メインコンテンツまでスキップ

FCIとAWSの接続(Virtual Private Gateway経由)

このガイドでは、UnifyポータルでAWSとOPSプラットフォーム間のVPNaaSを接続する方法を説明します。

  • I. AWSでのVPN Site-to-Site設定
  • II. FCI CloudでのVPN Site-to-Site設定

この例では、以下のトポロジーのパラメーターを使用してVPN Site-to-Site接続を作成します。ファイル

AWSでのVPN Site-to-Site設定

ステップ1. Customer Gateway を作成します。 Customer Gateway は、オンプレミスネットワークの ゲートウェイ デバイスを表すAWSのリソースです。 Customer Gatewayを作成するには:

a. https://console.aws.amazon.com/vpc/ にアクセスします。 b. Customer gateways > Create customer gateway を選択します。 必須フィールドを入力します。IPアドレスにはFCI VPN GatewayのLocal IP publicを使用します。

ファイル

c. Create customer gateway を選択します。 作成された Customer gateway の詳細:

ファイル

ステップ2. Virtual Private Gatewayを作成します。 Virtual Private Gateway を作成するには:

a. ナビゲーションペインで Virtual private gateways > Create virtual private gateway を選択します。ファイル

b. Create virtual private gateway を選択します。 作成後の結果:

ファイル

c. Virtual private gatewayVPC にアタッチします。ファイル

ステップ3. ルーティングを設定します。 Virtual Private Gateway を経由して、VPC(AWS)からCustomer Gateway(FCI)へトラフィックを誘導するルーティングを設定します。 ルートテーブルの route propagation を有効にして、VPN接続のルートを自動追加します。

a. ナビゲーションペインで Route tables を選択します。 b. サブネットに関連付けられた Route table を選択します。 c. Route propagation タブで Edit route propagation を選択します。 d. 前のステップで作成した Virtual private gateway を選択し、Enable Propagation を選択してSaveをクリックします。 ファイル ファイル

ステップ4. Security groupsを更新します。 SSHRDPICMP アクセスを許可するよう Security groups を更新します。 Security group にルールを追加するには:

a. ナビゲーションペインで Security groups を選択します。 b. アクセスを許可したいVPC内のインスタンスのSecurity groupを選択します。 c. Inbound rules タブで Edit inbound rules を選択します。 d. インバウンドのSSH、RDP、ICMPを許可するルールを追加し、Save rules を選択します。

ファイル

ステップ5. VPN connectionを作成します。 先ほど作成した Customer GatewayVirtual Private Gateway を組み合わせて VPN connection を作成します。 VPN connectionを作成するには:

a. ナビゲーションペインで Site-to-Site VPN connections を選択します。 b. Create VPN connection を選択します。 c. Target gateway typeVirtual private gateway に設定します。 d. 先ほど作成した VGWCGW を選択します。 e. Routing optionに Static を選択し、static IP prefixesにFCI側のサブネット範囲を入力します。 g. Local IPv4 network: FCI側のサブネット範囲を入力します。 h. Remote IPv4 network: AWS側のサブネット範囲を入力し、tunnel 1のオプションを選択します。

j. edit tunnel options を選択してトンネルのパラメーターを変更します。

k. tunnel1tunnel2 のパラメーターを編集します。 注意: この例では値を入力する必要はありません — AWSがデフォルト値(28800と3600)を自動使用します。これらの値は後のステップでFCI側に設定して接続を最適化します。

DPD timeout actionについては restart モードに設定してください(このモードではDPDタイムアウト時にAWSが自動的に接続を再起動します)。

ファイル

l. Create VPN connection を選択します。

ファイル

VPN Connectionが正常に初期化され、ステータスが 'Available' になります。ファイル 次に、Route table のルーティングが正しく設定されているか確認します。

ファイル

ステップ6. 設定ファイルをダウンロードします。 VPN connectionを作成したら、FCI VPCの設定に使用する 設定ファイル をダウンロードできます。 設定ファイル をダウンロードするには:

a. VPN connectionのページにアクセスします。 b. 作成したConnectionを選択し、Download configuration を選択します。 c. Vendor: pfSense、IKE version: IKEv1 を選択し、Download をクリックします。

ファイル

この設定ファイルを使用してFCI側のVPN Site-to-Siteを作成します。ファイル

FCI CloudでのVPN Site-to-Site設定

ステップ1. Customer Gatewaysを作成します。 以下の情報でCustomer Gatewayを作成します。

ステップ2. VPN connectionを作成します。 VPN Connectionのパラメーターは3つの主要セクションで構成されます。

  • General information(接続の基本情報)
  • Remote VPN Information(暗号化設定およびお客様側情報)
  • Dead Peer Detection(接続問題発生時の自動リトライ回数)

セクション1: General information

セクション2: Remote VPN information

Providers「AWS」を選択すると、IKEおよびIPSecの設定が自動入力されます。

IKEの設定:

  • Encryption algorithm: aes-256
  • Authorization algorithm: sha256
  • IKE version: ikev2
  • Lifetime units: seconds
  • Lifetime value: 28800
  • DH Group: GROUP_14
  • Phase 1 negotiation mode: main

IPSecの設定:

  • Encapsulation mode: tunnel
  • Encryption algorithm: aes-256
  • Authorization algorithm: sha256
  • Lifetime units: seconds
  • Lifetime value: 3600
  • Perfect forward secrecy (PFS): GROUP_14
  • Transform protocol: esp

セクション3: Remote VPN information

DelayとMax failureの値を入力し、Create VPN Connection を選択します。 接続が成功すると、FCI Cloud側のVPN connectionの Operation statusOnline になります。

  • AWS側の接続ステータス確認: VPN connections に移動し、VPN connection を選択して Tunnel details を確認します。接続が成功していれば、トンネルの statusUP になります。ファイル
  • 結果の確認。

VPN Site-to-Siteで設定したネットワーク範囲内で各VPCのVMを起動し、両側からpingを実行して確認します。

FCIからAWSへのping結果

ファイル

AWSからFCI Cloudへのping結果

ファイル

Dang Tran最終更新