Upgrade to Pro — share decks privately, control downloads, hide ads and more …

【祝・東京リージョン上陸!】AWS Client VPNを使ってみる

Avatar for hmatsu47 hmatsu47
PRO
June 20, 2019
1
2.3k

【祝・東京リージョン上陸!】AWS Client VPNを使ってみる

JAWS-UG名古屋/AWS Summit Tokyo 2019 振り返り勉強会 LT 2019/06/20
Avatar for hmatsu47

hmatsu47
PRO

June 20, 2019
Tweet

More Decks by hmatsu47

See All by hmatsu47
PostgreSQL+pgvector で GraphRAG に挑戦 & pgvectorscale 0.7.x アップデート
Avatar for hmatsu47 hmatsu47
PRO
0
8
LlamaIndex の Property Graph Index を PostgreSQL 上に構築してデータ構造を見てみる
Avatar for hmatsu47 hmatsu47
PRO
0
10
PostgreSQL+pgvector で LlamaIndex の Property Graph Index を試す(序章)
Avatar for hmatsu47 hmatsu47
PRO
0
11
HeatWave on AWS という選択肢を検討してみる
Avatar for hmatsu47 hmatsu47
PRO
0
6
HeatWave on AWS のインバウンドレプリケーションで HeatWave エンジン有効時のレプリケーションラグを確認してみた!
Avatar for hmatsu47 hmatsu47
PRO
0
16
CloudWatch Database Insights 関連アップデート
Avatar for hmatsu47 hmatsu47
PRO
0
28
さいきんの MySQL との付き合い方 〜 MySQL 8.0 より後の世界へようこそ 〜
Avatar for hmatsu47 hmatsu47
PRO
0
29
ベクトルストア入門
Avatar for hmatsu47 hmatsu47
PRO
0
25
Aurora DSQL について
Avatar for hmatsu47 hmatsu47
PRO
0
27

Featured

See All Featured
Imperfection Machines: The Place of Print at Facebook
Avatar for Scott Boms scottboms
267
13k
What's in a price? How to price your products and services
Avatar for Michael Herold michaelherold
246
12k
[RailsConf 2023] Rails as a piece of cake
Avatar for Vladimir Dementyev palkan
55
5.6k
Distributed Sagas: A Protocol for Coordinating Microservices
Avatar for Caitie McCaffrey caitiem20
331
22k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
Avatar for Kevin Liebholz kevinliebholz
34
5.9k
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
Avatar for Eileen M. Uchitelle eileencodes
26
2.9k
No one is an island. Learnings from fostering a developers community.
Avatar for Antonio thoeni
21
3.3k
Intergalactic Javascript Robots from Outer Space
Avatar for Vicent Martí tanoku
271
27k
Fantastic passwords and where to find them - at NoRuKo
Avatar for Phil Nash philnash
51
3.3k
Dealing with People You Can't Stand - Big Design 2015
Avatar for Cassini Nazir cassininazir
367
26k
How STYLIGHT went responsive
Avatar for nonsquared nonsquared
100
5.6k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
Avatar for Eileen M. Uchitelle eileencodes
138
34k

Transcript

  1. 【祝・東京リージョン上陸!】 AWS Client VPNを使ってみる JAWS-UG名古屋/AWS Summit Tokyo 2019 振り返り勉強会 LT

    2019/06/20

  2. はじめに • 自己紹介は省略します • JPタワーでAWSを使って何かやってる人です • ちょっとタイトル詐欺気味です • この場で接続の実演はしません •

    こちらの記事に設定方法を書きました • https://qiita.com/hmatsu47/items/ce0cc8b7f5747dbb3190 • 記事の中からAWS Client VPNの設定上・使用上のポイントを ピックアップしました

  3. AWS Client VPNとは • AWSのVPCにVPN接続するためのサービスです • クライアント用VPN接続です • OpenVPNのクライアントから接続することができます •

    ルーターモード(dev tun)で接続します • 最近ようやく東京リージョンでサービスインしました • Active Directory認証(+サーバ証明書認証)と、証明書によ る相互認証が可能です • 併用することも可能です

  4. 設定の流れ(1/3) • オレオレ認証局(CA)を立てます • 必要な証明書を発行しACMへインポートします(例:サーバ証明書) $ git clone https://github.com/OpenVPN/easy-rsa.git $

    cd easy-rsa/easyrsa3/ $ ./easyrsa init-pki $ ./easyrsa build-ca nopass $ ./easyrsa build-server-full server nopass $ mkdir published $ cp pki/ca.crt published/ $ cp pki/issued/server.crt published/ $ cp pki/private/server.key published/ $ cd published/ $ aws acm import-certificate --certificate file://server.crt --private-key file://server.key --certificate-chain file://ca.crt --region ap-northeast-1

  5. 設定の流れ(2/3) • Client VPNエンドポイントを作成します

  6. 設定の流れ(3/3) • クライアントをインストール・設定します

  7. ポイント① 認証オプションの選択 • Active Directory(AD)認証 • VPNサーバ側でADと連携してユーザ名・パスワードでクライアントを認 証します(ユーザを認証) • 証明書による相互認証

    • VPNサーバ側でクライアント証明書を使ってクライアントを認証します (端末を認証) • VPNサーバ側でのクライアントの認証対象が違います • クライアント側ではともにサーバ証明書を使ってサーバを認証します • 前述の通り併用も可能です

  8. ポイント① 認証オプションの選択 【注】証明書にパスワードを付けることはできません • パスワード認証が必要ならActive Directory認証を設定します

  9. ポイント② 証明書と有効期限 • 証明書はACM(AWS Certificate Manager)にインポートします • 証明書には有効期限があります • CA(認証局)証明書

    • サーバ証明書 • クライアント証明書(相互認証の場合に使用) • ACMでは証明書を自動更新してくれません • オレオレ認証局で更新してACMに(再)インポートする必要があります • CA証明書を更新したら設定ファイルの再ダウンロードが必要です

  10. ポイント③ クライアントソフト • コンソールから設定ファイルをダウンロードし、クライアント ソフトにインポートして使います

  11. ポイント③ クライアントソフト • そのため、GUIで設定できるもの(例:vpnux Client)よりも、 設定ファイルをインポートして使うソフトのほうが向いていま す(例:OpenVPN GUI for Windows)

    • 相互認証では以下の行を追記します • cert 【証明書ファイル名】 • key 【キーファイル名】

  12. ポイント④ Client VPNのルーティング • Client VPNはAWSとしては異例の「外→中(VPC)→外のルー ティングができるサービス」です • OpenVPNクライアントから接続する場合、クライアントの通信 は全てClient

    VPNエンドポイントにルーティングされます • そのままではVPN接続中のクライアントから直接インターネットアクセ スができなくなります

  13. ポイント④ Client VPNのルーティング • クライアントからインターネットアクセスさせる場合は、 Client VPNエンドポイントから0.0.0.0/0への受信の承認と ルーティングを設定する必要があります

  14. ポイント④ Client VPNのルーティング ※同じ原理で、オンプレネットワーク(Direct Connect先等) への接続も可能です

  15. まとめ • 認証オプションを適切に選択しましょう • 証明書の更新を忘れずに • クライアントソフトは設定ファイルのインポートが可能なもの が向いています • ルーティングを上手に設定して快適なVPNライフを

  16. ありがとうございました