AWS Site-to-Site VPN カスタマーゲートウェイデバイスのファイアウォールルール
カスタマーゲートウェイデバイスと AWS Site-to-Site VPN エンドポイントを接続する IPsec トンネルのエンドポイントとして使用するために、静的 IP アドレスを用意する必要があります。ファイアウォールが AWS とカスタマーゲートウェイデバイス間にある場合、IPsec トンネルを確立するには、以下の表のルールに従う必要があります。AWS 側の IP アドレスは設定ファイルにあります。
|
入力ルール I1 |
|
|---|---|
|
[Source IP] (送信元 IP) |
Tunnel1 外部 IP |
|
送信先 IP |
カスタマーゲートウェイ |
|
プロトコル |
UDP |
|
ソースポート |
500 |
|
送信先 |
500 |
|
入力ルール I2 |
|
|
[Source IP] (送信元 IP) |
Tunnel2 外部 IP |
|
送信先 IP |
カスタマーゲートウェイ |
|
プロトコル |
UDP |
|
ソースポート |
500 |
|
発信先ポート |
500 |
|
入力ルール I3 |
|
|
[Source IP] (送信元 IP) |
Tunnel1 外部 IP |
|
送信先 IP |
カスタマーゲートウェイ |
|
プロトコル |
IP 50 (ESP) |
|
入力ルール I4 |
|
|
[Source IP] (送信元 IP) |
Tunnel2 外部 IP |
|
送信先 IP |
カスタマーゲートウェイ |
|
プロトコル |
IP 50 (ESP) |
|
出力ルール O1 |
|
|---|---|
|
[Source IP] (送信元 IP) |
カスタマーゲートウェイ |
|
送信先 IP |
Tunnel1 外部 IP |
|
プロトコル |
UDP |
|
ソースポート |
500 |
|
発信先ポート |
500 |
|
出力ルール O2 |
|
|
[Source IP] (送信元 IP) |
カスタマーゲートウェイ |
|
送信先 IP |
Tunnel2 外部 IP |
|
プロトコル |
UDP |
|
ソースポート |
500 |
|
発信先ポート |
500 |
|
出力ルール O3 |
|
|
[Source IP] (送信元 IP) |
カスタマーゲートウェイ |
|
送信先 IP |
Tunnel1 外部 IP |
|
プロトコル |
IP 50 (ESP) |
|
出力ルール O4 |
|
|
[Source IP] (送信元 IP) |
カスタマーゲートウェイ |
|
送信先 IP |
Tunnel2 外部 IP |
|
プロトコル |
IP 50 (ESP) |
ルール I1、I2、O1、および O2 は、IKE パケットの送信を有効にします。ルール I3、I4、O3、および O4 は、暗号化されたネットワークトラフィックを含む IPsec パケットの送信を有効にします。
注記
デバイスで NAT トラバーサル (NAT-T) を使用している場合、ポート 4500 の UDP トラフィックもネットワークと AWS Site-to-Site VPN エンドポイント間を通過できるようにしてください。デバイスが NAT-T をアドバタイズしているかどうかを確認します。
