IPsec VPN 接続のセットアップ
IPsec VPNは非推奨。 2024年11月3日現在、IPsec VPNの新しいインスタンスを作成することはできません。 既存のIPsec VPNインスタンスは2025年6月30日までサポートされる。 その日にまだ存在するインスタンスはすべて削除される。
IPsec VPN とは?
IPsec とは、2 つのロケーション間でのすべての IP トラフィックを認証および暗号化するように設計されたプロトコル一式です。 これを使用することによって、通常であれば安全でないと見なされるネットワークを経由してトラステッド・データを渡すことができます。 IPsec トンネル・エンドポイントは任意の場所に配置することが可能で、プライベート・ネットワーク全体または指定したネットワークへのアクセスを可能にします。 ゾーンまたはクラウド・サービス・エンドポイントを使用している場合、IPsec トンネルは非互換です。
ユーザーは、IBM Cloud VPN アクセスを使用することで、すべてのサーバーを IBM Cloud Private ネットワーク経由でセキュアにリモート管理できます。 お客様のロケーションからプライベート・ネットワークへの VPN 接続により、暗号化された VPN トンネル経由でのアウト・オブ・バンド管理とサーバー・レスキューが可能になります。 VPN アクセスを使用すれば、以下を行うことができます。
- SSL または IPsec を使用してプライベート・ネットワークへの VPN 接続を確立する。
- SSH または RDP を使用してサーバーのプライベート IP アドレスの 10.x.x.x によってそのサーバーにアクセスする。
- さらなるサーバー管理やレスキューのニーズに対応するためにサーバーの IPMI IP アドレスに接続する。
IPsec サービスは、環境の管理用にお客様に提供されています。 実動ワークロード用には推奨されません。
ネゴシエーション・パラメーター
IPsec VPN のリモート・サイドの以下の情報を把握しておく必要があります。
- VPN エンドポイントの静的 IP アドレス
- 事前共有鍵 (パスワード)
- 暗号化アルゴリズム (DES、3DES、AES128、AES192、AES256)
- 認証 (MD5、SHA1、SHA256、フェーズ 1 & 2 用)
- Diffie-Hellman グループ (フェーズ 1 & 2 用)
- Perfect Forward Secrecy (PFS) が使用されているかどうか
- 鍵の存続時間 (フェーズ 1 & 2 用) - 注: システムはこの値を秒単位で測定します。
この情報が使用可能になったら、VPN 接続の基本ネゴシエーション・パラメーターを構成することができます。
保護されたネットワーク
VPN 接続プロパティーでは、トンネルのリモート・エンドのネットワークと、トンネルのローカル・ネットワークを定義する必要があります。 「保護されたカスタマー (リモート) サブネット (Protected Customer (Remote) Subnet)」で、IPsec トンネルのリモート (非 IBM) エンドのプライベート IP アドレス・スペースを CIDR 表記で入力してください。
例えば、トンネルのリモート・エンドのネットワークで単一サブネット 10.0.0.0
とネットマスク 255.255.255.0
を使用している場合は、IP アドレス 10.0.0.0 / CIDR 24
を「保護されたカスタマー (リモート) サブネット (Protected Customer (Remote) Subnet)」セクションに入力します。
ネットワーク・アドレス変換 (NAT) (Network Address Translation (NAT))
IPsec VPN では、VPN 接続の他のエンド上のリモート・サブネットにトラフィックを経路指定する、IBM Cloud ネットワーク上のプライベート IP アドレスを定義することもできます。 これにより、フル・インターネット・アクセスに対してリモート・ロケーションを公開することなく、プライベート・インターネットのトラフィックを、VPN の背後にあるシステムの内部 IP アドレスのいずれかに転送することが可能になります。
ネットワーク・アドレス変換/割り当て済み静的 NAT サブネット
静的 NAT エントリーを使用してリモート VPN IP を構成するには、以下のようにします。
- 赤い矢印を選択して、**「割り当て済み静的 NAT サブネット (Assigned Static NAT subnets)」**セクションのサブネット・リストを表示します。 サブネット内の各 IP が表示されます。
- VPN 接続のリモート・エンドの IP を**「カスタマー IP (Customer IP)」列の下に入力し、マッピングの名前を「名前」**列の下に入力します。
- **「コンテキスト・アドレス変換の追加/変更 (Add/Modify Context Address Translations)」と「構成の適用 (Apply Configurations)」**を選択して、構成を保存および適用します。
この操作により、静的 1 対 1 ネットワーク変換がリターン・トラフィック用にセットアップされます。この変換は、IBM Cloud VPN コンセントレーターの背後にあるホストが、リモート VPN ピアの背後にあるホストと通信するために使用します。 例えば、IP 10.1.255.92
のトラフィックはすべて、お客様の IP 192.168.10.15
に変換され、転送されます。 この転送により、IBM Cloud サーバー上の追加の経路エントリーが不要になります。
セキュリティー上の理由から、 IBM は、IPsec および SSL VPN サービスをホストするために使用される機器に関する特定のハードウェアまたはソフトウェア/オペレーティング・システム情報を提供しません。
既知の制約
当社のIBM CLoud IPsec VPNサービスでは、他の主要なクラウドプロバイダーとのIPsec VPNトンネルを構築することはできません。AWS、Azure、 そしてGoogle Cloud。 IPsec VPNトンネルをIBM Cloud環境とこれらのプロバイダーのいずれかが必要な場合は、 IBM営業チームは、個人用ゲートウェイ アプライアンスなどの利用可能なオプションについて話し合います。