SORACOM Users

Virtual Private Gateway : 機能の説明

Virtual Private Gatewayの対象となるサービス

Virtual Private Gateway(VPG)は以下のサービスで利用されます。

以下の機能は、上記のサービスの利用と合わせて、もしくは VPG 単体でも(ピアリング接続などの閉域網接続することなく)、ご利用いただけます。

それぞれの機能について説明します。


VPG アウトバウンドルーティングフィルター

VPG アウトバウンドルーティングフィルターでは、VPG からインターネット、ピアリング先や専用線、仮想専用線での接続先環境へのアクセスを IP アドレスレンジで許可/拒否できます。

例えばお客様は、デバイスが想定しているサーバーのみにアクセスを許可できます。意図していないサーバーへの通信を回避できます。

フィルタリングの設定

VPG アウトバウンドルーティングフィルターを設定するをご確認ください。

IPアドレスレンジの指定 (API で指定する場合)

IPアドレスレンジの指定は、許可もしくは拒否するIPアドレスレンジで設定します。

例> 悪意のあるサイトのアドレスがわかっており、特定のアドレスレンジ(192.0.2.0/26)を宛先とする送信パケットをブロックしたい。

 [
    {
        "action": "deny",
        "ipRange": "192.0.2.0/26"
    }
 ]

複数のレンジを指定できます。

例> 特定のIP範囲のみを許可したい場合は、広範囲のIPアドレス(最も広い範囲は0.0.0.0/0)に対して「拒否」ルールを設定し、ホワイトリストに登録する必要がある範囲に対して「許可」ルールを追加できます。たとえば、次のルーティングフィルタは、 192.0.2.128/25 宛てのパケットのみを許可します。

 [
    {
        "action": "deny",
        "ipRange": "0.0.0.0/0"
    },
    {
        "action": "allow",
        "ipRange": "192.0.2.128/25"
    }
 ]

フィルター構成に重複する複数のエントリがある場合、最も長いプレフィックスを持つIP範囲のポリシーが適用されます。 たとえば、192.0.2.128/25192.0.2.128/28 のフィルタエントリがある場合、192.0.2.130 への宛先は、192.0.2.128/28 のフィルタが適用されます。

VPG アウトバウンドルーティングフィルターを設定する」をあわせてご確認ください。

他の SORACOM サービスとの併用

VPG アウトバウンドルーティングフィルターで制限した場合でも、SORACOM Beam, SORACOM Funnel, SORACOM Funk を利用して SORACOM プラットフォーム外へアクセスできます。

アウトバウンドルーティングフィルターとインターネットゲートウェイとの違い

VPG Type-F, Type-C は作成時にインターネットゲートウェイの ON / OFF を選択できます。アウトバウンドルーティングフィルターとの違いを解説します。

アウトバウンドルーティングフィルターでは 0.0.0.0/0 宛て通信を拒否した場合でも SORACOM Beam, SORACOM Funnel, SORACOM Funk を利用して SORACOM プラットフォーム外のサーバーやクラウドサービス、FaaS へ連携できます。そのため、アウトバウンドルーティングフィルターは直接のアクセスを拒否する機能として有用です。

一方でインターネットゲートウェイを OFF にした場合、SORACOM Beam, SORACOM Funnel, SORACOM Funk を利用してもインターネットへ出ることができません。そのため、インターネットゲートウェイの OFF は SORACOM Canal, SORACOM Door, SORACOM Direct を用いたプライベート接続を完全閉域にしたい際に有用です。なお、インターネットへのアクセスは拒否しますが、プライベート接続先へのアクセス制御はできません。プライベート接続に限定し、さらにプライベート接続でアクセスできる IP アドレスも制限するような場合は、インターネットゲートウェイ OFF とアウトバウンドルーティングフィルターの併用が有効です。また、SORACOM Beam でプライベート接続先のアドレスへの転送は可能です。

共通のポイントとして、インターネットゲートウェイが OFF の場合およびアウトバウンドルーティングフィルターで 0.0.0.0/0 宛て通信を拒否した場合でも、SORACOM Air for セルラーからアクセスできるエンドポイント宛ての通信は可能です。DNS サーバー、NTP サーバーなどが利用できます。

インターネット宛て通信を拒否したい場合、どちらの機能を用いるかは以下を参考に検討してください。

以下のような場合は、アウトバウンドルーティングフィルターで 0.0.0.0/0 宛て通信の拒否が有用です。

以下のような場合は、インターネットゲートウェイ OFF が有用です。

VPG 固定グローバルIPアドレスオプション機能

インターネット接続オプションありのVPGでは、オプション機能としてインターネット出口側の IP アドレス(アクセス元 IP アドレス)を2つの IP アドレスに固定できます。また、この IP アドレスは他のユーザーの IoT SIM に利用される事はありませんので、安心して企業内システム等へのアクセス制御に利用できます。

network diagram

この機能を有効化すると、その VPG を適用した SIM グループに含まれる IoT SIM からのアクセスは、必ず2つの IP アドレスのうちいずれかをアクセス元 IP アドレスとする通信となります。SIM の枚数が増えてもそのアクセス元 IP アドレスはあらかじめVPGに割り当てられた固定のIPアドレスとなりますので、システム管理上の手間は最小限で済みます。

また、SORACOM Beam(以下 Beam) をお使いである場合は、Beam 通信のアクセス元 IP アドレスもこの IP アドレスからとなり、よりセキュアに Beam を利用できます。(Air for LoRa および Air for Sigfox の Beam 送信元 IP アドレスには適用できません。)

利用方法、料金はサービス紹介ページからご確認ください。

注意:機能の有効化・無効化について
  • 設定変更にはソラコムへのお申込みが必要です。設定変更には数営業日いただきますのであらかじめご了承ください。
  • 当機能の有効・無効を切り替えると VPG に割り当てられるグローバル IP アドレスは変更されます。アクセス先のファイアウォール等の設定変更が必要となる場合もありますのでご留意ください。
  • 当機能の有効・無効の切り替えのタイミングでも 3G/LTE セッションは維持されます。SSH 等はセッションが切断される可能性があります。
pagetop