AWSでSMA8200vを使用した場合のIP POOL設定における通信上の制約

このKB(記事)にて、AWSにてSMA82000vを使用する場合のIP Poolの設定方法を説明しました。IP Poolとして使用できるタイプは現実的にRouted address pool - staticのみであること、Routed address pool - static で使用するIPアドレス／サブネットは、SMA82000vが属するVPCのCIDRとは異なるCIDRでなければならないことを説明しています。

Routed address pool - static にSMA82000vが属するVPCのCIDRとは異なるCIDRを設定しなければならないことによる、お客様構成によっては、SSL-VPNユーザに通信上の制約が発生する場合がありますので、詳細を説明します。

CAUTION: ここで、説明をする制約はAWSの使用上の制約となります。SMA8200vソフトウェアの制約ではありませんので注意してください。 

ここで説明する制限は、SMA8200vが所属するVPCのCIDRと異なるCIDRのIPアドレスが割り当てられるConnect Tunnel/On-Demand TunnelもしくはMobile Connectを使用するSSL-VPNユーザに限定される制限です。On-Demand Tunnelを除く、Workplaceを介した通信や、SMA8200v自身が使用するDNS通信や、認証サーバとの通信などには影響しません。これらの通信は通常SMA8200vのX0(Eth0あるいはInternal）のIPアドレス(VPCのCIDR内のIPアドレス）で通信しますので制限は発生しません。

制約条件：

1. VPCのピアリング接続を行っている場合、相互に通信はできません。SMA8200vが所属するVPCをVPC1 とします。また、ピアリング接続をしているVPCをVPC2とします。この場合、VPC1内のインスタンスと、VPC2内のインスタンスは相互に通信が可能です。しかし、SMA8200vに接続したSSL-VPNユーザはVPC2のインスタンスとは通信ができません。

2. SSL-VPNユーザは、仮想プライベートネットワークもしくはDirect Connectで接続されたオンプレミスの装置とは相互に通信できません。

回避方法：

1. VPCのピアリング接続の代わりにTransit Gatewayを使用してください。

2. VPNもしくはDirect Connect によりオンプレミスを接続する場合には、VPCの仮想プライベートゲートウェイと直接接続するのではなく、VPCとオンプレミスをTransit Gatewayで接続してください。

＊ 上記の説明は、2021年1月時点の情報を元に作成しています。今後、AWSの仕様変更によりできるようになる／できなくなることがありますのであらかじめご了承ください。