ユーザ用ツール

サイト用ツール


aws:vpc:vpn

AWS

AWS VPNで、オフィスとAWS VPC間をインターネットVPN(IPsec VPN)接続

VPN概要

インターネットVPN(IPsec VPN)


VPN イメージ図

インターネット回線が1本の構成です
(インターネットVPNをはる機器(CGW:カスタマーゲートウェイ)は2台構成で冗長化しましょう)

Customer(オフィス)側


IPSecVPNの冗長構成の例

  • インターネット回線を冗長化する構成です。回線業者も分けましょう。
  • 2つの VPN エンドポイント
  • BGPで冗長構成にします。
Customer(オフィス)側
  • 機器は2台
  • LAN側はVIP
  • WAN側は、それぞれの機器にグローバルIPを付けます。


VPN CloudHub

1つのVPCをVPNハブとして複数の拠点から接続することで、複数拠点間のVPN接続を実現


AWS側設定

仮想プライベートゲートウェイ(VGW)の作成

[AWSマネージメントコンソール] VPC > 仮想プライベートゲートウェイ > 仮想プライベートゲートウェイの作成

設定項目 設定例 備考
名前タグ test-vgw
ASN Amazon のデフォルト ASN

カスタム ASN
BGPの番号
通常はAmazonデフォルトASNでよい。
Amazonデフォルトだと、「64512」になる。
制約
  • 1つのVPCにアタッチできるVGWは1つ

カスタマーゲートウェイ(CGW)の作成

[AWSマネージメントコンソール] VPC > カスタマーゲートウェイ > カスタマーゲートウェイの作成

インターネット回線の冗長の場合は2回作ります

静的の場合
設定項目 設定例 備考
名前 test-dc-vpc
ルーティング 静的 「動的」か「静的」
1本の場合は、「静的」
2本の場合は、「動的」でBGPにする
IPアドレス x.x.x.x CGWのパブリックIP
社内オフィスやデータセンターのグローバルIP
Certificate ARN 入力不要
動的の場合(BGPで冗長化)
設定項目 設定例 備考
名前 test-dc-vpc
ルーティング 動的 「動的」か「静的」
1本の場合は、「静的」
2本の場合は、「動的」でBGPにする
IPアドレス x.x.x.x CGWのパブリックIP
社内オフィスやデータセンターのグローバルIP
AS番号 65534 プライベートASN(64512~65534)の範囲
BGPの番号でかさらなければ何でもよい。
Amazon VGWが「64512」なら、それ以外
Certificate ARN 入力不要

VPN接続の作成

[AWSマネージメントコンソール] VPC > サイト間のVPN接続 > VPN接続の作成

上で作成した仮想プライベートゲートウェイ(VGW)とカスタマーゲートウェイ(CGW)を選択します。

インターネット回線の冗長の場合は2回作ります

設定項目 設定例 備考
名前タグ aaaa-bbbbb
仮想プライベートゲートウェイ 事前に作成したVGW
カスタマーゲートウェイ 事前に作成したCGW
ルーティングオプション 「静的」または
「動的(BGPが必要)」
1本の場合は、「静的」
冗長構成にする場合は、「動的(BGPが必要)」
静的IPプレフィックス 10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
静的の場合のみ設定
対向側(自社のオフィスやデータセンター)のネットワーク
広い範囲を指定する
10.0.0.0/8, 172.16.0.0/12 ,192.168.0.0/16
トンネル内部IPバージョン IPv4
ローカルIPv4ネットワークCidr 未設定 オプション
デフォルト:0.0.0.0/0 で、すべて
リモートIPv4ネットワークCidr 未設定 オプション
デフォルト:0.0.0.0/0で、すべて
トンネルオプション
トンネル内部の CIDR
未設定 未指定のトンネルオプションは、Amazon によってランダムに生成されます。
トンネルオプション
事前共有キー (PSK)
未設定 未指定のトンネルオプションは、Amazon によってランダムに生成されます。

VPN接続の設定をダウンロード

作成したVPN接続を選択し、設定のダウンロードをクリック

[AWSマネージメントコンソール] VPC > VPN接続

ルートテーブル設定

EC2マシンがあるサブネットで使用しているルートテーブルを編集して、VGWからルート伝播されるようにしてください。

[AWSマネージメントコンソール] > VPC > ルートテーブル


顧客拠点側設定

IPsecVPN設定

ダウンロードした設定を参考にIPSecVPNの設定をします。


VPN参考

aws/vpc/vpn.txt · 最終更新: 2023/11/13 01:13 by kurihara

ページ用ツール