VPN を Tier-1 ゲートウェイに接続する場合は、ゲートウェイのインターネット インターフェイスを介した IPsec VPN トラフィックを有効にするために、ゲートウェイに対する IPsec サービスと適切な NAT ルールを作成する必要があります。
SDDC バージョン 1.18 以降では、カスタム Tier-1 ゲートウェイを終端とする VPN を作成することもできます。この構成は、特定のテナントまたはワークグループへの専用 VPN アクセスを提供する必要がある場合に特に便利です。
詳細については、VMware Tech Zone の記事Understanding VPN to Customer Created NSX T1s in VMC on AWSを参照してください。
前提条件
NAT が設定された、またはルーティングされた Tier-1 ゲートウェイを作成します。VMware Cloud on AWS SDDC へのカスタム Tier-1 ゲートウェイの追加を参照してください。
手順
- https://vmc.vmware.com の VMware Cloud Services にログインします。
- [インベントリ] > [SDDC] の順にクリックし、SDDC カードを選択して [詳細表示] をクリックします。
- [NSX Manager を開く] をクリックし、SDDC の [設定] 画面に表示されている [NSX Manager 管理者ユーザー アカウント] を使用してログインします。
- (オプション) VPN エンドポイントのパブリック IP アドレスを要求します。
インターネットからこの VPN にアクセスするという一般的な場合では、ローカル エンドポイントはパブリック IP アドレスである必要があります。 パブリック IP アドレスの要求またはリリースを参照してください。この例では、そのアドレスとして 93.184.216.34 を使用します。 DX または VMware Transit Connect 経由でこの VPN にアクセスする場合は、SDDC コンピューティング ネットワークで使用可能な任意の IP アドレスを使用できます。注: 管理 CIDR のサブネットをローカル エンドポイントとして使用することはできません。
- Tier-1 ゲートウェイに VPN サービスを追加します。
[ネットワーク] > [VPN] の順にクリックします。 [Tier-1] タブを開き、 [VPN サービス] > [サービスの追加] > [IPSec] の順にクリックします。IPsec サービスに [名前] を指定し、ドロップダウン メニューから [Tier-1 ゲートウェイ] を選択します。 [保存] をクリックしてサービスを作成します。
- ローカル エンドポイントを作成します。
[ローカル エンドポイント] タブを開き、 [ローカル エンドポイントの追加] をクリックします。新しいローカル エンドポイントに [名前] を指定し、オプションで [説明] を指定します。 [VPN サービス] には、手順 5 で作成した IPsec サービスの名前を使用します。 [IP アドレス] には、 手順 4で要求したパブリック IP アドレス、または SDDC コンピューティング ネットワークで使用可能な任意のアドレスを使用します。 [保存] をクリックしてローカル エンドポイントを作成します。
- VPN を構成します。
[IPsec セッション] タブを開き、 [IPsec セッションの追加] ドロップダウンで [ルート ベース] または [ポリシー ベース] を選択します。
- [VPN サービス] には、手順 5 で作成した IPsec サービスの名前を使用します。ローカル エンドポイントには、手順 6 で作成したエンドポイントを使用します。
- [リモート IP アドレス] には、オンプレミスの VPN エンドポイントのアドレスを入力します。
- [事前共有キー] の文字列を入力します。
キーの最大長は 128 文字です。このキーは、VPN トンネルの両側で同一である必要があります。
- [リモート ID] を指定します。
[リモート IP アドレス] を IKE ネゴシエーションのリモート ID として使用する場合は、空のままにします。オンプレミス VPN ゲートウェイが NAT デバイスの背後にある場合や、そのローカル ID に別の IP アドレスを使用する場合は、ここにその IP アドレスを入力する必要があります。
- [トンネルの詳細パラメータ] を構成します。
パラメータ 値 [IKE プロファイル] > [IKE 暗号化] オンプレミス VPN ゲートウェイでサポートされているフェーズ 1 (IKE) 暗号を選択します。 [IKE プロファイル] > [IKE ダイジェスト アルゴリズム] オンプレミス VPN ゲートウェイでサポートされているフェーズ 1 ダイジェスト アルゴリズムを選択します。ベスト プラクティスは、[IKE ダイジェスト アルゴリズム] と [トンネル ダイジェスト アルゴリズム] の両方に同じアルゴリズムを使用することです。 注:[IKE 暗号化] に GCM ベースの暗号を指定する場合は、[IKE ダイジェスト アルゴリズム] を [なし] に設定します。ダイジェスト機能は GCM 暗号に不可欠です。GCM ベースの暗号を使用する場合は IKE V2 を使用する必要があります
。[IKE プロファイル] > [IKE バージョン] - IKEv1 プロトコルを開始して受け入れる場合は、[IKE V1] を指定します。
- IKEv2 プロトコルを開始して受け入れる場合は、[IKE V2] を指定します。GCM ベースの [IKE ダイジェスト アルゴリズム] を指定した場合は、IKEv2 を使用する必要があります。
- IKEv1 または IKEv2 を受け入れてから IKEv2 を開始する場合は、[IKE FLEX] を指定します。IKEv2 の開始に失敗した場合、IKE FLEX は IKEv1 にフォールバックしません。
[IKE プロファイル] > [Diffie Hellman] オンプレミス VPN ゲートウェイでサポートされている Diffie-Hellman グループを選択します。この値は、VPN トンネルの両側で同一にする必要があります。グループ番号が大きいほど、保護は強化されます。グループ 14 以上を選択することをお勧めします。 [IPSec プロファイル] > [トンネル暗号化] オンプレミス VPN ゲートウェイでサポートされているフェーズ 2 Security Association (SA) 暗号を選択します。 [IPSec プロファイル][トンネル ダイジェスト アルゴリズム] オンプレミス VPN ゲートウェイでサポートされているフェーズ 2 ダイジェスト アルゴリズムを選択します。 注:[トンネルの暗号化] に GCM ベースの暗号を指定する場合は、[トンネル ダイジェスト アルゴリズム] を [なし] に設定します。ダイジェスト機能は GCM 暗号に不可欠です。
[IPSec プロファイル] > [Perfect Forward Secrecy] オンプレミス VPN ゲートウェイの設定に合わせて有効または無効にします。Perfect Forward Secrecy を有効にすると、プライベート キーが盗み取られたとしても、記録された(過去の)セッションが復号されることを回避できます。 [IPSec プロファイル ] > [Diffie Hellman] オンプレミス VPN ゲートウェイでサポートされている Diffie-Hellman グループを選択します。この値は、VPN トンネルの両側で同一にする必要があります。グループ番号が大きいほど、保護は強化されます。グループ 14 以上を選択することをお勧めします。 [DPD プロファイル] > [DPD プローブ モード] [定期]または[オンデマンド]のいずれか。 定期 DPD プローブ モードの場合、指定した DPD プローブ間隔が経過するたびに DPD プローブが送信されます。
オンデマンド DPD プローブ モードの場合、アイドル期間の経過後にピア サイトから IPsec パケットが受信されないと、DPD プローブが送信されます。使用されるアイドル期間は [DPD プローブ間隔] の値によって決まります。
[DPD プロファイル] > [再試行回数] 許可される再試行回数の整数。1~100 の範囲の値が有効です。デフォルトの再試行回数は 10 です。 [DPD プロファイル] > [DPD プローブ間隔] DPD プローブの送信の間に NSX IKE デーモンが待機する秒数。 定期 DPD プローブ モードの場合、有効な値は 3~360 秒の間です。デフォルト値は 60 秒です。
オンデマンド プローブ モードの場合、有効な値は 1~10 秒の間です。デフォルト値は 3 秒です。
定期 DPD プローブ モードを設定した場合、IKE デーモンは DPD プローブを定期的に送信します。ピア サイトが 0.5 秒以内に応答すると、構成した DPD プローブ間隔の経過後に次の DPD プローブが送信されます。ピア サイトが応答しない場合は、0.5 秒待機した後に DPD プローブが再送信されます。リモート ピア サイトが応答しない場合、応答が受信されるか再試行回数に到達するまで、IKE デーモンは DPD プローブの再送信を繰り返します。ピア サイトの非活動が宣言されるまで、IKE デーモンは [再試行回数] プロパティに指定された最大回数に達するまで、DPD プローブを再送信します。ピア サイトが非活動と宣言されると、NSX は、非活動ピアのリンクで Security Association (SA) を解除します。
オンデマンド DPD モードを設定すると、構成した DPD プローブ間隔の経過後、ピア サイトから IPsec トラフィックが受信されない場合にのみ、DPD プローブが送信されます。
[DPD プロファイル] > [管理ステータス] DPD プロファイルを有効または無効にするには、[管理ステータス] トグルをクリックします。デフォルトでは、この値は [有効] に設定されます。DPD プロファイルを有効にすると、DPD プロファイルを使用する IPSec VPN サービスのすべての IPSec セッションに、その DPD プロファイルが使用されます。 [TCP MSS クランプ] [TCP MSS クランプ] を使用して IPsec 接続時の TCP セッションの最大セグメント サイズ (MSS) ペイロードを削減するには、このオプションを [有効] に切り替えて、[TCP MSS の方向] を選択し、必要に応じて [TCP MSS 値] を選択します。『NSX Data Center 管理ガイド』のTCP MSS クランプの理解を参照してください。 - (オプション) VPN にタグを付けます。
NSX オブジェクトのタギングについて詳しくは、『NSX Data Center 管理ガイド』のオブジェクトへのタグの追加を参照してください。
- [保存] をクリックして VPN を作成します。
- CGW のインターネット インターフェイスを経由する IPsec VPN トラフィックを許可するコンピューティング ゲートウェイ ファイアウォール ルールを追加します。
[ゲートウェイ ファイアウォール] タブを開き、 [コンピューティング ゲートウェイ] をクリックします。このルールは機能しますが、許容度が一般的に本番環境に期待されるよりも高くなっています。信頼できる、または制御している CIDR ブロックのみに [送信元] を制限することを検討してください。この例では、 手順 4で取得したパブリック IP アドレス (93.184.216.34) を [宛先] アドレスとして使用しています。
名前 送信元 宛先 サービス 適用先 操作 VPN アクセス 任意 93.184.216.34 [IKE (NAT トラバーサル)]、[IKE (鍵交換)]、[IPSec VPN ESP] を含める必要があります [インターネット インターフェイス] Allow - VPN のパブリック IP アドレスに外部からアクセスできるように、NAT ルールを作成します。
[ネットワーク] > [NAT] > [インターネット] の順に移動します。 [NAT ルールの追加] をクリックし、次のような NAT ルールを作成します。
名前 パブリック IP アドレス サービス パブリック ポート 内部 IP アドレス ファイアウォール VPN アクセス 93.184.216.34 すべてのトラフィック 任意 93.184.216.34 外部アドレスと一致