および BGP(有効にした場合)の構成を完了します。具体的な構成手順については、ご利用のデバイスのドキュメントをご参照ください。オンプレミスゲートウェイデバイスの構成にリファレンス例を示します。