Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
【祝・東京リージョン上陸!】AWS Client VPNを使ってみる
Search
hmatsu47
PRO
June 20, 2019
1
2.5k
【祝・東京リージョン上陸!】AWS Client VPNを使ってみる
JAWS-UG名古屋/AWS Summit Tokyo 2019 振り返り勉強会 LT 2019/06/20
hmatsu47
PRO
June 20, 2019
Tweet
Share
More Decks by hmatsu47
See All by hmatsu47
IPv6 に関する話
hmatsu47
PRO
0
3
さいきんの光ファイバーの話
hmatsu47
PRO
0
28
低いほうのレイヤを見てみる話
hmatsu47
PRO
0
8
IPv6 VPC の実装パターンをいくつか
hmatsu47
PRO
0
26
光ファイバーと IPv6 絡みの話
hmatsu47
PRO
0
36
AWS で試して学ぶ IPv6
hmatsu47
PRO
0
33
今年の MySQL/HeatWave ネタ登壇振り返り
hmatsu47
PRO
0
32
今年の DB ネタ登壇振り返り
hmatsu47
PRO
0
23
RDS/Aurora アップデート 2025
hmatsu47
PRO
0
80
Featured
See All Featured
End of SEO as We Know It (SMX Advanced Version)
ipullrank
3
4.1k
From Legacy to Launchpad: Building Startup-Ready Communities
dugsong
0
180
Pawsitive SEO: Lessons from My Dog (and Many Mistakes) on Thriving as a Consultant in the Age of AI
davidcarrasco
0
93
Mind Mapping
helmedeiros
PRO
1
130
Lessons Learnt from Crawling 1000+ Websites
charlesmeaden
PRO
1
1.2k
How Software Deployment tools have changed in the past 20 years
geshan
0
33k
Scaling GitHub
holman
464
140k
Effective software design: The role of men in debugging patriarchy in IT @ Voxxed Days AMS
baasie
0
260
HDC tutorial
michielstock
1
580
Speed Design
sergeychernyshev
33
1.6k
Exploring the relationship between traditional SERPs and Gen AI search
raygrieselhuber
PRO
2
3.7k
Believing is Seeing
oripsolob
1
94
Transcript
【祝・東京リージョン上陸!】 AWS Client VPNを使ってみる JAWS-UG名古屋/AWS Summit Tokyo 2019 振り返り勉強会 LT
2019/06/20
はじめに • 自己紹介は省略します • JPタワーでAWSを使って何かやってる人です • ちょっとタイトル詐欺気味です • この場で接続の実演はしません •
こちらの記事に設定方法を書きました • https://qiita.com/hmatsu47/items/ce0cc8b7f5747dbb3190 • 記事の中からAWS Client VPNの設定上・使用上のポイントを ピックアップしました
AWS Client VPNとは • AWSのVPCにVPN接続するためのサービスです • クライアント用VPN接続です • OpenVPNのクライアントから接続することができます •
ルーターモード(dev tun)で接続します • 最近ようやく東京リージョンでサービスインしました • Active Directory認証(+サーバ証明書認証)と、証明書によ る相互認証が可能です • 併用することも可能です
設定の流れ(1/3) • オレオレ認証局(CA)を立てます • 必要な証明書を発行しACMへインポートします(例:サーバ証明書) $ git clone https://github.com/OpenVPN/easy-rsa.git $
cd easy-rsa/easyrsa3/ $ ./easyrsa init-pki $ ./easyrsa build-ca nopass $ ./easyrsa build-server-full server nopass $ mkdir published $ cp pki/ca.crt published/ $ cp pki/issued/server.crt published/ $ cp pki/private/server.key published/ $ cd published/ $ aws acm import-certificate --certificate file://server.crt --private-key file://server.key --certificate-chain file://ca.crt --region ap-northeast-1
設定の流れ(2/3) • Client VPNエンドポイントを作成します
設定の流れ(3/3) • クライアントをインストール・設定します
ポイント① 認証オプションの選択 • Active Directory(AD)認証 • VPNサーバ側でADと連携してユーザ名・パスワードでクライアントを認 証します(ユーザを認証) • 証明書による相互認証
• VPNサーバ側でクライアント証明書を使ってクライアントを認証します (端末を認証) • VPNサーバ側でのクライアントの認証対象が違います • クライアント側ではともにサーバ証明書を使ってサーバを認証します • 前述の通り併用も可能です
ポイント① 認証オプションの選択 【注】証明書にパスワードを付けることはできません • パスワード認証が必要ならActive Directory認証を設定します
ポイント② 証明書と有効期限 • 証明書はACM(AWS Certificate Manager)にインポートします • 証明書には有効期限があります • CA(認証局)証明書
• サーバ証明書 • クライアント証明書(相互認証の場合に使用) • ACMでは証明書を自動更新してくれません • オレオレ認証局で更新してACMに(再)インポートする必要があります • CA証明書を更新したら設定ファイルの再ダウンロードが必要です
ポイント③ クライアントソフト • コンソールから設定ファイルをダウンロードし、クライアント ソフトにインポートして使います
ポイント③ クライアントソフト • そのため、GUIで設定できるもの(例:vpnux Client)よりも、 設定ファイルをインポートして使うソフトのほうが向いていま す(例:OpenVPN GUI for Windows)
• 相互認証では以下の行を追記します • cert 【証明書ファイル名】 • key 【キーファイル名】
ポイント④ Client VPNのルーティング • Client VPNはAWSとしては異例の「外→中(VPC)→外のルー ティングができるサービス」です • OpenVPNクライアントから接続する場合、クライアントの通信 は全てClient
VPNエンドポイントにルーティングされます • そのままではVPN接続中のクライアントから直接インターネットアクセ スができなくなります
ポイント④ Client VPNのルーティング • クライアントからインターネットアクセスさせる場合は、 Client VPNエンドポイントから0.0.0.0/0への受信の承認と ルーティングを設定する必要があります
ポイント④ Client VPNのルーティング ※同じ原理で、オンプレネットワーク(Direct Connect先等) への接続も可能です
まとめ • 認証オプションを適切に選択しましょう • 証明書の更新を忘れずに • クライアントソフトは設定ファイルのインポートが可能なもの が向いています • ルーティングを上手に設定して快適なVPNライフを
ありがとうございました
hmatsu47
ipullrank
dugsong
davidcarrasco
helmedeiros
charlesmeaden
geshan
holman
baasie
michielstock
sergeychernyshev
raygrieselhuber
oripsolob
