NatGatewayが利用されているSite-to-site VPNの構築、オンプレミスネットワーク間接続の実現

背景

データセンターまたは支社と AWS クラウドリソース間の安全な接続のため、Site-to-site VPNを作成します。オンプレミス側はルーターはRTX830であり、InternetGateway,NatGatewayを利用し、EC2からインターネットへ通信できる設定になります。
検証しましたので、備忘録として構築手順を残したいと思います。

AWSサイト間VPN接続(AWS Site-to-Site VPN)とは

AWSサイト間VPN接続(AWS Site-to-Site VPN)は、IPsecVPNを利用した、オンプレミスネットワーク間接続です。オンプレミスとはクラウドと対となる概念で、社内に機器を設置する形式です。オンプレミス機器とVPNを安全な回線で繋ぐことができ、アクセス、管理を行うことができます。

前提

・Networkが作成済みであること
・EC2が作成済みであること

今回検証用の構成図

Site-to-site VPNの構築

Site-to-site VPNの仕組み

1.カスタマーゲートウェイ(オンプレミス側のルーターとしての役割を持ちます。)
2.仮想プライゲートゲートウェイ(1つのVPCとオンプレミス環境をVPN経由で接続する時にVPCに設置する通信の出入口です。 仮想プライベートゲートウェイとVPCの対応は1対1です。)
3.VPN 接続(インターネット上とオンプレミスの間に仮想の専用線を設定します。)

1.VPN構築手順

1-1:カスタマーゲートウェイの作成

VPC > カスタマーゲートウェイ > カスタマーゲートウェイを作成
名前、BGP ASNをデフォルトのままで、カスタム側のIPアドレスは確認した「グローバルIPアドレス」を設定します。
file

「状態」は「Available」となれば、作成は完了しました。
file

1-2:仮想プライゲートゲートウェイの作成

VPC > 仮想プライゲートゲートウェイ > 仮想プライゲートゲートウェイを作成
file

作成後は状態が「Detached」となっているため、VPCにアタッチします。
file
file
file

状態が「Attached」となれば、完成しました。
file

1-3:VPN 接続の作成

VPC > Site-to-Site VPN 接続 > VPN 接続を作成する
[名前タグ]:(任意)
[仮想プライベートゲートウェイ]:先ほど作成した仮想プライベートゲートウェイを選択
[カスタマーゲートウェイ]:先ほど作成したカスタマーゲートウェイを選択
[ローカルIPv4ネットワークCidr]:カスタマーゲートウェイのCidr範囲を入力します。(任意)デフォルトは0.0.0.0/0
[リモートIPv4ネットワークCidr]:AWS側のCidr範囲を入力します。(任意)デフォルトは0.0.0.0/0
file
file

状態が「Avaliable」となれば、設定完了しました。
file

「トンネルの詳細」の状態状態は「Down」です。ルーターを設定します。
file

2.ルーターの設定手順

2-1:クラウド接続の設定

「かんたん設定」をクリックします。
file

「VPN」をクリックします。
file

「クラウド接続」をクリックして、「新規」をクリックします。
file

サービス種別を確認して、「次へ」を押下します。
file

[設定名] :任意の設定名
[アクセスキー] :発行したアクセスキー
[シークレットアクセスキー] :発行したシークレットアクセスキー
[VPN ID] :Amazon VPCの接続VPN ID
[リージョン] :アジアパシフィック(東京)
[AWSからの設定取得] :取得する
file

入力内容を確認します。
file

内容の確認と取得が完了しました。「OK」をクリックします。
file
file

Amazon VPCに関する設定情報を確認しました。
file
file

3.ルートテーブルの設定

VPC内の接続するサブネットのルートテーブルにルートを追加します。
[送信先]:ローカルのPrivateCIDR
[ターゲット]:作成したvgw
file

他のルートテーブルも同じように設定する。

※今回ルーターをいじられないので、手動でルート追加したので、伝播が「いいえ」になります。

確認

VPNの「トンネルの詳細」の状態は「Up」になります。
file

EC2のprivateIPを確認して、オンプレミス側のPCから[ping ]を実施します。
file
file
file

まとめ

1,今回NatgatewayもSite-to-site VPNもあるので、ルートの優先度に注意します。
2,AWSからの設定情報取得失敗やルートが自動的に追加されたい場合はルーターでCUIでAWS接続VPNのConfigFileインポートします。

以上です。
少しでもお役に立てれば幸いです。

参考

BGP
https://it-biz.online/it-skills/bgp/
ルートテーブルと VPN ルーティングの優先度
https://docs.aws.amazon.com/ja_jp/vpn/latest/s2svpn/VPNRoutingTypes.html
ConfigFileのインポート
https://www.geekfeed.co.jp/geekblog/aws-vpn-s2s-rtx830/#aws-2

Last modified: 2023-05-26

Author