share facebook facebook2 twitter menu hatena pocket slack

2014.08.08 FRI

AWS:VPN設定(SRX)

佐藤 裕行

WRITTEN BY佐藤 裕行

cloudpack佐藤です。

概要

自宅からAWSへSRXを使用してVPNで接続をする。

AWS構成

品川からAWSへ接続する。

AWS_Web - New Page.jpeg

VPC設定

Customer Gateways

VPC DashboardからCustomer Gatewaysを選択。
BGPにて経路交換を行うため、Dynamic設定をする。

cgw.PNG

Virtual Private Gateways

ipsecを使用するため、Virtual Private Gatewaysを選択。
作成するだけ。
vpg1.PNG

VPN Connections

VPNを作成するためにVPN Connectionsを選択。
先ほど作成した、「VPN Connections」、「VPN Connections」を関連付けする。
また、BGPにて接続するためDynamicとする。

vpn.PNG

Route

作成したGWへのルートを追加

route.PNG

route2.PNG

SRX設定

設定する元Configは、こちら

VPN ConnectionsのDownload Configurationから設定をダウンロードする。
config.PNG

後は設定をそのまま追加すればいいかと思いきや、一手間必要。

  • デフォルトルートを広告してしまうため、該当のルートのみに変更
SRX210.conf
##削除
set policy-options policy-statement EXPORT-DEFAULT term default from route-filter 0.0.0.0/0 exact
##追加
set policy-options policy-statement EXPORT-DEFAULT term default from route-filter 172.17.0.0/24 exact
  • pp0.0にてピア接続するために変更
SRX210.conf
##削除
set security ike gateway gw-vpn-81b50280-1 external-interface ge-0/0/0.0
set security ike gateway gw-vpn-81b50280-2 external-interface ge-0/0/0.0
##追加
set security ike gateway gw-vpn-81b50280-1 external-interface pp0.0
set security ike gateway gw-vpn-81b50280-2 external-interface pp0.0      
  • ファイアウォール

ルータの設定やセキュリティポリシーによって変更する必要がある

SRX210.conf
set security policies from-zone trust to-zone vpn policy trust-to-vpn match source-address any
set security policies from-zone trust to-zone vpn policy trust-to-vpn match destination-address any
set security policies from-zone trust to-zone vpn policy trust-to-vpn match application any
set security policies from-zone trust to-zone vpn policy trust-to-vpn then permit
set security policies from-zone vpn to-zone trust policy trust-to-vpn match source-address any
set security policies from-zone vpn to-zone trust policy trust-to-vpn match destination-address any
set security policies from-zone vpn to-zone trust policy trust-to-vpn match application any
set security policies from-zone vpn to-zone trust policy trust-to-vpn then permit
set security policies from-zone vpn to-zone vpn policy trust-to-vpn match source-address any
set security policies from-zone vpn to-zone vpn policy trust-to-vpn match destination-address any
set security policies from-zone vpn to-zone vpn policy trust-to-vpn match application any
set security policies from-zone vpn to-zone vpn policy trust-to-vpn then permit
set security zones security-zone vpn interfaces st0.1
set security zones security-zone vpn interfaces st0.2
delete security zones security-zone trust interfaces st0.1
delete security zones security-zone trust interfaces st0.2

通信確認

  • IKE Status確認
root> show security ike security-associations<br>
Index   State  Initiator cookie  Responder cookie  Mode           Remote Address<br>
3843154 UP     53d3ff37802470d3  86e611a696ac37bf  Main           xxx.xxx.xxx.xxx<br>
3843153 UP     85dc9face9e23f63  4cbb9957c5ee31f5  Main           xxx.xxx.xxx.xxx<br>
  • IPsec 確認
root> show security ipsec security-associations<br>
Total active tunnels: 2<br>
ID    Algorithm       SPI      Life:sec/kb  Mon vsys Port  Gateway<br>
/<131073 ESP:aes-128/sha1 c546e29c 3445/ unlim -  root 500   xxx.xxx.xxx.xxx<br>
/>131073 ESP:aes-128/sha1 90bce219 3445/ unlim -  root 500   xxx.xxx.xxx.xxx<br>
/<131074 ESP:aes-128/sha1 ad9f05f7 3450/ unlim -  root 500   xxx.xxx.xxx.xxx<br>
/>131074 ESP:aes-128/sha1 9c37647f 3450/ unlim -  root 500   xxx.xxx.xxx.xxx<br>
  • BGPピア確認
root> show bgp summary<br>
Groups: 1 Peers: 2 Down peers: 0<br>
Table          Tot Paths  Act Paths Suppressed    History Damp State    Pending<br>
inet.0<br>
                       0          0          0          0          0          0<br>
Peer                     AS      InPkt     OutPkt    OutQ   Flaps Last Up/Dwn State|#Active/Received/Accepted/Damped...<br>
xxx.xxx.xxx.xxx         10124         31         35       0       0        4:42 0/0/0/0              0/0/0/0<br>
xxx.xxx.xxx.xxx         10124         32         34       0       0        4:38 0/0/0/0              0/0/0/0<br>
  • BGP受信経路確認
root> show route protocol bgp<br>
inet.0: 10 destinations, 11 routes (10 active, 0 holddown, 0 hidden)<br>
+ = Active Route, - = Last Active, * = Both<br>
10.0.0.0/16        *[BGP/170] 00:03:30, localpref 100<br>
                      AS path: 10124 I<br>
                    > to 169.254.252.5 via st0.2<br>
                    [BGP/170] 00:03:30, localpref 100<br>
                      AS path: 10124 I<br>
                    > to 169.254.252.1 via st0.1<br>
  • BGP送信経路確認(ピア毎に確認)
root> show route advertising-protocol bgp xxx.xxx.xxx.xxx<br>
inet.0: 9 destinations, 9 routes (9 active, 0 holddown, 0 hidden)<br>
  Prefix                  Nexthop              MED     Lclpref    AS path<br>
* 172.17.0.0/24           Self                                    I<br>
  • Ping
[ec2-user@ip-10-0-1-10 ~]$ ping 172.17.0.11<br>
PING 172.17.0.11 (172.17.0.11) 56(84) bytes of data.<br>
64 bytes from 172.17.0.11: icmp_seq=1 ttl=126 time=8.14 ms<br>
64 bytes from 172.17.0.11: icmp_seq=2 ttl=126 time=7.81 ms<br>
64 bytes from 172.17.0.11: icmp_seq=3 ttl=126 time=11.3 ms

etc…

BGPピア、VPNは簡単に接続できるが、ファイアーウォールの設定は環境によって変更する必要がある。

また、1日接続しているだけで1ドル程度かかるため、
個人的に使用する場合は必要な時だけにする。

元記事は、こちら

佐藤 裕行

佐藤 裕行

元NIerの通称砂糖です。AWSのネットワークまわりには詳しいです。現在は構築チームに所属し、多忙な日々を過ごしています。