AWSパートナー 電話番号 電話番号 お問い合わせ

受付時間 平日10:00~18:00

TOP

資料ダウンロードはこちら >>

ロゴ

AWSやシステム・アプリ開発の最新情報|クロスパワーブログ

AWS VPN

AWSとソフトウェアVPN(1) – 概要

PC検証

Katoです。今回はAWSで扱うVPNについて、ソフトウェアVPNから解説します。

かつては高額なハードウェアが必要だったVPNも、現在はソフトウェアだけで実現可能な技術です。もちろん現在でも Cisco やヤマハなどがVPNを扱える機材を販売しています。しかし、ハードウェアは長くても5年ほどで保守期限切れなどの理由から交換を余儀なくされることが多く、企業のIT担当者と経営層とって共通の大きな悩みと言えるでしょう。仮にソフトウェアでVPNを実現したとしても、それを導入するハードウェア(=VPNサーバやクライアントPCなど)は必須なので完全な解決とは行きませんが、それでも専用のハードウェアを用意するよりは遥に低コストで運用できる見込みが十分にあります。

さて、既存のVPNソフトウェアで比較的接しやすいものはと言うと…

  • OpenVPN
  • OpenSwan/StrongSwan(Linux用IPsec)
  • SoftEther VPN

などがあります。この中で比較的新しいものは SoftEther VPN で、昔からある OpenVPN や L2TP/IPsec よりも圧倒的な通信速度を誇ります。OpenVPN の初期リリースは2002年で、この頃のインターネット回線は一般家庭ならばADSLの普及段階、企業でも光回線は高価なものだったでしょう。その事情によるのか定かではありませんが、OpenVPN のスループットは100Mbpsを上回ることは無いようです。逆に SoftEther VPN はその11年後の2013年にリリースされたもので、最大スループットは900Mbpsを上回るとの資料があります。(https://ja.softether.org/1-features 比較表を参照)

AWSの機能またはサービスとして提供されるVPNは、VPCへのハードウェアVPN接続と Amazon Direct Connect があります。前者は文字通りハードウェアが必要となりますし、Amazon Direct Connect は即座に利用開始できるものではありません。ハードウェア不要で、すぐに利用開始できる方法としては「EC2インスタンスにVPNソフトウェアを仕込む」というものがあります。ただし注意点があり、一部のソフトウェアVPNは稼働条件としてNICのプロミスキャスモードを要するものがあります。ネットワークのレイヤ2で実現する技術はこの制約に引っかかることが多く、例えば L2TP や ARP の一部機能、仮想ブリッジ、VRRP の一部機能などが該当します。仮想ブリッジがアウトということは、ルーティングを用いないレイヤ2でのVPNが利用できない可能性が高いということになります。レイヤ2でのVPNが利用できないとは、即ち同一IPセグメントを用いてのネットワーク構成を実現できないということと同義です。AWSではプロミスキャスモードが無効であり、Eメール送信数制限のように申請すれば解放されるようなものでもないため、レイヤ3以上で実現しなければなりません。このためオンプレ環境とは異なるIPセグメントを利用する方がはるかに実現可能性が高いのです。ただ、異なるIPセグメントを利用するということはルーティングを行うことになるため、ルーティングの知識が必要となります。

一見すると難しい問題に見えるかもしれませんが、実は OpenVPN や SoftEther VPN では標準機能だけで解決できます。特にOpenVPNはネットワークOSの VyOS が標準で搭載しており、AMI も提供されているためEC2インスタンスで起動することで簡単に利用開始できます。SoftEther VPN は、Windows Server でも Linux でも動作し、設定はGUIが利用できるので簡単です。VyOS も SoftEther VPN も商用版が存在し、それぞれ Brocade Vyatta vRouter 、PacketiX VPN と言います。エンタープライズ環境で本番運用する際はサポートのある商用版が現実的な選択肢となることでしょう。

次の図はAWSと企業拠点をVPNで接続するイメージです。VPN接続にはクライアント接続と拠点間接続があり、運用方法や社内ネットワークの規模によってどちらを選択するか検討します。

VPN接続例

クライアント接続は手軽に設定できる場合が多いのですが、その反面クライアント端末ごとにVPNトンネルを生成することになるのでクライアント端末が多くなればなるほど性能が落ちていきます。一方、拠点間接続はVPNトンネルの本数を少なく済ませられるため、インターネット回線や社内ネットワークの状況に左右されるものの性能面では有利となることが多いです。ただし社内ネットワークの設定変更が必要になる可能性がある、複数のクライアント通信を束ねてVPNトンネルを通すことによるネットワーク負荷増大の可能性があるなど、実際の導入と運用には注意点もあります。どちらの方法も一長一短ですので、検討は慎重に行いましょう。