ニフクラ 拠点間VPNゲートウェイ:VPNコネクション
拠点間VPNゲートウェイに接続先のカスタマーゲートウェイを紐付け、VPNコネクションを作成します。
VPNコネクションを作成する事で、VPN接続が開始されます。
接続上限数
L2TPv3/IPsec(L2接続)時の接続上限数は下記の通りとなります。
| 対向側MACアドレス数 | 20MAC/拠点間VPNゲートウェイ |
※最大300MAC/拠点間VPNゲートウェイまで変更可能です。
上限の変更は、各種変更申請フォーム(※ニフクラIDとパスワードの入力が必要です。)よりご申請ください。
注意事項
接続上限数に達すると、それ以降の通信ができなくなります。
21個以上のMACアドレスで通信をするには、必ず上限変更申請を実施してください。
作成時のパラメーター
VPNコネクションの作成時、接続方式や暗号方式を指定する事が出来ます。
設定可能なパラメーターは以下の通りです。
| パラメーター名 | 指定可能なパラメーター | 必須 | 内容 |
|---|---|---|---|
| カスタマーゲートウェイ | 作成したカスタマーゲートウェイ | ○ | 接続するカスタマーゲートウェイを選択します。 カスタマーゲートウェイの設定値によって、選択出来る接続方式が限定されます。 |
| 接続方式 | IPsec IPsec VTI L2TPv3 / IPsec |
○ | 接続方式を指定します。対向機器によって、接続可能な接続方式が異なります。 |
| IKEバージョン | IKEv1 IKEv2 |
○ | IKEのバージョンを指定します。対向機器によって各バージョンに対応しているか確認して下さい。 |
| 暗号化アルゴリズム | AES128 AES256 3DES |
○ | IKE , ESPで利用する暗号化アルゴリズムを指定します。 |
| 認証アルゴリズム | SHA1 MD5 SHA256 SHA384 SHA512 |
○ | IKE , ESPで利用する認証アルゴリズムを指定します。 |
| 事前共有鍵 | 半角英数字、記号「-+&!@#$%^*(),.:_」、1~64文字 | IKEの認証で利用する事前共有鍵を指定します。 指定しない場合、ランダムな文字列が設定されます。 |
|
| IKE lifetime | 30-86400 | IKE SAのLifetimeを指定します。 指定しない場合、28800が設定されます。 |
|
| ESP lifetime | 30-86400 | IPsec SAのLifetimeを指定します。 指定しない場合、3600が設定されます。 |
|
| DH Group | 2 (1024-bit MODP Group) 5 (1536-bit MODP Group) 14 (2048-bit MODP Group) 15 (3072-bit MODP Group) 16 (4096-bit MODP Group) 17 (6144-bit MODP Group) 18 (8192-bit MODP Group) 19 (256-bit Random ECP Group) 20 (384-bit Random ECP Group) 21 (521-bit Random ECP Group) 22 (1024-bit MODP Group with 160-bit Prime Order Subgroup) 23 (2048-bit MODP Group with 224-bit Prime Order Subgroup) 24 (2048-bit MODP Group with 256-bit Prime Order Subgroup) 25 (192-bit Random ECP Group) 26 (224-bit Random ECP Group) |
PFS(Perfect Forward Secrecy)で利用するDH Groupを指定します。 指定しない場合、2 (1024-bit MODP Group)が設定されます。 |
|
| メモ | 全半角~500文字 | メモを保存できます。 |
L2TPv3/IPsec のVPNコネクション作成時のパラメーター
| パラメーター名 | 指定可能なパラメーター | 必須 | 内容 |
|---|---|---|---|
| トンネルタイプ | L2TPv3 | ○ | トンネルタイプを指定します。 |
| トンネルモード | Managed Unmanaged |
○ | トンネルモードを指定します。 ・Managed: トンネルID、セッションIDを自動で設定します。 ・Unmanaged: トンネルID、セッションIDを手動で設定します。 |
| カプセル化方式 | IP UDP |
○ | L2フレームのカプセル化方式を指定します。 トンネルモードが Managed の場合、カプセル化方式「IP」は指定できません。 |
| MTUサイズ | 任意のMTUサイズ | L2TPインターフェースのMTUサイズを指定します。デフォルト値は 1500 です。 |
|
| トンネルID | 0以外の任意の数値 | ○ (トンネルモードが Unmanaged の場合) |
拠点間VPNゲートウェイと対向機器のトンネルIDを指定します。「0」は予約済みのIDであるため指定できません。 |
| セッションID | 0以外の任意の数値 | ○ (トンネルモードが Unmanaged の場合) |
拠点間VPNゲートウェイと対向機器のセッションIDを指定します。「0」は予約済みのIDであるため指定できません。 |
| ポート | 以下を除く任意のポート番号 ・0~1023 ・1194 ・1701 ・4500 ・同じ拠点間VPNゲートウェイ上のVPNコネクションで利用しているポート |
○ (カプセル化方式が「UDP」の場合) |
L2TPv3パケットの送信元ポート番号と宛先ポート番号を指定します。 トンネルモードが Managed の場合、送信元ポート番号と宛先ポート番号に 1701 が設定されます。 |
注意事項
- VPN機器によっては対応していないトンネルモードがあるため、利用しているVPN機器がどのトンネルモードに対応しているのかご確認ください。
VPNコネクションのデフォルト値
VPNコネクションでは以下の設定がデフォルト値として設定されています。
以下のパラメーターは変更出来ません。
| パラメーター名 | 内容 | |
|---|---|---|
| PFS(Perfect Forward Secrecy) | 有効 | |
| DPD(Dead Peer Detection) | 有効 | |
| interval | 15秒 | |
| timeout | 90秒 |
接続方式について
VPNコネクションでは IPsec , IPsec VTI , L2TPv3 / IPsec の3つの接続方式を選択出来ます。
それぞれの接続方式の違いは以下の通りです。
| 接続方式 | 内容 |
|---|---|
| IPsec |
一般的なL3 VPNの接続方式です。 ポリシーベースVPNとして、VPNゲートウェイはカスタマーゲートウェイの「対向機器LAN側IPアドレス帯」で指定したネットワーク帯の通信を、VPNトンネルを経由して通信を行います。 |
| IPsec VTI |
VPN接続先をルーティング対象にする事が出来る L3 VPNの接続方式です。 VTI(Virtual Tunnel Interface)を使ったルートベースVPNです。 ルートテーブルを拠点間VPNゲートウェイに設定する事で、VPN接続先のネットワーク帯に対してルーティングの設定を行うことが出来ます。 |
| L2TPv3 / IPsec |
L2 VPNの接続方式です。 L2TPv3(Layer 2 Tunneling Protocol version 3)を使ったVPNで、対向拠点のネットワークとプライベートLANをL2接続する事が出来ます。 |
注意事項
L2TPv3 / IPsecを1コネクションのみ作成した場合、拠点間VPNゲートウェイのプライベートLAN側のIPアドレスは外れます。
拠点間VPNゲートウェイのプライベートLAN IPアドレスに疎通確認を行う場合には、VPNコネクション作成後に拠点間VPNゲートウェイの「ネットワーク変更」よりIPアドレスを再設定して下さい。
L2TPv3 / IPsecについて
L2TPv3 / IPsecでは以下のモード、カプセル化方式が設定出来ます。
| 接続方式 | モード | カプセル化方式 |
|---|---|---|
| L2TPv3 / IPsec | Managed | UDP |
| Unmanaged | IP | |
| UDP |
設定可能なVPNコネクションの接続方式とカスタマーゲートウェイ
動的IP,ドメインで設定可能な接続方式は以下の通りです。
| アドレス指定 | IKEバージョン | 接続方法 | 設定可否 |
|---|---|---|---|
| 動的IP | IKEv1 | IPsec | ○ |
| IPsec VTI | × | ||
| L2TPv3 / IPsec | × | ||
| IKEv2 | IPsec | ○ | |
| IPsec VTI | × | ||
| L2TPv3 / IPsec | × | ||
| ドメイン | IKEv1 | IPsec | ○ |
| IPsec VTI | × | ||
| L2TPv3 / IPsec | ○ | ||
| IKEv2 | IPsec | ○ | |
| IPsec VTI | × | ||
| L2TPv3 / IPsec | ○ |
