翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AWS Client VPN クライアントルートの適用
<a name="cvpn-working-cre"></a>

クライアントルート強制は、VPN 経由で接続されたデバイスに対して、管理者が定義したルートを強制するのに役立ちます。この機能は、接続されたクライアントから発信されたネットワークトラフィックが誤って VPN トンネルの外部に送信されないようにすることで、セキュリティ体制を強化するのに役立ちます。

クライアントルート強制は、接続されたデバイスのメインルーティングテーブルをモニタリングし、アウトバウンドネットワークトラフィックが、クライアント VPN エンドポイントで設定されたネットワークルートに従って VPN トンネルを通過するようにします。これには、VPN トンネルと競合するルートが検出された場合のデバイスのルーティングテーブルの変更が含まれます。クライアントルート強制は、IPv4 アドレスファミリーと IPv6 アドレスファミリーの両方をサポートします。

## 要件
<a name="requirements-cre"></a>

クライアントルートの適用は、以下の AWS 提供されているクライアント VPN バージョンでのみ機能します。
+ Windows バージョン 5.2.0 以降 (IPv4 サポート)
+ macOS バージョン 5.2.0 以降 (IPv4 サポート)
+ Ubuntu バージョン 5.2.0 以降 (IPv4 サポート)
+ Windows バージョン 5.3.0 以降 (IPv6 サポート)
+ macOS バージョン 5.3.0 以降 (IPv6 サポート)
+ Ubuntu バージョン 5.3.0 以降 (IPv6 サポート)

デュアルスタックエンドポイントの場合、クライアントルート強制の設定は IPv4 スタックと IPv6 スタックの両方に同時に適用されます。1 つのスタックに対してのみクライアントルート強制を有効にすることはできません。

## ルーティングの競合
<a name="route-conflict-cre"></a>

クライアントが VPN に接続されている間、クライアントのローカルルートテーブルとエンドポイントのネットワークルートの比較が行われます。2 つのルートテーブルエントリ間にネットワークの重複がある場合、ルーティングの競合が発生します。重複するネットワークの例を次に示します。
+ `172.31.0.0/16`
+ `172.31.1.0/24`

この例では、これらの CIDR ブロックがルーティングの競合を引き起こしています。例えば、`172.31.0.0/16` は VPN トンネル CIDR である場合があります。`172.31.1.0/24` はプレフィックスがより長く、より具体的であるため、通常は優先され、`172.31.1.0/24` の IP 範囲内の VPN トラフィックを別の宛先にリダイレクトする可能性があります。これにより、意図しないルーティング動作が発生する可能性があります。ただし、クライアントルート強制を有効にすると、後者の CIDR は削除されます。この機能を使用する場合は、ルーティングの競合の可能性を考慮する必要があります。

フルトンネル VPN 接続は、VPN 接続を介してすべてのネットワークトラフィックをルーティングします。そのため、クライアントルート強制機能が有効になっている場合、VPN に接続されたデバイスはローカルネットワーク (LAN) リソースにアクセスできなくなります。ローカル LAN アクセスが必要な場合は、フルトンネルモードの代わりに分割トンネルモードを使用することを検討してください。分割トンネルの詳細については、「[分割トンネルクライアント VPN](split-tunnel-vpn.md)」を参照してください。

## 考慮事項
<a name="considerations-cre"></a>

クライアントルート強制をアクティブ化する前に、次の情報を考慮する必要があります。
+ 接続時にルーティングの競合が検出されると、この機能はクライアントのルートテーブルを更新してトラフィックを VPN トンネルに転送します。接続が確立される前に存在し、この機能によって削除されたルートは復元されます。
+ この機能はメインルーティングテーブルにのみ適用され、他のルーティングメカニズムには適用されません。たとえば、クライアントルート強制は以下には適用されません。
  + ポリシーベースのルーティング
  + インターフェイススコープのルーティング
+ クライアントルート強制は、VPN トンネルが開いている間、VPN トンネルを保護します。トンネルが切断された後、またはクライアントが再接続している間は保護されません。

### OpenVPN ディレクティブがクライアントルート強制に与える影響
<a name="considerations-openvpn"></a>

OpenVPN 設定ファイルの一部のカスタムディレクティブには、クライアントルート強制との以下の特定のやり取りがあります。
+ `route` ディレクティブ 
  + VPN ゲートウェイにルートを追加する場合。例えば、VPN ゲートウェイにルート `192.168.100.0 255.255.255.0` を追加するとします。

    VPN ゲートウェイに追加されたルートは、他の VPN ルートと同様にクライアントルート強制によってモニタリングされます。競合するルートは検出され、削除されます。
  + VPN 以外のゲートウェイにルートを追加する場合。例えば、ルート `192.168.200.0 255.255.255.0 net_gateway` を追加するとします。

    VPN 以外のゲートウェイに追加されたルートは、VPN トンネルをバイパスするため、クライアントルート強制から除外されます。競合するルートは、それらのルート内で許可されます。この例では、上記のルートはクライアントルート強制によるモニタリングから除外されます。
  + IPv4 ルートと同様に、VPN ゲートウェイに追加された IPv6 ルートはクライアントルート強制によってモニタリングされ、VPN 以外のゲートウェイに追加されたルートはモニタリング対象から除外されます。

### 無視されたルート
<a name="cre-ignored"></a>

次の IPv4 ネットワークへのルートは、クライアントルート強制によって無視されます。
+ `127.0.0.0/8` — ローカルホスト用に予約済み
+ `169.254.0.0/16` — リンクローカルアドレス用に予約済み
+ `224.0.0.0/4` — マルチキャスト用に予約済み
+ `255.255.255.255/32` — ブロードキャスト用に予約済み

次の IPv6 ネットワークへのルートは、クライアントルート強制によって無視されます。
+ `::1/128` — ループバック用に予約済み 
+ `fe80::/10` — リンクローカルアドレス用に予約済み 
+ `ff00::/8` — マルチキャスト用に予約済み 

**Topics**
+ [要件](#requirements-cre)
+ [ルーティングの競合](#route-conflict-cre)
+ [考慮事項](#considerations-cre)
+ [クライアントルートの強制を有効にする](activate-cre.md)
+ [クライアントルート強制を無効にする](deactivate-cre.md)
+ [IPv6 クライアントルート強制のトラブルシューティング](cre-ipv6-troubleshooting.md)

# AWS Client VPN エンドポイントのクライアントルート強制をアクティブ化する
<a name="activate-cre"></a>

コンソールまたは AWS CLIを使用して、既存のクライアント VPN エンドポイントでクライアントルート強制を有効にできます。

**コンソールを使用してクライアントルート強制を有効にするには**

1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。

1. ナビゲーションペインで、**[クライアント VPN エンドポイント]** を選択します。

1. 変更するクライアント VPN エンドポイントを選択し、**[アクション]**、**[クライアント VPN エンドポイントの変更]** の順に選択します。

1. ページを下にスクロールして、**[その他のパラメータ]** セクションに移動します。

1. **[クライアントルート強制]** を有効にします。

1. **[クライアント VPN エンドポイントの変更]** を選択します。

**AWS CLIを使用してクライアントルートの強制を有効にするには**
+ [modify-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-client-vpn-endpoint.html) コマンドを使用します。

# AWS Client VPN エンドポイントからクライアントルートの適用を無効にする
<a name="deactivate-cre"></a>

コンソールまたは AWS CLIを使用して、クライアント VPN エンドポイントでクライアントルート強制を無効にすることができます。

**コンソールを使用してクライアントルート強制を無効にするには**

1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。

1. ナビゲーションペインで、**[クライアント VPN エンドポイント]** を選択します。

1. 変更するクライアント VPN エンドポイントを選択し、**[アクション]**、**[クライアント VPN エンドポイントの変更]** の順に選択します。

1. ページを下にスクロールして、**[その他のパラメータ]** セクションに移動します。

1. **[クライアントルート強制]** をオフにします。

1. **[クライアント VPN エンドポイントの変更]** を選択します。

**を使用してクライアントルートの強制を無効にするには AWS CLI**
+ [modify-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-client-vpn-endpoint.html) コマンドを使用します。

# IPv6 クライアントルート強制のトラブルシューティング
<a name="cre-ipv6-troubleshooting"></a>

IPv6 クライアントルート強制で問題が発生した場合は、次のトラブルシューティング手順を検討してください。

クライアントバージョンを確認する  
IPv6 クライアントルート強制のサポートに必要となる AWS VPN クライアントバージョン 5.3.0 以降を使用していることを確認します。

エンドポイントの設定を確認する  
エンドポイントでクライアントルート強制が有効になっており、IPv6 またはデュアルスタックトラフィック用に設定されていることを確認します。

クライアントログを調べる  
IPv6 クライアントルート強制に関連するエラーメッセージについては、AWS VPN クライアントログを確認します。「IPv6」と「クライアントルート強制」または「CRM」を含むエントリを探します。

ルーティングテーブルを検査する  
オペレーティングシステムに適切なコマンドを使用して、IPv6 ルーティングテーブルを表示します。  
+ Windows: `netsh interface ipv6 show route`
+ macOS: `netstat -rn -f inet6`
+ Linux: `ip -6 route`

競合するルートを確認する  
VPN ルートと競合する可能性のある IPv6 ルートを探します。送信先が同じでゲートウェイが異なるルートには特に注意してください。

ISP IPv6 のサポートを確認する  
インターネットサービスプロバイダー (ISP) で IPv6 が正しくサポートされていることを確認します。

これらのトラブルシューティング手順を試した後も IPv6 クライアントルート強制に関する問題が解決しない場合は、AWS サポートにお問い合わせください。