web-dev-qa-db-ja.com

AWSサイト間VPNとAWSクライアントVPNの違いは何ですか?

site-to-siteがIPSec(レイヤー3)を使用していることを知っていますが、clientはTLS(アプリケーション層)を使用しています。記事を読んだ後、両方とも実際にはsite to sitevpns/ docs オンラインのようです。

プロトコル(IPSecとTLS)が唯一の違いだと思います。これは、どのプロトコルをいつ使用するかに影響します。どちらも同等に優れていると思います。クライアントVPNの上であっても、常にアプリケーション層で常にTLSを使用する必要があります。

どれを使用するかをどのように決定しますか、そしてその理由は何ですか?

amazon-web-servicesvpnsite-to-site-vpn
5
Ben Butterworth

一般に、プロトコルはそれとはあまり関係がありません。 IPSecトンネルをsite-to-siteまたはの両方に設定できますclient(akaroad warrior)構成、ちょうど OpenVPN (TLS)トンネルsite-to-siteまたはclientの両方の設定。これは、使用するプロトコルではなく、構成と目的の問題です。

サイト間VPN

  • 通常1対1構成
  • 一般的に両側は同様の構成です
  • 両側に固定IPアドレスがあります
  • どちら側でも接続を開始または再開できます
  • 通常、どちらも背後にネットワークがあります(2つのオフィスネットワークが接続されているなど)。
  • トンネルを介してルーティングプロトコル(BGP、OSPFなど)を実行できます
  • ネットワークは両方の方法で通信できます

クライアントからサイトへのVPN

  • 通常N-to-1構成、[〜#〜] n [〜#〜]1サーバーに接続するクライアント
  • サーバーとクライアントの構成が異なります
  • クライアントは固定IPアドレスを必要としません
  • クライアントのみが接続を開始します(サーバーがクライアントの現在のIPを認識しないため)
  • クライアントは通常、背後にネットワークがない単一のラップトップです
  • ルーティングはクライアントごとに1つのIPのみを許可し、BGPまたはOSPFはサポートされません
  • サーバー接続の背後にあるサイトへのクライアントのみが許可されます。通常、サイトはクライアントへの接続を開始できません

これがおおよそ、サイト間VPNとクライアント間VPNの違いです。

AWSでは、VPNゲートウェイIPsecプロトコルを使用し、クライアントVPNOpenVPNプロトコルしかし、それはAWSがサービスを実装した方法です。ただし、一般に、どちらのセットアップでもどちらのプロトコルを使用することも完全に可能です。

それが役に立てば幸い:)

13
MLu

とにかく、クライアントVPNの上であっても、常にアプリケーション層でTLSを使用する必要があります。

TLSはさまざまな用途を持つプロトコルです。最も一般的なものはHTTPSですが、他の多くのプロトコルもそれを使用して、ネットワークトラフィックを暗号化する標準的な方法です。それがアプリケーションレベルです。

AWS Client VPNでは、1レベル下で使用されています。トンネルを通過するものに関係なく、実際のネットワークレイヤートラフィック(レベル3)を暗号化するためです。 TLSは標準のよく知られたプロトコルであるため、彼らはTLSの使用を選択しました。

Amazonは、IPsecでクライアントVPNを実装したり、独自のプロトコルを発明したりすることもできましたが、TLSは実証済みのテクノロジーであるため、TLSを選択しました。

そして確かに、技術的にはTLS over TLSですが、エンドポイントと証明書が異なるこのVPNを介してHTTPSを実際に使用できます。

3
KeepLearning

サイト間でIPSec(レイヤー3)を使用していることを知っています。

これは事実のようです。

しかし、クライアントはTLS(アプリケーション層)を使用しています。

どこで読んでいるかわからない? documentation は、AWSクライアントVPNがopenvpnベースであることを示しているようです

OpenVPNはネゴシエーションにTLSを使用しますが、実際のデータには使用しません。

記事/ドキュメントをオンラインで読んだ後、どちらも実際にはサイト間VPNのようです。

Openvpnはクライアントとサイト間VPNタスクの両方を実行できますが、AWSはそれをクライアントVPNとして使用しているようです。ドキュメントにネットブロック全体を個々のVPNクライアントに割り当てると言うことを許可するものは何もありません。

もちろん、VPNクライアントでNATを実行して、背後にあるすべてのデバイスがVPNを使用できるようにすることもできますが、意図したとおりにサービスを使用することはできません。

プロトコル(IPSecとTLS)が唯一の違いだと思います

サイト間VPNとクライアントVPNにはさまざまな優先順位があり、これによりさまざまな典型的なプロトコルの選択が促進されます。

Ipsecの問題は、普及したNATより前の時代に設計されたことです。その結果、IP上で直接実行され、NATが複数のクライアントセッションを明確にするために使用できるTCP/UDPポート番号に類似したものは何もありません。

したがって、NAT=の背後からIPsec VPNを使用するのは危険な提案です。まったく機能しない場合や、より巧妙に機能する場合がありますが、一度に1つのクライアントに対してのみ機能します。

サイト間VPNの場合、これは通常大したことではありません。エッジデバイスには、一貫したISPからのパブリックIPv4が含まれている可能性があります。

外出中のクライアントにとって、それは大きな問題です。したがって、UDPまたはTCP(openvpnはどちらでも実行できるので、Amazonがどの構成を使用するかはわからない)でも実行されるVPNソリューションを使用することをお勧めします。効率的です。

0
Peter Green