オンプレミスに見立てたオハイオリージョンにVyOSインスタンスを起動して東京リージョンからVPN接続

2021/05/19 2021/07/17

AWSクイックスタートのActive Directory Domain Services on AWSで構築した環境にVyOSを起動して、オンプレミスのルーターと見立てて、東京リージョンからVPN接続してみました。

EIPの作成

VyOSで使用するEIPを作成しました。

VPN接続作成

東京リージョンにVPCを作成しました。
PublicSubnetとPrivateSubnetを1つづつ作ったシンプルな確認用VPCです。

VGWを作成して、VPCにアタッチしました。

カスタマーゲートウェイには、事前に作成したEIPを設定して動的ルーティングを設定しました。

VPN接続を作成しました。

[設定のダウンロード]からVyattaをダウンロードしました。

VyOSインスタンスの起動

AMIはコミュニティAMIで、VyOS free (HVM) 1.2.1-2019-06-04-05-21 – ami-0e2594967770e73cdを選択しました。

インスタンスタイプはt3a.microにしました。
コスト削減のため、スポットインスタンスで起動しています。

セキュリティグループは、VPCローカルからのインバウンドをすべて許可しています。
(これは要件によってもっと最小範囲にできるかもですが、とりあえずです)
ESP (50)とUDP 500をVPN接続のトンネル外部ＩＰをソースに設定してますが、pingで検証するぐらいなら不要です。

起動後、EIPをアタッチしました。

送信先/送信元チェックの停止も忘れずに、ですね。

VyOSの設定

VyOSにはSSHで接続して設定します。
今回使用しているAMIでは、キーペアの初期ユーザはvyosでした。

VyOSの設定は、以下の2サイトを参照しました。
* VyOSを利用したVPN環境構築
* VPC間でVPN接続してみた件

ダウンロードした設定ファイルの書き換えは以下3点でした。
それぞれ2箇所づつありました。

- set protocols bgp 65000 neighbor 169.254.111.201 soft-reconfiguration 'inbound'
+ set protocols bgp 65000 neighbor 169.254.111.201 address-family ipv4-unicast soft-reconfiguration inbound

- set vpn ipsec site-to-site peer 13.112.22.151 local-address '3.132.97.184'
+ set vpn ipsec site-to-site peer 13.112.22.151 local-address '10.0.151.130'

- set protocols bgp 65000 network 0.0.0.0/0
+ set protocols bgp 65000 address-family ipv4-unicast network 10.0.0.0/16

- set protocols bgp 65000 neighbor 169.254.111.201 soft-reconfiguration 'inbound'

+ set protocols bgp 65000 neighbor 169.254.111.201 address-family ipv4-unicast soft-reconfiguration inbound

- set vpn ipsec site-to-site peer 13.112.22.151 local-address '3.132.97.184'

+ set vpn ipsec site-to-site peer 13.112.22.151 local-address '10.0.151.130'

- set protocols bgp 65000 network 0.0.0.0/0

+ set protocols bgp 65000 address-family ipv4-unicast network 10.0.0.0/16

set 行をコピーペーストしました。
ちなみに、削除したいときは setの代わりにdeleteでした。

vyos@ip-10-0-159-64$ configure
[edit]
vyos@ip-10-0-159-64#

~ここでコピーペースト~

# commit

[edit]
vyos@ip-10-0-159-64# save
Saving configuration to '/config/config.boot'...
Done
[edit]
vyos@ip-10-0-159-64# exit
exit

vyos@ip-10-0-159-64$ configure

[edit]

vyos@ip-10-0-159-64#

~ここでコピーペースト~

# commit

[edit]

vyos@ip-10-0-159-64# save

Saving configuration to '/config/config.boot'...

Done

[edit]

vyos@ip-10-0-159-64# exit

exit

$ show vpn ike sa
Peer ID / IP                            Local ID / IP               
------------                            -------------
13.112.22.151                           10.0.155.215                           

    Description: VPC tunnel 1

    State  IKEVer  Encrypt  Hash    D-H Group      NAT-T  A-Time  L-Time
    -----  ------  -------  ----    ---------      -----  ------  ------
    up     IKEv1   aes128   sha1_96 2(MODP_1024)   no     3600    28800  


Peer ID / IP                            Local ID / IP               
------------                            -------------
18.179.126.228                          10.0.155.215                           

    Description: VPC tunnel 2

    State  IKEVer  Encrypt  Hash    D-H Group      NAT-T  A-Time  L-Time
    -----  ------  -------  ----    ---------      -----  ------  ------
    up     IKEv1   aes128   sha1_96 2(MODP_1024)   no     3600    28800  

$ show vpn ipsec sa
Connection                      State    Uptime    Bytes In/Out    Packets In/Out    Remote address    Remote ID    Proposal
------------------------------  -------  --------  --------------  ----------------  ----------------  -----------  ----------------------------------
peer-18.179.126.228-tunnel-vti  up       4m9s      15K/11K         205/149           18.179.126.228    N/A          AES_CBC_128/HMAC_SHA1_96/MODP_1024
peer-13.112.22.151-tunnel-vti   up       4m9s      3K/3K           52/54             13.112.22.151     N/A          AES_CBC_128/HMAC_SHA1_96/MODP_1024