SORACOM Users

Documents
API Reference
Tools
Icon Set
soracom.jp
User Console
Getting Started

VPG アウトバウンドルーティングフィルターを設定する

VPG アウトバウンドルーティングフィルターでは、VPG からインターネット、ピアリング先や専用線、仮想専用線での接続先環境へのアクセスを IP アドレスレンジで許可/拒否できます。

2019年10月時点で、当設定は API からの設定となります。

はじめに

当ガイドでは、VPG アウトバウンドルーティングフィルターを設定します。 手順は次のとおりです。

  1. VPGを作成する
  2. アウトバウンドルーティングフィルターを設定する
  3. グループを作成し VPG を設定する
  4. 拒否アドレスにアクセスできないことを確認する

ステップ1: VPGを作成する

SORACOM のユーザーコンソールにログインします。 画面左上部のプルダウンメニューから「VPG」を選択します。

VPG

「VPG を追加」をクリックします。

VPG

VPG の名前を入力し、対象サービスとして「Canal」を選択します。

VPG

「インターネットゲートウェイを使う」は、インターネットへのルーティングを行うか、ピアリング先のみへのアクセスにするかの設定となります。 「インターネットゲートウェイを使う」を OFF にした場合は、インターネットアクセスを許可しない完全閉域網となります。ここでは、インタネットゲートウェイを ON にします。

「作成」をクリックすると、以下のように「状態」が「作成中」となります。

しばらく(3分程度)して、「実行中」となれば作成完了です。

ステップ2: アウトバウンドルーティングフィルターを設定する

次にアウトバウンドルーティングフィルターを設定します。当設定は API のみの提供です(2019年10月時点)。

ここでは 10.0.0.119 のみへのアクセスを許可します。

コンソールの「メニュー」->「VPG」から対象の VPG を選択し、VPG IDを確認してください。

10.0.0.119 のみへのアクセスを許可するため、全体(0.0.0.0/0)を拒否し、10.0.0.119のみを許可するように設定します。

APIは以下のようになります。

curl -X POST --header 'Content-Type: application/json' --header 'Accept: application/json' --header 'X-Soracom-API-Key: <Soracom API Key>' --header 'X-Soracom-Token: <Soracom Token>' -d '[
     {
       "action": "deny",
       "ipRange": "0.0.0.0/0"
     },
     {
       "action": "allow",
       "ipRange": "10.0.0.119/32"
     }
 ]' 'https://jp-prod-standby.api.soracom.io/v1/virtual_private_gateways/<vpg-id>/set_routing_filter'

API Key、API TokenはAuthAPIにより取得できます。詳細は、/jp/docs/api_guideも合わせてご確認ください。

ステップ3: グループを作成し VPG を設定する

SORACOM ユーザーコンソールの左上のプルダウンメニューより「グループ」を選択します。

「追加」をクリックして、グループ名を入力し、グループを作成します。

作成したグループをクリックしグループ画面の「基本設定」から「SORACOM Air 設定」を開きます。

「SORACOM Air 設定」内に、以下のように「VPG (Virtual Private Gateway) 設定」がありますので、「ON」とし、ステップ2で作成した「VPG」を選択します。

「保存」をクリックします。

次に、IoT SIM をグループに所属さます。

「SIM 管理」メニューから、接続を行う SIM を選択し、「所属グループ変更」をクリックします。

先ほど作成したグループに所属させます。

注意
  • グループのVPGの設定変更をしたら、既に接続中のデバイスについては、設定変更後に一旦接続を切ってから繋ぎ直してください。セッション切断・再接続を行わないと、設定が反映されません。
  • スマートフォンの場合、Airplane (機内)モードの On/Off を行うと、簡単にセッションを再作成できます。

ステップ4: 拒否アドレスにアクセスできないことを確認する

VPG を適用した IoT SIM から「10.0.0.119」にアクセスできること、これ以外にアクセスできないことを確認してください。

10.0.0.119 が Web サーバーであれば以下のように確認できます。

$ curl http://3.112.94.19/
 <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.1//EN" "http://www.w3.org/TR/xhtml11/DTD/xhtml11.dtd">

 <html xmlns="http://www.w3.org/1999/xhtml" xml:lang="en">
 ......

また、ping が可能であれば、 ping 3.112.94.19 で確認することもできます。

Getting Started

SORACOM Air for セルラー

SORACOM Air for LoRaWAN

SORACOM Air for Sigfox

SORACOM Beam

SORACOM Canal/Direct/Door

SORACOM Endorse

SORACOM Funnel

SORACOM Funk

SORACOM Gate

SORACOM Harvest

SORACOM Inventory

SORACOM Junction

SORACOM Krypton

SORACOM Lagoon

SORACOM Napter

Gadgets

Device

サービス機能詳細

Developer Tools

User Console »
サービスについて »
SORACOM Technology Camp 2020
pagetop