AWS UD Cloudパッケージ

お問い合わせ

モバイルルータの配下にRTXをおいてAWSとVPN接続してみた

◀ 前の記事

記事一覧に戻る

次の記事 ▶

2020年2月15日

皆さん、こんにちは！アンダーデザイン　嶽村です。　

先日2月5日に第２回目となるセミナーを開催させていただきました。その時の様子はこんな感じです。

この時、ご参加くださった方々にデモなどもご覧いただき、クラウドの良さを知っていただく事ができました。その一つとして、EC2（Windows Server）を立て、ファイルサーバとして利用する様子をご覧いただきました。

ファイルサーバを利用する際、導入している企業の全てと言っても良いくらい、社内NW内に配置されており、拠点間はVPNを構築されて利用されているかと思います。この環境をセミナー会場で再現できないかと検討。以前に一時的な回線として、モバイルルータの配下にNEC IX2106をおいて、VPN環境を構築した事があったので、同じ構成でデモ環境を構築する事にしました。

さぁ、デモ環境を構築しようと機器を準備。

モバイルルータは以前より使用していたBF-01Dを使う事にしました。
ルータはIXがなかったので、手元にあったYAMAHA RTX1100を使う事にしました。
因みに構成図は下図のような感じです。

この構成を作る際、VGW（Virtual Private Gateway）がアグレッシブモードに対応していない為、固定IPを1つ用意する必要がありますので、固定IP付きSIMを発行しているプロバイダとの契約も必要です。因みに私はココのSIMを使いました。

このNAT配下にRTXを置いてAWSとVPN接続する構成は、他の方が同じくブログ等に上げられていましたので、そちらを参考にさせていただきました。

＜参考サイト＞

１．AWSと自宅NW(RTX1100)のVPN接続をしよう

２．NAT配下からヤマハのRTX1200でVPCにVPN接続する

３．IPsec + NAT は大変! RTX1210 で AWS VPN が接続できなかった原因 4つ (完結編)

構築する際のポイント

上記のブログにもありましたが、1台目のルータでNATが行われる為、2台目のルータでNAT Traversalを有効にしておく必要があります。また1台目のルータからIPSecのセッションを張る為に必要なポートをフォワーディングする必要もあります。
（私はポートフォワードの設定をミスって、またそれに気づかず少しハマりました。。。）

すべての設定が完了すると、下図のようにステータスが「アップ」になり、双方向で通信ができるようになります。

設定例

# RTX1100 Rev.8.03.94
# Memory 32Mbytes, 3LAN, 1BRI
# main:  RTX1100 ver=e0 
timezone +09:00
console character sjis
console prompt udcloud-stg-rt
login timer 1000
ip route default gateway 192.168.13.1
ip lan1 address 192.168.100.1/24
ip lan3 address 192.168.13.6/24
tunnel select 1
 ipsec tunnel 201
  ipsec sa policy 201 1 esp aes-cbc sha-hmac
  ipsec ike duration ipsec-sa 1 3600
  ipsec ike encryption 1 aes-cbc
  ipsec ike group 1 modp1024
  ipsec ike hash 1 sha
  ipsec ike keepalive use 1 on dpd 10 3
  ipsec ike local address 1 192.168.13.6 [ RTX1100が持つIPアドレス ]
  ipsec ike nat-traversal 1 on
  ipsec ike pfs 1 on
  ipsec ike pre-shared-key 1 {Pre-Shared Key①}
  ipsec ike remote address 1 {global IP①}
 ipsec tunnel outer df-bit clear
 ip tunnel address {Local Network①-2} ⇒ 例）169.254.30.202/30
 ip tunnel remote address {Local Network①-1} ⇒ 例）169.254.30.201
 ip tunnel tcp mss limit 1379
 tunnel enable 1
tunnel select 2
 ipsec tunnel 202
  ipsec sa policy 202 2 esp aes-cbc sha-hmac
  ipsec ike duration ipsec-sa 2 3600
  ipsec ike encryption 2 aes-cbc
  ipsec ike group 2 modp1024
  ipsec ike hash 2 sha
  ipsec ike keepalive use 2 on dpd 10 3
  ipsec ike local address 2 192.168.13.6 [ RTX1100が持つIPアドレス ]
  ipsec ike nat-traversal 2 on
  ipsec ike pfs 2 on
  ipsec ike pre-shared-key 2 {Pre-Shared Key②}
  ipsec ike remote address 2 {global IP②}
 ipsec tunnel outer df-bit clear
 ip tunnel address {Local Network②-2} ⇒ 例）169.254.129.94/30
 ip tunnel remote address {Local Network②-1} ⇒ 例）169.254.129.93
 ip tunnel tcp mss limit 1379
 tunnel enable 2
ip filter 1 pass * * * * *
ip filter 2 pass * * * * *
nat descriptor type 1000 masquerade
nat descriptor address outer 1000 ipcp
nat descriptor address inner 1000 auto
bgp use on
bgp autonomous-system 65000
bgp neighbor 1 64512 {Local Network①-1} hold-time=30 local-address={Local Network①-2}
bgp neighbor 2 64512 {Local Network②-1} hold-time=30 local-address={Local Network②-2}
bgp import filter 1 equal 192.168.100.0/24
bgp import 64512 static filter 1
ipsec auto refresh on
dhcp service server
dhcp scope 1 192.168.100.2-192.168.100.6/29
dns server 192.168.13.1

この設定で取り敢えずはVPN ConnectとIPSecが張れて、Windows Server上に作成した共有フォルダをローカル端末のネットワークドライブにマウントできます。インターネット抜けさせる場合は、追加でフィルター設定が必要になりますが、今回は不要でしたので、その設定は省いております。

これから構築する商用環境などでは、このような構成且つRTX1100を使う事はないかと思いますが、2,000円前後で中古が出回っていたりして、個人でちょっとした検証をする際に使われている方も居られるかと思います。そういった方にも参考になれば幸いです。