この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので十分ご注意ください。
背景
データセンターまたは支社と AWS クラウドリソース間の安全な接続のため、Site-to-site VPNを作成します。オンプレミス側はルーターはRTX830であり、InternetGateway,NatGatewayを利用し、EC2からインターネットへ通信できる設定になります。
検証しましたので、備忘録として構築手順を残したいと思います。
AWSサイト間VPN接続(AWS Site-to-Site VPN)とは
AWSサイト間VPN接続(AWS Site-to-Site VPN)は、IPsecVPNを利用した、オンプレミスネットワーク間接続です。オンプレミスとはクラウドと対となる概念で、社内に機器を設置する形式です。オンプレミス機器とVPNを安全な回線で繋ぐことができ、アクセス、管理を行うことができます。
前提
・Networkが作成済みであること
・EC2が作成済みであること
今回検証用の構成図
Site-to-site VPNの構築
Site-to-site VPNの仕組み
1.カスタマーゲートウェイ(オンプレミス側のルーターとしての役割を持ちます。)
2.仮想プライゲートゲートウェイ(1つのVPCとオンプレミス環境をVPN経由で接続する時にVPCに設置する通信の出入口です。 仮想プライベートゲートウェイとVPCの対応は1対1です。)
3.VPN 接続(インターネット上とオンプレミスの間に仮想の専用線を設定します。)
1.VPN構築手順
1-1:カスタマーゲートウェイの作成
VPC > カスタマーゲートウェイ > カスタマーゲートウェイを作成
名前、BGP ASNをデフォルトのままで、カスタム側のIPアドレスは確認した「グローバルIPアドレス」を設定します。
「状態」は「Available」となれば、作成は完了しました。
1-2:仮想プライゲートゲートウェイの作成
VPC > 仮想プライゲートゲートウェイ > 仮想プライゲートゲートウェイを作成
作成後は状態が「Detached」となっているため、VPCにアタッチします。
状態が「Attached」となれば、完成しました。
1-3:VPN 接続の作成
VPC > Site-to-Site VPN 接続 > VPN 接続を作成する
[名前タグ]:(任意)
[仮想プライベートゲートウェイ]:先ほど作成した仮想プライベートゲートウェイを選択
[カスタマーゲートウェイ]:先ほど作成したカスタマーゲートウェイを選択
[ローカルIPv4ネットワークCidr]:カスタマーゲートウェイのCidr範囲を入力します。(任意)デフォルトは0.0.0.0/0
[リモートIPv4ネットワークCidr]:AWS側のCidr範囲を入力します。(任意)デフォルトは0.0.0.0/0
状態が「Avaliable」となれば、設定完了しました。
「トンネルの詳細」の状態状態は「Down」です。ルーターを設定します。
2.ルーターの設定手順
2-1:クラウド接続の設定
「かんたん設定」をクリックします。
「VPN」をクリックします。
「クラウド接続」をクリックして、「新規」をクリックします。
サービス種別を確認して、「次へ」を押下します。
[設定名] :任意の設定名
[アクセスキー] :発行したアクセスキー
[シークレットアクセスキー] :発行したシークレットアクセスキー
[VPN ID] :Amazon VPCの接続VPN ID
[リージョン] :アジアパシフィック(東京)
[AWSからの設定取得] :取得する
入力内容を確認します。
内容の確認と取得が完了しました。「OK」をクリックします。
Amazon VPCに関する設定情報を確認しました。
3.ルートテーブルの設定
VPC内の接続するサブネットのルートテーブルにルートを追加します。
[送信先]:ローカルのPrivateCIDR
[ターゲット]:作成したvgw
他のルートテーブルも同じように設定する。
※今回ルーターをいじられないので、手動でルート追加したので、伝播が「いいえ」になります。
確認
VPNの「トンネルの詳細」の状態は「Up」になります。
EC2のprivateIPを確認して、オンプレミス側のPCから[ping ]を実施します。
まとめ
1,今回NatgatewayもSite-to-site VPNもあるので、ルートの優先度に注意します。
2,AWSからの設定情報取得失敗やルートが自動的に追加されたい場合はルーターでCUIでAWS接続VPNのConfigFileインポートします。
以上です。
少しでもお役に立てれば幸いです。
参考
BGP
https://it-biz.online/it-skills/bgp/
ルートテーブルと VPN ルーティングの優先度
https://docs.aws.amazon.com/ja_jp/vpn/latest/s2svpn/VPNRoutingTypes.html
ConfigFileのインポート
https://www.geekfeed.co.jp/geekblog/aws-vpn-s2s-rtx830/#aws-2