Amazon VPC ハードウェアVPN接続時の留意点

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは、コカコーラ大好きカジです。今回は、Amazon VPC ハードウェアVPN接続時の留意点をまとめたいと思います。

Amazon VPCのハードウェアVPN接続とは

Amazon VPCのハードウェアVPN接続について知りたい方はこちらのブログを参照ください。

利用するハードウェア

AWSにて検証されている機器についてはAmazon VPCのよくある質問の「Q:Amazon VPC で機能することが知られているカスタマーゲートウェイ装置にはどのようなものがありますか?」という項目に記載されていますので、確認しましょう。(注1) AWSでは、VPN接続においてのユーザ側に配置されるVPN装置をカスタマーゲートウェイと呼びます。

  • 一部の機器は動的ルーティングのみのサポート
  • 製品によってはBGPを利用する場合に追加ソフトウェアライセンスが必要な場合もあり

2018/2/22 時点は以下となります。

静的ルーティングを使用する VPN 接続:

  • Cisco ASA 5500 シリーズバージョン 8.2 以降のソフトウェア
  • Cisco ISR IOS 12.4 以降のソフトウェアを実行
  • Cisco Meraki MX シリーズ iOS 9.0 以降のソフトウェア
  • Check Point Security Gateway R77.10 以降のソフトウェアを実行
  • SonicOS5.8 以降を実行する Dell SonicWALL 次世代ファイアウォール (TZ、NSA、SuperMassive シリーズ)
  • F5 Big-IP v12.0.0 以降のソフトウェア
  • Fortinet Fortigate 40 + シリーズ FortiOS 4.0 以降または 5.0 以降のソフトウェアを実行
  • H3C MSR800 バージョン 5.20 のソフトウェアを実行
  • IIJ SEIL/B1、SEIL/X1、SEIL/X2 3.70 以降のソフトウェアを実行
  • IIJ SEIL/x86 2.30 以降のソフトウェアを実行
  • Juniper J シリーズサービスルーター(JunOS 9.5 以降のソフトウェアを実行)
  • Juniper SRX シリーズサービスゲートウェイ(JunOS 9.5 以降のソフトウェアを実行)
  • ScreenOS 6.1 もしくは 6.2(またはそれ以降)を実行する Juniper SSG
  • ScreenOS 6.1 もしくは 6.2(またはそれ以降)を実行する Juniper ISG
  • Microsoft Windows Server 2008 R2 または 2012 R2 のソフトウェア
  • Netgate pfSense OS 2.2.5 以降のソフトウェア
  • Palo Alto Networks PANOS 4.1.2 以降または 7.0 以降のソフトウェアを実行
  • WatchGuard XTM、Firebox Fireware OS 11.11.4 のソフトウェア
  • Yamaha RTX Routers Rev.10.01.16 以降のソフトウェア
  • Zyxel Zywall Series 4.20 以降のソフトウェアを実行

動的ルーティングを使用する VPN 接続 (BGP が必要)

  • Barracuda NextGen Firewall F シリーズ 6.2 以降のソフトウェアを実行
  • Check Point Security Gateway R77.10 以降のソフトウェアを実行
  • Cisco ISR IOS 12.4 以降のソフトウェアを実行
  • SonicOS5.9 以降を実行する Dell SonicWALL 次世代ファイアウォール(TZ、NSA、SuperMassive シリーズ)
  • F5 Big-IP v12.0.0 以降のソフトウェア
  • Fortinet Fortigate 40 + シリーズ FortiOS 4.0 以降または 5.0 以降のソフトウェアを実行
  • H3C MSR800 バージョン 5.20 のソフトウェアを実行
  • IIJ SEIL/B1、SEIL/X1、SEIL/X2 3.70 以降のソフトウェアを実行
  • IIJ SEIL/x86 2.30 以降のソフトウェアを実行
  • Juniper J シリーズサービスルーター(JunOS 9.5 以降のソフトウェアを実行)
  • Juniper SRX シリーズサービスゲートウェイ(JunOS 9.5 以降のソフトウェアを実行)
  • ScreenOS 6.1 もしくは 6.2(またはそれ以降)を実行する Juniper SSG
  • ScreenOS 6.1 もしくは 6.2(またはそれ以降)を実行する Juniper ISG
  • Palo Alto Networks PANOS 4.1.2 以降または 7.0 以降のソフトウェアを実行
  • Sophos Astaro Security Gateway Essential Firewall Edition V8.300 以降のソフトウェア
  • Vyatta Network OS 6.5 以降のソフトウェア
  • Yamaha RTX Routers Rev.10.01.16 以降のソフトウェア
  • Zyxel Zywall Series 4.20 以降のソフトウェアを実行

自動出力されるVPN接続用の設定ファイル(サンプルコンフィグファイル)

AWSにてVPN接続設定は、「Management Console>VPC>VPN接続」の画面から設定します。 AWSでのVPN設定時にルーティングを明示的に指定する静的(スタティック)ルーティングまたは、BGPによる動的(ダイナミック)ルーティングから選択し設定します。 設定後に、カスタマーゲートウェイ機器に合わせた設定ファイルをダウンロードできますがそこでの留意点になりますので確認しましょう。

  • Management Console>VPC>VPN接続の画面でダウンロードした設定ファイル(サンプルコンフィグファイル) の「コメント」に留意点が記載されていますので読みましょう。(注2)
  • 静的ルーティングの場合は、VPC向けルーティング部分の書き換えが必要です。ダウンロードした設定ファイル(サンプルコンフィグファイル) にはVPCのサブネットが10.0.0.0/16で記載されており追記や書き換えが必要になります。
  • 動的ルーティング(BGP)の場合は、ダウンロードした設定ファイル(サンプルコンフィグファイル) をそのまま設定するとカスタマーゲートウェイに設定されたデフォルトルートがVGWにアドバタイズされます。詳細はこちら
  • 一部製品はコピーアンドペースでの設定はできず、GUIでの操作の製品もあります。(注3)

<上記について確認した例(一部)>

  • Check Point Security Gateway R77.10以降→一部GUIによる設定
  • Fortinet Fortigate 40+シリーズ FortiOS4.0以降または5.0以降→各設定に番号付与する必要があり既存設定と重複しないよう変更が必要。
  • Cisco Meraki MX シリーズ→GUIのみ

ルートテーブル設定

経路情報(ルートテーブル)設定ができていないと、VPNステータスが正常にもかかわらず、AWSとオンプレミス間で通信できない事象になります。以下の2つの項目を確認しましょう。

  • 静的ルーティングの場合は、「Management Console>VPC>VPN接続>各VPN接続>静的ルート」に経路設定が不足していないか確認しましょう。

  • VPCのルートテーブル(Management Console>ルートテーブル)にオンプレミス向けの経路が不足していないか確認しましょう。
送信先 ターゲット ステータス
<オンプレ側ネットワークアドレス> vgw-xxxxxxxx アクティブ

1つ目は単純に設定追加です。動的ルーティングの場合は自動的に反映されますが、静的ルーティングですと設定する必要がありますが、設定漏れしやすいのでご注意ください。 2つ目については、Management Console>ルートテーブル>各ルートテーブル>ルート伝播のはい・いいえの設定に依存します。いいえになっている場合は、「はい」にするか、手動でルートテーブルに追加が必要となります。

その他関連する項目

VPNステータスが正常にもかかわらず、オンプレミスの端末とAWSのEC2で通信テストで失敗する場合に、テスト利用するPing(ICMP)等のプロトコルが遮断されている場合があります。以下のポイントも確認しましよう。

  • AWSのSecurity Group/Network ACL
  • EC2インスタンスやテスト端末のFirewall設定などのフィルタ設定

上記以外でトラブルシューティングする項目

上記の項目で問題ないのにVPN接続できない時は、Amazon VPC ネットワーク管理者ガイドのトラブルシューティングを確認した方が良いでしょう。VPN接続できるけど、通信できない場合は以下を準備して確認するとトラブルシューティングしやすいと思います。

  • 通信テスト内容(どこからどこへどのように通信テストしたのか、IPアドレスも記載)
  • 構成図(ルータのグローバルIPアドレスやローカルアドレスも記載)
  • カスタマーゲートウェイのトラブルシューティング用のログ

まとめ

自分の経験からハマりそうなポイントをまとめてみましたが、いかがでしたでしょうか? 他にも記載すべきポイントがありましたらぜひコメントをください。 どなたかのお役に立てれば光栄です。

注釈

注1:2014年1月の製品数と比べると現在はいろいろな機器で接続が可能になりました。

注2:英語です。AWSのマニュアルにすべての製品のサンプルコンフィグが網羅されていないため今後のアップデートに期待しています。

注3:数年前ですとコピーアンドペーストで終わる製品が多かったですが製品が増えているので確認しましょう。