AWS Site-to-Site VPN カスタマーゲートウェイデバイスの要件
AWS は、ダウンロード可能な設定ファイルを提供する Site-to-Site VPN カスタマーゲートウェイデバイスを多数サポートしています。サポートされているデバイスのリスト、および設定ファイルをダウンロードする手順については、「静的および動的ルーティング設定ファイル」を参照してください。
このセクションでは、サポート対象デバイスの一覧にないデバイスを使用している場合に、そのデバイスを使用して Site-to-Site VPN 接続を確立するために満たす必要のあるデバイスの要件について説明します。
カスタマーゲートウェイデバイスの設定には、4 つの主要部分があります。次の記号は、構成の各部分を表しています。
|
インターネットキー交換 (IKE) セキュリティアソシエーション。IPsec セキュリティアソシエーションを確立するために使用されるキーの交換に必要です。 |
|
IPsec セキュリティアソシエーション。これは、トンネルの暗号化、認証などを処理します。 |
|
トンネルインターフェイス。トンネルを通じて送受信されるトラフィックを受け取ります。 |
|
(オプション) Border Gateway Protocol (BGP) ピア接続。BGP を使用するデバイスの場合、カスタマーゲートウェイデバイスと仮想プライベートゲートウェイ間でルートを交換します。 |
次の表は、カスタマーゲートウェイデバイスの要件、関連する RFC (参照用)、および要件に関するコメントの一覧です。
各 VPN 接続は 2 つの個別のトンネルで構成されています。各トンネルには、IKE セキュリティアソシエーション、IPsec セキュリティアソシエーション、および BGP ピア接続が含まれています。トンネルごとに 1 つの一意のセキュリティアソシエーション (SA) ペア (受信用に 1 つと送信用に 1 つ) に制限されるため、2 つのトンネルで合計 2 つの一意の SA ペア (4 つの SA) になります。一部のデバイスは、ポリシーベースの VPN を使用して、ACL エントリと同数の SA を作成します。そのため、不要なトラフィックを許可しないように、ルールを統合してからフィルタリングする必要がある場合があります。
デフォルトでは、トラフィックが生成され、VPN 接続のユーザー側から IKE ネゴシエーションが開始されると、VPN トンネルが開始されます。VPN 接続を設定して、代わりに接続の AWS 側から IKE ネゴシエーションを開始するように指定することもできます。詳細については、「AWS Site-to-Site VPN トンネル開始オプション」を参照してください。
VPN エンドポイントはキー再生成をサポートしており、カスタマーゲートウェイデバイスが再ネゴシエーショントラフィックを送信しなくなってフェーズ 1 の期限が切れそうになると、再ネゴシエーションを開始できます。
| 要件 | RFC | コメント |
|---|---|---|
|
IKE セキュリティアソシエーションを確立する
|
IKE セキュリティアソシエーションは、事前共有キーまたは認証コードとして AWS Private Certificate Authority を使用するプライベート証明書を使用して、仮想プライベートゲートウェイとカスタマーゲートウェイデバイスの間に最初に確立されます。IKE は確立されると、一時キーをネゴシエートして今後の IKE メッセージを保護します。暗号化パラメータや認証パラメータなど、パラメータ間で完全な合意が必要です。 AWS で VPN 接続を作成するとき、各トンネルのための独自の事前共有キーを指定するか、または AWS で新しい事前共有キーを生成できます。または、AWS Private Certificate Authority を使用して、カスタマーゲートウェイデバイスで使用するようにプライベート証明書を指定することもできます。VPN トンネルの設定の詳細については、「AWS Site-to-Site VPN 接続用のトンネルオプション」を参照してください。 IKEv1 および IKEv2 バージョンがサポートされています。 メインモードは IKEv1 でのみサポートされています。 Site-to-Site VPN サービスは、ルートベースのソリューションです。ポリシーベースの設定を使用する場合は、設定を 1 つのセキュリティアソシエーション (SA) に制限する必要があります。 |
|
|
トンネルモードで IPsec セキュリティアソシエーションを確立する
|
IKE の一時キーを使用すると、IPsec セキュリティアソシエーション (SA) を形成するために、仮想プライベートゲートウェイとカスタマーゲートウェイデバイス間でキーが確立されます。この SA を使用して、ゲートウェイ間のトラフィックの暗号化および暗号化の解除を行います。IPsec SA 内のトラフィックの暗号化に使用される一時キーは、通信の機密性を確保するために、定期的なローテーションで IKE によって自動的に変更されます。 |
|
|
AES 128 ビット暗号化または AES 256 ビット暗号化関数を使用する |
この暗号化機能は、IKE と IPsec の両方のセキュリティアソシエーションでプライバシーを確保するために使用されます。 |
|
|
SHA-1 または SHA-2 (256) ハッシュ関数を使用する |
このハッシュ関数は、IKE と IPsec の両方のセキュリティアソシエーションを認証するために使用されます。 |
|
|
Diffie-Hellman Perfect Forward Secrecy を使用する。 |
IKE は、カスタマーゲートウェイデバイスと仮想プライベートゲートウェイ間のすべての通信を保護するために、Diffie-Hellman を使用して一時キーを確立します。 以下のグループがサポートされます。
|
|
|
(動的にルーティングされた VPN 接続) IPsec Dead Peer Detection を使用する |
Dead Peer Detection を使用すると、VPN デバイスは、ネットワークの状態によりインターネットでのパケット配信が妨げられていることをすばやく特定できます。この場合、ゲートウェイはセキュリティアソシエーションを削除し、新しいアソシエーションを作成しようとします。このプロセス中、可能であれば、代わりの IPsec トンネルが使用されます。 |
|
|
(動的にルーティングされた VPN 接続) トンネルを論理インターフェイスにバインドする (ルートベースの VPN)
|
なし |
デバイスは、IPsec トンネルを論理インターフェイスにバインドできる必要があります。論理インターフェイスには、仮想プライベートゲートウェイへの BGP ピア接続を確立するために使用される IP アドレスが含まれています。この論理インターフェイスは、追加のカプセル化 (たとえば、GRE、IP in IP) を実行しないでください。インターフェイスは、1399 バイトの最大送信単位 (MTU) に設定する必要があります。 |
|
(動的にルーティングされた VPN 接続) BGP ピア接続を確立する
|
BGP は、カスタマーゲートウェイデバイスと BGP を使用するデバイスの仮想プライベートゲートウェイ間でルートを交換するために使用されます。すべての BGP トラフィックは、IPsec Security Association を通じて暗号化され、送信されます。BGP は、両方のゲートウェイが IPsec SA を通じて到達可能な IP プレフィックスを交換するために必要です。 |
AWS VPN 接続は、パス MTU 検出 (RFC 1191
カスタマーゲートウェイデバイスとインターネット間にファイアウォールがある場合は、「AWS Site-to-Site VPN カスタマーゲートウェイデバイスのファイアウォールルール」を参照してください。
