このトピックでは、VPNゲートウェイに関するよくある質問 (FAQ) に対する回答を提供します。
よくある質問
よくある質問についてVPN Gateway
IPsec-VPNに関するFAQ
VPNゲートウェイにルートを追加するときに報告される重複ルートエラーのトラブルシューティングを行うにはどうすればよいですか?
NATによってデータセンターのIPアドレスが変換された後、データセンターはVPNゲートウェイとのIPsec-VPN接続をどのように確立しますか?
よくある質問についてSSL-VPN
VPNゲートウェイを使用してインターネットにアクセスできますか?
いいえ、VPNゲートウェイを使用してインターネットにアクセスすることはできません。
VPNゲートウェイを使用して、プライベート接続を介して仮想プライベートクラウド (VPC) にのみアクセスできます。
IPsec-VPN経由でデータセンターをVPCに接続するための前提条件は何ですか?
データセンターのゲートウェイデバイスは、Internet Key Exchangeバージョン1 (IKEv1) またはIKEv2プロトコルをサポートしています。
IPsec-VPNはIKEv1およびIKEv2プロトコルをサポートします。 IKEv1またはIKEv2プロトコルをサポートするすべてのゲートウェイデバイスは、Alibaba Cloud上のVPNゲートウェイに接続できます。 詳細については、「」をご参照ください。IPsec-VPN接続を設定するときにIKEバージョンを選択するにはどうすればよいですか? このトピックのセクション。 RDSインスタンスが存在する
静的パブリックIPアドレスは、データセンターのゲートウェイデバイスに割り当てられます。
データセンターとVPCのCIDRブロックは互いに重複しません。
IPsec-VPN接続を使用してデータセンターをVPNに接続する方法の詳細については、「VPCをデュアルトンネルモードでデータセンターに接続する」をご参照ください。
どのタイプのゲートウェイデバイスがVPNゲートウェイに接続できますか?
Alibaba Cloud VPNゲートウェイは、標準のIKEv1およびIKEv2プロトコルをサポートしています。 IKEv1またはIKEv2プロトコルをサポートするすべてのゲートウェイデバイスは、Alibaba Cloud VPNゲートウェイに接続できます。 たとえば、H3Cが提供するゲートウェイデバイス、 Hillstone、Sangfor、Cisco ASA、Juniper、SonicWall、Nokia、IBM、およびIxiaは、Alibaba Cloud VPNゲートウェイに接続できます。 詳細については、「ローカルゲートウェイの設定」をご参照ください。
VPN Gatewayを使用して、リージョン間のVPCを接続できますか。
はい。VPNゲートウェイを使用して、リージョン間でVPCを接続できます。
詳細については、「デュアルトンネルモードでIPsec-VPN接続を使用した2つのVPC間の通信の有効化」をご参照ください。
異なるリージョンのVPC間にIPsec-VPN接続を作成すると、接続品質はインターネット品質の影響を受けます。 異なるリージョンのVPCを接続するには、CENを使用することを推奨します。 詳細については、「Enterprise Editionトランジットルーターを使用して異なるリージョンとアカウントのVPCを接続する」をご参照ください。
VPC間のデータ転送はインターネットを介して流れますか?
2つのVPCがVPNゲートウェイを使用して接続されているシナリオ
VPCが同じリージョンにデプロイされている場合、VPC間のデータ転送はAlibaba Cloudネットワークのみを介して行われ、インターネットを介しては行われません。
VPCが異なるリージョンにデプロイされている場合、データ転送はインターネットを介して流れます。
IPsecサーバーとSSLサーバーの違いは何ですか?
項目 | IPsec-VPNサーバー | SSL-VPNサーバー |
シナリオ | エンドツーエンドの接続を提供します。 | エンドツーエンドの接続を提供します。 |
クライアントモード | iOSを実行するモバイルクライアントがAlibaba CloudへのIPsec-VPN接続を確立できるようにします。 | Androidとコンピューターを実行するモバイルクライアントがAlibaba CloudへのSSL-VPN接続を確立できるようにします。 |
接続モード | iOSを実行するモバイルクライアントが、組み込みVPN機能を使用してAlibaba CloudへのIPsec-VPN接続を確立できるようにします。 | Androidとコンピューターを実行するモバイルクライアントが、OpenVPNを使用してAlibaba CloudへのSSL-VPN接続を確立できるようにします。 |
暗号化方法 | IPsec プロトコル | SSL 証明書 |
IPsec-VPN接続に複数のピアCIDRブロックを指定できますか?
はい。IPsec-VPN接続に複数のピアCIDRブロックを指定できます。
複数のピアCIDRブロックを設定する前に、複数のCIDRブロックを設定するための提案について学ぶことをお勧めします。 詳細については、「設定の提案と、CIDRブロック間の通信の有効化に関するFAQ」をご参照ください。
VPNゲートウェイで作成できるIPsec-VPN接続はいくつですか?
デフォルトでは、VPNゲートウェイで最大10個のIPsec-VPN接続を作成できます。 クォータセンターコンソールでクォータを調整できます。 詳細については、「VPN Gatewayクォータの管理」をご参照ください。
VPNゲートウェイのACLルールを設定する方法を教えてください。
タイプのVPNゲートウェイ | ACLルール |
IPsec-VPN | 次のCIDRブロックとIPアドレスを許可するように、アウトバウンドルールとインバウンドルールを設定します。 このようにして、VPNゲートウェイはIPsec − VPN接続を確立することができる。
|
SSL-VPN | 次のCIDRブロックとIPアドレスを許可し、SSL-VPN接続で使用できるポートを開くように、アウトバウンドルールとインバウンドルールを設定します。 このようにして、VPNゲートウェイはSSL-VPN接続を確立できます。
|
VPNゲートウェイをアップグレードまたはダウングレードできますか?
はい、VPNゲートウェイをアップグレードまたはダウングレードできます。
方法の詳細については、 VPN gatewayの帯域幅をアップグレードまたはダウングレードします。「VPN gatewayのアップグレードまたはダウングレード」をご参照ください。
方法の詳細については、 SSL-VPN接続のクォータを増減します。「同時SSL接続の最大数の変更」をご参照ください。
VPNゲートウェイのIPsec-VPNまたはSSL-VPNを有効にする方法の詳細については、「IPsec-VPNの有効化」および「SSL-VPNの有効化」をご参照ください。
VPNゲートウェイ上のSSLクライアントに関する接続情報を表示できますか。
はい、VPNゲートウェイ上のSSLクライアントに関する接続情報を表示できます。
詳細については、「SSLクライアントに関する情報の表示」をご参照ください。
VPN gatewayが2022年12月10日以降に作成された場合、デフォルトでSSLクライアントに関する接続情報を表示できます。
SSLサーバーに関連付けられたVPNゲートウェイが2022年12月10日より前に作成された場合、SSLクライアントに関する接続情報を表示する前に、VPNゲートウェイを最新バージョンにアップグレードする必要があります。 詳細については、「VPN gatewayのアップグレード」をご参照ください。
SSL-VPNのリリース日より前に作成されたVPN GatewayのSSL-VPNを有効にできますか?
いいえ、SSL-VPNのリリース日より前に作成されたVPN GatewayのSSL-VPNを有効にすることはできません。
SSL-VPNを有効にするには、VPN Gatewayを最新バージョンにアップグレードします。 詳細については、「VPN gatewayのアップグレード」をご参照ください。
IPsec-VPN接続を作成するときにIKEバージョンを選択するにはどうすればよいですか?
IPsec-VPN接続を作成するときに、ピアゲートウェイデバイスでサポートされているIKEバージョンと、複数のCIDRブロック間の通信が必要かどうかに基づいて、IKEバージョンを選択できます。
IPsec-VPN接続の作成時に複数のローカルCIDRブロックまたはピアCIDRブロックを指定すると、複数のCIDRブロック間の通信が確立されます。
サポートされているIKEバージョン | 複数のCIDRブロック間の通信が必要かどうか | 設定 |
IKEv1のみ | 必須 |
|
選択可能 | IPsec-VPN接続とピアゲートウェイデバイスの両方がIKEv1を使用します。 | |
IKEv2のみ | 必須 |
|
選択可能 | IPsec-VPN接続とピアゲートウェイデバイスの両方がIKEv2を使用します。 | |
IKEv1およびIKEv2 | 必須 |
|
選択可能 | IPsec-VPN接続とピアゲートウェイデバイスの両方がIKEv2を使用することを推奨します。 IKEv2は、IKEv1と比較して、SAネゴシエーションプロセスを簡素化し、複数のCIDRブロックが使用されるシナリオをサポートします。 したがって、IKEv2を使用することを推奨します。 |
NATによってデータセンターのIPアドレスが変換された後、データセンターはVPNゲートウェイとのIPsec-VPN接続をどのように確立しますか?
たとえば、データセンターは42.XX. XX.1を使用して、Alibaba Cloud VPNゲートウェイとのIPsec-VPN接続を確立する予定です。 データセンターのSNATが有効になっています。 SNATは42.XX. XX.1を47.XX. XX.21に変換します。 VPN gatewayコンソールでカスタマーゲートウェイを作成するときは、カスタマーゲートウェイのIPアドレスとして47.XX. XX.21を入力する必要があります。 それ以外の場合、データセンターはAlibaba Cloud VPNゲートウェイとのIPsec-VPN接続を確立できません。
VPN GatewayとのIPsec-VPN接続を確立するには、デフォルトのIPsecポート (ポート500またはポート4500) を使用することを推奨します。
パブリックVPNゲートウェイとVPNゲートウェイに関連付けられているVPCの両方にNATが有効になっている場合、パブリックVPNゲートウェイのIPアドレスは変更されず、NATによって変換されません。
IPsec-VPN接続の最大帯域幅を増やすにはどうすればよいですか?
IPsec接続がVPNゲートウェイに関連付けられている場合、IPsec-VPN接続の最大帯域幅は1,000 Mbit/sです。 特定の地域では、最大帯域幅は500 Mbit/sです。 最大帯域幅を増やすには、IPsec接続をトランジットルーターに関連付けて、データセンターをVPCに接続することを推奨します。
IPsec接続がトランジットルーターに関連付けられた後、IPsec-VPN接続の最大帯域幅は1,000 Mbit/sになります。 最大帯域幅を増やすには、トランジットルーターとデータセンター間に複数のIPsec-VPN接続を確立します。 これにより、ネットワークトラフィックは、複数のIPsec-VPN接続を介してデータセンターとAlibaba Cloudの間で送信されます。 以下の図は一例です。 詳細については、「負荷分散のためにインターネット経由で複数のIPsec-VPN接続を作成する」および「負荷分散を実装するために複数のプライベートIPsec-VPN接続を作成する」をご参照ください。
IPsec-インターネット経由で確立されたVPN接続:
IPsec-プライベートネットワーク経由で確立されたVPN接続:
VPNゲートウェイは、VPCの異なるゾーンにデプロイされているECSインスタンスのトラフィックを転送できますか。
はい。VPNゲートウェイは、VPCの異なるゾーンにデプロイされているElastic Compute Service (ECS) インスタンスのトラフィックを転送できます。
VPNゲートウェイを作成するときは、vSwitchを指定する必要があります。 VPNゲートウェイは、vSwitchが属するゾーンにデプロイされます。 VPN gatewayは、VPCのすべてのゾーンのすべてのECSインスタンスのネットワークトラフィックを転送できます。
実際のシナリオに基づいてECSネットワークトラフィックを転送する方法を指定するには、ルートを追加する必要がある場合があります。 たとえば、ゾーン内のvSwitchがカスタムルートテーブルに関連付けられている場合、VPNゲートウェイを指すルートをカスタムルートテーブルに追加する必要があります。
VPNゲートウェイにルートを追加するときに報告される重複ルートエラーのトラブルシューティングを行うにはどうすればよいですか?
このエラーの考えられる原因は次のとおりです。
追加するルートの宛先CIDRブロックは、VPCの既存のルートの宛先CIDRブロックと同じです。 VPCルートテーブルでルートを確認し、重複するルートを避けます。
追加するルートは、VPNゲートウェイの既存のルートと重複します。 VPN gatewayのポリシーベースのルートテーブルと宛先ベースのルートテーブルでルートを確認します。
VPN gatewayの既存の宛先ベースのルートと同じ宛先CIDRブロックとネクストホップを持つ宛先ベースのルートを追加すると、ルートの重複エラーが報告されます。
VPCゲートウェイの既存のポリシーベースのルートと同じソースCIDRブロック、宛先CIDRブロック、およびネクストホップを持つポリシーベースのルートを追加すると、ルートの重複エラーが報告されます。
VPN接続の帯域幅が購入した帯域幅仕様を満たしていないのはなぜですか?
VPNゲートウェイを購入すると、VPNゲートウェイは購入した仕様の帯域幅を提供します。 ただし、VPNゲートウェイがデータを転送する場合、次の原因により帯域幅が影響を受ける可能性があります。
カスタマーゲートウェイに関連付けられたデバイスの機能、同時接続の数、パケットの平均サイズ、およびTCPやUDPなどの使用されるプロトコル。
カスタマーゲートウェイに関連付けられているデバイスとVPN gateway間のネットワーク遅延。
説明パブリックVPNゲートウェイを購入する場合、またはインターネット経由で確立されたIPsec-VPN接続を使用する場合、パブリック帯域幅とインターネット遅延が帯域幅に影響を与える可能性があります。
VPNゲートウェイの帯域幅をテストする場合は、iPerf3を使用することを推奨します。 scpコマンド、ftpコマンド、cpコマンドなどのコマンドを実行してファイルを転送する速度は、ディスクの読み取り速度と書き込み速度の影響により、実際の帯域幅を反映できません。 iPerf3の使用方法の詳細については、「Express Connect回路のパフォーマンスのテスト」トピックの「iPerf3を使用してExpress Connect回路の帯域幅をテストする」セクションを参照してください。
より高い伝送品質が必要な場合は、CENの使用を推奨します。 詳細については、「」をご参照ください。CENとは何ですか?
VPNゲートウェイを使用して、VPCとパブリックIPアドレス間のトラフィックを暗号化できますか?
はい。VPNゲートウェイを使用して、VPCとパブリックIPアドレス間のトラフィックを暗号化できます。
クライアントまたはデータセンターがVPNゲートウェイを使用してVPCに接続されており、パブリックIPアドレスを使用してVPC内のリソースにアクセスする必要がある場合は、次の操作を実行する必要があります。
パブリックIPアドレスが属するパブリックCIDRブロックをVPN gatewayに追加します。
IPsec-VPN接続を使用する場合は、パブリックCIDRブロックをIPsec-VPN接続のピアCIDRブロックに追加します。リモートネットワーク
SSL-VPN接続を使用する場合は、SSLサーバーのクライアントCIDRブロックにパブリックCIDRブロックを追加します。クライアントサブネット
パブリックIPアドレスが属するパブリックCIDRブロックを、VPCのユーザーCIDRブロックとして設定します。 これにより、VPCがパブリックCIDRブロックにアクセスできるようになります。 詳細については、「」をご参照ください。ユーザーCIDRブロックとは何ですか? とユーザーCIDRブロックを設定するにはどうすればよいですか?.
ルートの数が上限に達したらどうすればよいですか?
ポリシーベースのルート、宛先ベースのルート、またはBorder Gateway Protocol (BGP) ルートの数が上限に達し、ルートを追加できない場合、またはIPsec-VPN接続がBGPからルートを学習できない場合は、次の操作を実行してこの問題を解決できます。
ルートのクォータを増やします。
ポリシーベースのルート、宛先ベースのルート、またはBGPルートのクォータを増やすことができます。 詳細については、「IPsec-VPNクォータ」をご参照ください。
集約ルートを設定します。
ビジネスに影響を与えることなく、複数のルートを1つのルートに集約できます。
たとえば、宛先CIDRブロックがそれぞれ10.10.1.0/24、10.10.2.0/24、および10.10.3.0/24であり、次のホップがIPsec-VPN接続1を指す3つの宛先ベースのルートを設定したとします。 この場合、宛先CIDRブロックが10.10.0.0/22で、ネクストホップポイントがIPsec-VPN接続1にある宛先ベースのルートを追加できます。 次に、3つの宛先ベースのルートを削除できます。