(1)環境
AWS VPC 172.16.0.0/16
企業側 グローバルIP x.x.x.x
社内ネットワーク192.168.1.0/24
(2)設定の流れAWS側
https://nwengblog.com/awsvpn/
VPCのメニュー>仮想プライベートネットワーク(VPN)を上から順に設定していく。
①カスタマーゲートウェイの作成 →VPNの対向のルータの情報
VPCのメニュー>仮想プライベートネットワーク(VPN)
カスタマーゲートウェイの作成で
・名前:
・ルーティング: 静的
・IPアドレス:対向のFortigateのIPアドレス 203.0.113.8
※それ以外はデフォルト
②仮想プライベートゲートウェイ →自分のVPNルータ
・上記の下にある「仮想プライベートゲートウェイ」
任意の名前を付ける。それ以外はデフォルト
・作成したら、VPCに関連づける。
作成した仮想プライベートゲートウェイを選択して「アクション」「VPCにアタッチ」で、関連づけたいVPCを選ぶ。
③サイト間のVPN接続
・VPN 接続の作成 ボタンを押す
・上から、Virtual Private Gateway を選んで、作成した仮想プライベートゲートウェイを選ぶ
・カスタマーゲートウェイは「既存」を選び、作成したカスタマーゲートウェイを選ぶ
・ルーティングオプションは「静的」を選び、対向のセグメントを入れる(たとえば、192.168.1.0/24)
・トンネルオプション おそらくデフォルトでいい。個別に設定をしてもいい。トンネル1の事前共有キーを設定「secret_key」など。 ※トンネルが2つ作成されようとしているが、私は1つしか作らなかった。
※ここから課金が発生する。1時間0.01ドルくらいかな?
設定のダウンロードを押すと、FortigateのGUIでどう設定すればいいかの具体的な方法が記載される。なんて便利なんだーー。
④ルートテーブル
VPCの画面などから「ルートテーブル」をクリック。
該当するサブネットのルートテーブルを探し、「ルートの編集」でルートを追加する。
対向セグメント(たとえば192.168.1.0/24)を指定して、ターゲットとして作成した仮想プライベートゲートウェイを選択する(一番下にある)
⑤セキュリティグループの設定
必要か?
⑥状態確認
Fortigateと接続してからになるが、「サイト間のVPN接続」から
該当するVPNを選び、下の「Tunnel Deatails」で「アップ」になっていればいい。
(3)Fortigate側
①Fortigateにログインし、VPN>IPsecトンネル 新規作成
ここでは強制的にウィザードになってしまうので、あきらめてウィザードで進める
・VPNセットアップ 名前を入れる。
・テンプレートタイプ:サイト間
・NAT無し
※ダウンロードしたAWSの設定情報などから、対抗のIPアドレスなども入れるはず
・ローカルIFはlan
・ローカルサブネット、リモートサブネットに、それぞれNW情報を入れる
・インターネットアクセスはNoneにした
②作成したIPsecトンネルであるが、「カスタムトンネルへコンバート」
基本的には以下の通り
https://www.ikura-oisii.com/?p=191
・フェーズ1プロポーザルで、SHA1-AES128、DHグループは2のみ。鍵のTTLは28800
・フェーズ2では、SHA1-AES128、DHグループは2のみ。鍵のTTLは3600、自動鍵キープアライブをON
③ポリシーも確認
・ポリシー&ルーティング:lanのセグメント(192.168.1.0/24)と、リモートセグメント(10.0.0.0/16←本当は10.0.1.0/24としたいが、ConfigをみるとVPCが適切のようだ)
インターネットアクセスは、Noneにした。(必要がないので)
③インターフェースをみよう。 WAN1にトンネルインターフェースが作成されている。+ボタンで押そう
デフォルトの0.0.0.0のままでいい
④ルーティングは作成されているはず
Configと中身を確認しよう ※何もしなくていい
⑤ポリシー
こちらも作成されているはず ※何もしなくていい
⑥状態確認
IPsecモニタで、「アップ」にする。
とりあえず接続は完了。
ルーティングはサブネットにするのか、VPCに設定するのだろうか。→VPCだね。
新規にVPCを作成したらうまく接続できた。上のURLの通りにやること。
(4)疎通確認
FortigateのCLIから直接Pingを送信してみたが、うまくいかなかった。配下のPCから行うと、無事に疎通できた。
検証としては、イメージを作成して配信などもやりたい。
認証連携、二要素認証、バックアップ環境の構築など。