自宅とAWSをVPN接続してみた

自宅とAWSをVPN接続してみた

Clock Icon2019.05.03

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

しばたです。

個人的な興味半分、業務上の理由半分でオンプレミスとAWSをDirect ConnectまたはVPNで接続した環境でのActive Directory関連の動作検証をしたくなり、Direct Connectを個人で試すのは難しいため、自宅をオンプレ環境に見立てVPNでAWSと接続し検証環境を作ることにしました。

構成図

構成図はこんな感じです。

AWS側VPCのCIDRは172.18.0.0/16、プライベートなサブネット172.18.1.0/24、172.18.2.0/24を用意しています。
オンプレ(自宅)側は192.168.9.0/24と192.168.10.0/24の2つのネットワークと二台のドメインコントローラー(Windows Server 2012 R2)を用意しています。

構築手順

本記事ではAWS側環境を作り、オンプレ環境とVPN接続するところまでを解説します。

方式について

目的は違うのですが、つい先日弊社中山によってRTX830の「クラウド接続」機能をつかってお手軽にVPN環境を構築する手順が公開されました。

https://dev.classmethod.jp/articles/yamaha-rtx830-vpn-connection/

本記事では私自身の勉強を兼ねて上述の「クラウド接続」は使わずCloudFormationでAWS側のリソースを作成、手作業でRTX830のコンフィグを設定という手順で環境構築を行っています。
環境構築という目的を果たすだけであれば「クラウド接続」の方が楽かと思いますのでそういった場合は中山の記事を参考にすると良いでしょう。

CloudFormationテンプレート

各種リソースを一つずつ作るのは面倒なのでCloudFormationで必要なネットワークリソースを一気に作成します。
以下のテンプレートで、

  • VPC
  • NACL
  • Subnet x 2
  • RouteTable
  • Security Group(SSH, RDP, ICMP)
  • VGW
  • VPNConnection
  • Customer Gateway

を作成することができます。

AWSTemplateFormatVersion: 2010-09-09
Parameters:
  SystemName:
    Description: "System name of each resource names."
    Type: String
    Default: "devio"
  EnvironmentName:
    Description: "Environment name of each resource names."
    Type: String
    Default: "test"
  AZ1:
    Description: "AZ1"
    Type: AWS::EC2::AvailabilityZone::Name
    Default: "ap-northeast-1a"
  AZ2:
    Description: "AZ2"
    Type: AWS::EC2::AvailabilityZone::Name
    Default: "ap-northeast-1c"
  CGWIP:
    Description: "IP addres of Customer Gateway"
    Type: String
    Default: "xxx.xxx.xxx.xxx"
Outputs:
  VPC1:
    Value:
      Ref: VPC1
    Export:
    Name:
      Fn::Sub: "${SystemName}-${EnvironmentName}-vpc"
  PrivateSubnet1:
    Value:
      Ref: PrivateSubnet1
    Export:
    Name:
      Fn::Sub: "${SystemName}-${EnvironmentName}-private-subnet-1"
  PrivateSubnet2:
    Value:
      Ref: PrivateSubnet2
    Export:
      Name:
        Fn::Sub: "${SystemName}-${EnvironmentName}-private-subnet-2"
  PrivateRouteTable1:
    Value:
      Ref: PrivateRouteTable1
    Export:
      Name:
        Fn::Sub: "${SystemName}-${EnvironmentName}-private-rtb"
Resources:
  # VPC
  VPC1:
    Type: AWS::EC2::VPC
    Properties:
      CidrBlock: 172.18.0.0/16
      EnableDnsSupport: true
      EnableDnsHostnames: true
      Tags:
        - Key: Name
          Value:
            Fn::Sub: "${SystemName}-${EnvironmentName}-vpc"
  # Subnet
  PrivateSubnet1:
    Type: AWS::EC2::Subnet
    Properties:
      AvailabilityZone:
        Ref: AZ1
      VpcId:
        Ref: VPC1
      CidrBlock: 172.18.1.0/24
      MapPublicIpOnLaunch: False
      Tags:
        - Key: Name
          Value:
            Fn::Sub: "${SystemName}-${EnvironmentName}-private-subnet-1"
  PrivateSubnet2:
    Type: AWS::EC2::Subnet
    Properties:
      AvailabilityZone:
        Ref: AZ2
      VpcId:
        Ref: VPC1
      CidrBlock: 172.18.2.0/24
      MapPublicIpOnLaunch: False
      Tags:
        - Key: Name
          Value:
            Fn::Sub: "${SystemName}-${EnvironmentName}-private-subnet-2"
  # Customer Gateway
  CustomerGateway1:
    Type: AWS::EC2::CustomerGateway
    Properties:
      Type: "ipsec.1"
      BgpAsn: 65000
      IpAddress:
        Ref: CGWIP
      Tags:
        - Key: Name
          Value:
            Fn::Sub: "${SystemName}-${EnvironmentName}-cgw"
  # VPN Gateway
  VPNGateway1:
    Type: AWS::EC2::VPNGateway
    Properties:
      Type: ipsec.1
      Tags:
        - Key: Name
          Value:
            Fn::Sub: "${SystemName}-${EnvironmentName}-vpw"
      AttachVpnGateway1:
        Type: AWS::EC2::VPCGatewayAttachment
        Properties:
          VpcId:
            Ref: VPC1
          VpnGatewayId:
            Ref: VPNGateway1
  # VPN Connection
  VPNConnection1:
    Type: AWS::EC2::VPNConnection
    Properties:
      Type: ipsec.1
      StaticRoutesOnly: False
      CustomerGatewayId:
        Ref: CustomerGateway1
      VpnGatewayId:
        Ref: VPNGateway1
      # Route Tables
      PrivateRouteTable1:
        Type: AWS::EC2::RouteTable
        Properties:
          VpcId:
            Ref: VPC1
          Tags:
            - Key: Name
              Value:
                Fn::Sub: "${SystemName}-${EnvironmentName}-private-rtb"
  PrivateRoute1:
    Type: AWS::EC2::Route
    DependsOn: AttachVpnGateway1
    Properties:
      RouteTableId:
        Ref: PrivateRouteTable1
      DestinationCidrBlock: 192.168.0.0/16
      GatewayId:
        Ref: VPNGateway1
      PrivateRTAssociation1:
        Type: AWS::EC2::SubnetRouteTableAssociation
        Properties:
          RouteTableId:
            Ref: PrivateRouteTable1
          SubnetId:
            Ref: PrivateSubnet1
  PrivateRTAssociation2:
    Type: AWS::EC2::SubnetRouteTableAssociation
    Properties:
      RouteTableId:
        Ref: PrivateRouteTable1
      SubnetId:
        Ref: PrivateSubnet2
  # NACL (Default only)
  NACL1:
    Type: AWS::EC2::NetworkAcl
    Properties:
      Tags:
        - Key: Name
          Value:
            Fn::Sub: "${SystemName}-${EnvironmentName}-nacl"
      VpcId:
        Ref: VPC1
  NACLEntry1:
    Type: AWS::EC2::NetworkAclEntry
    Properties:
      Egress: true
      CidrBlock: 0.0.0.0/0
      Protocol: -1
      RuleAction : allow
      RuleNumber : 100
      NetworkAclId:
        Ref: NACL1
  NACLEntry2:
    Type: AWS::EC2::NetworkAclEntry
    Properties:
      Egress: false
      CidrBlock: 0.0.0.0/0
      Protocol: -1
      RuleAction : allow
      RuleNumber : 100
      NetworkAclId:
        Ref: NACL1
  SubnetNACLAssociation1:
    Type: AWS::EC2::SubnetNetworkAclAssociation
    Properties:
      SubnetId:
        Ref: PrivateSubnet1
      NetworkAclId:
        Ref: NACL1
      SubnetNACLAssociation2:
        Type: AWS::EC2::SubnetNetworkAclAssociation
        Properties:
          SubnetId:
            Ref: PrivateSubnet2
          NetworkAclId:
            Ref: NACL1
  # Security Group (SSH)
  SecurityGroupSSH:
    Type: AWS::EC2::SecurityGroup
    Properties:
      GroupName:
        Fn::Sub: "${SystemName}-${EnvironmentName}-ssh-sg"
      GroupDescription:
        Fn::Sub: "${SystemName}-${EnvironmentName}-ssh-sg"
      VpcId:
        Ref: VPC1
      SecurityGroupIngress:
        - IpProtocol: tcp
          FromPort: 22
          ToPort: 22
          CidrIp: 172.18.0.0/16
        - IpProtocol: tcp
          FromPort: 22
          ToPort: 22
          CidrIp: 192.168.0.0/16
      Tags:
        - Key: Name
          Value:
            Fn::Sub: "${SystemName}-${EnvironmentName}-ssh-sg"
  # Security Group (RDP)
  SecurityGroupRDP:
    Type: AWS::EC2::SecurityGroup
    Properties:
      GroupName:
        Fn::Sub: "${SystemName}-${EnvironmentName}-rdp-sg"
      GroupDescription:
        Fn::Sub: "${SystemName}-${EnvironmentName}-rdp-sg"
      VpcId:
        Ref: VPC1
      SecurityGroupIngress:
        - IpProtocol: tcp
          FromPort: 3389
          ToPort: 3389
          CidrIp: 172.18.0.0/16
        - IpProtocol: tcp
          FromPort: 3389
          ToPort: 3389
          CidrIp: 192.168.0.0/16
      Tags:
        - Key: Name
          Value:
            Fn::Sub: "${SystemName}-${EnvironmentName}-rdp-sg"
  # Security Group (Ping)
  SecurityGroupICMP:
    Type: AWS::EC2::SecurityGroup
    Properties:
      GroupName:
        Fn::Sub: "${SystemName}-${EnvironmentName}-icmp-sg"
      GroupDescription:
        Fn::Sub: "${SystemName}-${EnvironmentName}-icmp-sg"
      VpcId:
        Ref: VPC1
      SecurityGroupIngress:
        - IpProtocol: icmp
          FromPort: 8
          ToPort: -1
          CidrIp: 172.18.0.0/16
        - IpProtocol: icmp
          FromPort: 8
          ToPort: -1
          CidrIp: 192.168.0.0/16
      Tags:
        - Key: Name
          Value:
            Fn::Sub: "${SystemName}-${EnvironmentName}-icmp-sg"

VPN接続

先述のCloudFormationテンプレートからスタックを作成するとVPN接続が1つ作成されていますのでマネジメントコンソールから確認してみます。

この接続に対してコンソール上部にある「設定のダウンロード」ボタンをクリックするとオンプレ側ルーターに設定するコンフィグファイルをダウンロードすることができます。

ベンダー、プラットフォーム、ソフトウェアの欄を適切に選択して「ダウンロード」してください。

ダウンロードしたファイルは以下の様な感じでIKE、IPSec、BGPの設定内容が記載されています。

この内容をオンプレにあるRTX830に適用していきます。
オンプレ側環境は千差万別ですので、コンフィグファイルの適用前にその内容はきちんと確認しておいた方が良いでしょう。(初めてVPNを張る場合といったシンプルな環境あればコンフィグの内容をまるっと実行しても問題ないかと思われます)

オンプレ側の設定が反映されれば下図の様にトンネルが張れているはずです。

Ping確認

最後にAWS側に疎通確認用インスタンスを立ててオンプレ側のドメインコントローラー(192.168.9.61、192.168.9.62)にPingを打ってみるときちんと疎通できていることが確認できました。(EC2の構築手順は省略)

最後に

ざっとこんな感じです。
この環境をベースに本来の目的である検証作業を進めていきたいと思います。

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.