ヤマムギ

growing hard days.

*

オンプレミスに見立てたオハイオリージョンにVyOSインスタンスを起動して東京リージョンからVPN接続

      2021/07/17


AWSクイックスタートのActive Directory Domain Services on AWSで構築した環境にVyOSを起動して、オンプレミスのルーターと見立てて、東京リージョンからVPN接続してみました。

EIPの作成

VyOSで使用するEIPを作成しました。

VPN接続作成

東京リージョンにVPCを作成しました。
PublicSubnetとPrivateSubnetを1つづつ作ったシンプルな確認用VPCです。

VGWを作成して、VPCにアタッチしました。

カスタマーゲートウェイには、事前に作成したEIPを設定して動的ルーティングを設定しました。

VPN接続を作成しました。

[設定のダウンロード]からVyattaをダウンロードしました。

VyOSインスタンスの起動

AMIはコミュニティAMIで、VyOS free (HVM) 1.2.1-2019-06-04-05-21 – ami-0e2594967770e73cdを選択しました。

インスタンスタイプはt3a.microにしました。
コスト削減のため、スポットインスタンスで起動しています。

セキュリティグループは、VPCローカルからのインバウンドをすべて許可しています。
(これは要件によってもっと最小範囲にできるかもですが、とりあえずです)
ESP (50)とUDP 500をVPN接続のトンネル外部IPをソースに設定してますが、pingで検証するぐらいなら不要です。

起動後、EIPをアタッチしました。

送信先/送信元チェックの停止も忘れずに、ですね。

VyOSの設定

VyOSにはSSHで接続して設定します。
今回使用しているAMIでは、キーペアの初期ユーザはvyosでした。

VyOSの設定は、以下の2サイトを参照しました。
* VyOSを利用したVPN環境構築
* VPC間でVPN接続してみた件

ダウンロードした設定ファイルの書き換えは以下3点でした。
それぞれ2箇所づつありました。

set 行をコピーペーストしました。
ちなみに、削除したいときは setの代わりにdeleteでした。

状態を確認したら、Stateがupになっていました。

東京リージョンのVPN接続もアップになっていました。

ルートテーブルの設定

東京リージョン(VGW側)

ルートテーブルで、[ルート伝播]を有効にしました。

オハイオリージョンのVPC CIDRがルートに追加されました。

オハイオリージョン(VyOS側)

手動で東京リージョンVPC CIDRのターゲットに、VyOSインスタンスのENIを設定しました。

確認

両方のパブリックサブネット(パブリックにしている理由はNATやVPCエンドポイントを使わずにSession Managerを簡単に使いたかっただけです)に相手が送信元でICMPを許可してセキュリティグループのEC2 Amazon Linux2インスタンスを起動して、pingで確認しました。


最後までお読みいただきましてありがとうございました!

【PR】 「AWS認定試験対策 AWS クラウドプラクティショナー」という本を書きました。

【PR】 「AWSではじめるLinux入門ガイド」という本を書きました。

【PR】 「ポケットスタディ AWS認定 デベロッパーアソシエイト」という本を書きました。

【PR】 「AWS認定資格試験テキスト&問題集 AWS認定ソリューションアーキテクト - プロフェッショナル」という本を書きました。

 - AWS , ,

ad

ad

  関連記事

Amazon API GatewayのIAM認証の動作を確認しました

API GatewayのIAM認証は、IAMユーザーが実行できるように認証する、 …

VPN接続先のADで管理されているドメインにEC2 Windowsインスタンスから参加する

オンプレミスに見立てたオハイオリージョンにVyOSインスタンスを起動して東京リー …

AWS EC2でAMI(Amazon Machine Image)を作成しておく

前回まででひとまずRedmineを構築するところまで出来たので、念のためスナップ …

AWS EC2 インスタンスステータスのチェックで失敗して起動しなくなり復旧

EC2のインスタンスに接続出来なくなったので、AMIから作成してElastic …

Amzon Linux のApacheでRedmineとWordPressをバーチャルホストで共存する

EC2とRDSを節約しようと思いまして、Redmineを動かしてるとこに検証用W …

Transit GatewayポリシーテーブルでCloud WANのコアネットワークに接続しました

「ポリシーテーブルってなんですか?」のご質問をいただいたので設定してみました。 …

AWS Code Commitをプライベートリポジトリとして使う

GitHubでもいいんですが、アクセスキーとかパスワードとかコンフィグ系で書いて …

試そうとしてたらSavings Plans買っちゃいました

Savings Plansの購入画面を確認していました。 画面遷移も確認しようと …

RDSスナップショットのS3エクスポート結果確認

RDSのスナップショットをS3へエクスポートが日本語マネジメントコンソールでもで …

CloudFrontのカスタムヘッダーがなければALBのルーティングで403レスポンスを返す

大阪リージョンにはWAFがまだないです(2021年4月現在) 今のこのブログの構 …