へっぽこインフラエンジニアのブログ

IT業界の最底辺からこんにちは

Cisco892とAWSをサイト間VPNで常時接続してみた

サイト間VPNを接続すると、各サイトからお互いにプライベートIPで接続できるようになる。

VPC内もローカルネットワークのようにアクセス可能なのですごく楽。ただし料金はかかる。

今回の環境

・ルータのグローバルIPは固定
・IOSバージョン:15.0(1)M3
・サブネットはPublicとProtectedの2つ(何個でもOK)
・各IPアドレスは以下の通り

Cisco 892 - WAN側 xxx.xxx.xxx.xxx
Cisco 892 - LAN側 192.168.32.0/24
VPC 10.0.0.0/16

AWSでのサイト間VPN設定

1. カスタマーゲートウェイの設定
VPCの管理画面内、「カスタマーゲートウェイ」を開く

「カスタマーゲートウェイの作成」をクリック

入力項目は以下の通り
・名前:適当
・ルーティング:動的
・IPアドレス:ルータのWAN側IP
※あとは入力していない

f:id:fujison-xyz:20200509190911p:plain

2. 仮想プライベートゲートウェイの設定
VPCの管理画面内、「仮想プライベートゲートウェイ」を開く

「仮想プライベートゲートウェイの作成」をクリック

名前タグを適当に付けて、作成ボタンをクリックする。

仮想プライベートゲートウェイの一覧ページに戻ったら、「アクション→VPCにアタッチ」とクリック。

VPCを選択して「はい、アタッチします」をクリック。

3. サイト間のVPN接続の設定
PCの管理画面内、「サイト間のVPN接続」を開く

「VPN接続の作成」をクリック

入力項目は以下の通り
・名前タグ:適当
・仮想プライベートゲートウェイ:さっき作ったものを選択
・Customer Gateway ID:さっき作ったものを選択
※あとは入力していない

f:id:fujison-xyz:20200509191918p:plain

サイト間のVPNの一覧ページに戻ったら「設定のダウンロード」をクリック
・ベンダー:CiscoSystems, inc.
・プラットフォーム:ISR Series Routers
・ソフトウェア:IOS 12.4+

f:id:fujison-xyz:20200509191055p:plain

ダウンロードしたファイルは後で使う

4. ルートテーブルの変更
VPCの管理画面内、「ルートテーブル」を開く

対象のルートテーブルをクリックし、以下のルートを追加する
・送信先:192.168.32.0/24(ルータのLAN側)
・ターゲット:作成したvirtual private gatawayを選択する(クリックすると出てくる)

f:id:fujison-xyz:20200509191332p:plain

※私の環境では「Public」「Protected」サブネットの2つがあったが、どちらもこの方法で接続出来た。

ルーター側での設定

ルータにTelnetもしくはSSH接続し、「3. サイト間のVPN接続の設定」でダウンロードしたテキストをペーストする

こんな感じのテキストファイル↓
f:id:fujison-xyz:20200509191406p:plain

※私の環境ではそのままで動いたが、NATトラバーサル下にルータがある場合やFWを経由している場合は変更が必要

接続確認

EC2インスタンス等のローカルIPで接続出来れば成功。

接続できない場合は、インスタンスのセキュリティグループを見直してみる。

その他にも公式のトラブルシューティング手順があるので参考までに。
docs.aws.amazon.com

良いAWSライフを!