[アップデート]AWS Client VPNでポート設定をサポートしました

はじめに

こんにちは、AWS事業本部のニシヤマです。はいマスキュラー。

少し前のアップデートになりますが、AWS Client VPNでポート設定をサポートしました! https://aws.amazon.com/jp/about-aws/whats-new/2020/01/aws-client-vpn-now-supports-port-configuration/

何がうれしいのか?

AWS Client VPNはVPCにClient VPNエンドポイントを作成することにより、VPCに対して踏み台サーバなどのインターネット経由でのアクセスを不要にすることが可能なサービスです。ただし、今までAWS Client VPNでは443番ポート(HTTPS)を利用する必要があり、セキュリティの問題により外部への443番ポートの接続が制限された環境では利用することが出来ませんでした。

今回のアップデートでは接続用のポートに1194番ポート(OpenVPN)を選択することが可能になりました!そのため、443番ポートが制限された環境でもClient VPNを利用することができる様になりました。

やってみる

[AWS]踏み台をワンチャンなくせる!?VPC接続にClient VPNを使ってみよう

上記のブログを参考にClient VPN環境を立ち上げます。 注意する点としては、クライアント VPN エンドポイントの作成の際にその他のオプションパラメータのVPN ポートで1194を選択するだけです!簡単!

あとは、通常と変わらず関連付けと、クライアントアクセスを承認の実施します。

クライアント設定のダウンロードをクリックして設定ファイルをダウンロードします。

ダウンロードした設定ファイルには以下の様に1194番ポートが指定されています。

remote cvpn-endpoint-XXXXXXXXXXXXXXXXX.prod.clientvpn.ap-northeast-1.amazonaws.com 1194

ダウンロードした設定ファイルの末尾にクライアント証明書と秘密鍵のパスを追記します。

cert  /tmp/nishiyama-key/client1.domain1194.tld.crt
key  /tmp/nishiyama-key/client1.domain1194.tld.key

あとは、VPNクライアントに設定ファイルを取り込んで接続するだけです。

最近、AWSからVPN クライアントがリリースされたので利用してみます。

[アップデート] AWS Client VPN 用の VPN クライアントが AWS より提供されました

この設定ファイルをVPN クライアントに追加します。

クライアント VPN エンドポイントのStateが使用可能になったことを確認してからVPCのプライベートサブネットのEC2インスタンスに接続してみます。

$ ssh ec2-user@10.0.4.67
The authenticity of host '10.0.4.67 (10.0.4.67)' can't be established.
ECDSA key fingerprint is SHA256:wChLYUSMpDh3DX+6m6BPZhSXcakEvJ3u4CI/A+uF2Nk.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '10.0.4.67' (ECDSA) to the list of known hosts.

       __|  __|_  )
       _|  (     /   Amazon Linux 2 AMI
      ___|\___|___|

https://aws.amazon.com/amazon-linux-2/

[ec2-user@ip-10-0-4-67 ~]$ w -i
 14:23:24 up 3 min,  1 user,  load average: 0.01, 0.01, 0.00
USER     TTY      FROM             LOGIN@   IDLE   JCPU   PCPU WHAT
ec2-user pts/0    10.0.4.59        14:23    1.00s  0.01s  0.00s w -i

1194番ポートからでもプライベートIPアドレスで接続出来ていることが確認出来ました!

おわりに

今回のアップデートによりAWS Client VPNの利用できる環境が広がりました。

踏み台サーバを構築するとグローバルIPアドレスを割り当てたりセキュリティを気にする場合もありますが、Client VPNであれば不要なサーバを追加したり、起動/停止を管理する必要もなくなるので活用していきたいですね。この記事がどなたかのお役に立てば幸いです。

最近のBMX

私はよく総合格闘技(MMA)を見ることが多く国内ではRIZIN、国外ではUFC、Bellator、ONE Championshipを嗜んでいます。が、格闘技以外にも地元にいる頃から趣味でBMX(ストリート)をやっており、昨日今日とバルト海に面するエストニアで開催されているSkate/BMXの最大イベント「Simple Session」が開催されています。今回20周年を迎える「Simple Session 20」のBMXでも日本からもStreet、Park、Womenの3ジャンルで出場しています。 今年の東京オリンピックでもBMXフリースタイルが種目に登録され、世界中のライダーのダイナミックなエアートリックに度肝を抜かれるのを楽しみにしています。

また「Simple Session」ではSkate/BMXだけでは無く最近はストリートカルチャーとして確立されているけん玉(Kendama)やスラックラインなどもイベント内で開催されていてエクストリームスポーツ以外にも楽しめる様になっており、いつか現地観戦してみたいなーと思う次第です。