Skip to main content

 

 

 

 
Language:
 
 
 
OutSystems

LifeTime 11.6.0以前を使用してVPNを設定する

このトピックでは、LifeTime管理コンソール11.6.0以前を実行している場合に、OutSystems Cloudへのサイト間VPN(仮想プライベートネットワーク)接続を設定する手順について説明します。

手順を実行する前に、「OutSystems CloudへのVPNを設定する」を確認して、OutSystems Cloudとオンプレミスネットワークの間のVPN接続の詳細とそのVPNの仕様を理解してください。

OutSystems Cloudへの最初のVPNを設定する

以下の手順は、LifeTime管理コンソール11.6.0以前を実行しているOutSystems Cloudにのみ適用されます。LifeTime 11.6.1以降の場合は、「OutSystems CloudへのVPNを設定する」の手順に従います。

開始する前に

VPNの設定を開始する前に、以下の要件を遵守していることと、続行に必要な情報が収集済みであることを確認してください。

VPNゲートウェイの要件を確認する

VPNゲートウェイは、物理デバイスまたはソフトウェアデバイスにすることができます。AWSが提供するリストをチェックして、AWSがサイト間VPNでVPNゲートウェイをテスト済みかどうかを確認してください。ご利用のVPNゲートウェイがこのリストにない場合は、以下の要件を満たしている必要があります。

  • 同じ静的パブリックIPアドレスの保持

  • 事前共有鍵を使用したIKE v1またはIKE v2セキュリティアソシエーションの確立

  • トンネルモードでのIPSecセキュリティアソシエーションの確立

  • IPsecデッドピア検出(DPD)の使用

  • AES128ビットまたはAES256ビットの暗号化関数の使用

  • SHA-1またはSHA-256のハッシュ関数の使用

  • グループ2(1024ビット)、5(1536ビット)、14~18(2048ビット)、22、23、または24(2048ビット)でのDiffie-Hellman完全前方秘匿性の使用

必要な情報を収集する

VPN接続をリクエストする前に、以下の情報を入手していることを確認してください。

  • VPNゲートウェイのパブリックIP。NATトラバーサル(NAT-T)が有効になっているネットワークアドレス変換(NAT)デバイスの内側にVPNゲートウェイがある場合は、NATデバイスのパブリックIPアドレスを使用します。

  • VPNゲートウェイのブランド、モデル、ソフトウェアバージョン。

  • VPNにアクセスするオンプレミスネットワークの内部IP範囲。

  • VPNゲートウェイがサポートするルーティングのタイプ。ゲートウェイがボーダーゲートウェイプロトコル(BGP)をサポートしている場合は、動的ルーティングを使用します。サポートしていない場合は、静的ルーティングを使用します。

オンプレミスネットワークを確認する

オンプレミスネットワークの内部IPアドレス範囲は、OutSystems Cloudの内部IPアドレス範囲と重複することはできません。詳細については、OutSystems Cloudの内部IPアドレス範囲を調べる方法をご覧ください。

必要な権限があることを確認する

VPNをリクエストするには、LifeTimeAdministratorロールが必要です。

インフラ管理者Support PortalでVPNリクエストを承認する必要があります。

設定の概要

VPN設定の概要

続行する前に、必ず前のセクションをご覧ください。

手順1.最初のVPNをリクエストする

OutSystems Cloudへの最初のVPNをリクエストするには、以下の手順を実行します。

1.https://<LifeTime環境>/lifetimeにアクセスしてLifeTimeを開きます。<LifeTime環境>は、ご利用のLifeTime環境のアドレスです。

1.[ENVIRONMENTS]タブを選択し、[Options]を開いて[Activate VPN]を選択します。

LifeTimeでのVPNの有効化

1.フォームの各フィールドに値を入力します。

* メールアドレス

* ネットワークエンジニアのメールアドレス。ネットワークエンジニアである場合は、メールアドレスを入力します。

* VPNゲートウェイのパブリックIP。NATトラバーサル(NAT-T)が有効になっているネットワークアドレス変換(NAT)デバイスの内側にVPNゲートウェイがある場合は、NATデバイスのパブリックIPアドレスを使用します。

* VPNにアクセスするオンプレミスネットワークの内部IP範囲。

* VPNゲートウェイのブランド、モデル、ソフトウェアバージョン。

* VPNゲートウェイがサポートする**ルーティング**のタイプ。VPNゲートウェイがボーダーゲートウェイプロトコル(BGP)をサポートしている場合は、**動的**ルーティングを選択します。サポートしていない場合は、**静的**ルーティングを選択します。

1.VPNのリクエストを送信するには、[Activate VPN Service]を選択します。これにより、フォームに指定した情報でサポートチケットが作成されます。

手順2.OutSystemsがVPN接続を作成し、ユーザーに連絡する

必要なすべての情報を検証した後、OutSystemsはOutSystems CloudにVPN接続を作成します。VPN接続の準備ができ次第、OutSystemsはVPNピアアドレスに加えて、オンプレミスネットワークでVPNゲートウェイを構成するために必要な情報(AWSによって作成された構成ファイルなど)を送信します。

受信する構成ファイルのタイプは、以下のようにVPNゲートウェイによって異なります。

ご利用のデバイスがAWSによってテストされたVPNゲートウェイのリストにある場合、構成ファイルには、デバイスの構成方法に関する詳細な説明が含まれています。BGPを使用しないCisco IOSデバイスに対応するAWSの構成例をご覧ください。

ご利用のデバイスが上記のリストにない場合、構成ファイルには、VPNデバイスで構成すべき内容に関する一般的な説明が含まれています。BGPを使用する一般的なVPNゲートウェイに対応するAWSの構成例をご覧ください。

手順3.VPNゲートウェイを構成する

この手順は、ネットワークエンジニアが実行する必要があります。

VPN接続を設定するために必要な情報を受信したら、OutSystems Supportから送信された通知と構成ファイルの指示に従って、VPNゲートウェイの構成を完了します。

VPNゲートウェイの構成時には、構成ファイルに指定されている値を使用する必要があります。

独自の構成を使用する場合は、VPNゲートウェイの構成値が以下のAWSの要件を満たしていることを確認してください。

フェーズ1のパラメータ
プロトコル IKE v1またはIKE v2
認証方式 事前共有鍵
プロトコル通信 カプセル化されたUDPポート500、NAT-T(UDPポート4500)
暗号化アルゴリズム AES-128、AES-256
Diffie-Hellmanグループ 2(1024ビット)、14~18(2048ビット)、22、23、および24(2048ビット)
完全前方秘匿性(PFS) 有効
整合性のためのハッシュアルゴリズム SHA-1、SHA-256
再ネゴシエーション時間 28800秒
モード メイン
フェーズ2のパラメータ
プロトコル IKEフェーズII(IPSEC SA)
IPSecプロトコル ESP、UDPポート500。NAT-Tはユーザー側でサポートされている。
暗号化アルゴリズム AES-128、AES-256
暗号化モード トンネル
Diffie-Hellmanグループ 2(1024ビット)、5(1536ビット)、14~18(2048ビット)、22、23、および24(2048ビット)
整合性のためのハッシュアルゴリズム SHA-1、SHA-256
ライフタイム測定 時間
ライフタイムの時間 3600秒

手順4.ファイアウォールを構成する

この手順は、ネットワークエンジニアが実行する必要があります。

オンプレミスネットワークがインターネットとVPNゲートウェイの間にファイアウォールを備えている場合は、ファイアウォールに以下のルールを実装します。

  • VPNゲートウェイとOutSystems Cloudへの各VPNトンネルとの間のポート500UDPトラフィックを許可して、IKEパケットの送信を有効にします。4つのルール(各VPNトンネルの受信ルールと送信ルールのペア)が必要です。

  • VPNゲートウェイとOutSystems Cloudへの各VPNトンネルとの間のカプセル化セキュリティペイロード(ESP)トラフィック(IPプロトコル番号50)を許可して、暗号化されたネットワークトラフィックを含むIPSecパケットの送信を有効にします。4つのルール(各VPNトンネルの受信ルールと送信ルールのペア)が必要です。

  • OutSystems Cloudがオンプレミスネットワーク上のシステムにアクセスする必要がある場合は、他の受信と送信のファイアウォールルールを追加します。各VPNトンネルの受信ルールと送信ルールを必ず作成してください。
    たとえば、SQL Serverデータベースにアクセスするにはポート1433TCPトラフィックを許可し、Oracleデータベースにアクセスするにはポート1521TCPトラフィックを許可します。

  • VPNゲートウェイでNAT-Tを使用している場合は、ポート4500UDPトラフィックを許可します。送信と受信のファイアウォールルールを追加します。

OutSystems Cloudへの追加のVPN接続をリクエストする

追加のVPN接続が必要な場合は、詳細についてアカウントマネージャーにお問い合わせください。

トラブルシューティング

「VPN接続およびトラブルシューティングガイド」をご覧ください。