type
status
date
slug
summary
tags
category
icon
password
😀
 

構成図

notion image

📝前提知識:

Site-to-Site VPNとは

Site-to-Site VPN(サイト間VPN)は、異なる場所にある2つのネットワークを、安全に接続する技術です。これにより、例えば本社と支店のネットワークがインターネットを通じて、安全に通信できるようになります。

Openswan(オープンスワン)とは?

Openswan(オープンスワン)は、IPsecプロトコルを使って、安全なVPN接続を提供するオープンソースのソフトウェアです。これにより、リモートアクセスやサイト間接続を暗号化されたトンネルで実現できます。
今回のハンズオンはサーバーに OpenSwan をインストールすることで、Customer Gateway (CGW) を構築する。

ルート伝播とは?

例えば、以下のような設定があります:
  • 本社データセンター: Server1 というサーバーがあり、IP アドレスは 172.30.1.10 です。
  • AWS VPC: Instance1 という EC2 インスタンスがあり、IP アドレスは 10.0.1.20 です。

ルート伝播を有効にする手順:

  1. AWS VPC でルート伝播を有効にすると、10.0.0.0/16 のルートが AWS VPC のルーティングテーブルに自動的に追加されます。
      • これにより、AWS VPC 内の Instance1172.30.0.0/16 ネットワーク内のリソース(例: Server1)にアクセスできるようになります。
  1. 本社データセンター でルート伝播を有効にすると、172.30.0.0/16 のルートが本社データセンターのルーティングテーブルに自動的に追加されます。
      • これにより、本社ネットワーク内の Server110.0.0.0/16 ネットワーク内のリソース(例: Instance1)にアクセスできるようになります。

まとめ

ルート伝播を有効にすることで、AWS VPC と本社データセンター間のルート情報が自動的に同期され、ネットワーク間の接続がスムーズに行えるようになります。これにより、各ルートを手動で設定する手間が省け、ネットワークの柔軟性と拡張性が向上します。
 

伝播前と伝播後

notion image
notion image
notion image

シナリオ:

デフォルトでは、Amazon VPC で起動したインスタンスは、オンプレミス環境と通信することはできません。
しかし、AWS Site-to-Site VPN 接続を作成し、ルーティングをその接続を通じてトラフィックを転送するように設定することで、VPCからオンプレミス環境へのアクセスを有効にすることができます。
 

要件:

目的: オンプレミス環境のOpenswanとAWSのサイト間VPNを使用して、オンプレミス環境と本番環境の内部ネットワーク相互アクセスを実現します。
💡
オンプレミス環境がないので、大阪でEC2を使って、オンプレミス環境をシミュレーションする
オンプレミス環境:
  • 場所: AWS アジアパシフィック (大阪)(ap-northeast-3)
  • CIDR: 172.31.0.0/16
本番環境:
  • 場所: aws アジアパシフィック (東京)(ap-northeast-1)
  • CIDR: 10.0.0.0/16
要件: オンプレミス環境と本番環境間の VPC 内部ネットワークの相互接続を実現すること。
 

注意事項:

オンプレミス環境にはパブリックIPを有すること

操作のデモ

以下の情報に基づいて、オンプレミス環境を用意する。

1.大阪にオンプレミス環境の用意

1.1 オンプレミス環境VPCを用意する

notion image

1.2 オンプレミス環境のEC2を用意する

アジアパシフィック(大阪)リージョンにオンプレミス環境を用意するための設定です。
ホスト1
  • ホスト名:openswan
  • プライベートIP:15.152.44.21
  • パブリックIP:172.30.0.4
  • 説明:openswanソフトウェアをインストールして接続を確立する必要があります。
1台のOpenswanホストがあり、このホストのパブリックIPアドレスは後ほど使用します。
大阪で顧客ゲートウェイを追加する際に、このIP(15.152.44.21)を使用します。
notion image
 
ホスト2
  • ホスト名:On-premises-server
  • プライベートIP:172.31.11.131
  • パブリックIP:15.168.207.212
  • 説明:ウェブサービスを実行して、テストを行うためのものです。
notion image
 

まとめ

以下のEC2を用意してください
notion image

2.AWS環境の用意

1.1 AWS環境(東京)にVPCを用意する

notion image

1.2 オンプレミス環境のEC2を用意する

AWS環境(東京)
ホスト1
  • ホスト名:AWS-01
  • プライベートIP:10.0.128.4
  • 説明:ウェブサービスを運用します。
notion image
ホスト2
  • ホスト名:AWS-02
  • プライベートIP:10.0.128.5
  • 説明:ウェブサービスを運用します。
notion image

まとめ

以下のEC2を用意してください
notion image

VPNの設定

AWS環境(東京)で操作

クライアントゲートウェイ ---> 仮想プライベートゲートウェイ ---> サイト間ゲートウェイ
notion image

手順

1.カスタマーゲートウェイを作成

notion image
 
notion image

2.仮想プライベートゲートウェイを作成

notion image
作成が完了した後は、対応するVPCをバインドする必要があります。具体的には、AWSの東京にあるVPCをバインドしてください。
notion image
notion image

3.VPN接続を作成

notion image
 
notion image
作成完了まで待つ
notion image
対応する設定ファイルをダウンロードし、その後、北京リージョンのOpenSWANサーバーで設定ファイルに従って操作を行ってください。
notion image
notion image

4.ベンダーはopenswanを選択

notion image

5.オンプレミス側の設定

これからはオンプレミス環境(大阪)の操作となります。
手順:
ダウンロードした設定ファイルを開き、ガイドに従て操作します。
必要な情報は赤枠で囲まれています。
notion image
必要な情報を抽出
AWS側のサーバーでIPv4アドレスの転送設定が必要です。
1.設定ファイルの編集
サーバーの /etc/sysctl.conf ファイルを開き、以下の設定を追加または確認します。これをOpenSWANサーバー(お客様側)で実行してください。
notion image
最後 sysctl -p で反映させる
 
2.openswanソフトウェアの実装
Amazon Linux 2023 のデフォルトリポジトリには openswan が含まれていません。
さらに、openswan はすでにメンテナンスされていないパッケージであり、たとえ利用可能であっても使用すべきではありません。詳細は こちらのリンク を参照してください。
代わりに、openswan のフォークである libreswan の使用が推奨されます。
libreswan をインストールするには、以下のコマンドで Fedora リポジトリを追加してください。
以下のリポジトリを追加する必要があります:
リポジトリを追加した後、以下のコマンドを実行して libreswan をインストールします:
3.新しい設定ファイルを作成します。/etc/ipsec.d/aws.conf 設定ファイルの該当部分をコピーして、以下の変更をしてから保存する。
  1. phase2algikeの変更
      • 原版: phase2alg=aes128-sha1;modp1024ike=aes128-sha1;modp1024
      • 変更後: phase2alg=aes128-sha1;modp2048ike=aes128-sha1;modp2048
      • 変更内容: Diffie-Hellmanグループのサイズを1024ビットから2048ビットに増加しました。これにより、セキュリティが強化されます。
  1. leftsubnetrightsubnetの指定
      • 原版: leftsubnet=<LOCAL NETWORK>rightsubnet=<REMOTE NETWORK>
      • 変更後: leftsubnet=172.30.0.0/16rightsubnet=10.0.0.0/16
      • 変更内容: プレースホルダーから実際のサブネットアドレスに変更しました。これにより、具体的なネットワーク範囲が設定されます。
  1. authの削除
      • 原版: auth=esp
      • 変更後: この行が削除されました。
      • 変更内容: ESP認証設定が削除され、設定がシンプルになりました。ESP認証は、他の設定で自動的に行われる場合があります。
まとめ
 
notion image
 
4.IPsec サービスを再起動します:
設定ファイルを変更した後は、IPsec サービスを再起動して変更を適用します:
notion image
5.ポイントツーポイント VPN の情報を確認する
2,3分後、アップとなったら、VPN接続が確立するとなる
アップと表示されなかったら、openswanの設定ファイルを間違った可能性が高いです。
notion image
図のように、アップとなった
 
ネットワーク接続を確立する
東京の VPC に関連付けられているルートテーブルを特定します。
notion image
右下の「ルート伝播の編集」ボタンをクリックして、ルート伝播を有効にします。
notion image
東京のEC2に必要なウェブサーバーソフトウェアをインストールします。例えば、Apache HTTP Serverをインストールする場合は、以下のコマンドを使用します:
 

🤗接続テスト

オンプレミス環境で、openswanサーバからアクセス
notion image
オンプレミス環境のopenswanサーバ以外のサーバでAWS東京のネットワークにアクセスするには、ルーティングを設定する必要があります。具体的には、ルートテーブルに以下のように設定します:
  • ターゲットには東京のCIDRのネットワークセグメントを指定し、
  • ターゲットの選択にはOpenSwanインスタンスを指定して、OpenSwanインスタンスを中継として使用します。
以下は、ルートテーブルの設定例です。
notion image
OpenSwanインスタンスでは、ソースおよびターゲットチェックを無効にする必要があります。
notion image
 
notion image
 
 
テストは以下となります。 オンプレミス環境から、プライベートIPで、AWS東京のVPC内のEC2にpingとWEBアクセスができます。

📎 参考文章

  • 一些引用
  • 引用文章
💡
有关Notion安装或者使用上的问题,欢迎您在底部评论区留言,一起交流~
 
Relate Posts
初心者向け!コンテナ化WordPressサイト構築ガイド(超詳細版)
Lazy loaded image
EFSを活用!AWS EC2でDockerを使ったWordPressサイト構築
Lazy loaded image
00-AWS SAP「理論・実践・10問道場」
Lazy loaded image
01-AWS SAP「理論・実践・10問道場」
Lazy loaded image
02-AWS SAP「理論・実践・10問道場」
Lazy loaded image
03-AWS SAP「理論・実践・10問道場」
Lazy loaded image
TOEIC Listening & Reading 425点Kubernetes、仮想マシンとコンテナの概念を超簡単に解説!
Loading...
minami
minami
一个普通的干饭人🍚
Announcement

🎉 ブログへようこそ 🎉

notion image
名前:みなみ独立事務所
性別:男
国籍:China
完全独学だけで基本情報をはじめ31個の資格を仕事をしながら合格。 現在はIT会社の技術担当や、ブログの執筆や学習支援などを手掛けています。 独学で合格できる学習法、勉強法、試験対策を配信します!

📚 主な内容

💻 IT・システム開発
🏠 不動産 × 宅建士
🎓 MBA 学習記録

🔍 コンテンツの探し方

現在、サイトのデザインはシンプルなため、情報がやや探しにくいかもしれません。
気になるテーマを探す際は、タグ検索の利用をおすすめします。
Search | みなみの風物詩
自分らしく未来へ
Search | みなみの風物詩
https://www.minami.ac.cn/search
Search | みなみの風物詩
Catalog
0%