VPN を Tier-1 ゲートウェイに接続する場合は、ゲートウェイのインターネット インターフェイスを介した IPsec VPN トラフィックを有効にするために、ゲートウェイに対する IPsec サービスと適切な NAT ルールを作成する必要があります。

SDDC バージョン 1.18 以降では、カスタム Tier-1 ゲートウェイを終端とする VPN を作成することもできます。この構成は、特定のテナントまたはワークグループへの専用 VPN アクセスを提供する必要がある場合に特に便利です。

詳細については、VMware Tech Zone の記事Understanding VPN to Customer Created NSX T1s in VMC on AWSを参照してください。

前提条件

NAT が設定された、またはルーティングされた Tier-1 ゲートウェイを作成します。VMware Cloud on AWS SDDC へのカスタム Tier-1 ゲートウェイの追加を参照してください。

手順

  1. https://vmc.vmware.comVMware Cloud Services にログインします。
  2. [インベントリ] > [SDDC] の順にクリックし、SDDC カードを選択して [詳細表示] をクリックします。
  3. [NSX Manager を開く] をクリックし、SDDC の [設定] 画面に表示されている [NSX Manager 管理者ユーザー アカウント] を使用してログインします。
  4. (オプション) VPN エンドポイントのパブリック IP アドレスを要求します。
    インターネットからこの VPN にアクセスするという一般的な場合では、ローカル エンドポイントはパブリック IP アドレスである必要があります。 パブリック IP アドレスの要求またはリリースを参照してください。この例では、そのアドレスとして 93.184.216.34 を使用します。 DX または VMware Transit Connect 経由でこの VPN にアクセスする場合は、SDDC コンピューティング ネットワークで使用可能な任意の IP アドレスを使用できます。
    注: 管理 CIDR のサブネットをローカル エンドポイントとして使用することはできません。
  5. Tier-1 ゲートウェイに VPN サービスを追加します。
    [ネットワーク] > [VPN] の順にクリックします。 [Tier-1] タブを開き、 [VPN サービス] > [サービスの追加] > [IPSec] の順にクリックします。IPsec サービスに [名前] を指定し、ドロップダウン メニューから [Tier-1 ゲートウェイ] を選択します。 [保存] をクリックしてサービスを作成します。
  6. ローカル エンドポイントを作成します。
    [ローカル エンドポイント] タブを開き、 [ローカル エンドポイントの追加] をクリックします。新しいローカル エンドポイントに [名前] を指定し、オプションで [説明] を指定します。 [VPN サービス] には、手順 5 で作成した IPsec サービスの名前を使用します。 [IP アドレス] には、 手順 4で要求したパブリック IP アドレス、または SDDC コンピューティング ネットワークで使用可能な任意のアドレスを使用します。 [保存] をクリックしてローカル エンドポイントを作成します。
  7. VPN を構成します。
    [IPsec セッション] タブを開き、 [IPsec セッションの追加] ドロップダウンで [ルート ベース] または [ポリシー ベース] を選択します。
    1. [VPN サービス] には、手順 5 で作成した IPsec サービスの名前を使用します。ローカル エンドポイントには、手順 6 で作成したエンドポイントを使用します。
    2. [リモート IP アドレス] には、オンプレミスの VPN エンドポイントのアドレスを入力します。
    3. [事前共有キー] の文字列を入力します。

      キーの最大長は 128 文字です。このキーは、VPN トンネルの両側で同一である必要があります。

  8. [リモート ID] を指定します。
    [リモート IP アドレス] を IKE ネゴシエーションのリモート ID として使用する場合は、空のままにします。オンプレミス VPN ゲートウェイが NAT デバイスの背後にある場合や、そのローカル ID に別の IP アドレスを使用する場合は、ここにその IP アドレスを入力する必要があります。
  9. [トンネルの詳細パラメータ] を構成します。
    パラメータ
    [IKE プロファイル] > [IKE 暗号化] オンプレミス VPN ゲートウェイでサポートされているフェーズ 1 (IKE) 暗号を選択します。
    [IKE プロファイル] > [IKE ダイジェスト アルゴリズム] オンプレミス VPN ゲートウェイでサポートされているフェーズ 1 ダイジェスト アルゴリズムを選択します。ベスト プラクティスは、[IKE ダイジェスト アルゴリズム][トンネル ダイジェスト アルゴリズム] の両方に同じアルゴリズムを使用することです。
    注:

    [IKE 暗号化] に GCM ベースの暗号を指定する場合は、[IKE ダイジェスト アルゴリズム][なし] に設定します。ダイジェスト機能は GCM 暗号に不可欠です。GCM ベースの暗号を使用する場合は IKE V2 を使用する必要があります

    [IKE プロファイル] > [IKE バージョン]
    • IKEv1 プロトコルを開始して受け入れる場合は、[IKE V1] を指定します。
    • IKEv2 プロトコルを開始して受け入れる場合は、[IKE V2] を指定します。GCM ベースの [IKE ダイジェスト アルゴリズム] を指定した場合は、IKEv2 を使用する必要があります。
    • IKEv1 または IKEv2 を受け入れてから IKEv2 を開始する場合は、[IKE FLEX] を指定します。IKEv2 の開始に失敗した場合、IKE FLEX は IKEv1 にフォールバックしません。
    [IKE プロファイル] > [Diffie Hellman] オンプレミス VPN ゲートウェイでサポートされている Diffie-Hellman グループを選択します。この値は、VPN トンネルの両側で同一にする必要があります。グループ番号が大きいほど、保護は強化されます。グループ 14 以上を選択することをお勧めします。
    [IPSec プロファイル] > [トンネル暗号化] オンプレミス VPN ゲートウェイでサポートされているフェーズ 2 Security Association (SA) 暗号を選択します。
    [IPSec プロファイル][トンネル ダイジェスト アルゴリズム] オンプレミス VPN ゲートウェイでサポートされているフェーズ 2 ダイジェスト アルゴリズムを選択します。
    注:

    [トンネルの暗号化] に GCM ベースの暗号を指定する場合は、[トンネル ダイジェスト アルゴリズム][なし] に設定します。ダイジェスト機能は GCM 暗号に不可欠です。

    [IPSec プロファイル] > [Perfect Forward Secrecy] オンプレミス VPN ゲートウェイの設定に合わせて有効または無効にします。Perfect Forward Secrecy を有効にすると、プライベート キーが盗み取られたとしても、記録された(過去の)セッションが復号されることを回避できます。
    [IPSec プロファイル ] > [Diffie Hellman] オンプレミス VPN ゲートウェイでサポートされている Diffie-Hellman グループを選択します。この値は、VPN トンネルの両側で同一にする必要があります。グループ番号が大きいほど、保護は強化されます。グループ 14 以上を選択することをお勧めします。
    [DPD プロファイル] > [DPD プローブ モード] [定期]または[オンデマンド]のいずれか。

    定期 DPD プローブ モードの場合、指定した DPD プローブ間隔が経過するたびに DPD プローブが送信されます。

    オンデマンド DPD プローブ モードの場合、アイドル期間の経過後にピア サイトから IPsec パケットが受信されないと、DPD プローブが送信されます。使用されるアイドル期間は [DPD プローブ間隔] の値によって決まります。
    [DPD プロファイル] > [再試行回数] 許可される再試行回数の整数。1~100 の範囲の値が有効です。デフォルトの再試行回数は 10 です。
    [DPD プロファイル] > [DPD プローブ間隔] DPD プローブの送信の間に NSX IKE デーモンが待機する秒数。

    定期 DPD プローブ モードの場合、有効な値は 3~360 秒の間です。デフォルト値は 60 秒です。

    オンデマンド プローブ モードの場合、有効な値は 1~10 秒の間です。デフォルト値は 3 秒です。

    定期 DPD プローブ モードを設定した場合、IKE デーモンは DPD プローブを定期的に送信します。ピア サイトが 0.5 秒以内に応答すると、構成した DPD プローブ間隔の経過後に次の DPD プローブが送信されます。ピア サイトが応答しない場合は、0.5 秒待機した後に DPD プローブが再送信されます。リモート ピア サイトが応答しない場合、応答が受信されるか再試行回数に到達するまで、IKE デーモンは DPD プローブの再送信を繰り返します。ピア サイトの非活動が宣言されるまで、IKE デーモンは [再試行回数] プロパティに指定された最大回数に達するまで、DPD プローブを再送信します。ピア サイトが非活動と宣言されると、NSX は、非活動ピアのリンクで Security Association (SA) を解除します。

    オンデマンド DPD モードを設定すると、構成した DPD プローブ間隔の経過後、ピア サイトから IPsec トラフィックが受信されない場合にのみ、DPD プローブが送信されます。
    [DPD プロファイル] > [管理ステータス] DPD プロファイルを有効または無効にするには、[管理ステータス] トグルをクリックします。デフォルトでは、この値は [有効] に設定されます。DPD プロファイルを有効にすると、DPD プロファイルを使用する IPSec VPN サービスのすべての IPSec セッションに、その DPD プロファイルが使用されます。
    [TCP MSS クランプ] [TCP MSS クランプ] を使用して IPsec 接続時の TCP セッションの最大セグメント サイズ (MSS) ペイロードを削減するには、このオプションを [有効] に切り替えて、[TCP MSS の方向] を選択し、必要に応じて [TCP MSS 値] を選択します。『NSX Data Center 管理ガイド』のTCP MSS クランプの理解を参照してください。
  10. (オプション) VPN にタグを付けます。

    NSX オブジェクトのタギングについて詳しくは、『NSX Data Center 管理ガイド』のオブジェクトへのタグの追加を参照してください。

  11. [保存] をクリックして VPN を作成します。
  12. CGW のインターネット インターフェイスを経由する IPsec VPN トラフィックを許可するコンピューティング ゲートウェイ ファイアウォール ルールを追加します。
    [ゲートウェイ ファイアウォール] タブを開き、 [コンピューティング ゲートウェイ] をクリックします。このルールは機能しますが、許容度が一般的に本番環境に期待されるよりも高くなっています。信頼できる、または制御している CIDR ブロックのみに [送信元] を制限することを検討してください。この例では、 手順 4で取得したパブリック IP アドレス (93.184.216.34) を [宛先] アドレスとして使用しています。
    名前 送信元 宛先 サービス 適用先 操作
    VPN アクセス 任意 93.184.216.34 [IKE (NAT トラバーサル)][IKE (鍵交換)][IPSec VPN ESP] を含める必要があります [インターネット インターフェイス] Allow
  13. VPN のパブリック IP アドレスに外部からアクセスできるように、NAT ルールを作成します。
    [ネットワーク] > [NAT] > [インターネット] の順に移動します。 [NAT ルールの追加] をクリックし、次のような NAT ルールを作成します。
    名前 パブリック IP アドレス サービス パブリック ポート 内部 IP アドレス ファイアウォール
    VPN アクセス 93.184.216.34 すべてのトラフィック 任意 93.184.216.34 外部アドレスと一致
    このルールでは、 [パブリック IP アドレス][内部 IP アドレス] に対して同じアドレス(この例では、 手順 4で要求されたパブリック IP アドレス)を使用する必要があります。ファイアウォールは、受信パケットを調べるときに外部アドレスを照合する必要があります。