SORACOM Users

Virtual Private Gateway : 機能の説明

Virtual Private Gatewayの対象となるサービス

Virtual Private Gateway(VPG)は以下のサービスで利用されます。

以下の機能は、上記のサービスの利用と合わせて、もしくは VPG 単体でも(ピアリング接続などの閉域網接続することなく)、ご利用いただけます。

それぞれの機能について説明します。


VPG アウトバウンドルーティングフィルター

VPG アウトバウンドルーティングフィルターでは、VPG からインターネット、ピアリング先や専用線、仮想専用線での接続先環境へのアクセスを IP アドレスレンジで許可/拒否できます。

例えばお客様は、デバイスが想定しているサーバーのみにアクセスを許可できます。意図していないサーバーへの通信を回避できます。

フィルタリングの設定

VPG アウトバウンドルーティングフィルターの設定は API のみの提供です。API はsetRoutingFilterとなります。

VPG アウトバウンドルーティングフィルターを設定するをあわせてご確認ください。

IPアドレスレンジの指定

IPアドレスレンジの指定は、許可もしくは拒否するIPアドレスレンジで設定します。

例> 悪意のあるサイトのアドレスがわかっており、特定のアドレスレンジ(192.0.2.0/26)を宛先とする送信パケットをブロックしたい。

 [
    {
        "action": "deny",
        "ipRange": "192.0.2.0/26"
    }
 ]

例> 悪意のあるサイトのアドレスがわかっており、特定のアドレスレンジ(192.0.2.0/26)を宛先とする送信パケットをブロックしたい。

 [
    {
        "action": "deny",
        "ipRange": "192.0.2.0/26"
    }
 ]

複数のレンジを指定できます。

例> 特定のIP範囲のみを許可したい場合は、広範囲のIPアドレス(最も広い範囲は0.0.0.0/0)に対して「拒否」ルールを設定し、ホワイトリストに登録する必要がある範囲に対して「許可」ルールを追加できます。たとえば、次のルーティングフィルタは、 192.0.2.128/25 宛てのパケットのみを許可します。

 [
    {
        "action": "deny",
        "ipRange": "0.0.0.0/0"
    },
    {
        "action": "allow",
        "ipRange": "192.0.2.128/25"
    }
 ]

フィルター構成に重複する複数のエントリがある場合、最も長いプレフィックスを持つIP範囲のポリシーが適用されます。 たとえば、192.0.2.128/25192.0.2.128/28 のフィルタエントリがある場合、192.0.2.130 への宛先は、192.0.2.128/28 のフィルタが適用されます。

VPG アウトバウンドルーティングフィルターを設定する」をあわせてご確認ください。

他の SORACOM サービスとの併用

VPG アウトバウンドルーティングフィルターで制限した場合でも、SORACOM Beam, SORACOM Funnel, SORACOM Funk を利用して SORACOM プラットフォーム外へアクセスできます。

VPG 固定グローバルIPアドレスオプション機能

インターネット接続オプションありのVPGでは、オプション機能としてインターネット出口側の IP アドレス(アクセス元 IP アドレス)を2つの IP アドレスに固定できます。また、この IP アドレスは他のユーザーの IoT SIM に利用される事はありませんので、安心して企業内システム等へのアクセス制御に利用できます。

network diagram

この機能を有効化すると、その VPG を適用した SIM グループに含まれる IoT SIM からのアクセスは、必ず2つの IP アドレスのうちいずれかをアクセス元 IP アドレスとする通信となります。SIM の枚数が増えてもそのアクセス元 IP アドレスはあらかじめVPGに割り当てられた固定のIPアドレスとなりますので、システム管理上の手間は最小限で済みます。

また、SORACOM Beam(以下 Beam) をお使いである場合は、Beam 通信のアクセス元 IP アドレスもこの IP アドレスからとなり、よりセキュアに Beam を利用できます。(Air for LoRa および Air for Sigfox の Beam 送信元 IP アドレスには適用できません。)

利用方法、料金はサービス紹介ページからご確認ください。

注意:機能の有効化・無効化について
  • 設定変更にはソラコムへのお申込みが必要です。設定変更には数営業日いただきますのであらかじめご了承ください。
  • 当機能の有効・無効を切り替えるとVPGに割り当てられるグローバルIPアドレスは変更されます。アクセス先のファイアウォール等の設定変更が必要となる場合もありますのでご留意ください。
  • 当機能の有効・無効の切り替えのタイミングでも3G/LTEセッションは維持されます。SSH等はセッションが切断される可能性があります。

NTP サービス

VPG からインターネットにでることなく利用できる NTP サービスを提供しています。IoT SIM を使用しているデバイスで NTP サーバーとして ntp.soracom.io を指定してください。

当 NTP サービスでは、うるう秒については平滑化します(Leap Smearing)。お客様はうるう秒の追加によるアプリケーションエラーを心配する必要がありません。

pagetop