AWSサイト間のVPN接続をYAMAHA RTX830で設定してみました

カテゴリ一 ブログ 構築 クラウド
2020-11-04

こんにちは。久々に登場のエンジニア(?)のhamanunです。
システムのクラウド化が進む中で、クラウドへの安全な接続というのはほぼ必須になっています。
そこで、今日は手元にあったYAMAHA RTX830を使って実際にAWSへのVPN接続を試してみました。

ネットワーク構成

今回は以下のような構成(イメージ)で設定をしていきたいと思います。

 

 

AWS側の前準備

まず、VPN接続をするためにAWS側での準備をしていきます。

VPCを作成する

今回は新規でVPN接続用のVPCを作ります。

 

 

必要な項目を入力して「作成」すると、以下のようにVPCが作成されます。

 

 

サブネットを作成する

 

 

VPC欄には先程作成したVPC IDを選択します。また、IPv4 CIDR ブロック には今回 10.0.1.0/24 を設定します。
「作成」すると、以下のようにサブネットが作成されます。

 

 

ルートテーブルを作成する

次にVPC内のルートを定義するために、新規でルートテーブルを作成します。

 

 

VPC欄にはサブネットの時と同様に、作成したVPC IDを選択します。
「作成」すると、以下のようにルートテーブルが作成されます。

 

 

カスタマーゲートウェイ(CGW)を作成する

カスタマーゲートウェイはAWSからみた対向のゲートウェイ(今回で言えばRTX830)となります。

 

 

ルーティングは「動的」を選択、BGP ASNはデフォルトの「65000」、IPアドレスには(拠点側のglobal IP)を設定して「作成」します。

仮想プライベートゲートウェイ(VGW)を作成し、VPCにアタッチする

仮想プライベートゲートウェイはVPC側のゲートウェイでCGWとのVPNの受け口となります。

 

 

ASNは「AmazonのデフォルトASN」を選択して「作成」します。
作成できたら、作成したVGWを選択し、アクション→VPCにアタッチを選択します。

 

 

VPCに作成したVPCを選択して「アタッチ」します。

 

 

ルート伝搬の設定をする

VPCにVGWをアタッチしたのでルート情報を更新します。
VGWからルーティングを伝搬させるので、ルートテーブルを選択し、
詳細のルート伝搬タグのルート伝搬の編集から表示された画面で、VGWの伝搬をチェックします。

 

 

VPN接続を作成する

ここまで設定できたら、AWS側の設定もあと一息です。
サイト間のVPN接続画面より、VPN接続の作成をします。

 

 

Target Gateway Typeには「Virtual Private Gateway」を選択し、仮想プライベートゲートウェイに作成したVGWを選択します。
カスタマーゲートウェイには「既存」を選択し、Customer Gateway IDに作成したCGWを選択します。
ルーティングオプションは「動的」、Tunnel Inside Ip Versionには「IPv4」を選択します。
その他の項目についてはデフォルトのまま「作成」すると、以下のようにVPN接続が作成されます。

 

 

VPN接続を作成する

VPN接続の作成ができたら、設定をダウンロードします。
設定のダウンロードで以下のダイアログが表示されるので、ベンダーに「YAMAHA」、プラットフォーム「RTX Routers」、ソフトウェア「Rev.10.01.16+」を選択して「ダウンロード」します。
※ソフトウェアは作業時点で更新されている可能性があります。

 

 

こちらでAWS側の準備は完了となります。
今回は手動でひとつずつ作成していきましたが、「VPCウィザードの起動」からまとめて作成することも可能です。
興味がある方はやってみてください。

 


 

RTX830の設定

ここからはRTX830側の設定になります。
設定はダウンロードしたものの、YAMAHAさんのサイトにWebGUI設定なるものがあったのでそれに沿ってやっていきたいと思います。

GUIでの設定

設定手順は以下のページ(のクラウド接続の設定)を参照してやっていきました。
https://network.yamaha.com/setting/router_firewall/cloud/amazon_vpc/setup_rt-gui

ですが、7.まで実施したところで・・・・

 

 

なんと、AWSからの設定情報取得に失敗してしまいました。
アクセスキーなどは何度も確認してトライしたし、IAMの権限も間違っていない・・・
AWS側の仕様などが変わってしまったのか、しばらく悩みましたが別の方法でやることに(結局解決してない

AWSからの設定ファイルのインポート

GUIでの設定に失敗してしまったので、ファイルのインポート(tftp)でやりたいと思います。
RTX830でtftpを許可します。

 

 

今回はNAT配下での接続となるので、RTX830へ以下の設定も行います。

 

 

AWSよりダウンロードした設定ファイルをアップロードします。

 

 

※AWSからダウンロードしたファイル

 

 

正常にアップロードできたら再度RTX830へ以下の設定を行います。
(NAT-Tを有効にする為)

 

 

これで接続設定が完了しました。
実際の接続状態を確認してみましょう。

 
【AWS側】ステータスが「アップ」となっていればOKです。

 

 

 
【RTX830側】接続状態欄でルーター間が緑の矢印となっていればOKです。

 

 

CLIでも確認してみましょう。
「トンネルインターフェースは接続されています」と出れば問題ありません。

 

 

BGPのステータスも見てみましょう。
「state = Established」となっていればOKです。

 

 

正常に接続できていない場合は、AWSさんでトラブルシューティングのページが公開されているので確認しましょう!
https://docs.aws.amazon.com/ja_jp/vpn/latest/s2svpn/Yamaha_Troubleshooting.html
 

接続が切れた・・・!?

 
後日、VPNが2-3秒切断される現象がありました。
AWSへ問い合わせたところ以下のような回答をいただきました。

 

 

ということなので、早速設定をしてみました。

 

 

その後、2,3日様子をみましたがVPN切断される事象はなかったので解決されていると思います。めでたし。
これで今回の「してみました」は終了です。長々とおつきあいありがとうございました。

この記事が気に入ったら
いいね ! しよう

シェアする
ツイートする
Twitter で
The following two tabs change content below.
アバター
hamanun
トリセツがあると有効活用できる、少し扱いの難しい文系エンジニア。広く浅いオールラウンダーが理想。

【採用情報】一緒に働く仲間を募集しています

採用情報
2020-11-04

関連投稿
ページトップへ