type
status
date
slug
summary
tags
category
icon
password
構成図
.png?table=block&id=b8e062d8-2135-48e8-9a1e-1ff65b230f43&t=b8e062d8-2135-48e8-9a1e-1ff65b230f43&width=525.4000244140625&cache=v2)
📝前提知識:
Site-to-Site VPNとは
Site-to-Site VPN(サイト間VPN)は、異なる場所にある2つのネットワークを、安全に接続する技術です。これにより、例えば本社と支店のネットワークがインターネットを通じて、安全に通信できるようになります。
Openswan(オープンスワン)とは?
Openswan(オープンスワン)は、IPsecプロトコルを使って、安全なVPN接続を提供するオープンソースのソフトウェアです。これにより、リモートアクセスやサイト間接続を暗号化されたトンネルで実現できます。
今回のハンズオンはサーバーに OpenSwan をインストールすることで、Customer Gateway (CGW) を構築する。
ルート伝播とは?
例えば、以下のような設定があります:
- 本社データセンター:
Server1というサーバーがあり、IP アドレスは172.30.1.10です。
- AWS VPC:
Instance1という EC2 インスタンスがあり、IP アドレスは10.0.1.20です。
ルート伝播を有効にする手順:
- AWS VPC でルート伝播を有効にすると、
10.0.0.0/16のルートが AWS VPC のルーティングテーブルに自動的に追加されます。 - これにより、AWS VPC 内の
Instance1は172.30.0.0/16ネットワーク内のリソース(例:Server1)にアクセスできるようになります。
- 本社データセンター でルート伝播を有効にすると、
172.30.0.0/16のルートが本社データセンターのルーティングテーブルに自動的に追加されます。 - これにより、本社ネットワーク内の
Server1は10.0.0.0/16ネットワーク内のリソース(例:Instance1)にアクセスできるようになります。
まとめ
ルート伝播を有効にすることで、AWS VPC と本社データセンター間のルート情報が自動的に同期され、ネットワーク間の接続がスムーズに行えるようになります。これにより、各ルートを手動で設定する手間が省け、ネットワークの柔軟性と拡張性が向上します。
伝播前と伝播後
シナリオ:
デフォルトでは、Amazon VPC で起動したインスタンスは、オンプレミス環境と通信することはできません。
しかし、AWS Site-to-Site VPN 接続を作成し、ルーティングをその接続を通じてトラフィックを転送するように設定することで、VPCからオンプレミス環境へのアクセスを有効にすることができます。
要件:
目的: オンプレミス環境のOpenswanとAWSのサイト間VPNを使用して、オンプレミス環境と本番環境の内部ネットワーク相互アクセスを実現します。
オンプレミス環境がないので、大阪でEC2を使って、オンプレミス環境をシミュレーションする
オンプレミス環境:
- 場所: AWS アジアパシフィック (大阪)(ap-northeast-3)
- CIDR: 172.31.0.0/16
本番環境:
- 場所: aws アジアパシフィック (東京)(ap-northeast-1)
- CIDR: 10.0.0.0/16
要件: オンプレミス環境と本番環境間の VPC 内部ネットワークの相互接続を実現すること。
注意事項:
オンプレミス環境にはパブリックIPを有すること
操作のデモ
以下の情報に基づいて、オンプレミス環境を用意する。
1.大阪にオンプレミス環境の用意
1.1 オンプレミス環境VPCを用意する
1.2 オンプレミス環境のEC2を用意する
アジアパシフィック(大阪)リージョンにオンプレミス環境を用意するための設定です。
ホスト1
- ホスト名:openswan
- プライベートIP:15.152.44.21
- パブリックIP:172.30.0.4
- 説明:openswanソフトウェアをインストールして接続を確立する必要があります。
1台のOpenswanホストがあり、このホストのパブリックIPアドレスは後ほど使用します。
大阪で顧客ゲートウェイを追加する際に、このIP(15.152.44.21)を使用します。
ホスト2
- ホスト名:On-premises-server
- プライベートIP:172.31.11.131
- パブリックIP:15.168.207.212
- 説明:ウェブサービスを実行して、テストを行うためのものです。
まとめ
以下のEC2を用意してください
2.AWS環境の用意
1.1 AWS環境(東京)にVPCを用意する
1.2 オンプレミス環境のEC2を用意する
AWS環境(東京)
ホスト1
- ホスト名:AWS-01
- プライベートIP:10.0.128.4
- 説明:ウェブサービスを運用します。
ホスト2
- ホスト名:AWS-02
- プライベートIP:10.0.128.5
- 説明:ウェブサービスを運用します。
まとめ
以下のEC2を用意してください
VPNの設定
AWS環境(東京)で操作
クライアントゲートウェイ ---> 仮想プライベートゲートウェイ ---> サイト間ゲートウェイ
手順
1.カスタマーゲートウェイを作成
2.仮想プライベートゲートウェイを作成
作成が完了した後は、対応するVPCをバインドする必要があります。具体的には、AWSの東京にあるVPCをバインドしてください。
3.VPN接続を作成
作成完了まで待つ
対応する設定ファイルをダウンロードし、その後、北京リージョンのOpenSWANサーバーで設定ファイルに従って操作を行ってください。
4.ベンダーはopenswanを選択
5.オンプレミス側の設定
これからはオンプレミス環境(大阪)の操作となります。
手順:
ダウンロードした設定ファイルを開き、ガイドに従て操作します。
必要な情報は赤枠で囲まれています。
必要な情報を抽出
AWS側のサーバーでIPv4アドレスの転送設定が必要です。
1.設定ファイルの編集
サーバーの
/etc/sysctl.conf ファイルを開き、以下の設定を追加または確認します。これをOpenSWANサーバー(お客様側)で実行してください。
最後
sysctl -p で反映させる2.openswanソフトウェアの実装
Amazon Linux 2023 のデフォルトリポジトリには
openswan が含まれていません。さらに、
openswan はすでにメンテナンスされていないパッケージであり、たとえ利用可能であっても使用すべきではありません。詳細は こちらのリンク を参照してください。代わりに、
openswan のフォークである libreswan の使用が推奨されます。libreswan をインストールするには、以下のコマンドで Fedora リポジトリを追加してください。以下のリポジトリを追加する必要があります:
リポジトリを追加した後、以下のコマンドを実行して
libreswan をインストールします:3.新しい設定ファイルを作成します。
/etc/ipsec.d/aws.conf 設定ファイルの該当部分をコピーして、以下の変更をしてから保存する。phase2algとikeの変更:- 原版:
phase2alg=aes128-sha1;modp1024とike=aes128-sha1;modp1024 - 変更後:
phase2alg=aes128-sha1;modp2048とike=aes128-sha1;modp2048 - 変更内容: Diffie-Hellmanグループのサイズを1024ビットから2048ビットに増加しました。これにより、セキュリティが強化されます。
leftsubnetとrightsubnetの指定:- 原版:
leftsubnet=<LOCAL NETWORK>とrightsubnet=<REMOTE NETWORK> - 変更後:
leftsubnet=172.30.0.0/16とrightsubnet=10.0.0.0/16 - 変更内容: プレースホルダーから実際のサブネットアドレスに変更しました。これにより、具体的なネットワーク範囲が設定されます。
authの削除:- 原版:
auth=esp - 変更後: この行が削除されました。
- 変更内容: ESP認証設定が削除され、設定がシンプルになりました。ESP認証は、他の設定で自動的に行われる場合があります。
まとめ
4.IPsec サービスを再起動します:
設定ファイルを変更した後は、IPsec サービスを再起動して変更を適用します:
5.ポイントツーポイント VPN の情報を確認する
2,3分後、アップとなったら、VPN接続が確立するとなる
アップと表示されなかったら、openswanの設定ファイルを間違った可能性が高いです。
図のように、アップとなった
ネットワーク接続を確立する
東京の VPC に関連付けられているルートテーブルを特定します。
右下の「ルート伝播の編集」ボタンをクリックして、ルート伝播を有効にします。
東京のEC2に必要なウェブサーバーソフトウェアをインストールします。例えば、Apache HTTP Serverをインストールする場合は、以下のコマンドを使用します:
🤗接続テスト
オンプレミス環境で、openswanサーバからアクセス
オンプレミス環境のopenswanサーバ以外のサーバでAWS東京のネットワークにアクセスするには、ルーティングを設定する必要があります。具体的には、ルートテーブルに以下のように設定します:
- ターゲットには東京のCIDRのネットワークセグメントを指定し、
- ターゲットの選択にはOpenSwanインスタンスを指定して、OpenSwanインスタンスを中継として使用します。
以下は、ルートテーブルの設定例です。
OpenSwanインスタンスでは、ソースおよびターゲットチェックを無効にする必要があります。
テストは以下となります。
オンプレミス環境から、プライベートIPで、AWS東京のVPC内のEC2にpingとWEBアクセスができます。
📎 参考文章
- 一些引用
- 引用文章
有关Notion安装或者使用上的问题,欢迎您在底部评论区留言,一起交流~
- 作者:みなみ
- 链接:https://tangly1024.com/テクブログ/abc688d9-b7be-4658-abd1-77fb1144050f
- 声明:本文采用 CC BY-NC-SA 4.0 许可协议,转载请注明出处。
相关文章
.png?table=block&id=021326af-6a29-487e-ac2f-560985ab23b3&t=021326af-6a29-487e-ac2f-560985ab23b3&width=800&cache=v2)
