RTX1100 でAWS VPCにVPN接続 クラウドに開発環境を作ろう

 

若者のRTX1200離れ。

その対策として発売された?RTX1210が中小オフィスの複数拠点間VPN接続案件で大活躍しています。

そんな今回はAWSに拠点間VPN接続するRTX1100ルータの設定をご紹介。RTX1210は70,000円ですが、中古のRTX1100なら3,000円程で購入可能!CUIで設定していく中小企業向けルータですが、その分楽しめるはず。(※執筆日:2017年04月29日)

またAWSだけでなく、VyOSを利用することでIDCFなど他クラウドでも利用することも出来ます。

社内にサーバがいらなくなる!? 社内LANのクラウド化

オフィスのルータとクラウドを拠点間VPN接続で繋ぐと何ができるのでしょうか。

  • オフィスのネットワークを拡張
    Active Directory BDCやファイルサーバの設置など、クラウドと社内の垣根がなくなります。
  • 開発ベンダーと共有する開発環境
  • リモートワーカーへのワークスペース提供
  • クラウドと物理の連携
    クラウドのWEBサーバの社内の物理DBサーバとの連携など。外に晒す必要のないDBサーバを直接外部に晒さないのでセキュアな設計になります。

上記のような使い方は一般的になっています。

ハードウェアによる拠点間VPN接続を行えば、クライアントから毎回クラウドにVPN接続するという手間がなくなり、オフィスとクラウドの垣根がなくなり便利です。社内のサーバをなくすことも、社内の基幹システム・DBサーバとクラウドのサーバを連携させるといった使い方もできます。

 

//いくつかの理由で私は社内のオンプレサーバとクラウドを上手く使う後者が好み、互いのメリットを生かしどっちもあった方が良いという考えを持っています。ケースバイケースで用途に合わせて、Aクラウド+Bクラウド+専用の物理サーバといったミックスクラウド戦略を行うのも良いですね!

 

AWS VPC 便利でセキュアなネットワーク

カスタマーゲートウェイに指定したルータの固定IPからしかVPNを受け付けないのでセキュアな仕様になっています。

また、VPCの設定を上手に使って協力会社の開発ベンダーなど特定のネットワークのみ外部接続許可させるといった制御も可能です。

つまり、オンプレミスと同様の機密性によるセキュリティ特定公開制御による可用性伸縮自在なネットワーク、ハードウェアVPNによるシームレスな利用が可能になっています。

 

よくあるパターン

また、クラウドサーバにグローバルIPを持たせたくないけれど、サーバから外部にアクセスしたい時があります。皆さんの会社のPCのように、PCから外部のインターネットは参照できるけれど、外部からはアクセスさせないといった運用ですね。その場合はAWS NATゲートウェイを利用するのが簡単です。

ハードウェア資産管理からの解放

社内のオンプレサーバをクラウドサーバに変更することで、機器老朽化やサポート切れの心配がなくなり、ハードウェア変更によるプロジェクトがなくなることで、人員負担や機器購入費用がなくなったり、サーバ台数の減少によりシステム管理の負担が軽減されます。

 

ネットワーク設計

オフィスのネットワークアドレスとAWS VPCのネットワークが重複することがあってはいけません。

ネットワーク管理者と相談し事前にきちんとオフィスのネットワークを把握し、今後重複しないようにCIDRで設計する必要があります。クラスでわけてしまうのが簡単です。

 

注意

通常ではVPCの利用について無料ですが、VPCのVPN機能を使う場合は料金が発生します。

 

環境

AWS VPN VPC RTX1100

  • ルータ:RTX1100
  • 接続先クラウド:AWS VPC
  • 回線:NURO
  • 技術要素:YAMAHA RTX1100, AWS VPC, VPC Subnet、ルートテーブル, AWS VPN Connection , 仮想プライベートゲートウェイ VPN Connection, カスタマーゲートウェイ

工場出荷状態。

 

ネットワーク

  • ルータ側 プライベートアドレス:192.168.10.1
  • ルータ側 LAN:192.168.10.0/24
  • ルータ側 グローバルIP:xxx.yyy.zzz.aaa
  • AWS VPC側 LAN:10.0.0.0/16
  • AWS VPC側 サブネット:10.0.0.0/24

 

初期設定

 

今回の環境は回線がNUROでPPPoEによるユーザ認証はしません。

 

PPPoEによる接続が必要な環境の方

プロバイダとの接続にPPPoEが必要な場合は下記のpp select 1より設定が必要です。

 

 

AWSとのVPN接続設定サンプル

トンネルが2つあるけれど、AWS VPNとの接続の冗長化の為のものなので、ただ繋げるだけなら1つでも大丈夫です。

RTX1100~RTX1210は上記で動くはず、RTX1000だと少し書き換えが必要かな。

 

AWSとのVPN接続の確認

トンネル状態の確認を行います。

 

鍵交換が出来ていることを確認

 

BGPの確認

BGP StateがEstablishedになっていれば接続できています。

 

 

BGPネイバーのルート確認

確立されています。

 

ルート確認

 

AWS VPC VPN接続からの確認

【サービス】>> 【VPC】>> 【VPN接続】>> 【トンネル詳細】を選択します。

ステータスがUPになっていれば良いです!

 

AWS上のEC2にプライベート接続しよう

AWS VPN YAMAHA RTX

EC2サーバにプライベートアドレスで接続することで、拠点間VPN接続ができていることがわかりますね~。

ネットワークが繋がる感覚はとても気持ちが良い!拳をぐっとする達成感を味わえます。

今回はIPsecによる仮想閉域網構成でのご紹介でしたが、専用線環境の場合は、AWS Direct Connectでよりセキュリティの高い閉域網構成が作れます。また、ファイアウォールは環境に合わせて設定しましょう。

お疲れ様です。

 

金広 優 (エンジニア)

この記事を書いた人:金広 優 (エンジニア)

システムガーディアン爆弾処理班。アクセス負荷対策やNginxへの移行案件が多いこの頃。IBM SoftLayerやAWSなどクラウド案件が多くなってきました。

この記事に関してのお問い合わせ
御連絡・ご返信は原則2営業日以内を予定しております。
お急ぎの場合は、お手数ですが下記電話でもご対応をしております。

システムガーディアン株式会社
受付時間:平日9:00~18:00
受付担当:坪郷(つぼごう)・加藤
電話:03-6758-9166