type
status
date
slug
summary
tags
category
icon
password
书籍
😀
 

構成図

notion image

📝前提知識:

Site-to-Site VPNとは

Site-to-Site VPN(サイト間VPN)は、異なる場所にある2つのネットワークを、安全に接続する技術です。これにより、例えば本社と支店のネットワークがインターネットを通じて、安全に通信できるようになります。

Openswan(オープンスワン)とは?

Openswan(オープンスワン)は、IPsecプロトコルを使って、安全なVPN接続を提供するオープンソースのソフトウェアです。これにより、リモートアクセスやサイト間接続を暗号化されたトンネルで実現できます。
今回のハンズオンはサーバーに OpenSwan をインストールすることで、Customer Gateway (CGW) を構築する。

ルート伝播とは?

例えば、以下のような設定があります:
  • 本社データセンター: Server1 というサーバーがあり、IP アドレスは 172.30.1.10 です。
  • AWS VPC: Instance1 という EC2 インスタンスがあり、IP アドレスは 10.0.1.20 です。

ルート伝播を有効にする手順:

  1. AWS VPC でルート伝播を有効にすると、10.0.0.0/16 のルートが AWS VPC のルーティングテーブルに自動的に追加されます。
      • これにより、AWS VPC 内の Instance1172.30.0.0/16 ネットワーク内のリソース(例: Server1)にアクセスできるようになります。
  1. 本社データセンター でルート伝播を有効にすると、172.30.0.0/16 のルートが本社データセンターのルーティングテーブルに自動的に追加されます。
      • これにより、本社ネットワーク内の Server110.0.0.0/16 ネットワーク内のリソース(例: Instance1)にアクセスできるようになります。

まとめ

ルート伝播を有効にすることで、AWS VPC と本社データセンター間のルート情報が自動的に同期され、ネットワーク間の接続がスムーズに行えるようになります。これにより、各ルートを手動で設定する手間が省け、ネットワークの柔軟性と拡張性が向上します。
 

伝播前と伝播後

notion image
notion image
notion image

シナリオ:

デフォルトでは、Amazon VPC で起動したインスタンスは、オンプレミス環境と通信することはできません。
しかし、AWS Site-to-Site VPN 接続を作成し、ルーティングをその接続を通じてトラフィックを転送するように設定することで、VPCからオンプレミス環境へのアクセスを有効にすることができます。
 

要件:

目的: オンプレミス環境のOpenswanとAWSのサイト間VPNを使用して、オンプレミス環境と本番環境の内部ネットワーク相互アクセスを実現します。
💡
オンプレミス環境がないので、大阪でEC2を使って、オンプレミス環境をシミュレーションする
オンプレミス環境:
  • 場所: AWS アジアパシフィック (大阪)(ap-northeast-3)
  • CIDR: 172.31.0.0/16
本番環境:
  • 場所: aws アジアパシフィック (東京)(ap-northeast-1)
  • CIDR: 10.0.0.0/16
要件: オンプレミス環境と本番環境間の VPC 内部ネットワークの相互接続を実現すること。
 

注意事項:

オンプレミス環境にはパブリックIPを有すること

操作のデモ

以下の情報に基づいて、オンプレミス環境を用意する。

1.大阪にオンプレミス環境の用意

1.1 オンプレミス環境VPCを用意する

notion image

1.2 オンプレミス環境のEC2を用意する

アジアパシフィック(大阪)リージョンにオンプレミス環境を用意するための設定です。
ホスト1
  • ホスト名:openswan
  • プライベートIP:15.152.44.21
  • パブリックIP:172.30.0.4
  • 説明:openswanソフトウェアをインストールして接続を確立する必要があります。
1台のOpenswanホストがあり、このホストのパブリックIPアドレスは後ほど使用します。
大阪で顧客ゲートウェイを追加する際に、このIP(15.152.44.21)を使用します。
notion image
 
ホスト2
  • ホスト名:On-premises-server
  • プライベートIP:172.31.11.131
  • パブリックIP:15.168.207.212
  • 説明:ウェブサービスを実行して、テストを行うためのものです。
notion image
 

まとめ

以下のEC2を用意してください
notion image

2.AWS環境の用意

1.1 AWS環境(東京)にVPCを用意する

notion image

1.2 オンプレミス環境のEC2を用意する

AWS環境(東京)
ホスト1
  • ホスト名:AWS-01
  • プライベートIP:10.0.128.4
  • 説明:ウェブサービスを運用します。
notion image
ホスト2
  • ホスト名:AWS-02
  • プライベートIP:10.0.128.5
  • 説明:ウェブサービスを運用します。
notion image

まとめ

以下のEC2を用意してください
notion image

VPNの設定

AWS環境(東京)で操作

クライアントゲートウェイ ---> 仮想プライベートゲートウェイ ---> サイト間ゲートウェイ
notion image

手順

1.カスタマーゲートウェイを作成

notion image
 
notion image

2.仮想プライベートゲートウェイを作成

notion image
作成が完了した後は、対応するVPCをバインドする必要があります。具体的には、AWSの東京にあるVPCをバインドしてください。
notion image
notion image

3.VPN接続を作成

notion image
 
notion image
作成完了まで待つ
notion image
対応する設定ファイルをダウンロードし、その後、北京リージョンのOpenSWANサーバーで設定ファイルに従って操作を行ってください。
notion image
notion image

4.ベンダーはopenswanを選択

notion image

5.オンプレミス側の設定

これからはオンプレミス環境(大阪)の操作となります。
手順:
ダウンロードした設定ファイルを開き、ガイドに従て操作します。
必要な情報は赤枠で囲まれています。
notion image
必要な情報を抽出
AWS側のサーバーでIPv4アドレスの転送設定が必要です。
1.設定ファイルの編集
サーバーの /etc/sysctl.conf ファイルを開き、以下の設定を追加または確認します。これをOpenSWANサーバー(お客様側)で実行してください。
notion image
最後 sysctl -p で反映させる
 
2.openswanソフトウェアの実装
Amazon Linux 2023 のデフォルトリポジトリには openswan が含まれていません。
さらに、openswan はすでにメンテナンスされていないパッケージであり、たとえ利用可能であっても使用すべきではありません。詳細は こちらのリンク を参照してください。
代わりに、openswan のフォークである libreswan の使用が推奨されます。
libreswan をインストールするには、以下のコマンドで Fedora リポジトリを追加してください。
以下のリポジトリを追加する必要があります:
リポジトリを追加した後、以下のコマンドを実行して libreswan をインストールします:
3.新しい設定ファイルを作成します。/etc/ipsec.d/aws.conf 設定ファイルの該当部分をコピーして、以下の変更をしてから保存する。
  1. phase2algikeの変更
      • 原版: phase2alg=aes128-sha1;modp1024ike=aes128-sha1;modp1024
      • 変更後: phase2alg=aes128-sha1;modp2048ike=aes128-sha1;modp2048
      • 変更内容: Diffie-Hellmanグループのサイズを1024ビットから2048ビットに増加しました。これにより、セキュリティが強化されます。
  1. leftsubnetrightsubnetの指定
      • 原版: leftsubnet=<LOCAL NETWORK>rightsubnet=<REMOTE NETWORK>
      • 変更後: leftsubnet=172.30.0.0/16rightsubnet=10.0.0.0/16
      • 変更内容: プレースホルダーから実際のサブネットアドレスに変更しました。これにより、具体的なネットワーク範囲が設定されます。
  1. authの削除
      • 原版: auth=esp
      • 変更後: この行が削除されました。
      • 変更内容: ESP認証設定が削除され、設定がシンプルになりました。ESP認証は、他の設定で自動的に行われる場合があります。
まとめ
 
notion image
 
4.IPsec サービスを再起動します:
設定ファイルを変更した後は、IPsec サービスを再起動して変更を適用します:
notion image
5.ポイントツーポイント VPN の情報を確認する
2,3分後、アップとなったら、VPN接続が確立するとなる
アップと表示されなかったら、openswanの設定ファイルを間違った可能性が高いです。
notion image
図のように、アップとなった
 
ネットワーク接続を確立する
東京の VPC に関連付けられているルートテーブルを特定します。
notion image
右下の「ルート伝播の編集」ボタンをクリックして、ルート伝播を有効にします。
notion image
東京のEC2に必要なウェブサーバーソフトウェアをインストールします。例えば、Apache HTTP Serverをインストールする場合は、以下のコマンドを使用します:
 

🤗接続テスト

オンプレミス環境で、openswanサーバからアクセス
notion image
オンプレミス環境のopenswanサーバ以外のサーバでAWS東京のネットワークにアクセスするには、ルーティングを設定する必要があります。具体的には、ルートテーブルに以下のように設定します:
  • ターゲットには東京のCIDRのネットワークセグメントを指定し、
  • ターゲットの選択にはOpenSwanインスタンスを指定して、OpenSwanインスタンスを中継として使用します。
以下は、ルートテーブルの設定例です。
notion image
OpenSwanインスタンスでは、ソースおよびターゲットチェックを無効にする必要があります。
notion image
 
notion image
 
 
テストは以下となります。 オンプレミス環境から、プライベートIPで、AWS東京のVPC内のEC2にpingとWEBアクセスができます。

📎 参考文章

  • 一些引用
  • 引用文章
💡
有关Notion安装或者使用上的问题,欢迎您在底部评论区留言,一起交流~
 
相关文章
IBM Log Analysis または IBM Cloud Activity Tracker から IBM Cloud Logs へのマイグレーション
Lazy loaded image
IBM Cloud Classic Infrastructure vs VPC:概要と特徴
Lazy loaded image
EKSでのWordPressデプロイ:KCNA-JP試験対策 (Kubernetes実践編)
Lazy loaded image
初心者向け!コンテナ化WordPressサイト構築ガイド(超詳細版)
Lazy loaded image
EFSを活用!AWS EC2でDockerを使ったWordPressサイト構築
Lazy loaded image
CMD経由でPostgreSQL メジャーバージョンにアップグレード
Lazy loaded image
RedHat EX200 本番近い試験問題集IBM Log Analysis または IBM Cloud Activity Tracker から IBM Cloud Logs へのマイグレーション
Loading...
みなみ
みなみ
一个普通的干饭人🍚
最新发布
35条書面-64問-1
2025年6月13日
TOKYO自習島
2025年6月10日
平成26年秋期 午後問1
2025年6月6日
令和5年秋期 午後問1
2025年6月6日
令和2年秋期 午後問1
2025年6月6日
業務上の規制-87問-1
2025年6月4日
公告

🎉 欢迎访问我的博客 🎉

🙏 感谢您的支持 🙏

📅 本站自 2024年9月1日 建立,致力于分享在 IT・MBA・不动产中介 等领域的学习与实践,并推动 学习会 的自主开展。
📖 博客语言使用比例
🇯🇵 日语 90% 🇨🇳 中文 8% 🇬🇧 英语 2%

📚 主要内容

💻 IT・系统与开发

  • 系统管理:Red Hat 等
  • 容器与编排:Kubernetes、OpenShift
  • 云计算:AWS、IBM Cloud
  • AI 入门:人工智能基础与实践
  • 技术笔记与考证经验

🏠 不动产 × 宅建士

  • 宅建士考试笔记

🎓 MBA 学习笔记

  • 管理学、经济学、财务分析等

🔍 快速查找内容(标签分类)

由于网站目前没有专门的设计,可能会导致查找信息不便。为了更快找到你感兴趣的内容,推荐使用以下标签功能 进行搜索!
📌 定期更新,欢迎常来看看!
📬 有任何建议或想法,也欢迎留言交流!