概要
ニフクラ VPN よくわからないという場合にとりあえず成功する感覚をつかみたい場合におすすめ (なはず) です
手順は多いですが、とりあえず同じやり方でやればリージョン間で VPN が張れます
今回は east-1 と west-1 でやっていますが別のリージョン間でもおそらく可能だと思います
環境
- ニフクラコンパネ (2018/06/28 時点)
VPN ゲートウェイの作成
east-1
プライベート LAN 作成 (CIDR: 172.16.1.0/24)
VPN ゲートウェイ作成
VPN ゲートウェイの FW 作成
とりあえずプライベート LAN に割り当てた範囲からは全許可しておきます
完成図
west-1
同様に west-1 も作成します
プライベート LAN (CIDR: 172.16.2.0/24)
VPN ゲートウェイ
FW
完成図
お互いの FW にお互いのグローバル IP を許可する
VPN ゲートウェイにはグローバル IP が付与されています
east-1 に作成した VPN ゲートウェイのグローバル IPからの通信許可を west-1 側の FW に追加します
west-1 に作成した VPN ゲートウェイのグローバル IPからの通信許可を east-1 側の FW に追加します
east-1
east-1 (vpngw1 ファイアウォール)
west-1
west-1 (vpngw2 ファイアウォール)
カスタマーゲートウェイの作成
そろそろややこしくなってきます
カスタマーゲートウェイは相手側の VPN 機器の情報なので今回であれば双方の VPN ゲートウェイの情報になります
east-1
- 対向機器 IP アドレスは west-1 の VPN ゲートウェイのグローバル IP
- 対向機器 LAN 側 IP アドレス帯は west-1 に作成したプライベート LAN の IP 帯
- 対向機器 LAN 側 IP アドレスは west-1 の VPN ゲートウェイのグローバル IP
を入力します
最後のやつは「あれ?」と思いますが IKE ID として送られるようでその場合はグローバル IP じゃないとダメなのでグローバル IP を指定します
west-1
同様に west-1 にも作成します
VPN コネクションを作成
双方に作成した VPN ゲートウェイに対してコネクションを作成します
VPN コネクションの作成方法がよくわからなかったのですが、VPN ゲートウェイを選択して左下のプルダウンから選択するようです
east-1
east-1 の VPN コネクション
事前共有鍵を空にすると自動生成してくれるようです
で、自動生成された鍵をどこで確認するんだろうと思ったらネットワーク一覧から VPN ゲートウェイとカスタマーゲートウェイを結ぶ線をクリックすると VPN コネクションの情報が確認できます
(確認するのが面倒な場合は適当な文字列を自分で決めても OK です)
ここに表示されている事前共有鍵をコピーしておきましょう
west-1
そして west-1 側に VPN コネクションを作成します
先ほどの事前共有鍵を設定しましょう
これで双方で VPN を張れば双方のコネクションのステータスが緑になるはずです
動作確認
一番てっとり早いのはプライベート LAN 上に VM を作成して IP を手動で振ってそれぞれアクセスできるか確認する方法です
てっとり早いといいつつ
- VM 作成 (プライベート LAN に入れる) -> FW 設定 -> グローバル IP で SSH してプライベート IP を手動で設定
という作業が 2 台分必要になります
操作は割愛しますが成功すると以下のようになります
またルートテーブルを初めに見せていますが以下のコマンドでルートを追加しています
これがないと通信できません
east-1 側の VM
ip r add 172.16.2.0/24 via 172.16.1.1 dev ens192
west-1 側の VM
ip r add 172.16.1.0/24 via 172.16.2.1 dev ens192
うーんそれでもダメだなーという場合は FW を全開放にして一度試してみてください
最後に
ニフクラ VPN を使ってリージョン間で VPN を張ってみました
VPN をちょっと試してみたい場合にはいい方法かなと思います