ネゴシエーション・パラメーター

IPsec VPN のリモート・サイドの以下の情報を把握しておく必要があります。

• VPN エンドポイントの静的 IP アドレス
• 事前共有鍵 (パスワード)
• 暗号化アルゴリズム (DES、3DES、AES128、AES192、AES256)
• 認証 (MD5、SHA1、SHA256、フェーズ 1 & 2 用)
• Diffie-Hellman グループ (フェーズ 1 & 2 用)
• Perfect Forward Secrecy (PFS) が使用されているかどうか
• 鍵の存続時間 (フェーズ 1 & 2 用) - 注: システムはこの値を秒単位で測定します。

この情報が使用可能になったら、VPN 接続の基本ネゴシエーション・パラメーターを構成することができます。

保護されたネットワーク

VPN 接続プロパティーでは、トンネルのリモート・エンドのネットワークと、トンネルのローカル・ネットワークを定義する必要があります。 「保護されたカスタマー (リモート) サブネット (Protected Customer (Remote) Subnet)」で、IPsec トンネルのリモート (非 IBM) エンドのプライベート IP アドレス・スペースを CIDR 表記で入力してください。

例えば、トンネルのリモート・エンドのネットワークで単一サブネット 10.0.0.0 とネットマスク 255.255.255.0 を使用している場合は、IP アドレス 10.0.0.0 / CIDR 24 を「保護されたカスタマー (リモート) サブネット (Protected Customer (Remote) Subnet)」セクションに入力します。

ネットワーク・アドレス変換 (NAT) (Network Address Translation (NAT))

IPsec VPN では、VPN 接続の他のエンド上のリモート・サブネットにトラフィックを経路指定する、IBM Cloud ネットワーク上のプライベート IP アドレスを定義することもできます。 これにより、フル・インターネット・アクセスに対してリモート・ロケーションを公開することなく、プライベート・インターネットのトラフィックを、VPN の背後にあるシステムの内部 IP アドレスのいずれかに転送することが可能になります。

ネットワーク・アドレス変換/割り当て済み静的 NAT サブネット

静的 NAT エントリーを使用してリモート VPN IP を構成するには、以下のようにします。

• 赤い矢印を選択して、**「割り当て済み静的 NAT サブネット (Assigned Static NAT subnets)」**セクションのサブネット・リストを表示します。 サブネット内の各 IP が表示されます。
• VPN 接続のリモート・エンドの IP を**「カスタマー IP (Customer IP)」列の下に入力し、マッピングの名前を「名前」**列の下に入力します。
• **「コンテキスト・アドレス変換の追加/変更 (Add/Modify Context Address Translations)」と「構成の適用 (Apply Configurations)」**を選択して、構成を保存および適用します。

この操作により、静的 1 対 1 ネットワーク変換がリターン・トラフィック用にセットアップされます。この変換は、IBM Cloud VPN コンセントレーターの背後にあるホストが、リモート VPN ピアの背後にあるホストと通信するために使用します。 例えば、IP 10.1.255.92 のトラフィックはすべて、お客様の IP 192.168.10.15 に変換され、転送されます。 この転送により、IBM Cloud サーバー上の追加の経路エントリーが不要になります。

セキュリティー上の理由から、 IBM は、IPsec および SSL VPN サービスをホストするために使用される機器に関する特定のハードウェアまたはソフトウェア/オペレーティング・システム情報を提供しません。

既知の制約

当社のIBM CLoud IPsec VPNサービスでは、他の主要なクラウドプロバイダーとのIPsec VPNトンネルを構築することはできません。AWS、Azure、 そしてGoogle Cloud。 IPsec VPNトンネルをIBM Cloud環境とこれらのプロバイダーのいずれかが必要な場合は、 IBM営業チームは、個人用ゲートウェイ アプライアンスなどの利用可能なオプションについて話し合います。