VPN Gateway:組み込みのVPNソフトウェアを使用してiOSデバイスをVPNゲートウェイに接続する

前提条件

• Alibaba Cloud アカウントが作成済みであること。 Alibaba Cloudアカウントをお持ちでない場合、 create one .

• モバイルクライアントはiOSオペレーティングシステムを実行します。

• IPsecサーバーをサポートするリージョンでVPCが作成されます。 詳細については、「IPv4 CIDRブロックを使用したVPCの作成」をご参照ください。

  説明

  • IPsecサーバーは、中国 (杭州) 、中国 (上海) 、中国 (南京) 、中国 (南京) のリージョンでサポートされています。 中国 (青島) 、中国 (北京) 、中国 (張家口) 、中国 (フフホト) 、中国 (ウランカブ) 、中国 (深セン) 、中国 (河源) 、中国 (広州) 、 中国 (成都) 、中国 (香港) 、日本 (東京) 、韓国 (ソウル) 、シンガポール、オーストラリア (シドニー) 閉鎖、マレーシア (クアラルンプール) 、インドネシア (ジャカルタ) 、フィリピン (マニラ) 、タイ (バンコク) 、インド (ムンバイ) 閉鎖、ドイツ (フランクフルト) 、英国 (ロンドン) 、米国 (バージニア) 、米国 (シリコンバレー) 、UAE (ドバイ) 、およびSAU (リヤド-パートナー地域).

  • 組み込みのVPNソフトウェアを使用して、iOSデバイスのみがVPNゲートウェイに接続できます。

シナリオ

会社が中国 (青島) リージョンにElastic Compute Service (ECS) インスタンスを作成し、ECSインスタンスにエンタープライズアプリケーションをデプロイしました。 ビジネスの成長により、出張中の従業員は、iOSデバイスからAlibaba Cloudにデプロイされたエンタープライズアプリケーションにリモートアクセスする必要があります。

VPNゲートウェイを作成し、そのゲートウェイにIPsecサーバーを作成できます。 このようにして、従業員はiOSデバイスの組み込みVPNソフトウェアを使用してVPNゲートウェイに接続できます。 モバイルクライアントがVPNゲートウェイに接続されると、従業員はAlibaba Cloudにデプロイされたエンタープライズアプリケーションにリモートでアクセスできます。

手順

手順 1: VPN ゲートウェイの作成

1. VPN Gatewayコンソール.

2. 上部のナビゲーションバーで、VPNゲートウェイに関連付けるVPCのリージョンを選択します。 この例では、中国 (青島) が選択されています。

3. VPNゲートウェイページをクリックします。VPNゲートウェイの作成.

4. 購入ページで、次のパラメーターを設定し、[今すぐ購入] をクリックして、支払いを完了します。

   • 名前: VPN gatewayの名前を入力します。

   • リージョン: VPN gatewayをデプロイするリージョンを選択します。

     この例では、中国 (青島) が選択されています。

   • ゲートウェイのタイプ: 作成するNATゲートウェイのタイプを選択します。 この例では、標準 が選択されています。

   • ネットワークタイプ: VPN gatewayのネットワークタイプを選択します。 この例では、[パブリック] が選択されています。

   • トンネル: このリージョンでサポートされているトンネルモードが表示されます。

   • VPC: VPNゲートウェイに関連付けるVPCを選択します。

   • vSwitch: VPCからvSwitchを選択します。

     • シングルトンネルを選択した場合、vSwitchを1つだけ指定する必要があります。

     • デュアルトンネルを選択した場合、2つのvSwitchを指定する必要があります。

       IPsec-VPN機能を有効にすると、IPsec-VPN接続を介してVPCと通信するためのインターフェイスとして、2つのvSwitchのそれぞれにelastic network interface (ENI) が作成されます。 各ENIはvSwitchで1つのIPアドレスを占有します。

     説明

     • システムはデフォルトでvSwitchを選択します。 デフォルトのvSwitchを変更または使用できます。

     • VPNゲートウェイの作成後、VPNゲートウェイに関連付けられているvSwitchを変更することはできません。 VPN gatewayの詳細ページで、VPN gatewayに関連付けられているvSwitch、vSwitchが属するゾーン、およびENIをvSwitchで表示できます。

   • vSwitch 2: VPCから別のvSwitchを選択します。

     Single-tunnelを選択した場合は、このパラメーターを無視します。

   • 最大帯域幅: VPN gatewayの最大帯域幅を指定します。 帯域幅は、インターネットを介したデータ転送に使用される。

     10 この例では、Mbit/sが選択される。

   • トラフィック: デフォルトでは、VPNゲートウェイはデータ転送課金方式を使用します。 詳細については、「課金」をご参照ください。

   • IPsec-VPN: IPsec-VPN機能を有効または無効にします。 この機能を有効にすると、データセンターとVPC間の接続を確立できます。

     この例では、[無効] が選択されています。

   • SSL-VPN: SSL-VPN機能を有効または無効にします。 SSL-VPN機能を使用すると、どこからでもデバイスからVPCに接続できます。

     モバイルデバイスの組み込みVPNソフトウェアを使用してVPNゲートウェイとの接続を確立するには、SSL-VPN機能を有効にする必要があります。 この例では、有効化が選択されています。

   • SSL接続: VPN gatewayに同時に接続できるクライアントの最大数を選択します。

     この例では5が選択されています。

     説明

     このパラメーターで指定するSSL-VPN接続の数には、SSL-VPN接続とIPsec-VPN接続の両方が含まれます。 たとえば、SSL接続の最大数を5に設定し、3つのSSLクライアントがSSL-VPN接続を介して接続されている場合、IPsecサーバーに接続できるモバイルクライアントは2つだけです。

   • 期間: デフォルトでは、VPNゲートウェイは1時間ごとに課金されます。

   • サービスにリンクされたロール: [サービスにリンクされたロールの作成] をクリックすると、サービスにリンクされたロールAliyunServiceRoleForVpnが自動的に作成されます。 VPN Gatewayは、他のクラウドリソースにアクセスするためにこの役割を引き受けます。 詳細については、「AliyunServiceRoleForVpn」をご参照ください。

     [作成済み] が表示されている場合は、サービスにリンクされたロールが作成され、再度作成する必要がないことを示します。

5. VPN gatewayページに戻り、作成したVPN gatewayを表示します。

   新しく作成されたVPN gatewayは 準備中 状態です。 約2分後、状態は正常に変わる。 Normal状態は、VPNゲートウェイが初期化され、使用できる状態にあることを示します。 システムは、VPNゲートウェイにパブリックIPアドレスを割り当てます。 IPアドレスは、モバイルクライアントとVPNゲートウェイとの間の接続を確立するために使用される。

   説明

   既存のVPNゲートウェイを使用する場合は、必ず最新バージョンに更新してください。 既存のVPN gatewayが最新バージョンを使用していない場合、IPsecサーバは使用できません。

   VPN gatewayの詳細ページの [アップグレード] ボタンを表示することで、VPN gatewayが最新バージョンであるかどうかを確認できます。 VPN gatewayが最新バージョンでない場合は、[アップグレード] をクリックしてVPN gatewayをアップグレードします。 詳細については、「VPNゲートウェイのアップグレード」をご参照ください。

手順2: IPsecサーバーの作成

1. VPN Gatewayコンソール.

2. 左側のナビゲーションウィンドウで、相互接続 > VPN > IPsec-VPN サーバ.

3. 上部のナビゲーションバーで、IPsecサーバーが存在するリージョンを選択します。

4. IPsec-VPNサーバーページをクリックします。IPsec-VPNサーバーの作成.

5. [IPsec-VPNサーバーの作成] ページで、次のパラメーターを設定します。

   • 名前: IPsecサーバーの名前を入力します。

   • VPN Gateway: モバイルデバイスの組み込みVPNソフトウェアを使用して、接続するVPNゲートウェイを選択します。

     この例では、手順1で作成したVPN gatewayを選択します。

   • ローカルネットワーク: モバイルデバイスがアクセスするVPCのCIDRブロックを入力します。

     この例では、192.168.0.0/16を使用します。

   • クライアントCIDRブロック: IPsec-VPN接続のモバイルクライアントのプライベートCIDRブロックを入力します。

     クライアントサブネットは、モバイルクライアントのプライベートCIDRブロックではなく、モバイルクライアントの仮想ネットワークアダプタに割り当てられたプライベートCIDRブロックです。 モバイルクライアントがVPCにアクセスすると、VPNゲートウェイは指定されたクライアントサブネットからクライアントにIPアドレスを割り当てます。

     説明

     クライアントのCIDRブロックは、VPCのvSwitchのCIDRブロックと重複してはなりません。

     この例では、10.0.0.0/16を使用します。

   • 事前共有キー: 事前共有キーは、IPsecサーバーとモバイルクライアント間のID検証に使用されます。 IPsec-VPN接続は、両端が同じキーを持つ場合にのみ確立できます。 キーを指定するか、システムによってランダムに生成されたデフォルトのキーを使用できます。

     この例では123456が使用されています。

   • すぐに有効: すぐに交渉を開始するかどうかを選択します。

     • Yes: 設定完了後にネゴシエーションを開始します。

     • No: インバウンドトラフィックが検出されると、ネゴシエーションを開始します。

     この例では、はいが選択されています。

   • 詳細設定: この例では、デフォルト設定が使用されています。

     説明

     組み込みのVPNソフトウェアを使用してiOSデバイスをVPNゲートウェイに接続するには、Versionパラメーターをikev2に設定する必要があります。

   

6. クリックOK.

ステップ3: モバイルデバイスの内蔵VPNソフトウェアを使用してVPNゲートウェイに接続する

次の操作では、組み込みのVPNソフトウェアを使用してiOSデバイスをVPNゲートウェイに接続する方法について説明します。 この例では、デバイスはiOS 14で実行されます。

1. モバイルデバイスで設定 を開きます。

2. 選択一般 > VPN > VPN設定の追加.

3. [設定の追加] ページで、次のパラメーターを設定します。

   • タイプ: VPNタイプを選択します。

     この例では、IKEv2が選択されています。

   • 説明: VPNの説明を入力します。

   • サーバー: モバイルクライアントに接続するVPNゲートウェイのパブリックIPアドレスを入力します。

     この例では、ステップ1のVPN gatewayのパブリックIPアドレスが入力されます。

   • リモートID: モバイルクライアントに接続するVPNゲートウェイのパブリックIPアドレスを入力します。

     この例では、ステップ1のVPN gatewayのパブリックIPアドレスが入力されます。

   • ローカルID: この例では、このパラメーターは設定されていません。

   • ユーザー認証: ユーザー認証タイプを選択します。

     この例ではなしが選択されています。

   • 証明書の使用: この例では、パラメーターは無効です。

   • Secret: シークレットは、IPsecサーバーとモバイルクライアント間のID検証に使用されます。 IPsec-VPN接続は、両方のエンドが同じシークレットを使用する場合にのみ確立できます。

     この例では123456が使用されています。

4. 完了。

5. VPNページで、VPN設定のステータスを選択してオンにします。

ステップ4: ネットワーク接続のテスト

モバイルデバイスとVPC間の接続をテストするには、次の手順を実行します。

テストを実行する前に、ECSセキュリティグループルールがモバイルクライアントからのリクエストを許可していることを確認してください。 詳細については、「セキュリティグループルールの表示」および「セキュリティグループルールの追加」をご参照ください。

1. モバイルデバイスでブラウザを開きます。

2. ブラウザのアドレスバーにECSインスタンスのプライベートIPアドレスを入力します。

   この例では192.168.0.196が使用されています。

   結果は、モバイルクライアントがVPCにデプロイされたリソースにアクセスできることを示しています。