クライアント・ツー・サイトVPNサーバーに関するFAQ
IBM Cloud® の VPN for VPC を使用していると、以下のよくある質問が生じる可能性があります。
VPN の正常性の状況は何を示していますか?
状況の説明を以下に示します。
Healthy
- VPNサーバーが正常に動作していることを示します。Degraded
- VPN サーバーのパフォーマンス、容量、または接続に問題があります。Faulted
- VPN サーバーは完全に到達不能で作動不能です。Inapplicable
- 現在のライフサイクルの状態が原因で、正常性の状態が適用されません。 ライフサイクル状態がfailed
またはdeleting
のリソースでは、正常性の状態が適用できません。Pending
のリソースもこの状態になることがあります。
VPN クライアントにパスワード/パスコードを保存できないのはなぜですか?
IBM IAMから生成されるパスコードは、Time-based One-Time Passcode (TOTP)であり、再利用できない。 毎回再生成する必要があります。
接続されている VPN クライアントのある VPN サーバーを更新した場合、VPN クライアントはどうなりますか?
VPN クライアントは VPN サーバーから切断されます。 すべての VPN クライアントが、VPN サーバーに再接続する必要があります。 ユーザー ID とパスコードの認証を使用している場合は、パスコードを取得し、VPN クライアントから接続を開始する必要があります。
VPN クライアントが切断されるのはなぜですか?
VPN サーバー管理者は、VPN クライアントのアイドル時間を指定できます。 VPN クライアントからのトラフィックがない時間がそのアイドル時間に達すると、VPN サーバーはクライアントを自動的に切断します。 VPN クライアントが切断された場合は、VPN クライアントから VPN セッションを再び開始する必要があります。
接続されている VPN クライアントのある VPN サーバーを削除した場合、VPN クライアントはどうなりますか?
VPN クライアントは VPN サーバーから切断されます。
VPN サーバーが存在するサブネットを削除すると、その VPN サーバーはどうなりますか?
VPN サーバーが存在する場合は、サブネットを削除できません。
VPN サーバーが接続されているセキュリティー・グループを更新するには、どうしたらよいですか?
- ナビゲーション・ペインで、 「VPN」>「クライアントからサイトへのサーバー」 をクリックし、更新する VPN サーバーを選択します。
- 「接続されたセキュリティー・グループ」>「接続」 をクリックし、接続するセキュリティー・グループを選択します。
経路を作成し、VPN サーバーのプライベート IP をネクスト・ホップとして使用できますか?
いいえ。経路を作成してプライベート IP を使用することはできません。 プライベートIPは固定ではなく、いつでも変更できる。 VPN for VPC サービスは、VPC ルーティング・テーブル内の経路を自動的に更新します。 VPC ルーティング・テーブルを作成し、 VPN for VPC サービスで新しいルーティング・テーブルに経路を挿入する場合は、 accept routes from
フラグに VPN サーバーを追加する必要があります。 また、ルーティング・テーブルに
VPN サーバーが経路を注入しないようにする場合は、 accept routes from
フラグから VPN サーバーを削除する必要があります。 詳しくは、 VPN サーバーの経路伝搬の構成 を参照してください。
VPN サーバーが接続されているセキュリティー・グループを削除すると、その VPN サーバーはどうなりますか?
VPN サーバーが存在している場合、セキュリティー・グループは削除できません。
クライアント・ツー・サイトVPNをフル・トンネル・モードからスプリット・トンネル・モードに切り替えるには?
以下の手順に従います。
- IBM Cloud コンソールで、 ナビゲーション メニュー アイコン
> インフラストラクチャ
> ネットワーク > VPN をクリックします。
- Client-to-site serversをクリックし、更新したいVPNサーバー名をクリックします。
- VPNサーバーの詳細で、 Editをクリックし、Tunnel modeメニューで Split Tunnelを選択します。
- VPNを通じてアクセスしたいネットワークの特定のIPアドレスまたはアドレス範囲を入力します。
- 保存 をクリックします。
VPN サーバーのプロビジョニング中にサブネットを選択する必要があるのはなぜですか?
サーバーは、選択した VPN サブネットに存在します。 VPN サーバーには、高可用性と自動メンテナンスを実現するために、サブネットごとに 2 つの使用可能なプライベート IP アドレスが必要です。 サイズが 8 (サブネット接頭部の長さが 29 以下) の VPN サーバー専用のサブネットを使用するのが最適です。 専用のサブネットがあれば、VPN サーバーの柔軟性を高めるためにセキュリティー・グループと ACL をカスタマイズできます。
VPN サーバーでは高可用性構成はサポートされますか?
はい。アクティブ/アクティブの高可用性構成がサポートされています。 2 つの障害ドメインを持つ高可用性 VPN サーバーをデプロイする場合は、2 つのサブネットを選択する必要があります。 また、スタンドアロン VPN サーバーを高可用性モードにアップグレードしたり、高可用性 VPN サーバーをスタンドアロン・モードにダウングレードしたりすることもできます。
VPN サーバーのスループットに上限はありますか?
スタンドアロンVPNサーバーでは、最大600Mbpsのアグリゲーションスループットをサポートします。 高可用性VPNサーバーでは、最大1200Mbpsのアグリゲーションスループットがサポートされます。 単一のクライアント接続に対して最大 150 Mbps のスループット (スタンドアロン VPN サーバーと高可用性 VPN サーバーの両方に適用可能)。
IBM Cloud クラシック・インフラストラクチャーで VPN サーバーを使用できますか?
はい。IBM Cloud クラシック・インフラストラクチャーで VPN サーバーを使用できます。 ただし、VPC でクラシック・アクセスを有効にするか、VPN サーバーが存在する VPC に接続するように IBM Cloud Transit Gateway を構成する必要があります。
どの VPN クライアントがサポートされていますか?
詳細については、サポートされているクライアント・ソフトウェアを参照してください。
VPN サーバーでどのプロトコルとポートを使用できますか?
UDP または TCP と任意のポート番号を使用して、VPN サーバーを実行できます。 パフォーマンスが向上するため、UDP を使用することをお勧めします。また、ポート 443 以外のポートではインターネット・サービス・プロバイダーによってブロックされる可能性があるため、ポート 443 を使用することをお勧めします。 VPN クライアントから VPN サーバーに接続できない場合は、TCP/443 を試してみてください。このポートは、ほとんどすべてのインターネット・サービス・プロバイダーで開いています。
どの経路アクションを使用する必要がありますか?
VPN 経路のアクションは、経路の宛先によって異なります。
- 経路の宛先が VPC 内または VPN ゲートウェイを使用してオンプレミス・プライベート・サブネットにある場合は、経路のアクションが
deliver
になります。そうでない場合は、translate
になります。 - クライアントからのトラフィックをブロックする場合は、経路のアクションとして
drop
を使用し、不要なネットワーク・トラフィックや望ましくないネットワーク・トラフィックをヌル経路または「ブラック・ホール」経路に転送します。 - 経路のアクションが
translate
の場合は、送信元 IP が VPN サーバーのプライベート IP に変換されてから、VPN サーバーから送信されます。 この場合、VPN クライアント IP が宛先デバイスから見えなくなります。
どの DNS サーバー IP アドレスを使用する必要がありますか?
VPN サーバーをプロビジョンする時に、DNS サーバー IP アドレスは任意指定になっています。 クライアントからサービス・エンドポイントと IaaS エンドポイントにアクセスする場合は、IP アドレス 161.26.0.10
と 161.26.0.11
を使用してください。 詳細については、サービス・エンドポイントと
IaaS エンドポイントを参照してください。
クライアントからプライベート DNS 名を解決する必要がある場合は、161.26.0.7
と 161.26.0.8
を使用してください。 詳細については、DNS Services についてを参照してください。
VPN サーバーの証明書を更新するには、どうしたらよいですか?
VPN サーバーは、 Secrets Manager にある証明書の更新を認識しません。 別の CRN で証明書を再インポートしてから、新しい証明書の CRN で VPN サーバーを更新する必要があります。
VPN サーバーにカスタマイズしたホスト名を使用できますか?
はい。できます。 CNAME DNS レコードを作成し、DNS プロバイダー内の VPN サーバー・ホスト名を指すようにする必要があります。 その後、直接 remote 445df6c234345.us-south.vpn-server.appdomain.cloud
を remote your-customized-hostname.com
に置き換えて、クライアント・プロファイルを編集します。
445df6c234345.us-south.vpn-server.appdomain.cloud
は、VPN サーバーのホスト名の例です。
DNS プロバイダーとして IBM Cloud Internet Services を使用している場合、CNAME DNS レコードの追加方法については CNAME Type record を参照してください。
ヘルプが必要な場合、IBM サポート Case でどんな情報を提供する必要がありますか?
IBM サポート Case では以下の内容を提供してください。
-
VPN サーバーの ID。
-
VPN クライアントとオペレーティング・システムのバージョン。
-
VPN クライアントのログ。
-
問題が発生した時刻範囲。
-
ユーザー ID ベースの認証を使用している場合は、ユーザー名を提供してください。
-
証明書ベースの認証を使用している場合は、クライアント証明書の共通名を提供してください。
クライアント証明書の共通名を表示するには、
openssl x509 -noout -text -in your_client_certificate_file
セクションで OpenSSL コマンドsubject
を使用します。
API で IAM アクセス管理タグを使用して VPN client
役割を割り当てるにはどうすればよいですか?
クライアントからサイトへの VPN でアクセス管理タグを使用してユーザー・アクセスを管理し、 Client Authentication
の UserId and Passcode
モードを有効にする場合は、 VPN Client
役割にアクセス・タグを付加する必要があります。 そうしないと、VPN クライアントは VPN サーバーに接続できません。 詳しくは、 API を使用して IAM 対応リソースにタグ付けするためのアクセス権限をユーザーに付与する を参照し、 role_id
を crn:v1:bluemix:public:is::::serviceRole:VPNClient
に設定してアクセス権限を付与します。