AWSトンネル接続手順 - ntt-east.co.jp...AWS のインスタンス...
Transcript of AWSトンネル接続手順 - ntt-east.co.jp...AWS のインスタンス...
NIP
PO
N T
EL
EG
RA
PH
AN
D T
EL
EP
HO
NE
EA
ST
CO
RP
OR
AT
ION
クラウドゲートウエイクロスコネクトAWSトンネル接続手順(YAMAHA機器)
目次
2
ページ 手順
6 RTX1210 ー VyOS(IPIP) 接続例
8 RTX1210 ー VyOS(Ipsec) 接続例
10 RTX1210 ー CiscoCSR(IPIP) 接続例
12 RTX1210 ー CentOS/RedHat/Ubuntu(IPIP) 接続例
-3-
本開通ガイドの一部または全部を、東日本電信電話株式会社の許可なく複製することを禁じます。
本開通ガイドの内容は、予告なく変更することがあります。
本開通ガイドにおけるサービスや製品に関する記述は、あくまで情報を提供する目的で書かれたもので、保証もしくは推奨するものではありません。
その他のサービス名などの固有名詞は、各社の登録商標または商標です。
本文中の各社の登録商標または商標には®マークは表示しておりません。
本ガイドの位置付け
本資料はAWSトンネル接続時における、AWS側仮想ルータと拠点側YAMAHAルータの検証済みコンフィグ例を記載しています。
コンフィグはトンネル接続に必要な最小限の設定のみ記載しておりますので、ポートフィルタリング等のセキュリティ設定については、別途必要に応じ実施願います。
設定値において付与している命名やIPアドレスは、実環境に合わせて変更してください。
本資料内のIPアドレス等の設定値については、以下のサンプルネットワーク構成図を元に設定しております。
-4-
クラウドゲートウェイクロスコネクト AWSトンネル接続
EC2
VPC:10.0.0.0/16
subnet:10.0.100.0/24
10.0.100.85/24
ONU
VPN装置(CPE)
拠点側PC
WAN:192.168.5.0/24 192.168.5.254/24
192.168.5.253/24
LAN:172.16.5.0/24 172.16.5.254/24
172.16.5.10/24
YAMAHAルータ
【AWS】VPC 10.0.0.0/16Sunbet 10.0.100.0/24トンネル用インスタンス 10.0.100.85/24トンネルIF 10.200.0.1/30
【VPN】拠点WAN側ネットワーク 192.168.5.0/24VPN装置(CPE) 192.168.5.254/24拠点側ルータ 192.168.5.253/24
【拠点】トンネルIF 10.200.0.2/24拠点LAN側NW 172.16.5.0/24拠点側ルータ(LAN)172.16.5.254/24検証用PC 172.16.5.10/24
10.200.0.1/30
10.200.0.2/30
以下の概要構成図は、クラウドゲートウェイクロスコネクト環境 (AWS) においてトンネル接続を行なう一般的な構成図です。次ページ以降にて、AWS側仮想ルータと拠点側ルータのそれぞれの接続パターンにおける設定例を記載します。
トンネル
6
1.RTX1210の設定例(IPIP)
ルータのLAN側のIPアドレス設定
ip lan1 address 172.16.5.254/24
※検証用ルータの WAN 側の IP アドレス設定
ip lan2 address 192.168.5.253/24
AWS のインスタンス(ルータ)とトンネル構築するためのルーティング
ip route 10.0.100.85 gateway 192.168.5.254
AWS のインスタンス(ルータ)とのトンネル構築用の設定
tunnel select 1tunnel encapsulation ipiptunnel endpoint address 192.168.5.253 10.0.100.85ip tunnel address 10.200.0.2/30ip tunnel tcp mss limit auto
tunnel enable 1
AWS のインスタンス(サーバ)宛のルーティング(トンネル経由)
ip route 10.0.100.0/24 gateway 10.200.0.1
RTX1210 ー VyOS(IPIP) 接続例
7
2.VyOS側の設定(IPIP)
VyOS上の仮想ルータ設定 $ configure# set interfaces tunnel tun0 address 10.200.0.1/30# set interfaces tunnel tun0 local ip 10.0.100.85# set interfaces tunnel tun0 remote ip 192.168.5.253# set interfaces tunnel tun0 encapsulation ipip# set protocols static route 172.16.5.0/24 next-hop 10.200.0.2# commit# Save
RTX1210 ー VyOS(IPIP) 接続例
8
1.RTX1210の設定例(IPsec)
ルータのLAN側のIPアドレス設定
ip lan1 address 172.16.5.254/24
※検証用ルータの WAN 側の IP アドレス設定
ip lan2 address 192.168.5.253/24
AWS のインスタンス(ルータ)とトンネル構築するためのルーティング
ip route 10.0.100.85 gateway 192.168.5.254
AWS のインスタンス(ルータ)とのトンネル構築用の設定
tunnel select 1ipsec tunnel 201ipsec sa policy 201 1 esp aes-cbc sha-hmacipsec ike duration ipse- sa 1 3600ipsec ike encryption 1 aes-cbcipsec ike group 1 modp1024ipsec ike hash 1 shaipsec ike keepalive use 1 on dpd 10 3ipsec ike local address 1 192.168.5.253ipsec ike pfs 1 onipsec ike pre shared key 1 text SECRETipsec ike remote address 1 10.0.100.85ipsec tunnel outer df-bit clearIp tunnel address 10.200.0.2/30ip tunnel remote address 10.200.0.1ip tunnel tcp mss limit 1360
tunnel enable 1ipsec auto refresh on
AWS のインスタンス(サーバ)宛のルーティング(トンネル経由)
ip route 10.0.100.0/24 gateway 10.200.0.1
RTX1210 ー VyOS(Ipsec) 接続例
9
2.VyOS側の設定(IPSec)
VyOS上の仮想ルータ設定 $ configure# set interfaces vti vti0 address '10.200.0.1/30# set interfaces vti vti0 description 'VPC tunnel 1’# set interfaces vti vti0 mtu ‘1400’# set protocols static route 172.16.5.0/24 next-hop '10.200.0.2'
# set vpn ipsec esp group eAWS compression 'disable'# set vpn ipsec esp group eAWS lifetime '3600'# set vpn ipsec esp group eAWS mode 'tunnel'# set vpn ipsec esp group eAWS pfs 'enable'# set vpn ipsec esp group eAWS proposal 1 encryption 'aes128'# set vpn ipsec esp group eAWS proposal 1 hash 'sha1'
# set vpn ipsec ike group iAWS dead-peer-detection action 'restart'# set vpn ipsec ike group iAWS dead-peer-detection interval '15'# set vpn ipsec ike group iAWS dead-peer-detection timeout '30'# set vpn ipsec ike group iAWS lifetime '28800'# set vpn ipsec ike group iAWS proposal 1 dh-group '2'# set vpn ipsec ike group iAWS proposal 1 encryption 'aes128'# set vpn ipsec ike group iAWS proposal 1 hash 'sha1'# set vpn ipsec ipsec interfaces interface 'eth0'# set vpn ipsec site-to-site peer 192.168.5.253 authentication mode 'pre-shared-secret'# set vpn ipsec site-to-site peer 192.168.5.253 authentication pre-shared-secret ‘SECRET’# set vpn ipsec site-to-site peer 192.168.5.253 description 'VPC tunnel 1'# set vpn ipsec site-to-site peer 192.168.5.253 ike group 'iAWS'# set vpn ipsec site-to-site peer 192.168.5.253 local address '10.0.100.85'# set vpn ipsec site-to-site peer 192.168.5.253 vti bi nd 'vti0'# set vpn ipsec site-to-site peer 192.168.5.253 vti esp group 'eAWS'
# commit# Save
RTX1210 ー VyOS(IPSec) 接続例
10
1.RTX1210の設定例(IPIP)
ルータのLAN側のIPアドレス設定
ip lan1 address 172.16.5.254/24
※検証用ルータの WAN 側の IP アドレス設定
ip lan2 address 192.168.5.253/24
AWS のインスタンス(ルータ)とトンネル構築するためのルーティング
ip route 10.0.100.85 gateway 192.168.5.254
AWS のインスタンス(ルータ)とのトンネル構築用の設定
tunnel select 1tunnel encapsulation ipiptunnel endpoint address 192.168.5.253 10.0.100.85ip tunnel address 10.200.0.2/30ip tunnel tcp mss limit auto
tunnel enable 1
AWS のインスタンス(サーバ)宛のルーティング(トンネル経由)
ip route 10.0.100.0/24 gateway 10.200.0.1
RTX1210 ー CiscoCSR(IPIP) 接続例
11
2.CiscoCSR側の設定(IPIP)
CiscoCSR上の仮想ルータ設定
# interface tunnel0# ip address 10.200.0.1 255.255.255.252# ip mtu 1424# tunnel source 10.0.100.85# tunnel mode ipip# tunnel destination 192.168.5.253
# ip route 172.16.5.0 255.255.255.0 10.200.0.2
RTX1210 ー CiscoCSR(IPIP) 接続例
12
1.RTX1210の設定例(IPIP)
ルータのLAN側のIPアドレス設定
ip lan1 address 172.16.5.254/24
※検証用ルータの WAN 側の IP アドレス設定
ip lan2 address 192.168.5.253/24
AWS のインスタンス(ルータ)とトンネル構築するためのルーティング
ip route 10.0.100.85 gateway 192.168.5.254
AWS のインスタンス(ルータ)とのトンネル構築用の設定
tunnel select 1tunnel encapsulation ipiptunnel endpoint address 192.168.5.253 10.0.100.85ip tunnel address 10.200.0.2/30ip tunnel tcp mss limit auto
tunnel enable 1
AWS のインスタンス(サーバ)宛のルーティング(トンネル経由)
ip route 10.0.100.0/24 gateway 10.200.0.1
RTX1210 ー CentOS/RedHat/Ubuntu(IPIP) 接続例
13
2.CentOS/RedHat/Ubuntuの設定例(IPIP)
SE Linux の無効化※Ubuntu では不要
# vi /etc/sysconfig/selinux---------該当箇所を変更( :wq で保存)---------[変更前]SELINUX=enforcing[変更後]SELINUX=disabled
反映の為 OS 再起動 # shutdown -r now
反映確認 # getenforcedisabled
IPIP トンネル用設定 # modprobe ipip# ip tunnel add name tnl0 mode ipip local 10.0.100.85 remote 192.168.5.253# ip addr add 10.200.0.1/30 peer 10.200.0.2/30 dev tnl0# ip link set tnl0 up
拠点側ローカルネットワークへのルーティング
# ip route add 192.168.10.0/24 via 10.150.0.2 dev tnl0
IP 転送オン 設定 ■即時反映させる場合# sysctl -w net.ipv4.ip_forward=1
■再起動後も有効とする場合# vi /etc/sysctl.conf---------ファイル末尾に以下を投入( :wq で保存)---------net.ipv4.ip_forward = 1# sysctl –p
RTX1210 ー CentOS/RedHat/Ubuntu(IPIP) 接続例