すべてのプロダクト
Search
ドキュメントセンター

VPN Gateway:IPsecサーバーの作成と管理

最終更新日:Nov 07, 2024

VPN Gatewayを使用すると、iOSを実行するモバイルデバイス上の組み込みVPNアプリケーションを使用して、IPsecサーバーとAlibaba Cloud間にIPsec-VPN接続を確立できます。 IPsecサーバーは、モバイルデバイスを使用してアクセスできるネットワークとリソースを制御します。

前提条件

  • IPsecサーバーの制限と前提条件を理解しています。 詳細については、「IPsec-VPNサーバーの構成」トピックの「制限および前提条件」セクションをご参照ください。

  • VPNゲートウェイが作成され、VPNゲートウェイのSSL-VPN機能が有効になります。 詳細については、「VPN gatewayの作成と管理」をご参照ください。

IPsecサーバーの作成

  1. VPN Gatewayコンソール.

  2. 左側のナビゲーションウィンドウで、相互接続 > VPN > IPsec-VPN サーバ.

  3. 上部のナビゲーションバーで、IPsecサーバーを作成するリージョンを選択します。

    IPsecサーバーをサポートするリージョン

    中国 (杭州) 、中国 (上海) 、中国 (南京-地方地域) 、 中国 (青島) 、中国 (北京) 、中国 (張家口) 、中国 (フフホト) 、中国 (ウランカブ) 、中国 (深セン) 、中国 (河源) 、中国 (広州) 、 中国 (成都) 、中国 (香港) 、日本 (東京) 、韓国 (ソウル) 、シンガポール、オーストラリア (シドニー)サービス終了、マレーシア (クアラルンプール) 、インドネシア (ジャカルタ) 、フィリピン (マニラ) 、タイ (バンコク) 、ドイツ (フランクフルト) 、英国 (ロンドン) 、米国 (バージニア) 、米国 (シリコンバレー) 、アラブ首長国連邦 (ドバイ)、およびSAU (リヤド-パートナーリージョン)

  4. IPsec-VPN サーバページをクリックします。IPsec-VPN サーバーの作成.

  5. IPsec-VPN サーバーの作成ページで、次の表に記載されているパラメーターを設定し、OK.

    パラメーター

    説明

    名前

    IPsecサーバーの名前。

    リソースグループ

    VPN gatewayが属するリソースグループ。

    IPsecサーバーと関連するVPNゲートウェイは、同じリソースグループに属している必要があります。

    VPN Gateway

    IPsecサーバーを関連付けるVPNゲートウェイ。

    説明

    IPsecサーバーを作成した後、関連付けられているVPNゲートウェイを変更することはできません。

    ローカルネットワーク

    IPsec-VPN接続を使用して接続するネットワークのCIDRブロック。

    CIDRブロックは、仮想プライベートクラウド (VPC) 、vSwitch、またはExpress Connect回路を使用してVPCに接続されたデータセンターのCIDRブロックにすることができます。

    [ローカルネットワークの追加] をクリックして、CIDRブロックを追加します。

    クライアントサブネット

    クライアントがSSLサーバーへの接続に使用するCIDRブロック。 CIDRブロックからのIPアドレスは、クライアントの仮想ネットワークインターフェイスコントローラー (NIC) に割り当てられます。 クライアントのプライベートCIDRブロックを入力しないでください。 クライアントがIPsec-VPN接続を使用して宛先ネットワークにアクセスすると、VPNゲートウェイはクライアントCIDRブロックからクライアントにIPアドレスを割り当てます。

    重要
    • クライアントCIDRブロックがローカルCIDRブロックまたはVPC内のvSwitchのCIDRブロックと重複しないようにします。

    • クライアントCIDRブロックのIPアドレスの数が、VPNゲートウェイでサポートされているSSL-VPN接続の最大数の4倍以上であることを確認します。

      たとえば、クライアントCIDRブロックとして192.168.0.0/24を指定した場合、システムは最初に、192.168.0.4/30などの192.168.0.0/24から30のサブネットマスクを持つサブネットCIDRブロックを分割します。 このサブネットは最大4つのIPアドレスを提供します。 次に、システムは192.168.0.4/30からのIPアドレスをクライアントに割り当て、他の3つのIPアドレスを使用してネットワーク通信を保証します。 この場合、1つのクライアントが4つのIPアドレスを消費します。 したがって、クライアントにIPアドレスを確実に割り当てるには、クライアントCIDRブロック内のIPアドレスの数が、関連付けられているVPNゲートウェイでサポートされているSSL-VPN接続の最大数の4倍以上であることを確認する必要があります。

    事前共有鍵

    IPsecサーバーの事前共有キー。 鍵は、IPsecサーバとクライアントとの間の認証に使用される。 キーの長さは1 ~ 100文字である必要があります。

    事前共有キーを指定しない場合、システムは事前共有キーとして16ビットの文字列をランダムに生成します。 IPsecサーバーの作成後にシステムによって生成された事前共有キーを表示するには、IPsec-VPNサーバーページに移動し、管理するIPsecサーバーを見つけて、[操作] 列の [編集] をクリックします。 詳細については、このトピックの「IPsecサーバーの変更」をご参照ください。

    重要

    クライアントの認証キーは、IPsecサーバの事前共有キーと同じである必要があります。 そうしないと、クライアントとIPsecサーバー間の接続を確立できません。

    今すぐ有効化有効

    接続のネゴシエーションをすぐに開始するかどうかを指定します。 有効な値:

    • はい: 設定が完了するとすぐにネゴシエーションが開始されます。

    • いいえ: インバウンドトラフィックが検出されると、ネゴシエーションを開始します。

    高度な構成: IKE 構成

    バージョン

    Internet Key Exchange (IKE) プロトコルのバージョン。 有効な値:

    • ikev1

    • ikev2

    IKEv1とIKEv2がサポートされています。 IKEv2は、IKEv1と比較して、ネゴシエーションプロセスを簡素化し、複数のサブネットが使用されるシナリオをサポートします。 IKEv2を選択することを推奨します。

    LocalId

    IPsecサーバーの識別子。 デフォルト値は、VPNゲートウェイのSSLアドレスです。 VPNゲートウェイがシングルトンネルモードを使用する場合、SSLアドレスはVPNゲートウェイのパブリックIPアドレスです。

    IPアドレスまたは完全修飾ドメイン名 (FQDN) を入力できます。 このパラメーターの値は、ピアIPsecクライアントのリモートIDと同じである必要があります。

    IPアドレスを入力することを推奨します。

    RemoteId

    クライアントの識別子。 IPアドレスまたはFQDNを入力できます。 このパラメーターの値は、ピアIPsecクライアントのローカルIDと同じである必要があります。 IPアドレスを入力することを推奨します。

IPsecサーバーの変更

  1. VPN Gatewayコンソール.

  2. 左側のナビゲーションウィンドウで、相互接続 > VPN > IPsec-VPN サーバ.

  3. 上部のナビゲーションバーで、IPsecサーバーが存在するリージョンを選択します。

  4. IPsec-VPN サーバ ページで、管理するIPsecサーバーを見つけます。 操作 列の 編集 をクリックします。

  5. IPsec-VPN サーバーの編集ページでIPsecサーバーの設定を変更し、OK.

    パラメーターの説明の詳細については、このトピックの「IPsecサーバーの作成」をご参照ください。

IPsecサーバーの削除

IPsecサーバーを削除すると、IPsecサーバーとクライアント間の接続は自動的に閉じられます。

  1. VPN Gatewayコンソール.

  2. 左側のナビゲーションウィンドウで、相互接続 > VPN > IPsec-VPN サーバ.

  3. 上部のナビゲーションバーで、IPsecサーバーが存在するリージョンを選択します。

  4. IPsec-VPN サーバ ページで、削除するIPsecサーバーを見つけます。 操作 列の 削除 をクリックします。

  5. IPsec-VPN サーバーの削除メッセージ、情報を確認し、OK.

API操作によるIPsecサーバーの作成と管理

VPN Gatewayを使用すると、Alibaba Cloud SDK (推奨)Alibaba Cloud CLITerraformResource Orchestration Service (ROS) などのさまざまなツールを使用して、API操作を呼び出してIPsecサーバーを作成、変更、削除できます。 IPsecサーバーを管理するために、次のAPI操作を呼び出すことができます。