VPNアクセス

VPNアクセスは、インターネットVPN接続(リモートアクセスVPN)を用いた IIJ IoTサービスプラットフォームへのコネクティビティを提供します。

本コネクティビティは、インターネットに接続できる環境があるデバイスにてご利用頂けます。ご用意して頂くインターネットへの接続回線は種別を問わず、有線回線・Wi-Fi・IIJ以外の国内外モバイル回線などの任意の回線でご利用可能です。

利用シーン
国内外工場設備へのリモートアクセス

工場内のPC、ゲートウェイ機器からVPN接続をして頂くことで、デバイスリンク機能を利用したリモートアクセスが可能です。

コネクティビティ併用(モバイル & Wi-Fi)

モバイル電波に不安のある地域はWi-Fiを利用するなど、モバイルとWi-Fi接続を併用しIoTサービスにて一括でデバイスを管理可能です。

既設インターネット回線を用いたVPN経由のWISE-PaaSアクセス

工場内に既設のインターネット回線があれば、VPN接続を行って頂くことでWISE-PaaS IIJ Japan-Eastに閉域網でデータ送信が可能です。

利用方法

VPNアクセスは以下の条件で利用できます。

  • デバイスがインターネットに接続されている
  • デバイスがVPN接続に対応している
  • ファイアウォールでVPN通信が許可されている

VPNアクセスのご利用を開始するには、以下の手順を実施してください。

  1. コントロールパネルにてVPNアクセスを作成してください。
  2. 作成されたVPNアクセスの接続情報を元にデバイスに設定してください。
    • 設定方法は、下記のプロトコル別の設定方法をご参照ください。
  3. VPNアクセスに接続後は、IoTサービスの提供する各種機能の説明をご覧頂きご利用ください。
VPNプロトコル仕様

VPNアクセスは、以下のVPNプロトコルに対応しています。

  • WireGuard
  • L2TP/IPsec

VPNアクセスの設定方法は、Getting Startedの VPNアクセスでデバイスを接続する も合わせてご覧ください。

WireGuard

WireGuard (wireguard.com) に対応しています。WireGuardでのVPN接続には、UDP 51820番のポートを使用します。

デバイスには下記を参考にWireGuardの設定ファイルを作成してご利用ください。

[Interface]
PrivateKey = <クライアント秘密鍵>
Address = <IPアドレス>/32
DNS = <DNS サーバ>

[Peer]
PublicKey = <サーバ公開鍵>
AllowedIPs = <Allowed IPs>
Endpoint = <接続先アドレス>
PersistentKeepalive = 25

秘密鍵・IPアドレスなどのパラメータは、VPNアクセスを作成したときに表示される文字列に置き換えてください。

PersistentKeepaliveは、お客様のご利用環境に応じて設定を変更してください。

以下の条件に満たしてVPNアクセスをご使用される場合、PersistentKeepaliveの設定が必要です。

  • NAT環境下、もしくは、ファイアウォールを経由してインターネットに接続されている。
  • デバイスコントロールやデバイスリンクなどのIoTサービスからデバイスへのアクセスを利用する。

上記を満たさない場合は、PersistentKeepaliveの設定は不要です。PersistentKeepaliveを設定すると不要な通信が増加しますので、PersistentKeepalive設定を削除することを推奨します。

また、多くの環境ではPersistentKeepaliveが25(秒)で適切に機能しますが、デバイスへのアクセスが不安定になる場合は数値を小さくしてお試しください。

WISE-PaaSコネクタを利用する場合、AllowedIPsにWISE-PaaSのアドレスセグメントを追加してください。

WISE-PaaSコネクタを利用しWISE-PaaSへ接続する場合、WISE-PaaSコネクタのIPアドレスセグメントに記載されている全てのIPアドレスセグメントを既存のAllowedIPsに加えてカンマ (,) 区切りで追記してください。

VPNゲートウェイに接続されたVPNアクセスの場合、AllowedIPsはお客様のプライベートバックボーン構成に応じて設定を変更してください。

AllowedIPsは、IPアドレスレンジを指定し、指定したIPアドレスへの通信のみに限定してVPNトンネルを経由させる設定です。

お客様が利用中のプライベートバックボーン上に別のIIJサービスが接続されており、それらのホストと相互接続する必要がある場合、AllowedIPsに他サービスのホストで使用しているIPアドレスレンジを適宜追加してご利用ください。

また、インターネット接続を含め、全ての通信をVPNアクセス経由にする場合は、AllowedIPs = 0.0.0.0/0 を指定して利用することも可能です。

L2TP/IPsec

L2TPv2 に対応しています。詳細は以下の通りです。

トンネリングプロトコルL2TPv2/IPsec
鍵交換プロトコル

IKEv1

使用ポート番号500/udp, 1701/udp, 4500/udp
認証タイプ

事前共有鍵

認証方式

ユーザパスワード認証

認証プロトコル
  • CHAP
  • MS-CHAPv2
その他仕様
  • 1つのIoTサービス契約につき最大100個のVPNアクセスを作成できます。
  • VPNアクセスのご利用数に応じて使用料金が発生します。詳しくは料金表をご確認ください。
    • 接続していないVPNアクセスにも使用料金が発生します。
    • VPNアクセスを削除して再度作成した場合は、作り直したVPNアクセス1個分の追加料金が発生します。
  • VPNアクセスに接続した状態で、IoTプラットフォーム経由でインターネットに接続することはできません。
    • 接続した状態でインターネット接続をご利用になるには、ネットワーク経路を設定し、デバイスのインターネット接続をご利用ください。
    • なお、本マニュアルに記載されている設定方法は、インターネット接続が可能になるように考慮しております。
  • パスワードや秘密鍵などの認証情報はVPNアクセス作成時のみ表示されます。
    • 紛失した場合は再発行を行い、新しいパスワードや秘密鍵をご利用ください。
    • なお、再発行後は、古い認証情報で接続できなくなります。
  • IPアドレスはシステムが自動的に決定します。お客様で指定することはできません。
  • VPNアクセス作成後はVPN接続プロトコルの変更はできません。
  • VPNアクセス同士やモバイルデバイスなどのデバイス間での通信はできません。
  • 1つのVPNアクセスに同時接続できるデバイスは1つのみです。