🔐 AWS Site-to-Site VPN 完全ガイド

オンプレミスとAWSを安全につなぐ「秘密のトンネル」を徹底解説!

📌 3分でわかる!Site-to-Site VPNの本質

Site-to-Site VPN = オンプレミスとAWSをインターネット経由で安全に接続する「暗号化トンネル」

🏢

オンプレミス側

既存のルーター/ファイアウォールを
Customer Gatewayとして設定

🌐

暗号化トンネル

IPsec VPNで
2本の冗長トンネルを自動構築

☁️

AWS側

VPCにVirtual Private Gateway
アタッチして受け入れ

🏰 たとえ話:2つの城をつなぐ秘密の地下トンネル

🏰

Site-to-Site VPN = 秘密の地下通路

🎭 シチュエーション:
あなたは2つの城(オンプレミスとAWS)の王様。両方の城の間で、敵に見られずに手紙や物資をやり取りしたい。
🔑 解決策:
両方の城の地下に「秘密の出入り口」を作り、その間を「暗号化されたトンネル」でつなぐ。たとえ誰かがトンネルを覗いても、暗号のせいで中身は読めない!
🗝️

各コンポーネントの役割

🏠 Customer Gateway(CGW)
= あなたの城(オンプレミス)の「秘密の出入り口」
既存のルーターやファイアウォールがこの役割
☁️ Virtual Private Gateway(VGW)
= AWS城の「秘密の出入り口」
AWSが用意してくれるマネージドな入口
🚇 VPNトンネル(2本)
= 2本の地下通路(メインと予備)
片方が崩れても、もう片方で通信継続!

🧩 Site-to-Site VPNの4大コンポーネント

🌐
Virtual Private Gateway
(VGW / 仮想プライベートゲートウェイ)

📍 役割

AWSのVPC側に設置する「VPN接続の入口」。VPCにアタッチして使用する。

✨ 特徴

  • AWSマネージドで高可用性
  • 1つのVPCに1つだけアタッチ可能
  • 複数のVPN接続を受け入れ可能
  • Direct Connect Gatewayとも連携可能
🏢
Customer Gateway
(CGW / カスタマーゲートウェイ)

📍 役割

オンプレミス側のVPN機器を表す「AWS上のリソース定義」。実際の機器への設定は別途必要。

✨ 特徴

  • オンプレミスルーターのIPアドレスを登録
  • BGP ASN(自律システム番号)を指定
  • AWS上の「論理的な定義」に過ぎない
  • 実機への設定はダウンロード可能
🔗
VPN Connection
(VPN接続)

📍 役割

VGWとCGWを結ぶ「VPN接続リソース」。2つのIPsecトンネルを含む。

✨ 特徴

  • 自動的に2本のトンネルを作成
  • 各トンネルに異なるパブリックIPを割当
  • ルーティングタイプを選択(静的/BGP)
  • 設定ファイルをダウンロード可能
🚇
VPN Tunnel
(VPNトンネル × 2本)

📍 役割

実際にデータが流れる「暗号化された通信路」。冗長性のため必ず2本作られる。

✨ 特徴

  • IPsec暗号化で通信を保護
  • 異なるAZのエンドポイントを使用
  • 帯域幅:最大1.25 Gbps/トンネル
  • Dead Peer Detection(DPD)対応

🔄 データの流れを理解しよう

🏢
オンプレミス
社内サーバー・PC
➡️
📡
Customer Gateway
VPNルーター/FW
➡️
🔐
IPsec トンネル
インターネット経由・暗号化
➡️
🌐
Virtual Private Gateway
AWS側入口
➡️
☁️
VPC / EC2
AWSリソース
💡 ポイント:インターネットを通過するが、IPsec暗号化により安全に通信!

⚡ 高可用性:なぜ2本のトンネルなのか?

🏢
Customer Gateway
オンプレミス
✅ トンネル1(Active)- AZ-a
☁️
VGW Endpoint 1
AWS AZ-a
🏢
🔄 トンネル2(Standby)- AZ-b
☁️
VGW Endpoint 2
AWS AZ-b

🛡️ 冗長性のメリット

AWSは各トンネルを異なるアベイラビリティーゾーンにエンドポイントを配置。
片方のAZで障害が発生しても、もう片方のトンネルで通信を継続できる!
→ 高可用性を実現するため、必ず両方のトンネルを設定しましょう。

🛤️ ルーティングオプション:静的 vs BGP(動的)

📝

静的ルーティング(Static)

📍 仕組み

手動でルートを設定。オンプレミスのCIDRをAWS側に、VPCのCIDRをオンプレミス側に登録。

✅ メリット

設定がシンプル。BGP非対応の機器でも利用可能。

⚠️ デメリット

ネットワーク変更時に手動更新が必要。フェイルオーバーが遅い。

🎯 おすすめケース

小規模環境、ネットワーク構成が安定している場合

🔧 シンプル構成向け
🔄

BGP ルーティング(動的)

📍 仕組み

Border Gateway Protocol でルート情報を自動交換。ネットワーク変更が自動反映。

✅ メリット

自動フェイルオーバー。ルート変更が自動伝播。大規模対応。

⚠️ デメリット

BGP対応機器が必要。設定がやや複雑。

🎯 おすすめケース

本番環境、複数接続、高可用性が必要な場合

⭐ AWS推奨!

📋 Site-to-Site VPN 設定手順

1

Virtual Private Gateway を作成

AWSコンソールでVGWを作成し、対象のVPCにアタッチします。

VPC → 仮想プライベートゲートウェイ → 作成 → VPCにアタッチ
2

Customer Gateway を作成

オンプレミスVPN機器の情報(パブリックIP、BGP ASN)をAWSに登録します。

VPC → カスタマーゲートウェイ → 作成
・IPアドレス: オンプレミスルーターのパブリックIP
・BGP ASN: 65000(例)
3

VPN 接続を作成

VGWとCGWを指定してVPN接続を作成。ルーティングタイプを選択します。

VPC → Site-to-Site VPN 接続 → 作成
・ターゲットゲートウェイ: VGW
・カスタマーゲートウェイ: CGW
・ルーティング: 動的(BGP)または 静的
4

設定ファイルをダウンロード

VPN接続から設定ファイルをダウンロード。ベンダー別テンプレートが用意されています。

VPN接続 → 設定をダウンロード
・ベンダー選択(Cisco, Juniper, Yamaha等)
・設定テンプレート取得
5

オンプレミス機器に設定を適用

ダウンロードした設定をオンプレミスルーター/ファイアウォールに適用します。

・IPsec設定(Phase 1 / Phase 2)
・BGPピアリング設定(動的の場合)
・ルーティング設定
6

VPCルートテーブルを更新

VPCからオンプレミスへのルートを追加。VGWへのルート伝播を有効化。

ルートテーブル → ルート伝播 → VGWを有効化
または 静的ルートを追加:10.0.0.0/16 → VGW

💼 Site-to-Site VPN のユースケース

🏢

ハイブリッドクラウド接続

オンプレミスのデータセンターとAWS VPCを接続。社内システムとクラウドの連携を実現。

💾

バックアップ・DR

オンプレミスデータをAWSにバックアップ。災害復旧(DR)サイトとしてAWSを活用。

🚀

クラウド移行の第一歩

Direct Connectを導入する前の、低コストなプライベート接続オプション。

🏠

リモートオフィス接続

複数の拠点からAWSリソースへ安全にアクセス。支店や在宅勤務者の接続に。

🔒

セキュアなデータ転送

機密データをインターネット経由で安全に転送。暗号化で情報漏洩を防止。

🔄

Direct Connectのバックアップ

専用線の障害時にVPNにフェイルオーバー。ビジネス継続性を確保。

📊 Site-to-Site VPN vs Direct Connect vs Client VPN

項目 Site-to-Site VPN Direct Connect Client VPN
接続形態 拠点間(ネットワーク対ネットワーク) 専用線(物理接続) 個人デバイス(ユーザー対ネットワーク)
接続経路 インターネット経由 専用回線(AWS Direct Connect ロケーション) インターネット経由
帯域幅 最大 1.25 Gbps/トンネル 1 Gbps 〜 100 Gbps 可変(ユーザー数による)
レイテンシー 可変(インターネット依存) 低い・安定 可変(インターネット依存)
初期費用 低い 高い(専用線工事) 低い
月額料金 約 $36/接続 + データ転送 ポート料金 + データ転送 エンドポイント + 接続時間
セットアップ時間 数時間〜1日 数週間〜数ヶ月 数時間
おすすめ用途 コスト重視の拠点間接続
クラウド移行初期		 大容量・低遅延が必要
ミッションクリティカル		 リモートワーカー
個人デバイスからのアクセス
💡 Site-to-Site VPN ベストプラクティス
1. 両方のトンネルを設定する:
AWSは2本のトンネルを提供。両方を設定することで高可用性を実現。片方だけの設定はNG!

2. BGPルーティングを使う(可能なら):
動的ルーティングで自動フェイルオーバーを実現。AWS公式推奨オプション。

3. Dead Peer Detection(DPD)を有効化:
接続断を早期検知してフェイルオーバーを高速化。タイムアウト値を適切に設定。

4. CloudWatch でモニタリング:
TunnelState、TunnelDataIn/Out メトリクスを監視。アラームを設定してダウン時に通知。

5. 本番環境ではAccelerated VPNを検討:
AWS Global Accelerator と連携して、より安定した接続品質を実現(追加料金あり)。

6. Transit Gateway での集約:
複数VPCへの接続が必要な場合、VGWではなくTransit Gatewayを使って一元管理。

❓ よくある質問(FAQ)

Q. Site-to-Site VPN と Client VPN の違いは?
Site-to-Site VPNは「ネットワーク対ネットワーク」の接続(オンプレミスDC全体とVPC)。
Client VPNは「個人デバイス対ネットワーク」の接続(リモートワーカーのPCからVPC)。
用途に応じて使い分けましょう。
Q. なぜ2本のトンネルが必要なの?
AWSはVPNエンドポイントを2つの異なるAZに配置。これにより、1つのAZで障害が発生しても、もう一方のトンネルで通信を継続できます。高可用性のため、必ず両方を設定してください。
Q. VPN接続の帯域幅に制限はある?
1つのVPNトンネルあたり最大1.25 Gbpsです。より高い帯域が必要な場合は、複数のVPN接続を設定するか、AWS Direct Connectを検討してください。
Q. オンプレミス側にNATがある場合は使える?
NATトラバーサル(NAT-T)をサポートしているため、オンプレミスVPN機器がNATの後ろにあっても接続可能です。UDP 4500ポートを使用します。
Q. Direct Connectと併用できる?
はい!Site-to-Site VPNをDirect Connectのバックアップとして設定するのは一般的なアーキテクチャです。専用線に障害が発生した際、自動的にVPNにフェイルオーバーできます。
Q. 複数のVPCに接続したい場合は?
AWS Transit Gatewayを使用してください。1つのVPN接続をTransit Gatewayにアタッチし、そこから複数のVPCにルーティングできます。VPCごとにVPNを設定する必要がなくなります。

🎓 まとめ

🔐 Site-to-Site VPN = オンプレミスとAWSを安全につなぐ暗号化トンネル

インターネット経由でも、IPsec暗号化により安全にプライベート通信が可能!
クラウド移行の第一歩として、コスト効率に優れた選択肢です。

🌐
VGW AWS側の
VPN入口
🏢
CGW オンプレミス側の
機器定義
🔗
VPN接続 VGWとCGWを
つなぐリソース
🚇
トンネル×2 高可用性のための
冗長構成

🎯 覚えておくべきポイント:

✅ 2本のトンネルは必ず両方設定(高可用性)
✅ BGPルーティングが推奨(自動フェイルオーバー)
✅ 最大帯域は1.25 Gbps/トンネル
✅ Direct Connectのバックアップとしても活用可能
✅ 複数VPC接続にはTransit Gatewayを使用

Created by SSuzuki1063

AWS SAP Learning Resources