VPG の アウトバウンドルーティングフィルター で 0.0.0.0/0
を 'deny' とし、特定の IP アドレスレンジのみ通信を許可したい場合は、以下の点に注意して SORACOM サービスをご利用ください。
- SORACOM Air for セルラーからアクセスできるエンドポイント 宛ての通信は設定せずとも許可されています (拒否できません)。DNS サーバー、NTP サーバーなどが利用できます
- SORACOM Canal、SORACOM Direct、SORACOM Door でクラウドなどと接続する際は接続先の IP アドレスレンジを許可します
- SORACOM Gate D2D (Device to Device) を利用してデバイス間通信をする場合は、デバイスサブネット IP アドレスレンジ、またはデバイスの IP アドレスを許可します
- SORACOM Gate C2D (Cloud to Device) を利用してクラウドからデバイスへ通信する場合は、VPG のトンネル接続用 IP アドレスレンジを許可します
デバイスサブネット IP アドレスレンジは VPG 管理画面より確認できます。
VPG のトンネル接続用 IP アドレスレンジは以下で確認できます。
- SORACOM Canal で接続した場合、VPC ピアリング接続を受諾 するときに確認できる「リクエスタ VPC CIDR (利用する VPG の IP アドレス空間)」」
- SORACOM Door、Direct の場合、利用申請時にソラコムから通知され、VPN 機器などに設定した接続元のアドレス空間
設定例は以下のようになります。こちらの例では192.168.0.0/16
を接続先の IP アドレスレンジ、10.128.0.0/9
をデバイスサブネット IP アドレスレンジ、100.67.123.0/27
を VPG のトンネル接続用 IP アドレスレンジとしています。