翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AWS Site-to-Site VPN カスタマーゲートウェイデバイスの静的および動的設定ファイル
<a name="example-configuration-files"></a>

VPN 接続を作成すると、Amazon VPC コンソールから、または EC2 API を使用して、 AWSが提供するサンプル設定ファイルをダウンロードするオプションが追加されます。詳細については「[ステップ 6: 設定ファイルをダウンロードする](SetUpVPNConnections.md#vpn-download-config)」を参照してください。静的ルーティングと動的ルーティング専用のサンプル設定の.zip ファイルをそれぞれのページでダウンロードすることもできます。

 AWSが提供するサンプル設定ファイルには、カスタマーゲートウェイデバイスの設定に使用できる VPN 接続に固有の情報が含まれています。場合によっては、AWS でテスト済みのデバイス用に、デバイス固有の設定ファイルが用意されています。特定のカスタマーゲートウェイデバイスが一覧に表示されていない場合は、汎用設定ファイルをダウンロードして開始できます。

**重要**  
この設定ファイルはあくまでも一例です。お客様が想定する Site-to-Site VPN 接続設定とは一致しない場合があります。ほとんどの AWS リージョンで AES128, SHA1、および Diffie-Hellman グループ 2、 AWS GovCloud リージョンで AES128, SHA2、および Diffie-Hellman グループ 14 の Site-to-Site VPN 接続の最小要件を指定します。また、認証用の事前共有キーも指定します。追加のセキュリティアルゴリズム、Diffie-Hellman グループ、プライベート証明書、IPv6 トラフィックを活用するには、サンプル設定ファイルを変更する必要があります。

**注記**  
これらのデバイス固有の設定ファイルは、ベストエフォートベース AWS で から提供されます。によってテストされていますが AWS、このテストは制限されています。設定ファイルに問題がある場合は、特定のベンダーに問い合わせて、追加のサポートを依頼する必要があります。

次の表に、IKEv2 をサポートするように更新された、ダウンロード可能な設定ファイルの例があるデバイスのリストを示します。多くの一般的なカスタマーゲートウェイデバイスの設定ファイルに IKEv2 サポートが導入されており、時間の経過とともにファイルを追加していきます。このリストは、設定ファイルの例が追加されると更新されます。


| Vendor | プラットフォーム | ソフトウェア | 
| --- | --- | --- | 
|  AXGATE  |  NF  |  AOS 3.2 以降  | 
|  AXGATE  |  UTM  |  AOS 2.1 以降  | 
|  Checkpoint  |  Gaia  |  R80.10\$1  | 
|  Cisco Meraki  |  MX シリーズ  |  15.12\$1 (WebUI)  | 
|  Cisco Systems, Inc。  |  ASA 5500 シリーズ  |  ASA 9.7\$1 VTI  | 
|  Cisco Systems, Inc。  |  CSRv AMI  |  IOS 12.4 以降  | 
|  Fortinet  |  FortiGate 40\$1 シリーズ  |  FortiOS 6.4.4\$1 (GUI)  | 
|  Juniper Networks, Inc。  |  J シリーズルーター  |  JunOS 9.5 以降  | 
|  Juniper Networks, Inc。  |  SRX ルーター  |  JunOS 11.0 以降  | 
|  Mikrotik  |  RouterOS  |  6.44.3  | 
|  Palo Alto Networks  |  PA シリーズ  |  PANOS 7.0 以降  | 
|  SonicWall  |  NSA、TZ  |  OS 6.5  | 
|  Sophos  |  Sophos ファイアウォール  |  v19\$1  | 
|  Strongswan  |  Ubuntu 16.04  |  Strongswan 5.5.1\$1  | 
|  Yamaha  |  RTX ルーター  |  Rev.10.01.16 以降  | 

# AWS Site-to-Site VPN カスタマーゲートウェイデバイスのダウンロード可能な静的ルーティング設定ファイル
<a name="cgw-static-routing-examples"></a>

Site-to-Site VPN 接続設定に固有の値を含むサンプル設定ファイルをダウンロードするには、Amazon VPC コンソール、 AWS コマンドライン、または Amazon EC2 API を使用します。詳細については、「[ステップ 6: 設定ファイルをダウンロードする](SetUpVPNConnections.md#vpn-download-config)」を参照してください。

また、Site-to-Site VPN 接続設定に固有の値を含まないスタティックルーティング用の汎用設定ファイルの例をダウンロードすることもできます。[static-routing-examples.zip](samples/static-routing-examples.zip) 

これらのファイルは、一部のコンポーネントにプレースホルダー値を使用します。たとえば、以下を使用します。
+ VPN 接続 ID 、カスタマーゲートウェイ ID および仮想プライベートゲートウェイ ID の値の例
+ リモート (外部) IP アドレス AWS エンドポイントのプレースホルダー (*AWS\$1ENDPOINT\$11* および *AWS\$1ENDPOINT\$12*)
+ カスタマーゲートウェイデバイスのインターネットルーティング可能な外部インターフェイスの IP アドレスのプレースホルダー (*your-cgw-ip-address*)
+ 事前共有キー値のプレースホルダ (事前共有キー)
+ トンネルの内部 IP アドレスの値の例。
+ MTU 設定の値の例。

**注記**  
サンプルコンフィギュレーションファイルで提供されている MTU 設定は、例にすぎません。状況に応じた最適な MTU 値の設定については、「[AWS Site-to-Site VPN カスタマーゲートウェイデバイスのベストプラクティス](cgw-best-practice.md)」を参照してください。

プレースホルダー値を指定することに加えて、ファイルはほとんどの AWS リージョンで AES128, SHA1、および Diffie-Hellman グループ 2 の Site-to-Site VPN 接続、 AWS GovCloud リージョンで AES128, SHA2、および Diffie-Hellman グループ 14 の最小要件を指定します。また、[認証](vpn-tunnel-authentication-options.md)用の事前共有キーも指定します。追加のセキュリティアルゴリズム、Diffie-Hellman グループ、プライベート証明書、IPv6 トラフィックを活用するには、サンプル設定ファイルを変更する必要があります。

次の図は、カスタマーゲートウェイデバイスに設定されているさまざまなコンポーネントの概要を示しています。これには、トンネルインターフェイスの IP アドレスの値の例が含まれます。

![\[静的ルーティングを使用するカスタマーゲートウェイデバイス\]](http://docs.aws.amazon.com/ja_jp/vpn/latest/s2svpn/images/cgw-static-routing.png)


# AWS Site-to-Site VPN カスタマーゲートウェイデバイスの静的ルーティングを設定する
<a name="cgw-static-routing-example-interface"></a>

以下は、ユーザーインターフェイス (使用可能な場合) を使用してカスタマーゲートウェイデバイスを設定する手順の例です。

------
#### [ Check Point ]

以下は、デバイスが R77.10 以降を実行する Check Point Security Gateway デバイスで、デバイスが Gaia オペレーティングシステムと Check Point SmartDashboard を使用している場合に、カスタマーゲートウェイデバイスを設定するステップです。Check Point Support Center の [Check Point Security Gateway IPsec VPN to Amazon Web Services VPC](https://support.checkpoint.com/results/sk/sk100726) の記事も参照できます。

**トンネルインターフェイスを設定するには**

最初のステップは、VPN トンネルを作成し、各トンネル用のカスタマーゲートウェイと仮想プライベートゲートウェイのプライベート (内部) IP アドレスを提供することです。最初のトンネルを作成するには、設定ファイルの `IPSec Tunnel #1` セクションで提供される情報を使用します。2 番目のトンネルを作成するには、設定ファイルの `IPSec Tunnel #2` セクションで提供される値を使用します。

1. Check Point Security Gateway デバイスの Gaia ポータルを開きます。

1. [**Network Interfaces**]、[**Add**]、[**VPN tunnel**] の順に選択します。

1. ダイアログボックスで次のように設定し、完了したら [**OK**] を選択します。
   + [**VPN Tunnel ID**] には、1 など一意の値を入力します。
   + [**Peer**] には、`AWS_VPC_Tunnel_1` または `AWS_VPC_Tunnel_2` など、トンネル用の一意の名前を入力します。
   + [**Numbered**] が選択されていることを確認して、[**Local Address (ローカルアドレス)**] に設定ファイルの `CGW Tunnel IP` で指定されている IP アドレス (例: `169.254.44.234`) を入力します。
   + [**Remote Address**] には、設定ファイルの `VGW Tunnel IP` に指定された IP アドレス (例: `169.254.44.233`) を入力します。  
![\[Check Point の [Add VPN Tunnel] ダイアログボックス\]](http://docs.aws.amazon.com/ja_jp/vpn/latest/s2svpn/images/check-point-create-tunnel.png)

1. SSH でセキュリティゲートウェイに接続します。デフォルト以外のシェルを使用している場合は、次のコマンドを実行して、clish に変更します。`clish`

1. トンネル 1 の場合は、次のコマンドを実行します。

   ```
   set interface vpnt1 mtu 1436
   ```

   トンネル 2 の場合は、次のコマンドを実行します。

   ```
   set interface vpnt2 mtu 1436
   ```

1. 2 番目のトンネルを作成するには、設定ファイルの `IPSec Tunnel #2` セクション内の情報を使用して、ステップを繰り返します。

**静的ルートを設定するには**

このステップでは、各トンネルで VPC のサブネットへの静的ルートを指定し、トラフィックをトンネルインターフェイス経由で送信できるようにします。2 番目のトンネルにより、最初のトンネルに問題がある場合のフェイルオーバーが可能になります。問題が検出されると、ポリシーベースの静的ルートがルーティングテーブルから削除され、2 番目のルートが有効化されます。また、トンネルのもう一方の端に ping を打ち、トンネルが稼働しているかどうかを確認するために、Check Point ゲートウェイを有効にする必要があります。

1. Gaia ポータルで、[**IPv4 Static Routes**]、[**Add**] の順に選択します。

1. サブネットの CIDR (例: `10.28.13.0/24`) を指定します。

1. [**Add Gateway**]、[**IP Address**] の順に選択します。

1. 設定ファイルの `VGW Tunnel IP` に指定された IP アドレス (例: `169.254.44.233`) を入力し、優先順位を 1 にします。

1. [**Ping**] を選択します。

1. 2 つめのトンネルに対して、設定ファイルの `VGW Tunnel IP` セクションにある `IPSec Tunnel #2` の値を使用してステップ 3 および 4 を繰り返します。優先順位を 2 にします。  
![\[Check Point の [Edit Destination Route] ダイアログボックス\]](http://docs.aws.amazon.com/ja_jp/vpn/latest/s2svpn/images/check-point-static-routes.png)

1. **[保存]** を選択します。

クラスターを使用している場合は、クラスターの他のメンバーで上記のステップを繰り返します。

**新しいネットワークオブジェクトを定義するには**

このステップでは、仮想プライベートゲートウェイのパブリック (外部) IP アドレスを指定することで各 VPN トンネル用のネットワークオブジェクトを作成します。後で、VPN コミュニティのサテライトゲートウェイとしてこれらのオブジェクトを追加します。また、VPN ドメインのプレースホルダーとして機能する空グループを作成する必要があります。

1. Check Point SmartDashboard を開きます。

1. [**Groups**] では、コンテキストメニューを開き、[**Groups**]、[**Simple Group**] の順に選択します。各ネットワークオブジェクトに対して同じグループを使用できます。

1. [**Network Objects**] では、コンテキストメニュー (右クリック) を開き、[**New**]、[**Interoperable Device**] の順に選択します。

1. [**Name (名前)**] には、トンネル用に指定した名前 (例: `AWS_VPC_Tunnel_1` または `AWS_VPC_Tunnel_2`) を入力します。

1. [**IPv4 Address**] には、設定ファイルで提供される仮想プライベートゲートウェイの外部 IP アドレス (例: `54.84.169.196`) を入力します。設定を保存して、このダイアログボックスを閉じます。  
![\[Check Point の [Interoperable Device] ダイアログボックス\]](http://docs.aws.amazon.com/ja_jp/vpn/latest/s2svpn/images/check-point-network-device.png)

1. SmartDashboard でゲートウェイのプロパティを開き、カテゴリーペインで [**Topology**] を選択します。

1. インターフェイス設定を取得するには、[**Get Topology**] を選択します。

1. [**VPN Domain (VPN ドメイン)**] セクションで、[**Manually defined (手動で定義)**] を選択し、ステップ 2 で作成した空のシンプルなグループを参照して選択します。[**OK**] を選択してください。
**注記**  
設定済みの既存の VPN ドメインは保持できます。ただし、特に VPN ドメインが自動的に取得されている場合は、新しい VPN 接続で使用または提供されるドメインとホストがその VPN ドメインで宣言されていないことを確認してください。

1. 2 番目のネットワークオブジェクトを作成するには、設定ファイルの `IPSec Tunnel #2` セクション内の情報を使用して、ステップを繰り返します。

**注記**  
クラスターを使用している場合は、トポロジーを編集してインターフェイスをクラスターインターフェイスとして定義します。設定ファイルで指定された IP アドレスを使用します。

**VPN コミュニティ、IKE、および IPsec 設定の作成と設定**

このステップでは、Check Point ゲートウェイに VPN コミュニティを作成し、そこに各トンネルのネットワークオブジェクト (相互運用デバイス) を追加します。また、Internet Key Exchange (IKE) および IPsec を設定します。

1. ゲートウェイのプロパティから、カテゴリーペインの [**IPSec VPN**] を選択します。

1. [**Communities**]、[**New**]、[**Star Community**] の順に選択します。

1. コミュニティの名前 (例: `AWS_VPN_Star`) を指定し、カテゴリーペインの [**Center Gateways**] を選択します。

1. [**Add**] を選択して、ゲートウェイまたはクラスターを参加ゲートウェイのリストに追加します。

1. カテゴリーペインで、[**Satellite Gateways**]、[**Add (追加)**] の順に選択し、先に作成した相互運用デバイス (`AWS_VPC_Tunnel_1` および `AWS_VPC_Tunnel_2`) を参加ゲートウェイのリストに追加します。

1. カテゴリーペインで、[**Encryption**] を選択します。[**Encryption Method**] セクションで、[**IKEv1 only**] を選択します。[**Encryption Suite**] セクションで、[**Custom**]、[**Custom Encryption**] の順に選択します。

1. ダイアログボックスで次のように暗号化プロパティを設定し、完了したら [**OK**] を選択します。
   + IKE Security Association (フェーズ 1) のプロパティ
     + **Perform key exchange encryption with**: AES-128
     + **Perform data integrity with**: SHA-1
   + IPsec Security Association (フェーズ 2) のプロパティ
     + **Perform IPsec data encryption with**: AES-128
     + **Perform data integrity with**: SHA-1

1. カテゴリーペインで [**Tunnel Management**] を選択します。[**Set Permanent Tunnels**]、[**On all tunnels in the community**] の順に選択します。[**VPN Tunnel Sharing**] セクションで、[**One VPN tunnel per Gateway pair**] を選択します。

1. カテゴリーペインで [**Advanced Settings**] を展開し、[**Shared Secret**] を選択します。

1. 最初のトンネルのピア名を選択し、[**Edit (編集)**] を選択して、設定ファイルの `IPSec Tunnel #1` セクションで指定されている事前共有キーを入力します。

1. 2 番目のトンネルのピア名を選択し、[**Edit (編集)**] を選択して、設定ファイルの `IPSec Tunnel #2` セクションで指定されている事前共有キーを入力します。  
![\[Check Point の [Interoperable Shared Secret] ダイアログボックス\]](http://docs.aws.amazon.com/ja_jp/vpn/latest/s2svpn/images/check-point-shared-secret.png)

1. さらに [**Advanced Settings (詳細設定)**] カテゴリで [**Advanced VPN Properties (詳細な VPN プロパティ)**] を選択し、プロパティを次のように設定して、完了したら [**OK**] を選択します。
   + IKE (フェーズ 1):
     + **Use Diffie-Hellman group**: `Group 2`
     + **Renegotiate IKE security associations every** `480` **minutes**
   + IPsec (フェーズ 2):
     + [**Use Perfect Forward Secrecy**] を選択します。
     + **Use Diffie-Hellman group**: `Group 2`
     + **Renegotiate IPsec security associations every** `3600` **seconds**

**ファイアウォールルールを作成するには**

このステップでは、ファイアウォールルールとディレクショナルマッチルールを使用し、VPC とローカルネットワーク間での通信を許可するポリシーを設定します。その後、ゲートウェイにポリシーをインストールします。

1. SmartDashboard で、ゲートウェイの [**Global Properties**] を選択します。カテゴリーペインで [**VPN**] を展開し、[**Advanced**] を選択します。

1. [**Enable VPN Directional Match in VPN Column**] を選択し、変更を保存します。

1. SmartDashboard で [**Firewall**] を選択し、次のルールでポリシーを作成します。
   + VPC サブネットに対して必須プロトコル経由でのローカルネットワークとの通信を許可する。
   + ローカルネットワークに対して必須プロトコル経由での VPC サブネットとの通信を許可する。

1. VPN 列のセルのコンテキストメニューを開いて、[**Edit Cell**] を選択します。

1. [**VPN Match Conditions**] ダイアログボックスで、[**Match traffic in this direction only**] を選択します。それぞれで [**Add**] を選択してディレクショナルマッチルールを作成し、完了したら [**OK**] を選択します。
   + `internal_clear` > VPN コミュニティ (先に作成した VPN スターコミュニティ。例: `AWS_VPN_Star`)
   + VPN コミュニティ > VPN コミュニティ
   + VPN コミュニティ > `internal_clear`

1. SmartDashboard で、[**Policy**]、[**Install**] の順に選択します。

1. ダイアログボックスでゲートウェイを選択し、[**OK**] を選択してポリシーをインストールします。

**tunnel\$1keepalive\$1method プロパティを変更するには**

Check Point ゲートウェイでは、IKE の関連付けが停止したときに Dead Peer Detection (DPD) を使用して識別できます。永続トンネルの DPD を設定するには、永続トンネルを AWS VPN コミュニティで設定する必要があります (ステップ 8 を参照）。

デフォルトでは、VPN ゲートウェイの `tunnel_keepalive_method` プロパティは `tunnel_test` に設定されます。この値を `dpd` に変更する必要があります。DPD モニタリングが必要な VPN コミュニティ内の各 VPN ゲートウェイは、サードパーティー製 VPN ゲートウェイを含め、`tunnel_keepalive_method` プロパティで設定する必要があります。同じゲートウェイに対して異なるモニタリングメカニズムを設定することはできません。

GuiDBedit ツールを使用して `tunnel_keepalive_method` プロパティを更新できます。

1. Check Point SmartDashboard を開き、[**Security Management Server**]、[**Domain Management Server**] の順に選択します。

1. [**File**]、[**Database Revision Control...**] の順に選択し、リビジョンのスナップショットを作成します。

1. SmartDashboard、SmartView Tracker、SmartView Monitor など、すべての SmartConsole ウィンドウを閉じます。

1. GuiBDedit ツールを起動します。詳細については、Check Point サポートセンターの「[Check Point Database Tool](https://support.checkpoint.com/results/sk/sk13009)」という記事を参照してください。

1. [**Security Management Server**]、[**Domain Management Server**] の順に選択します。

1. 左上のペインで、[**Table**]、[**Network Objects**]、[**network\$1objects**] の順に選択します。

1. 右上のペインで、関連する [**Security Gateway**]、[**Cluster**] オブジェクトを選択します。

1. Ctrl\$1F キーを押すか、[**Search**] メニューを使用して以下を検索します。`tunnel_keepalive_method`

1. 下のペインで、[`tunnel_keepalive_method`] のコンテキストメニューを開き、[**Edit... (編集...)**] を選択します。[**dpd**] を選択し、[**OK**] を選択します。

1.  AWS VPN コミュニティの一部である各ゲートウェイに対して、ステップ 7～9 を繰り返します。

1. [**File**]、[**Save All**] の順に選択します。

1. GuiDBedit ツールを閉じます。

1. Check Point SmartDashboard を開き、[**Security Management Server**]、[**Domain Management Server**] の順に選択します。

1. 関連する [**Security Gateway**]、[**Cluster**] オブジェクトにポリシーをインストールします。

詳細については、Check Point Support Center の「[New VPN features in R77.10](https://support.checkpoint.com/results/sk/sk97746)」という記事を参照してください。

**TCP MSS クランプを有効にするには**

TCP MSS クランプは TCP パケットの最大セグメントサイズを小さくしてパケット断片化を防ぎます。

1. 次のディレクトリに移動します。`C:\Program Files (x86)\CheckPoint\SmartConsole\R77.10\PROGRAM\`

1. `GuiDBEdit.exe` ファイルを実行して Check Point Database Tool を開きます。

1. [**Table**]、[**Global Properties**]、[**properties**] の順に選択します。

1. `fw_clamp_tcp_mss` で、[**Edit**] を選択します。値を `true` に変更し、[**OK**] を選択します。

**トンネルのステータスを確認するには**  
エキスパートモードのコマンドラインツールから次のコマンドを実行して、トンネルの状態を確認できます。

```
vpn tunnelutil
```

表示されたオプションで、IKE 関連付けを検証するには [**1**] を、IPsec 関連付けを検証するには [**2**] を選択します。

また、Check Point Smart Tracker Log を使用して、接続内のパケットが暗号化されていることを検証できます。たとえば次のログは、VPC へのパケットがトンネル 1 経由で送信され、暗号化されていることを示します。

![\[Check Point ログファイル\]](http://docs.aws.amazon.com/ja_jp/vpn/latest/s2svpn/images/check-point-log.png)


------
#### [ SonicWALL ]

次の手順では、SonicOS 管理インターフェイスを使用して SonicWALL デバイスに VPN トンネルを設定する方法を説明します。

**トンネルを設定するには**

1. SonicWALL SonicOS 管理インターフェイスを開きます。

1. 左側のペインで、[**VPN**]、[**Settings**] の順に選択します。[**VPN Policies**] の下で、[**Add...**] を選択します。

1. [**General**] タブの VPN ポリシーウィンドウで、次の情報を入力します。
   + [**Policy Type**: [**Tunnel Interface**] を選択します。
   + [**Authentication Method**]: [**IKE using Preshared Secret**] を選択します。
   + [**Name**]: VPN ポリシーの名前を入力します。設定ファイルに記載されている通り、VPN ID 名を使用することをお勧めします。
   + **IPsec Primary Gateway Name or Address**: 設定ファイルに記載されている通り、仮想プライベートゲートウェイの IP アドレス (例: `72.21.209.193`) を入力します。
   + **IPsec Secondary Gateway Name or Address**: デフォルト値のままにします。
   + **Shared Secret**: 設定ファイルに記載されている通りに事前共有キーを入力後、[**Confirm Shared Secret**] で再入力します。
   + **Local IKE ID**: カスタマーゲートウェイ (SonicWALL デバイス) の IPv4 アドレスを入力します。
   + **Peer IKE ID**: 仮想プライベートゲートウェイの IPv4 アドレスを入力します。

1. [**Network**] タブで、次の情報を入力します。
   + [**Local Networks**] で、[**Any address**] を選択します。このオプションを使用して、ローカルネットワーク接続の問題を防ぐことをお勧めします。
   + [**Remote Networks**] で、[**Choose a destination network from list**] を選択します。 AWS内に VPC の CIDR を持つアドレスオブジェクトを作成します。

1. [**Proposals (提案)**] タブで、次の情報を入力します。
   + [**IKE (Phase 1) Proposal**] で、以下の作業を行います。
     + **Exchange**: [**Main Mode**] を選択します。
     + **DH Group**: Diffie-Hellman Group の値 (例: `2`) を入力します。
     + **Encryption**: [**AES-128**] または [**AES-256**] を選択します。
     + **Authentication**: [**SHA1**] または [**SHA256**] を選択します。
     + **Life Time**: `28800` と入力します。
   + [**IKE (Phase 2) Proposal**] で、以下の作業を行います。
     + **Protocol**: [**ESP**] を選択します。
     + **Encryption**: [**AES-128**] または [**AES-256**] を選択します。
     + **Authentication**: [**SHA1**] または [**SHA256**] を選択します。
     + [**Enable Perfect Forward Secrecy**] チェックボックスをオンにし、Diffie-Hellman group を選択します。
     + **Life Time**: `3600` と入力します。
**重要**  
仮想プライベートゲートウェイを作成したのが 2015 年 10 月より前の場合は、両方のフェーズで Diffie-Hellman group 2、AES-128、SHA1 を指定する必要があります。

1. [**Advanced**] タブで、次の情報を入力します。
   + [**Enable Keep Alive**] を選択します。
   + [**Enable Phase2 Dead Peer Detection**] を選択し、次のように入力します。
     + [**Dead Peer Detection Interval**] に、`60` (SonicWALL デバイスで入力可能な最小値) と入力します。
     + [**Failure Trigger Level**] で、`3` と入力します。
   + [**VPN Policy bound to**] で、[**Interface X1**] を選択します。パブリック IP アドレスで一般的に指定されたインターフェイスです。

1. [**OK**] を選択してください。[**Settings**] ページで、トンネルの [**Enable**] チェックボックスをデフォルトでオンにします。緑の点は、トンネルが稼働していることを表します。

------

## Cisco デバイス: 追加情報
<a name="cgw-static-routing-examples-cisco"></a>

一部の Cisco ASA ではアクティブ/スタンバイモードのみがサポートされています。これらの Cisco ASA を使用する場合は、アクティブなトンネルを一度に 1 個のみ保持できます。最初のトンネルが利用不可になった場合は、他方のスタンバイトンネルがアクティブになります。この冗長化では、常にいずれかのトンネルを経由して VPC への接続を保持する必要があります。

バージョン 9.7.1 以降の Cisco ASA は、アクティブ/アクティブモードをサポートします。これらの Cisco ASA を使用する場合は、両方のトンネルを同時にアクティブにすることができます。この冗長化では、常にいずれかのトンネルを経由して VPC への接続を保持する必要があります。

Cisco デバイスの場合は、次の作業を行う必要があります。
+ 外部インターフェイスを設定します。
+ Crypto ISAKMP Policy Sequence の数値が一意であることを確認します。
+ Crypto List Policy Sequence の数値が一意であることを確認します。
+ Crypto IPsec Transform Set および Crypto ISAKMP Policy Sequence と、デバイスに設定された他のすべての IPsec トンネルの整合性が確保されていることを確認します。
+ SLA モニタリング番号が一意であることを確認します。
+ カスタマーゲートウェイデバイスとローカルネットワークとの間でトラフィックを動かす内部ルーティングをすべて設定します。

# AWS Site-to-Site VPN カスタマーゲートウェイデバイスのダウンロード可能な動的ルーティング設定ファイル
<a name="cgw-dynamic-routing-examples"></a>

Site-to-Site VPN 接続設定に固有の値を含むサンプル設定ファイルをダウンロードするには、Amazon VPC コンソール、 AWS コマンドライン、または Amazon EC2 API を使用します。詳細については、「[ステップ 6: 設定ファイルをダウンロードする](SetUpVPNConnections.md#vpn-download-config)」を参照してください。

また、Site-to-Site VPN 接続設定に固有の値を含まないダイナミックルーティング用の汎用設定ファイルの例をダウンロードすることもできます。[dynamic-routing-examples.zip](samples/dynamic-routing-examples.zip)

これらのファイルは、一部のコンポーネントにプレースホルダー値を使用します。たとえば、以下を使用します。
+ VPN 接続 ID 、カスタマーゲートウェイ ID および仮想プライベートゲートウェイ ID の値の例
+ リモート (外部) IP アドレス AWS エンドポイントのプレースホルダー (*AWS\$1ENDPOINT\$11* および *AWS\$1ENDPOINT\$12*)
+ カスタマーゲートウェイデバイスのインターネットルーティング可能な外部インターフェイスの IP アドレスのプレースホルダー (*your-cgw-ip-address*)
+ 事前共有キー値のプレースホルダ (事前共有キー)
+ トンネルの内部 IP アドレスの値の例。
+ MTU 設定の値の例。

**注記**  
サンプルコンフィギュレーションファイルで提供されている MTU 設定は、例にすぎません。状況に応じた最適な MTU 値の設定については、「[AWS Site-to-Site VPN カスタマーゲートウェイデバイスのベストプラクティス](cgw-best-practice.md)」を参照してください。

プレースホルダー値を指定することに加えて、ファイルはほとんどの AWS リージョンで AES128, SHA1、および Diffie-Hellman グループ 2 の Site-to-Site VPN 接続、 AWS GovCloud リージョンで AES128, SHA2、および Diffie-Hellman グループ 14 の最小要件を指定します。また、[認証](vpn-tunnel-authentication-options.md)用の事前共有キーも指定します。追加のセキュリティアルゴリズム、Diffie-Hellman グループ、プライベート証明書、IPv6 トラフィックを活用するには、サンプル設定ファイルを変更する必要があります。

次の図は、カスタマーゲートウェイデバイスに設定されているさまざまなコンポーネントの概要を示しています。これには、トンネルインターフェイスの IP アドレスの値の例が含まれます。

![\[動的ルーティングを使用するカスタマーゲートウェイデバイス\]](http://docs.aws.amazon.com/ja_jp/vpn/latest/s2svpn/images/cgw-bgp.png)


# AWS Virtual Private Network カスタマーゲートウェイデバイスの動的ルーティングを設定する
<a name="cgw-dynamic-routing-example-interface"></a>

以下は、ユーザーインターフェイス (使用可能な場合) を使用してカスタマーゲートウェイデバイスを設定する手順の例です。

------
#### [ Check Point ]

以下は、Gaia ウェブポータルと Check Point SmartDashboard を使用して、R77.10 以降を実行する Check Point Security Gateway デバイスを設定するステップです。また、Check Point Support Center の [Amazon Web Services (AWS) VPN BGP](https://support.checkpoint.com/results/sk/sk108958) の記事も参照してください。

**トンネルインターフェイスを設定するには**

最初のステップは、VPN トンネルを作成し、各トンネル用のカスタマーゲートウェイと仮想プライベートゲートウェイのプライベート (内部) IP アドレスを提供することです。最初のトンネルを作成するには、設定ファイルの `IPSec Tunnel #1` セクションで提供される情報を使用します。2 番目のトンネルを作成するには、設定ファイルの `IPSec Tunnel #2` セクションで提供される値を使用します。

1. SSH でセキュリティゲートウェイに接続します。デフォルト以外のシェルを使用している場合は、次のコマンドを実行して、clish に変更します。`clish`

1. 次のコマンドを実行して、カスタマーゲートウェイ ASN (カスタマーゲートウェイの作成時に提供された ASN AWS) を設定します。

   ```
   set as 65000
   ```

1. 設定ファイルの `IPSec Tunnel #1` セクションで提供されている情報を使用して、最初のトンネル用のトンネルインターフェイスを作成します。`AWS_VPC_Tunnel_1` など、トンネルに一意の名前をつけます。

   ```
   add vpn tunnel 1 type numbered local 169.254.44.234 remote 169.254.44.233 peer AWS_VPC_Tunnel_1 
   set interface vpnt1 state on 
   set interface vpnt1 mtu 1436
   ```

1. 2 番目のトンネルを作成するには、設定ファイルの `IPSec Tunnel #2` セクションで提供されている情報を使用して、コマンドを繰り返します。`AWS_VPC_Tunnel_2` など、トンネルに一意の名前をつけます。

   ```
   add vpn tunnel 1 type numbered local 169.254.44.38 remote 169.254.44.37 peer AWS_VPC_Tunnel_2 
   set interface vpnt2 state on 
   set interface vpnt2 mtu 1436
   ```

1. 仮想プライベートゲートウェイ ASN を設定します。

   ```
   set bgp external remote-as 7224 on 
   ```

1. 最初のトンネルの BGP を、設定ファイルの `IPSec Tunnel #1` セクションで提供される情報を使用して設定します。

   ```
   set bgp external remote-as 7224 peer 169.254.44.233 on 
   set bgp external remote-as 7224 peer 169.254.44.233 holdtime 30
   set bgp external remote-as 7224 peer 169.254.44.233 keepalive 10
   ```

1. 2 番目のトンネルの BGP を、設定ファイルの `IPSec Tunnel #2` セクションで提供される情報を使用して設定します。

   ```
   set bgp external remote-as 7224 peer 169.254.44.37 on 
   set bgp external remote-as 7224 peer 169.254.44.37 holdtime 30
   set bgp external remote-as 7224 peer 169.254.44.37 keepalive 10
   ```

1. 設定を保存します。

   ```
   save config
   ```

**BGP ポリシーを作成するには**

次に、 AWSによってアドバタイズされたルートのインポートを許可する BGP ポリシーを作成します。次に、ローカルルートを AWSにアドバタイズするようにカスタマーゲートウェイを設定します。

1. Gaia WebUI で、[**Advanced Routing**]、[**Inbound Route Filters**] を選択します。[**Add**] を選択し、[**Add BGP Policy (Based on AS)**] を選択します。

1. [**Add BGP Policy (BGP ポリシーの追加)**] の最初のフィールドで 512 から 1024 までの範囲の値を選択し、2 番目のフィールドに仮想プライベートゲートウェイ ASN (例: `7224`) を入力します。

1. **[保存]** を選択します。

**ローカルルートをアドバタイズするには**

次のステップは、ローカルインターフェイスルートを分散するためのものです。また、静的ルーティングや、動的ルーティングプロトコルによって得られたルーティングなど、さまざまなソースからのルートを再分散できます。詳細については、「[Gaia Advanced Routing R77 Versions Administration Guide](https://sc1.checkpoint.com/documents/R77/CP_R77_Gaia_Advanced_Routing_WebAdminGuide/html_frameset.htm)」を参照してください。

1. Gaia WebUI で、[**Advanced Routing**]、[**Routing Redistribution**] の順に選択します。[**Add Redistribution From**]、[**Interface (インターフェイス)**] の順に選択します。

1. [**To Protocol**] で、仮想プライベートゲートウェイ ASN; (例: `7224`) を選択します。

1. [**Interface**] では内部インターフェイスを選択します。**[保存]** を選択します。

**新しいネットワークオブジェクトを定義するには**

次に、仮想プライベートゲートウェイのパブリック (外部) IP アドレスを指定して、各 VPN トンネル用のネットワークオブジェクトを作成します。後で、VPN コミュニティのサテライトゲートウェイとしてこれらのオブジェクトを追加します。また、VPN ドメインのプレースホルダーとして機能する空グループを作成する必要があります。

1. Check Point SmartDashboard を開きます。

1. [**Groups**] では、コンテキストメニューを開き、[**Groups**]、[**Simple Group**] の順に選択します。各ネットワークオブジェクトに対して同じグループを使用できます。

1. [**Network Objects**] では、コンテキストメニュー (右クリック) を開き、[**New**]、[**Interoperable Device**] の順に選択します。

1. [**Name (名前)**] には、ステップ 1 でトンネル用に指定した名前 (例: `AWS_VPC_Tunnel_1` または `AWS_VPC_Tunnel_2`) を入力します。

1. [**IPv4 Address**] には、設定ファイルで提供される仮想プライベートゲートウェイの外部 IP アドレス (例: `54.84.169.196`) を入力します。設定を保存して、このダイアログボックスを閉じます。  
![\[Check Point の [Interoperable Device] ダイアログボックス\]](http://docs.aws.amazon.com/ja_jp/vpn/latest/s2svpn/images/check-point-network-device.png)

1. 左のカテゴリーペインで、[**Topology**] を選択します。

1. [**VPN Domain (VPN ドメイン)**] セクションで、[**Manually defined (手動で定義)**] を選択し、ステップ 2 で作成した空のシンプルなグループを参照して選択します。[**OK**] を選択してください。

1. 2 番目のネットワークオブジェクトを作成するには、設定ファイルの `IPSec Tunnel #2` セクション内の情報を使用して、ステップを繰り返します。

1. ゲートウェイネットワークオブジェクトに移動してゲートウェイまたはクラスターオブジェクトを開き、[**Topology**] を選択します。

1. [**VPN Domain (VPN ドメイン)**] セクションで、[**Manually defined (手動で定義)**] を選択し、ステップ 2 で作成した空のシンプルなグループを参照して選択します。[**OK**] を選択してください。
**注記**  
設定済みの既存の VPN ドメインは保持できます。ただし、特に VPN ドメインが自動的に取得されている場合は、新しい VPN 接続で使用または提供されるドメインとホストがその VPN ドメインで宣言されていないことを確認してください。

**注記**  
クラスターを使用している場合は、トポロジーを編集してインターフェイスをクラスターインターフェイスとして定義します。設定ファイルで指定された IP アドレスを使用します。

**VPN コミュニティ、IKE、および IPsec 設定の作成と設定**

次に、Check Point ゲートウェイに VPN コミュニティを作成し、そこに各トンネルのネットワークオブジェクト (相互運用デバイス) を追加します。また、Internet Key Exchange (IKE) および IPsec を設定します。

1. ゲートウェイのプロパティから、カテゴリーペインの [**IPSec VPN**] を選択します。

1. [**Communities**]、[**New**]、[**Star Community**] の順に選択します。

1. コミュニティの名前 (例: `AWS_VPN_Star`) を指定し、カテゴリーペインの [**Center Gateways**] を選択します。

1. [**Add**] を選択して、ゲートウェイまたはクラスターを参加ゲートウェイのリストに追加します。

1. カテゴリーペインで、[**Satellite Gateways**]、[**Add (追加)**] の順に選択し、先に作成した相互運用デバイス (`AWS_VPC_Tunnel_1` および `AWS_VPC_Tunnel_2`) を参加ゲートウェイのリストに追加します。

1. カテゴリーペインで、[**Encryption**] を選択します。[**Encryption Method**] セクションで、[**IKEv1 for IPv4 and IKEv2 for IPv6**] を選択します。[**Encryption Suite**] セクションで、[**Custom**]、[**Custom Encryption**] の順に選択します。
**注記**  
IKEv1 機能の [**IKEv1 for IPv4 and IKEv2 for IPv6**] オプションを選択します。

1. ダイアログボックスで次のように暗号化プロパティを設定し、完了したら [**OK**] を選択します。
   + IKE Security Association (フェーズ 1) のプロパティ
     + **Perform key exchange encryption with**: AES-128
     + **Perform data integrity with**: SHA-1
   + IPsec Security Association (フェーズ 2) のプロパティ
     + **Perform IPsec data encryption with**: AES-128
     + **Perform data integrity with**: SHA-1

1. カテゴリーペインで [**Tunnel Management**] を選択します。[**Set Permanent Tunnels**]、[**On all tunnels in the community**] の順に選択します。[**VPN Tunnel Sharing**] セクションで、[**One VPN tunnel per Gateway pair**] を選択します。

1. カテゴリーペインで [**Advanced Settings**] を展開し、[**Shared Secret**] を選択します。

1. 最初のトンネルのピア名を選択し、[**Edit (編集)**] を選択して、設定ファイルの `IPSec Tunnel #1` セクションで指定されている事前共有キーを入力します。

1. 2 番目のトンネルのピア名を選択し、[**Edit (編集)**] を選択して、設定ファイルの `IPSec Tunnel #2` セクションで指定されている事前共有キーを入力します。  
![\[Check Point の [Interoperable Shared Secret] ダイアログボックス\]](http://docs.aws.amazon.com/ja_jp/vpn/latest/s2svpn/images/check-point-shared-secret.png)

1. さらに [**Advanced Settings (詳細設定)**] カテゴリで [**Advanced VPN Properties (詳細な VPN プロパティ)**] を選択し、プロパティを次のように設定して、完了したら [**OK**] を選択します。
   + IKE (フェーズ 1):
     + **Use Diffie-Hellman group**: `Group 2 (1024 bit)`
     + **Renegotiate IKE security associations every** `480` **minutes**
   + IPsec (フェーズ 2):
     + [**Use Perfect Forward Secrecy**] を選択します。
     + **Use Diffie-Hellman group**: `Group 2 (1024 bit)`
     + **Renegotiate IPsec security associations every** `3600` **seconds**

**ファイアウォールルールを作成するには**

次に、ファイアウォールルールとディレクショナルマッチルールを使用し、VPC とローカルネットワーク間での通信を許可するポリシーを設定します。その後、ゲートウェイにポリシーをインストールします。

1. SmartDashboard で、ゲートウェイの [**Global Properties**] を選択します。カテゴリーペインで [**VPN**] を展開し、[**Advanced**] を選択します。

1. [**Enable VPN Directional Match in VPN Column**] を選択し、[**OK**] を選択します。

1. SmartDashboard で [**Firewall**] を選択し、次のルールでポリシーを作成します。
   + VPC サブネットに対して必須プロトコル経由でのローカルネットワークとの通信を許可する。
   + ローカルネットワークに対して必須プロトコル経由での VPC サブネットとの通信を許可する。

1. VPN 列のセルのコンテキストメニューを開いて、[**Edit Cell**] を選択します。

1. [**VPN Match Conditions**] ダイアログボックスで、[**Match traffic in this direction only**] を選択します。それぞれで [**Add (追加)**] を選択して以下のディレクショナルマッチルールを作成し、完了したら [**OK**] を選択します。
   + `internal_clear` > VPN コミュニティ (先に作成した VPN スターコミュニティ。例: `AWS_VPN_Star`)
   + VPN コミュニティ > VPN コミュニティ
   + VPN コミュニティ > `internal_clear`

1. SmartDashboard で、[**Policy**]、[**Install**] の順に選択します。

1. ダイアログボックスでゲートウェイを選択し、[**OK**] を選択してポリシーをインストールします。

**tunnel\$1keepalive\$1method プロパティを変更するには**

Check Point ゲートウェイでは、IKE の関連付けが停止したときに Dead Peer Detection (DPD) を使用して識別できます。永続トンネルの DPD を設定するには、永続トンネルを AWS VPN コミュニティで設定する必要があります。

デフォルトでは、VPN ゲートウェイの `tunnel_keepalive_method` プロパティは `tunnel_test` に設定されます。この値を `dpd` に変更する必要があります。DPD モニタリングが必要な VPN コミュニティ内の各 VPN ゲートウェイは、サードパーティー製 VPN ゲートウェイを含め、`tunnel_keepalive_method` プロパティで設定する必要があります。同じゲートウェイに対して異なるモニタリングメカニズムを設定することはできません。

GuiDBedit ツールを使用して `tunnel_keepalive_method` プロパティを更新できます。

1. Check Point SmartDashboard を開き、[**Security Management Server**]、[**Domain Management Server**] の順に選択します。

1. [**File**]、[**Database Revision Control...**] の順に選択し、リビジョンのスナップショットを作成します。

1. SmartDashboard、SmartView Tracker、SmartView Monitor など、すべての SmartConsole ウィンドウを閉じます。

1. GuiBDedit ツールを起動します。詳細については、Check Point サポートセンターの「[Check Point Database Tool](https://support.checkpoint.com/results/sk/sk13009)」という記事を参照してください。

1. [**Security Management Server**]、[**Domain Management Server**] の順に選択します。

1. 左上のペインで、[**Table**]、[**Network Objects**]、[**network\$1objects**] の順に選択します。

1. 右上のペインで、関連する [**Security Gateway**]、[**Cluster**] オブジェクトを選択します。

1. Ctrl\$1F キーを押すか、[**Search**] メニューを使用して以下を検索します。`tunnel_keepalive_method`

1. 下のペインで、[`tunnel_keepalive_method`] のコンテキストメニューを開き、[**Edit...**] を選択します。[**dpd**]、[**OK**] の順に選択します。

1.  AWS VPN コミュニティの一部である各ゲートウェイに対して、ステップ 7～9 を繰り返します。

1. [**File**]、[**Save All**] の順に選択します。

1. GuiDBedit ツールを閉じます。

1. Check Point SmartDashboard を開き、[**Security Management Server**]、[**Domain Management Server**] の順に選択します。

1. 関連する [**Security Gateway**]、[**Cluster**] オブジェクトにポリシーをインストールします。

詳細については、Check Point Support Center の「[New VPN features in R77.10](https://support.checkpoint.com/results/sk/sk97746)」という記事を参照してください。

**TCP MSS クランプを有効にするには**

TCP MSS クランプは TCP パケットの最大セグメントサイズを小さくしてパケット断片化を防ぎます。

1. 次のディレクトリに移動します。`C:\Program Files (x86)\CheckPoint\SmartConsole\R77.10\PROGRAM\`

1. `GuiDBEdit.exe` ファイルを実行して Check Point Database Tool を開きます。

1. [**Table**]、[**Global Properties**]、[**properties**] の順に選択します。

1. `fw_clamp_tcp_mss` で、[**Edit**] を選択します。値を `true` に変更し、[**OK**] を選択します。

**トンネルのステータスを確認するには**  
エキスパートモードのコマンドラインツールから次のコマンドを実行して、トンネルの状態を確認できます。

```
vpn tunnelutil
```

表示されたオプションで、IKE 関連付けを検証するには [**1**] を、IPsec 関連付けを検証するには [**2**] を選択します。

また、Check Point Smart Tracker Log を使用して、接続内のパケットが暗号化されていることを検証できます。たとえば次のログは、VPC へのパケットがトンネル 1 経由で送信され、暗号化されていることを示します。

![\[Check Point ログファイル\]](http://docs.aws.amazon.com/ja_jp/vpn/latest/s2svpn/images/check-point-log.png)


------
#### [ SonicWALL ]

SonicOS 管理インターフェイスを使用して SonicWALL デバイスを設定できます。トンネルの設定方法の詳細については、「[AWS Site-to-Site VPN カスタマーゲートウェイデバイスの静的ルーティングを設定する](cgw-static-routing-example-interface.md)」を参照してください。

このSonicOS 管理インターフェイスを使用して、デバイスの BGP を設定することはできません。代わりに、設定ファイル例の [**BGP**] というセクションの下にあるコマンドライン手順を使用します。

------

## Cisco デバイス: 追加情報
<a name="cgw-dynamic-routing-examples-cisco"></a>

一部の Cisco ASA ではアクティブ/スタンバイモードのみがサポートされています。これらの Cisco ASA を使用する場合は、アクティブなトンネルを一度に 1 個のみ保持できます。最初のトンネルが利用不可になった場合は、他方のスタンバイトンネルがアクティブになります。この冗長化では、常にいずれかのトンネルを経由して VPC への接続を保持する必要があります。

バージョン 9.7.1 以降の Cisco ASA は、アクティブ/アクティブモードをサポートします。これらの Cisco ASA を使用する場合は、両方のトンネルを同時にアクティブにすることができます。この冗長化では、常にいずれかのトンネルを経由して VPC への接続を保持する必要があります。

Cisco デバイスの場合は、次の作業を行う必要があります。
+ 外部インターフェイスを設定します。
+ Crypto ISAKMP Policy Sequence の数値が一意であることを確認します。
+ Crypto List Policy Sequence の数値が一意であることを確認します。
+ Crypto IPsec Transform Set および Crypto ISAKMP Policy Sequence と、デバイスに設定された他のすべての IPsec トンネルの整合性が確保されていることを確認します。
+ SLA モニタリング番号が一意であることを確認します。
+ カスタマーゲートウェイデバイスとローカルネットワークとの間でトラフィックを動かす内部ルーティングをすべて設定します。

## Juniper デバイス: 追加情報
<a name="cgw-dynamic-routing-examples-juniper"></a>

次の情報は、Juniper J シリーズおよび SRX カスタマーゲートウェイデバイスの設定ファイルの例に適用されます。
+ 外部インターフェイスは *ge-0/0/0.0* と呼ばれます。
+ トンネルインターフェイス ID は *st0.1* および *st0.2* と呼ばれます。
+ アップリンクインターフェイスのセキュリティゾーンを確実に特定します (設定情報ではデフォルトゾーンの 'untrust' を使用します)。
+ 内部インターフェイスのセキュリティゾーンを確実に特定します (設定情報ではデフォルトゾーンの 'trust' を使用します)。