オンプレ(自宅)からAWS Site-to-Site VPN! NAT越え、双方向名前解決、フェイルオーバーまで
2.9K Views
February 28, 25
スライド概要
2025年2月28日に開催した社内イベント「AWSランチセッション第3回」の発表資料です。
AWS Site-to-Site VPNの基本から、よく用いられる構成まで分かりやすく解説しています。
実機で検証を行い、最終的にルーターの電源プラグを抜いてフェイルオーバー時の経路切替を観察します。
SFとコンピュータが好き
関連スライド
各ページのテキスト
2025-02-28 AWSランチセッション 第3回 オンプレ(自宅)からAWS Site-to-Site VPN! NAT越え、双方向名前解決、フェイルオーバーまで 山崎 拓也
山崎 拓也 所属: SIer 仕事: • システム開発など • アプリとAWSインフラ両方 好き: 低レイヤ、SF、AWS AWS関連: • 2024 Japan AWS Top Engineer • 2022~2024 Japan AWS All Certifications Engineer
仕事では触らないけどネットワークも大好き • 国家資格 IPA ネットワークスペシャリスト保有 • パケットアナライザやルーターのプログラム作成 • 本も結構読む • 手を動かすのが好き 思い出の本 HA構成の Kubernetesクラスタ 初任給で買った思い出の Ciscoルーターとスイッチ SFP+の10Gルーター
今回使用するもの • Cisco 1812J ルーター 2個 • L2スイッチ 2個 • ルーター 2個 +
完成図
完成図 VPNトンネル
アジェンダ • NAT越えAWS Site-to-Site VPNのポイント • オンプレとAWSの双方向名前解決のポイント • フェイルオーバーのポイント ルーターの電源プラグを抜きます!
NAT越えAWS Site-to-Site VPNのポイント
AWS Site-to-Site VPNとは • データセンターやオフィスをAWSとVPN接続するサービス • 1つのVPN接続でIPsecトンネルが2つ作成される(青い太線)
オンプレ(自宅)側ネットワーク • VPNゲートウェイ 1812Jの前にNATがある • サーバーとDNSサーバーがひとつずつ
(補足) VPN接続前のルートテーブル(1812J)
(補足)作業用ネットワークは192.168.88.0/24 作業用PC ルーターやAWSの 操作はここから
AWS側ネットワーク • VPCが1つ。以下有効化済み • DNS解決 • DNSホスト名 • Private subnetが2つ • EC2が2つ
今回はNATを越えてVPN接続を行う 経路上にNAT
AWS Site-to-Site VPNに必要なリソース リソース 説明 ❶ カスタマーゲートウェイ(CGW) CGWデバイスの情報をVPN接続に伝える論理的なリソース ❷ 仮想プライベートゲートウェイ(VGW) VPCの出入り口となる ❸ VPN接続 VPNトンネルを作る ❹ CGWデバイス VPNに使用するオンプレのルーター ❶ ❸ ❹ ❷
AWS Site-to-Site VPN構築の流れ AWSリソース作成 設定ファイル ダウンロード CGWデバイス設定 • CGW • VGW • VPN接続 AWSからCGWデバ イスの設定ファイ ルをダウンロード 設定ファイルをも とにCGWデバイス を設定 AWS側 ルート伝播設定 VPCでルート伝播 を有効化
NAT越えのポイント: CGWの設定 • CGWデバイスのIPアドレスではなく、NATの外側IPアドレスを使用する • 経路上のUDP4500番ポート(NAT-T)が開いていることを確認する UDP 4500 開ける https://docs.aws.amazon.com/ja_jp/vpn/latest/s2svpn/cgw-options.html
(補足) VGWの作成 • 通常通り作成 • VPCへのアタッチは作成後に行える デフォルトANSは64512
(補足) VPN接続の作成 • 通常通り作成 • 作成したCGWとVGWを選択
(補足) CGWデバイス設定前なのでトンネルはダウンしている
VPN接続からCGWデバイス用の設定ファイルをダウンロード CGWデバイスに近いものを選択 あくまでもサンプル設定
ダウンロードした設定ファイルの構成 • 前後半でトンネル2つ分の設定 • 環境やデバイスによって手動で設定変更が必要 IPSec設定 トンネル1 の設定 I/F設定 BGP設定 … トンネル2 の設定
NAT越えのポイント: CGWデバイス設定 • 設定ファイルはCGWをもとに作成されているため、VPN用のI/Fアドレス がNATの外側IPアドレスになっている • CGWデバイスの外側IPアドレスに変更する CGWデバイスのIP 「192.168.1.40」へ変更 …
他の設定部分もデバイスや環境に応じて変更 シンタックスの違いを修正 crypto isakmp keepalive 10 10 デフォルトルートは伝えない オンプレのアドレスをアドバタイズ network 10.1.0.0 mask 255.255.0.0 network 10.2.0.0 mask 255.255.0.0 へ変更
CGWデバイスの設定が完了するとVPNトンネルが開通する 10.1.0.0/16 10.2.0.0/16
VPN接続後のルートテーブルとBGP経路(1812J) • 優先パスが静的に定義されてる 下が優先パス VPCへのルート VPNトンネル
VPCサブネットのルートテーブルでルート伝播を有効化する オンプレのルートが伝播する
NAT越えAWS Site-to-Site VPN 完成
オンプレサーバーからEC2へping
EC2からオンプレへping
(補足)残りの経路に関するping オンプレDNSサーバーからEC2 もうひとつのEC2からオンプレ
AWS側の理由でトンネルが片方切れるとメールが来る “このメッセージは、2 つのトンネル エンドポイントのうちの 1 つ (トンネル外部 IP: 52.197.233.127) が置き換えられたため、ap-northeast-1 リージョンの VPN 接続 vpn-xxx の冗長性が一時的に失われたために表示されています。この間、2 番目のトンネルの接続 は影響を受けませんでした。現在、両方のトンネルは正常に動作しています。”
NAT越えAWS Site-to-Site VPNのポイントまとめ • CGWの作成にはNATの外側IPアドレスを使用する • 経路上のUDP4500番ポート (NAT-T) が開いていることを確認する • ダウンロードしたCGW用設定ファイルについて、local-addressをCGWデ バイスのVPN用I/FのIPアドレスに変更する
オンプレとAWSの双方向名前解決のポイント
どんなときに必要なのか(例) • EC2をオンプレのADにドメイン参加させる • オンプレからAWS上のプライベートドメインのサービスにアクセスする
今回のホストゾーンとレコード A A jitaku.internal vpc.private 10.0.137.130 10.1.0.3
双方向名前解決のポイント • Route53 Resolverエンドポイントを作成 • 条件付きフォワードの設定 オンプレ → AWS は インバウンドエンドポイント AWS → オンプレ は アウトバウンドエンドポイント
AWSからオンプレへ条件付きフォワード • Resolverルールを作成 オンプレのドメイン オンプレのDNSリゾルバへ転送
EC2からオンプレ側ドメインを名前解決 Route53 Resolver
オンプレからAWSへ条件付きフォワード • オンプレ側DNSサーバーで設定 BINDの設定 ドメイン「vpc.private」は インバウンドエンドポイントへフォワード
オンプレサーバーからAWS側ドメインを名前解決 オンプレDNSサーバー
Site-to-Site VPNと双方向名前解決の全体図
オンプレとAWSの双方向名前解決のポイントまとめ • Route53 Resolverエンドポイントを使用する • 条件付きフォワードを設定する
フェイルオーバーのポイント
CGWデバイスの障害に備えてバックアップ用VPN接続を作る
全く同じCGWは作ることができない点に注意 • 本来は同じASN、異なるパブリックIPの組で構成する • 今回はパブリックIPが1つしかないため、ASNを変更して検証を行う • パブリックIPが2つある場合とフェイルオーバーの動作は変わらない 本来はIPが2つ 今回はASNが2つ
CGWとVPN接続を追加作成し、既存VGWに関連付ける • オンプレ側のルーターも追加する VGWは1つ
トンネルは4本になる
BGPで使用可能なパスを選択するようにルーティングを設定する • 今回は緑の経路を優先し、青をバックアップとする • 非対称ルーティングにならないようオンプレとAWSの両方で経路制御する
オンプレの経路制御にはHSRPを使う(Hot Standby Router Protocol) • HSRPはCiscoルーターを冗長化するための独自プロトコル 障害時に自動的に別のルーターに切り替わる 仮想IPは通常Router1 に割り当てられてる Router1がダウンすると仮想IPが Router2に割り当てられる
HSRPの設定
デフォルト設定のためHSRPは最短13秒でフェイルオーバー
(補足)バックアップ用VPN接続の作成
AWS側ルーターは直接設定変更できないためAS Pathを使用する • 青のAS Pathを長く設定することで緑を優先するようにする • AWS Direct Connectの場合はAWS側が用意しているBGPコミュニティで 優先度を設定できるが、Site-to-Site VPNではできない AS Pathを長く設定
Router2でAS Pathを設定 今回は最短30秒で フェイルオーバー
EC2からのトラフィックは緑を通る
試しにRouter1のAS Pathを長くしてみる
今度はEC2からのトラフィックが青を通る
(補足) Router1, 2のBGP経路とルートテーブル
全体図
フェイルオーバーをテスト 1. オンプレとAWS双方からtracerouteを実行し続ける 2. ルーター1の電源プラグを抜く 3. ルーター2がHSRPのActiveになり、VPN接続がバックアップへ切り替わる
フェイルオーバーをテスト 1. オンプレとAWS双方からtracerouteを実行し続ける 2. ルーター1の電源プラグを抜く 3. ルーター2がHSRPのActiveになり、VPN接続がバックアップへ切り替わる
1. オンプレとAWS双方からtraceroute $ while :; do date; traceroute -m 4 jitaku.internal; sleep 1; done 無限ループ 日時表示 1回分の出力例 経路確認 1秒待機
2. ルーター1の電源プラグを抜く !
3. ルーター2がHSRPのActiveになり、VPN接続がバックアップへ切 り替わる ※ルーターの時計は間違ってます
切り替わる瞬間: オンプレServer → EC2 への経路 ❶Router1を通っている ❷DNSサーバーに 繋がらなくなる ❸Router2に切り替わり 約28秒 ❹バックアップへ 切り替え完了
切り替わる瞬間: EC2 → オンプレServer の経路 ❶VPN接続1を通ってる ❷オンプレServerに 繋がらなくなる ❸このあたりで オンプレがRouter2に 切り替わった ❹バックアップ接続へ 切り替え完了 約30秒
(補足)残りの経路の切り替わる瞬間 オンプレDNS もうひとつのEC2
フェイルオーバーのポイントまとめ • 全く同じCGWは作ることができない • バックアップ用のCGWとVPN接続を作成し、既存VGWに関連付ける • BGPで使用可能なパスを選択するようにルーティングを設定する
ご清聴ありがとうございました。