Upgrade to Pro — share decks privately, control downloads, hide ads and more …

【祝・東京リージョン上陸!】AWS Client VPNを使ってみる

Avatar for hmatsu47 hmatsu47 PRO
June 20, 2019
1
2.4k

【祝・東京リージョン上陸!】AWS Client VPNを使ってみる

JAWS-UG名古屋/AWS Summit Tokyo 2019 振り返り勉強会 LT 2019/06/20

Avatar for hmatsu47

hmatsu47 PRO

June 20, 2019
Tweet

More Decks by hmatsu47

See All by hmatsu47
今年の FESTA で初当日スタッフ+登壇してきました
Avatar for hmatsu47 hmatsu47
PRO
0
7
攻略!Aurora DSQL の OCC(楽観的同時実行制御)
Avatar for hmatsu47 hmatsu47
PRO
0
5
PostgreSQL でもできる!GraphRAG
Avatar for hmatsu47 hmatsu47
PRO
0
4
Aurora DSQL のトランザクション(スナップショット分離と OCC)
Avatar for hmatsu47 hmatsu47
PRO
0
10
いろんなところに居る Amazon Q(Developer)を使い分けてみた
Avatar for hmatsu47 hmatsu47
PRO
0
28
「ゲームで体感!Aurora DSQL の OCC(楽観的同時実行制御)」の結果ログから Aurora DSQL の動作を考察する
Avatar for hmatsu47 hmatsu47
PRO
0
3
ゲームで体感!Aurora DSQL の OCC(楽観的同時実行制御)
Avatar for hmatsu47 hmatsu47
PRO
0
45
PostgreSQL+pgvector で GraphRAG に挑戦 & pgvectorscale 0.7.x アップデート
Avatar for hmatsu47 hmatsu47
PRO
0
56
LlamaIndex の Property Graph Index を PostgreSQL 上に構築してデータ構造を見てみる
Avatar for hmatsu47 hmatsu47
PRO
0
21

Featured

See All Featured
Automating Front-end Workflow
Avatar for Addy Osmani addyosmani
1371
200k
The Straight Up "How To Draw Better" Workshop
Avatar for Dennis Kardys denniskardys
239
140k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
Avatar for Joe Casabona jcasabona
34
2.5k
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
Avatar for Irina Nazarova irinanazarova
9
1k
BBQ
Avatar for Matthew Crist matthewcrist
89
9.9k
Code Review Best Practice
Avatar for Trisha Gee trishagee
72
19k
Into the Great Unknown - MozCon
Avatar for Noah Learner thekraken
40
2.2k
For a Future-Friendly Web
Avatar for Brad Frost brad_frost
180
10k
Facilitating Awesome Meetings
Avatar for Lara Hogan lara
57
6.6k
Statistics for Hackers
Avatar for Jake VanderPlas jakevdp
799
230k
Large-scale JavaScript Application Architecture
Avatar for Addy Osmani addyosmani
514
110k
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
Avatar for Dan Newman danielanewman
231
22k

Transcript

  1. 【祝・東京リージョン上陸!】 AWS Client VPNを使ってみる JAWS-UG名古屋/AWS Summit Tokyo 2019 振り返り勉強会 LT

    2019/06/20

  2. はじめに • 自己紹介は省略します • JPタワーでAWSを使って何かやってる人です • ちょっとタイトル詐欺気味です • この場で接続の実演はしません •

    こちらの記事に設定方法を書きました • https://qiita.com/hmatsu47/items/ce0cc8b7f5747dbb3190 • 記事の中からAWS Client VPNの設定上・使用上のポイントを ピックアップしました

  3. AWS Client VPNとは • AWSのVPCにVPN接続するためのサービスです • クライアント用VPN接続です • OpenVPNのクライアントから接続することができます •

    ルーターモード(dev tun)で接続します • 最近ようやく東京リージョンでサービスインしました • Active Directory認証(+サーバ証明書認証)と、証明書によ る相互認証が可能です • 併用することも可能です

  4. 設定の流れ(1/3) • オレオレ認証局(CA)を立てます • 必要な証明書を発行しACMへインポートします(例:サーバ証明書) $ git clone https://github.com/OpenVPN/easy-rsa.git $

    cd easy-rsa/easyrsa3/ $ ./easyrsa init-pki $ ./easyrsa build-ca nopass $ ./easyrsa build-server-full server nopass $ mkdir published $ cp pki/ca.crt published/ $ cp pki/issued/server.crt published/ $ cp pki/private/server.key published/ $ cd published/ $ aws acm import-certificate --certificate file://server.crt --private-key file://server.key --certificate-chain file://ca.crt --region ap-northeast-1

  5. 設定の流れ(2/3) • Client VPNエンドポイントを作成します

  6. 設定の流れ(3/3) • クライアントをインストール・設定します

  7. ポイント① 認証オプションの選択 • Active Directory(AD)認証 • VPNサーバ側でADと連携してユーザ名・パスワードでクライアントを認 証します(ユーザを認証) • 証明書による相互認証

    • VPNサーバ側でクライアント証明書を使ってクライアントを認証します (端末を認証) • VPNサーバ側でのクライアントの認証対象が違います • クライアント側ではともにサーバ証明書を使ってサーバを認証します • 前述の通り併用も可能です

  8. ポイント① 認証オプションの選択 【注】証明書にパスワードを付けることはできません • パスワード認証が必要ならActive Directory認証を設定します

  9. ポイント② 証明書と有効期限 • 証明書はACM(AWS Certificate Manager)にインポートします • 証明書には有効期限があります • CA(認証局)証明書

    • サーバ証明書 • クライアント証明書(相互認証の場合に使用) • ACMでは証明書を自動更新してくれません • オレオレ認証局で更新してACMに(再)インポートする必要があります • CA証明書を更新したら設定ファイルの再ダウンロードが必要です

  10. ポイント③ クライアントソフト • コンソールから設定ファイルをダウンロードし、クライアント ソフトにインポートして使います

  11. ポイント③ クライアントソフト • そのため、GUIで設定できるもの(例:vpnux Client)よりも、 設定ファイルをインポートして使うソフトのほうが向いていま す(例:OpenVPN GUI for Windows)

    • 相互認証では以下の行を追記します • cert 【証明書ファイル名】 • key 【キーファイル名】

  12. ポイント④ Client VPNのルーティング • Client VPNはAWSとしては異例の「外→中(VPC)→外のルー ティングができるサービス」です • OpenVPNクライアントから接続する場合、クライアントの通信 は全てClient

    VPNエンドポイントにルーティングされます • そのままではVPN接続中のクライアントから直接インターネットアクセ スができなくなります

  13. ポイント④ Client VPNのルーティング • クライアントからインターネットアクセスさせる場合は、 Client VPNエンドポイントから0.0.0.0/0への受信の承認と ルーティングを設定する必要があります

  14. ポイント④ Client VPNのルーティング ※同じ原理で、オンプレネットワーク(Direct Connect先等) への接続も可能です

  15. まとめ • 認証オプションを適切に選択しましょう • 証明書の更新を忘れずに • クライアントソフトは設定ファイルのインポートが可能なもの が向いています • ルーティングを上手に設定して快適なVPNライフを

  16. ありがとうございました