VPNクライアントのダウンロード
AWSのHPからAWS Client VPNをDLする。
設定が終わると、このツールでVPNに接続できるようになる。
VPNエンドポイントを作成する
VPNエンドポイントを作成するためには、証明書の登録が必要。
プライベート認証機関(CA)を作成
AWS Private Certificate Authority>プライベート認証機関>プライベートCAを作成
設定はデフォルトで良い。
サブジェクト識別名のオプションだけ設定が必要なので、組織に適当な名前を付けておく(例:ProjectName_LLC)
CAが作成されたら選択>アクション>CA証明書をインストール
すると、証明書が作成され、以下から確認できるようになる。
ACM(AWS Certificate Manager)>証明書
VPNエンドポイントの作成
冒頭でDLしたVPNクライアントがアクセスするエンドポイント(IP範囲)を作成する。
AWS>クライアントVPNエンドポイント>クライアントVPNエンドポイントを作成
- 名前タグ:任意(例:VPN とかでよい)
- 説明:任意
- クライアントIPv4 CIDR:10.100.0.0/22 ※
- 認証情報:先ほど作成した証明書を指定する
- VPC ID:VPN接続したときにアクセスできるVPCを指定する
- トランスポートプロトコル:TCP
- その他:任意で良いはず
クライアントIPv4 CIDRの指定
VPNのIPには制約があり、プライベートIP範囲である、10始まり、172始まり、192.168始まりのいずれかで指定する。
また、VPNネットワークIPアドレスと競合しないように指定する必要がある。
AWS VPCのデフォルトは172始まりで、企業のオンプレミスネットワークでは192.168始まりを使用することが多いため、10始まりを採用する。
また、10.10.0.0か、10.100.0.0かについてはどうか。
先ほどAWS VPCのデフォルトは172始まりと説明したが、VPC構築は10始まりのVPCを独自で作成することが一般的。
これは、AWS VPCのデフォルトVPCは、EC2を起動するだけ、というようなインスタントラーメンてきな簡単さがあるが、フルカスタムする場合は独自で10始まりのVPCを構築する。
このとき、VPCのIP範囲を拡張していくと、10.0.0.0で使用していたIP範囲が、10.10.0.0に拡張する可能性がある。
それを見越して、VPNのIP範囲はVPCと競合する可能性ができるだけ低くなるように10.100.0.0で指定する。
Appendix
ルートテーブル
AWSクラウドにおけるルーター的なもの。
VPNから送信する送信先のIPのうち、使用するネットワーク経路(サブネット)をコントロールしたいときに使用する。
- 送信先CIDR:コントロールしたい送信先のIP
- ターゲットサブネット:どのサブネットからの送信とするか
コメント