Amazon AWS トランジットゲートウェイ

このチュートリアルでは、Cloudflare Magic WAN と AWS トランジットゲートウェイ間での IPsec VPN の設定方法についての情報と例を提供します。

前提条件

AWS アカウントに AWS トランジットゲートウェイが作成されている必要があります。これは、AWS 仮想プライベートクラウド (VPC) と Cloudflare Magic WAN 間のトラフィックをルーティングするために必要です。トランジットゲートウェイの作成方法については、AWS ドキュメント ↗を参照してください。

さらに、AWS 仮想プライベートクラウド内の仮想マシン (VM) およびトランジットゲートウェイのルートテーブルエントリを設定する必要があります。そうしないと、VM と Magic WAN 経由でルーティングされた別の VM との接続が機能しません。ルーティングテーブルについては、AWS ドキュメント ↗を参照してください。

AWS

AWS トランジットゲートウェイ VPN アタッチメントの作成

1. トランジットゲートウェイ > トランジットゲートウェイアタッチメントに移動し、トランジットゲートウェイアタッチメントの作成を選択します。
2. ドロップダウンから以前に作成したトランジットゲートウェイ IDを選択します。
3. アタッチメントタイプとして、VPN を選択します。
4. VPN アタッチメントの下で、以下の設定を選択します（ここで言及されていない設定はデフォルト値のままにできます）：
   1. カスタマーゲートウェイ: 新規を選択します。
   2. IP アドレス: Cloudflare の Anycast IP アドレスを入力します。
   3. ルーティングオプション: 静的を選択します。
5. トランジットゲートウェイアタッチメントの作成を選択します。

VPN 接続の設定

1. 作成した VPN 接続を選択 > 構成のダウンロードを選択します。

2. このアクションによりテキストファイルがダウンロードされます。AWS トランジットゲートウェイがトンネルに割り当てた IP 範囲を検索します。最初の IP 範囲は AWS トランジットゲートウェイによって使用されるものです。2 番目の IP 範囲を使用して、Magic WAN のインターフェースアドレスを設定します。

3. 作成した VPN 接続を選択 > アクション > VPN トンネルオプションの変更を選択します。

4. VPN トンネル外部 IP アドレスのドロップダウンメニューから、トンネルの一つを選択します。

5. 選択したIP アドレスに注意してください。これは、IPsec トンネルの Cloudflare 側で設定する必要があるカスタマーエンドポイント IP に対応します。

6. VPN 接続のオプションの数が増えます。事前共有キーに注意してください。これは、Cloudflare 側で IPsec トンネルを作成するために必要です。

7. 内部 IPv4 CIDRでは、AWS は 169.254.0.0/16 範囲内の /30 ブロックのみを使用できるように強制します。これに対応するため、Cloudflare はこの IP ブロックのサブセットをサポートしています。具体的には、Cloudflare は IPsec トンネルの (内部) インターフェース IP として 169.254.240.0/20 を割り当てることをサポートしています。この例では、IPsec トンネルの CIDR ブロックとして 169.254.244.0/30 を使用します：トンネルの AWS 側は 169.254.244.1、Cloudflare 側は 169.254.244.2 です。

   注意

   Cloudflare によってサポートされている IP アドレスを入力してください。ここに値を入力しないと、AWS が Cloudflare によってサポートされていない可能性のあるランダムな IP アドレスを生成します。

8. IPsec トンネルのために以下の設定を構成します。スタートアップアクションは開始に設定する必要があります。これは、AWS 側が IPsec 交渉を開始することを意味します。ここで言及されていない設定はデフォルト設定のままにできます：

   • フェーズ 1 暗号化アルゴリズム: AES256-GCM-16
   • フェーズ 2 暗号化アルゴリズム: AES256-GCM-16
   • フェーズ 1 整合性アルゴリズム: SHA2-256
   • フェーズ 2 整合性アルゴリズム: SHA2-256
   • フェーズ 1 DH グループ番号: 14
   • フェーズ 2 DH グループ番号: 14
   • IKE バージョン: ikev2
   • スタートアップアクション: 開始
   • DPD タイムアウトアクション: 再起動

9. 変更を保存を選択します。

10. 上記の手順を繰り返して、2 番目の VPN 接続を設定します。2 番目の外部 IP アドレスを使用し、トンネルの Cloudflare 側を設定する際に IP アドレスも適切に変更します。

ノート

静的ルーティング構成では、2 つの VPN トンネルに対する ECMP はサポートされていません。トランジットゲートウェイとカスタマーゲートウェイデバイス間の VPN に対して動的ルーティングを構成する必要があります。詳細については、AWS ドキュメント ↗を参照してください。

Magic WAN

上記のように AWS トランジットゲートウェイ VPN 接続とトンネルを設定した後、Cloudflare ダッシュボードに移動し、Magic WAN 側で対応する IPsec トンネルと静的ルートを作成します。

IPsec トンネル

1. トンネルの追加を参照して、IPsec トンネルの追加方法を学びます。IPsec トンネルを作成する際は、以下の設定を定義してください：
   • トンネル名: tunnel01
   • インターフェースアドレス: AWS によって強制される /30 CIDR ブロック（最初の使用可能 IP は AWS 側用）。例えば、169.254.244.2。
   • カスタマーエンドポイント: AWS の VPN トンネル外部 IP アドレスからの IP アドレス。例えば、35.xx.xx.xx。
   • Cloudflare エンドポイント: 2 つの Anycast IP の最初のものを入力します。
   • 事前共有キー: 自分の事前共有キーを使用を選択し、AWS VPN トンネル用に作成した PSK を入力します。
   • ヘルスチェックタイプ: リクエストを選択します。
   • ヘルスチェック方向: 双方向を選択します。
   • リプレイ保護: 有効を選択します。
2. 保存を選択します。
3. 上記の手順を tunnel02 に対して繰り返します。同じプレフィックスを選択しますが、トンネル/次のホップには 2 番目の IPsec トンネルを選択します。

静的ルート

Magic WAN の静的ルートは、AWS 仮想プライベートクラウド内に作成した適切な仮想マシン (VM) サブネットを指す必要があります。例えば、VM のサブネットが 192.168.192.0/26 の場合、これを静的ルートのプレフィックスとして使用する必要があります。

静的ルートを作成するには：

1. 静的ルートの作成を参照して、作成方法を学びます。
2. プレフィックスに、VM のサブネットを入力します。例えば、192.xx.xx.xx/24。
3. トンネル/次のホップには、前のステップで作成した IPsec トンネルを選択します。
4. 作成した 2 番目の IPsec トンネルについても、上記の手順を繰り返します。