翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# とは AWS Client VPN
<a name="what-is"></a>

AWS Client VPN は、オンプレミスネットワーク内の AWS リソースとリソースに安全にアクセスできるマネージドクライアントベースの VPN サービスです。クライアント VPN を使用すると、OpenVPN ベースの VPN クライアントを使用して、どこからでもリソースにアクセスできます。



**Topics**
+ [クライアント VPN の機能](#what-is-features)
+ [クライアント VPN のコンポーネント](#what-is-components)
+ [クライアント VPN の使用](#what-is-access)
+ [クライアント VPN の料金](#what-is-pricing)
+ [ヒントとベストプラクティス](what-is-best-practices.md)

## クライアント VPN の機能
<a name="what-is-features"></a>

クライアント VPN には、以下の機能があります。
+ **安全な接続** — OpenVPN クライアントを介して任意の場所から暗号化された TLS 接続を確立し、データのプライバシーと整合性を確保します。
+ **マネージドサービス** — AWS の完全な管理を通じて、サードパーティーのリモートアクセス VPN ソリューションをデプロイして維持する運用上の負担を排除します。
+ **高可用性と伸縮性** — 手動による介入なしで、AWS リソースおよびオンプレミスリソースに接続するさまざまなユーザーの数に合わせて動的にスケーリングします。
+ **認証** — Active Directory 統合、フェデレーション認証、証明書ベースの認証など、柔軟な ID 管理のための複数の認証方法をサポートします。
+ **きめ細かなコントロール** — Active Directory グループレベルで設定可能なネットワークベースのアクセスルールと、セキュリティグループベースのアクセスコントロールを通じて、正確なセキュリティコントロールを実装します。
+ **使いやすさ** — 単一の VPN トンネルを介して AWS リソースとオンプレミスリソースの両方への統合されたアクセスを提供し、エンドユーザーエクスペリエンスを簡素化します。
+ **管理性** — 必要に応じてアクティブなクライアント接続をモニタリングおよび終了する機能など、詳細な接続ログとリアルタイムの管理機能を通じて包括的な可視性を提供します。
+ **深い統合** — AWS Directory Service や Amazon VPC などの既存の AWS サービスとシームレスに統合し、クラウドインフラストラクチャの接続機能を強化します。
+ **IPv6 サポート** — クライアント VPN エンドポイントの完全な IPv6 接続を実現し、最新のネットワーク要件に合わせて VPC 内の IPv6 リソースへの接続や IPv6 ネットワーク上のクライアントからの接続をサポートします。

## クライアント VPN のコンポーネント
<a name="what-is-components"></a>

クライアント VPN の主な概念は次のとおりです。

**クライアント VPN エンドポイント**  
クライアント VPN エンドポイントは、クライアント VPN セッションを有効にして管理するために作成して設定するリソースです。これは、すべてのクライアント VPN セッションの終了ポイントです。

**ターゲットネットワーク**  
ターゲットネットワークは、クライアント VPN エンドポイントに関連付けるネットワークです。VPC からのサブネットはターゲットネットワークです。サブネットをクライアント VPN エンドポイントに関連付けると、VPN セッションを確立できます。高可用性を実現するために、複数のサブネットをクライアント VPN エンドポイントに関連付けることができます。すべてのサブネットは同一の VPC に存在する必要があります。各サブネットは異なるアベイラビリティーゾーンに属している必要があります。

**ルート**  
各クライアント VPN エンドポイントには、利用可能な送信先ネットワークルートを説明したルートテーブルがあります。ルートテーブル内の各ルートは、特定のリソースまたはネットワークへのトラフィックのパスを指定します。

**承認ルール**  
承認ルールは、ネットワークにアクセスできるユーザーを制限します。指定のネットワークに対して、アクセスを許可する Active Directory または ID プロバイダー (IdP) グループを構成します。このグループに属するユーザーだけが、指定のネットワークにアクセスできます。デフォルトでは承認ルールはありません。ユーザーがリソースやネットワークにアクセスできるように承認ルールを設定する必要があります。

**クライアント**  
VPN セッションを確立するためにクライアント VPN エンドポイントに接続するエンドユーザー。エンドユーザーは、OpenVPN クライアントをダウンロードし、作成した Client VPN 設定ファイルを使用して VPN セッションを確立する必要があります。

**クライアント CIDR 範囲**  
クライアント IP アドレスの割り当て元となる IP アドレスの範囲。クライアント VPN エンドポイントへの各接続には、クライアント CIDR 範囲から固有の IP アドレスが割り当てられます。IPv4 トラフィックの場合、クライアント CIDR 範囲を選択します (例: `10.2.0.0/16`)。IPv6 トラフィックの場合、 はクライアント CIDR 範囲 AWS Client VPN を自動的に割り当てます。

**クライアント VPN ポート**  
AWS Client VPN は、TCP と UDP の両方でポート 443 と 1194 をサポートしています。デフォルトはポート 443 です。

**クライアント VPN ネットワークインターフェイス**  
サブネットをクライアント VPN エンドポイントに関連付けると、そのサブネットにクライアント VPN ネットワークインターフェイスが作成されます。クライアント VPN エンドポイントから VPC に送信されるトラフィックは、クライアント VPN ネットワークインターフェイスを介して送信されます。IPv4 トラフィックについては、ソースネットワークアドレス変換 (SNAT) が適用され、クライアント CIDR 範囲からのソース IP アドレスがクライアント VPN ネットワークインターフェイス IP アドレスに変換されます。IPv6 トラフィックの場合、SNAT は適用されず、接続されたユーザーの IP アドレスの可視性が向上します。

**接続ログ**  
クライアント VPN エンドポイントの接続ログを有効にして、接続イベントをログに記録できます。この情報を使用してフォレンジックを実行したり、クライアント VPN エンドポイントがどのように使用されているかを分析したり、接続の問題をデバッグしたりできます。

**セルフサービスポータル**  
クライアント VPN は、エンドユーザーが AWS VPN Desktop クライアントの最新バージョンとクライアント VPN エンドポイント設定ファイルの最新バージョンをダウンロードするためのウェブページとなるセルフサービスポータルです。このファイルには、エンドポイントへの接続に必要な設定が含まれています。クライアント VPN エンドポイント管理者は、クライアント VPN エンドポイントのセルフサービスポータルを有効または無効にすることができます。セルフサービスポータルは、米国東部 (バージニア北部）、アジアパシフィック (東京）、欧州 (アイルランド）、 AWS GovCloud (米国西部) の各リージョンのサービススタックを基盤とするグローバルサービスです。

**エンドポイントの IP アドレスタイプ**  
クライアント VPN エンドポイントの IP アドレスタイプ。IPv4、IPv6、またはデュアルスタック (IPv4 と IPv6 の両方) のいずれかです。

**トラフィック IP アドレスタイプ**  
クライアント VPN エンドポイントを通過するトラフィックの IP アドレスタイプ。IPv4、IPv6、またはデュアルスタック (IPv4 と IPv6 の両方) のいずれかです。これにより、内部トラフィック (VPN 接続を介してトンネルされる実際のペイロードまたは元のトラフィック）、クライアント CIDR 範囲、サブネットの関連付け、ルート、エンドポイントあたりのルールのタイプが決まります。

## クライアント VPN の使用
<a name="what-is-access"></a>

クライアント VPN は、次のいずれかの方法で使用できます。

**AWS マネジメントコンソール**  
コンソールは、クライアント VPN 用のウェブベースのユーザーインターフェイスを提供します。  
コンソールには、クライアント VPN 用のウェブベースのユーザーインターフェイスと 2 つのセットアップ方法が用意されています。  
+ クイックスタート設定: AWS が推奨するデフォルトによるエンドポイント作成の合理化
+ 標準セットアップ: すべての設定オプションを完全に制御
 にサインアップしている場合は AWS アカウント、[Amazon VPC](https://console.aws.amazon.com/vpc/) コンソールにサインインし、ナビゲーションペインでクライアント VPN を選択できます。

**AWS Command Line Interface (AWS CLI)**  
 AWS CLI は、クライアント VPN パブリック APIs への直接アクセスを提供します。Windows、macOS、Linux でサポートされています。の使用開始の詳細については AWS CLI、[AWS Command Line Interface 「 ユーザーガイド](https://docs.aws.amazon.com/cli/latest/userguide/)」を参照してください。Client VPN のコマンドの詳細については、「*Amazon EC2 コマンドリファレンス*」の「[EC2 セクション](https://docs.aws.amazon.com/cli/latest/reference/ec2/)」を参照してください。

**AWS Tools for Windows PowerShell**  
AWS は、PowerShell 環境でスクリプトを作成するユーザー向けに、幅広いオ AWS ファリングセットのコマンドを提供します。 AWS Tools for Windows PowerShellの使用開始に関する詳細については、「[AWS Tools for Windows PowerShell ユーザーガイド](https://docs.aws.amazon.com/powershell/latest/userguide/)」を参照してください。クライアント VPN のコマンドレットの詳細については、「[AWS Tools for Windows PowerShell コマンドレットリファレンス](https://docs.aws.amazon.com/powershell/latest/reference/)」を参照してください。

**クエリ API**  
クライアント VPN HTTPS クエリ API は、クライアント VPN と へのプログラムによるアクセスを提供します AWS。HTTPS クエリ API を使用すると、HTTPS リクエストを直接サービスに発行できます。HTTPS API を使用する場合は、認証情報を使用してリクエストにデジタル署名するコードを含める必要があります。詳細については、「[AWS Client VPN アクション](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/OperationList-query-cvpn.html)」を参照してください。

## クライアント VPN の料金
<a name="what-is-pricing"></a>

それぞれのエンドポイントアソシエーションと各 VPN 接続について、時間単位で課金されます。IPv6 またはデュアルスタックエンドポイントの使用には追加料金はかかりません。IPv4 エンドポイントと同じレートで課金されます。詳細については、[AWS Client VPN 料金表](https://aws.amazon.com/vpn/pricing/#AWS_Client_VPN_pricing)を参照してください。

Amazon EC2 からインターネットへのデータ転送に対して課金されます。詳細については、「Amazon EC2 オンデマンド料金」ページの「[データ転送](https://aws.amazon.com/ec2/pricing/on-demand/#Data_Transfer)」を参照してください。

クライアント VPN エンドポイントの接続ログを有効にする場合は、アカウントに CloudWatch Logs ロググループを作成する必要があります。ロググループの使用には料金がかかります。詳細については、「[Amazon CloudWatch の料金](https://aws.amazon.com/cloudwatch/pricing/)」(**有料 Tier**の下で、**ログ**を選択)を参照してください。

クライアント VPN エンドポイントでクライアント接続ハンドラーを有効にする場合は、Lambda 関数を作成して呼び出す必要があります。Lambda 関数の呼び出しには料金がかかります。詳細については、「[AWS Lambda 料金表](https://aws.amazon.com/lambda/pricing/)」を参照してください。

クライアント VPN エンドポイントは、VPC 内のサブネットであるターゲットネットワークに関連付けられています。この VPC にインターネットゲートウェイがある場合、Elastic IP アドレスはクライアント VPN Elastic Network Interface (ENI) に関連付けられます。これらの Elastic IP アドレスは、使用中のパブリック IPv4 アドレスとして課金されます。詳細については、「[VPC の料金ページ](https://aws.amazon.com/vpc/pricing/)」の「パブリック IPv4 アドレス」タブを参照してください。

**注記**  
クライアント VPN エンドポイントは、インターネットゲートウェイを持つ VPC サブネットに関連付けられている場合、Elastic IP アドレスが必要となります。こうした EIP によって、VPN クライアントの直接的なインターネット接続が実現されるためです。クライアント VPN エンドポイントを介して接続する場合、インターネットリソースと通信するにはパブリック IP アドレスが必要です。Elastic IP は、一貫したパブリック向けエンドポイントを提供することで、この目的を果たします。クライアント VPN Elastic Network Interface (ENI) にアタッチされるこうした EIP は、トラフィックの適切なルーティングを確保しながら、VPN クライアントの安定性と安全性が確保されたインターネットアクセスを維持するために不可欠です。これらの Elastic IP アドレスはクライアント VPN サービスに割り当てられ、アクティブに使用されるため、 は、割り当て済みおよび関連する EIP の標準料金モデルに従って、使用中のパブリック IPv4 アドレスとして AWS 課金します。 EIPs

# を使用するためのルールとベストプラクティス AWS Client VPN
<a name="what-is-best-practices"></a>

以下のセクションでは、 AWS Client VPNを使用するためのルールとベストプラクティスについて説明します。

**Topics**
+ [ネットワークと帯域幅の要件](#bp-nw)
+ [サブネットと VPC の設定](#bp-subnet)
+ [認証とセキュリティ](#bp-auth)
+ [接続と DNS の要件](#bp-dns)
+ [制限と制約](#bp-limits)

## ネットワークと帯域幅の要件
<a name="bp-nw"></a>
+ AWS Client VPN は、追加のユーザー接続と帯域幅要件に合わせて自動的にスケーリングするフルマネージドサービスです。各ユーザー接続の最大ベースライン帯域幅は 50 Mbps です。

  クライアント VPN エンドポイントを介して接続する実際の帯域幅は、いくつかの要因によって異なる場合があります。こうした要因には、パケットサイズ、トラフィック構成 (TCP/UDP ミックス）、中間ネットワーク上のネットワークポリシー (シェーピングまたはスロットリング）、インターネット状態、アプリケーション固有の要件、同時ユーザー接続の合計数が含まれます。最大帯域幅制限に達した場合は、AWS サポートを通じて引き上げをリクエストできます。
+ クライアント CIDR 範囲は、関連付けられたサブネットが配置されている VPC のローカル CIDR、またはクライアント VPN エンドポイントのルートテーブルに手動で追加されたルートと重複することはできません。
+ クライアント CIDR 範囲は、ブロックサイズが /22 以上、/12 以下でなければなりません。
+ クライアント CIDR 範囲内のアドレスの一部は、クライアント VPN エンドポイントの可用性モデルをサポートするために使用され、クライアントに割り当てることはできません。したがって、クライアント VPN エンドポイントでサポートする予定の同時接続の最大数を有効にするために必要な IP アドレスの数の 2 倍の数を含む CIDR ブロックを割り当てることをお勧めします。
+ クライアント VPN エンドポイントの作成後にクライアント CIDR 範囲を変更することはできません。
+ クライアント VPN は IPv4、IPv6、およびデュアルスタック (IPv4 と IPv6 の両方) トラフィックをサポートします。IPv6 サポートの詳細については、「[AWS Client VPN の IPv6 に関する考慮事項IPv6 に関する考慮事項](ipv6-considerations.md)」を参照してください。
+ 
  + ソース IP アドレスは、クライアント VPN エンドポイントの IP アドレスに変換されます。
  + クライアントからの元のソースポート番号は変更されません。
+ クライアント VPN は、同時ユーザーが同じターゲットに接続している場合にのみポートアドレス変換 (PAT) を実行します。ポート変換は自動で行われ、同じ VPN エンドポイントを介した複数の同時接続をサポートするために必要となります。
  + ソース IP 変換の場合、ソース IP アドレスはクライアント VPN の IP アドレスに変換されます。
  + 単一クライアント接続のソースポート変換の場合、元のソースポート番号は変更されないことがあります。
  + 同じ送信先 (同じターゲット IP アドレスとポート) に接続する複数のクライアントのソースポート変換の場合、クライアント VPN はポート変換を実行して一意の接続を確保します。

  例えば、クライアント 1 とクライアント 2 の 2 つのクライアントがクライアント VPN エンドポイントを介して同じ送信先サーバーとポートに接続する場合がこれに該当します。
  + クライアント 1 の元のポートが `9999` の場合、ポート `4306` など、別のポートに変換されることがあります。
  + クライアント 2 の元のポートが `9999` の場合、ポート `63922` など、クライアント 1 とは異なる一意のポートに変換されることがあります。
+ IPv6 トラフィックの場合、クライアント VPN はネットワークアドレス変換 (NAT) を実行しません。これにより、接続されたユーザーの IPv6 アドレスの可視性が向上します。

## サブネットと VPC の設定
<a name="bp-subnet"></a>
+ クライアント VPN エンドポイントに関連付けられているサブネットは、同じ VPC 内にある必要があります。
+ 1 つのアベイラビリティーゾーンの複数のサブネットをクライアント VPN エンドポイントに関連付けることはできません。
+ クライアント VPN エンドポイントは、専有テナント VPC でのサブネットの関連付けをサポートしていません。
+ IPv6 またはデュアルスタックトラフィックの場合、関連付けられたサブネットには IPv6 またはデュアルスタックの CIDR 範囲が必要です。
+ デュアルスタックエンドポイントの場合、アベイラビリティーゾーンごとに複数のサブネットを関連付けることはできません。

## 認証とセキュリティ
<a name="bp-auth"></a>
+ セルフサービスポータルは、相互認証を使用して認証するクライアントでは利用できません。
+ Active Directory で多要素認証 (MFA) が無効になっている場合、ユーザーパスワードで次の形式を使用することはできません。

  ```
  SCRV1:base64_encoded_string:base64_encoded_string
  ```
+ AWS Client VPN で使用される証明書は、メモのセクション 4.2 で指定された証明書拡張機能を含む、[RFC 5280: Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile](https://datatracker.ietf.org/doc/html/rfc5280) に準拠する必要があります。
+ 特殊文字を含むユーザー名は、接続エラーを引き起こす可能性があります。
+ ユーザー名の最大長は 1024 バイトです。ユーザー名が長い接続は拒否されます。

## 接続と DNS の要件
<a name="bp-dns"></a>
+ IP アドレスを使用して、クライアント VPN エンドポイントに接続することはお勧めしません。クライアント VPN はマネージドサービスであるため、DNS 名が解決する IP アドレスに変化が見られる場合があります。さらに、クライアント VPN ネットワークインターフェイスが削除され、CloudTrail ログに再作成されるのがわかります。クライアント VPN エンドポイントへの接続には、提供された DNS 名を使用することをお勧めします。
+ クライアント VPN サービスでは、クライアントが接続されている IP アドレスが、クライアント VPN エンドポイントの DNS 名が解決する IP と一致する必要があります。つまり、クライアント VPN エンドポイントにカスタム DNS レコードを設定し、エンドポイントの DNS 名が解決された実際の IP アドレスにトラフィックを転送する場合、この設定は最近 AWS 提供されたクライアントでは機能しません。このルールは、「[TunnelCrack](https://tunnelcrack.mathyvanhoef.com/)」で説明されているように、サーバー IP 攻撃を軽減するために追加されました。
+  AWS が提供するクライアントを使用して、複数の同時 DNS セッションに接続できます。ただし、名前解決が正しく機能するには、すべての接続の DNS サーバーが同期されたレコードを保持している必要があります。
+ クライアント VPN サービスでは、クライアントデバイスのローカルエリアネットワーク (LAN) IP アドレス範囲が、`10.0.0.0/8`、`172.16.0.0/12`、`192.168.0.0/16`、`169.254.0.0/16` の標準プライベート IP アドレス範囲内にある必要があります。クライアント LAN アドレス範囲が上記の範囲外であることが検出された場合、クライアント VPN エンドポイントは OpenVPN ディレクティブ「リダイレクトゲートウェイブロックローカル」をクライアントに自動的にプッシュし、すべての LAN トラフィックを VPN に強制します。したがって、VPN 接続中に LAN アクセスが必要な場合は、上記の標準のアドレス範囲を LAN に使用することをお勧めします。このルールは、「[TunnelCrack](https://tunnelcrack.mathyvanhoef.com/)」で説明されているように、ローカルネット攻撃の可能性を軽減するために適用されます。
+ Windows では、フルトンネルエンドポイントを使用すると、エンドポイントの IP アドレスタイプ (IPv4 IPv6、またはデュアルスタック) に関係なく、すべての DNS トラフィックがトンネルの通過を強制されます。DNS が機能するには、DNS サーバーをセットアップし、トンネル内で到達可能にする必要があります。

## 制限と制約
<a name="bp-limits"></a>
+  AWS Client VPN デスクトップアプリケーションを使用する場合、IP 転送は現在サポートされていません。IP 転送は他のクライアントからもサポートされています。
+ クライアント VPN は、 AWS Managed Microsoft ADでのマルチリージョンレプリケーションをサポートしていません。クライアント VPN エンドポイントは、 AWS Managed Microsoft AD リソースと同じリージョンにある必要があります。
+ オペレーティングシステムに複数のユーザーがログインしている場合、このコンピュータから VPN 接続を確立することはできません。
+ Client-to-client 通信は、IPv6 クライアントではサポートされていません。IPv6 クライアントが別の IPv6 クライアントと通信しようとすると、トラフィックはドロップされます。
+ IPv6 およびデュアルスタックエンドポイントでは、ユーザーデバイスとインターネットサービスプロバイダー (ISP) が、対応する IP 設定をサポートしている必要があります。