[初心者向け]YAMAHAルータで複数拠点のSite-to-Site VPN設定をする際にハマりがちなポイント

倉地佑介

2021.12.17

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

皆さん、こんにちは。ネクストモードインテグレーション事業部の倉地です。
今回は複数のオンプレミス拠点とAWS(VPC)を閉域接続するSite-to-Site VPNを構築する際に初心者がハマりやすいポイントと対処方法についてご紹介します。 なお、本ブログではYAMAHAルータが前提となりますが、Ciscoルータをご使用の際はこちらのブログをご覧ください。
AWSへのVPN接続におけるサンプルコンフィグの注意点:Cisco IOS編

それでは早速やっていきましょう!

環境

  • オンプレ側ルータ:YAMAHA RTX1210
  • Site-to-Site VPNのルーティング種別:動的
  • 構築後の完成イメージ

Site-to-Site VPN設定を実施

  • AWS側(VGW/CGW/Site-to-Site VPN)の設定を実施 (詳細は割愛)
  • AWSのSite-to-Site VPNの設定画面から「設定のダウンロード」をクリックして、下記の画像の通り必要事項を入力して設定情報をダウンロード
  • こちらのYAMAHA公式サイトの手順を参考に、ルーター側の設定を実施 https://network.yamaha.com/setting/router_firewall/cloud/amazon_vpc/setup_rt

AWSからダウンロードした設定情報は変更せずにそのままルーターに投入すると、両拠点ともVPNトンネルのステータスはアップになりました。

起こった事象

トンネルのステータスはアップになりましたが、疎通確認のためにAWS側のEC2インスタンスを立てて、それぞれの拠点からPING試験を実施しました。 ABそれぞれのオンプレ側ルーターからEC2インスタンスのIPアドレスに向けてPINGコマンドを実行したところ、A拠点は疎通確認ができたものの、B拠点は疎通に失敗してしまいました。両拠点ともに同じ設定をしているのになぜでしょうか。

原因

結論から言えば、原因はAWS(vgw)からオンプレ側ルータへの通信経路設定が適切に実施されていないことでした。
今回はVPNは動的ルーティングの設定なので、vgwの通信経路はオンプレ側ルータから通知されます。AWSマネジメントコンソールからダウンロードした設定情報はデフォルトで0.0.0.0/0をvgwに経路通知する設定になっていますが、これをそのまま各ルータに設定したためにAB両拠点とも自分のネットワークアドレス(192.168.8.0/24192.168.48.0/24)ではなく0.0.0.0/0がvgwに通知されていました。

そのためvgwから見るとどちらの拠点に通信を返して良いか明示されておらず、B拠点から受けた通信もA拠点に返されていました。

対処法

対処法としてはAWSからダウンロードしたデフォルトの設定情報を適切に修正することで、各ルータが自分のネットワークアドレスをvgwに通知できるようになります。
下記のようにbgp import filter 1 equal 0.0.0.0/0となっている行を無効化した上で、それぞれの拠点のネットワークアドレスに書き換えたものを追記します。(こちらの項目はトンネルの数だけ同様の設定項目がありますのでご注意ください)

  
# To advertise additional prefixes to Amazon VPC, copy the 'import filter' statement and
# identify the prefix you wish to advertise. Make sure the
# prefix is present in the routing table of the device with a valid next-hop.
# For example, the following two lines will advertise 192.168.0.0/16 and 10.0.0.0/16 to Amazon VPC
#
# bgp import filter 1 equal 10.0.0.0/16
# bgp import filter 1 equal 192.168.0.0/16
#
    no bgp import filter 1 equal 0.0.0.0/0
    bgp import filter 1 equal 192.168.8.0/24
    bgp import 64512 static filter 1
    bgp configure refresh

上記を適切に設定すると、このようにそれぞれの拠点のネットワークアドレスがvgwに通知されるようになり、両拠点ともに疎通できるようになりました。

なお今回は動的ルーティングが前提でしたが、静的ルーティングで設定する場合は「VPN接続の作成」の設定画面内にある「静的IPプレフィックス」の項目でオンプレ側の各ネットワークアドレスを設定できます。

最後に

今回はSite-to-Site VPN初心者がハマりやすいポイントと、その対処方法についてご紹介しました。Site-to-Site VPNの入門的位置づけとなりましたが、どなたかのお役に立てたら幸いです。

*