Upgrade to Pro — share decks privately, control downloads, hide ads and more …

【祝・東京リージョン上陸!】AWS Client VPNを使ってみる

Avatar for hmatsu47 hmatsu47 PRO
June 20, 2019
1
2.4k

【祝・東京リージョン上陸!】AWS Client VPNを使ってみる

JAWS-UG名古屋/AWS Summit Tokyo 2019 振り返り勉強会 LT 2019/06/20

Avatar for hmatsu47

hmatsu47 PRO

June 20, 2019
Tweet

More Decks by hmatsu47

See All by hmatsu47
Aurora DSQL のトランザクション(スナップショット分離と OCC)
Avatar for hmatsu47 hmatsu47
PRO
0
4
いろんなところに居る Amazon Q(Developer)を使い分けてみた
Avatar for hmatsu47 hmatsu47
PRO
0
22
ゲームで体感!Aurora DSQL の OCC(楽観的同時実行制御)
Avatar for hmatsu47 hmatsu47
PRO
0
11
PostgreSQL+pgvector で GraphRAG に挑戦 & pgvectorscale 0.7.x アップデート
Avatar for hmatsu47 hmatsu47
PRO
0
28
LlamaIndex の Property Graph Index を PostgreSQL 上に構築してデータ構造を見てみる
Avatar for hmatsu47 hmatsu47
PRO
0
17
PostgreSQL+pgvector で LlamaIndex の Property Graph Index を試す(序章)
Avatar for hmatsu47 hmatsu47
PRO
0
16
HeatWave on AWS という選択肢を検討してみる
Avatar for hmatsu47 hmatsu47
PRO
0
13
HeatWave on AWS のインバウンドレプリケーションで HeatWave エンジン有効時のレプリケーションラグを確認してみた!
Avatar for hmatsu47 hmatsu47
PRO
0
22
CloudWatch Database Insights 関連アップデート
Avatar for hmatsu47 hmatsu47
PRO
0
56

Featured

See All Featured
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
Avatar for Joe Casabona jcasabona
33
2.4k
Scaling GitHub
Avatar for Zach Holman holman
463
140k
Documentation Writing (for coders)
Avatar for Carmen Chung carmenintech
73
5k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
Avatar for soudai sone soudai
PRO
185
54k
Embracing the Ebb and Flow
Avatar for Simon Collison colly
87
4.8k
Put a Button on it: Removing Barriers to Going Fast.
Avatar for kastner kastner
60
4k
GitHub's CSS Performance
Avatar for Jon Rohan jonrohan
1032
460k
Music & Morning Musume
Avatar for Bryan Veloso bryan
46
6.8k
Measuring & Analyzing Core Web Vitals
Avatar for Philip Tellis bluesmoon
9
570
YesSQL, Process and Tooling at Scale
Avatar for Rocio Delgado rocio
173
14k
Practical Tips for Bootstrapping Information Extraction Pipelines
Avatar for Matthew Honnibal honnibal
PRO
23
1.4k
Faster Mobile Websites
Avatar for Dean Hume deanohume
309
31k

Transcript

  1. 【祝・東京リージョン上陸!】 AWS Client VPNを使ってみる JAWS-UG名古屋/AWS Summit Tokyo 2019 振り返り勉強会 LT

    2019/06/20

  2. はじめに • 自己紹介は省略します • JPタワーでAWSを使って何かやってる人です • ちょっとタイトル詐欺気味です • この場で接続の実演はしません •

    こちらの記事に設定方法を書きました • https://qiita.com/hmatsu47/items/ce0cc8b7f5747dbb3190 • 記事の中からAWS Client VPNの設定上・使用上のポイントを ピックアップしました

  3. AWS Client VPNとは • AWSのVPCにVPN接続するためのサービスです • クライアント用VPN接続です • OpenVPNのクライアントから接続することができます •

    ルーターモード(dev tun)で接続します • 最近ようやく東京リージョンでサービスインしました • Active Directory認証(+サーバ証明書認証)と、証明書によ る相互認証が可能です • 併用することも可能です

  4. 設定の流れ(1/3) • オレオレ認証局(CA)を立てます • 必要な証明書を発行しACMへインポートします(例:サーバ証明書) $ git clone https://github.com/OpenVPN/easy-rsa.git $

    cd easy-rsa/easyrsa3/ $ ./easyrsa init-pki $ ./easyrsa build-ca nopass $ ./easyrsa build-server-full server nopass $ mkdir published $ cp pki/ca.crt published/ $ cp pki/issued/server.crt published/ $ cp pki/private/server.key published/ $ cd published/ $ aws acm import-certificate --certificate file://server.crt --private-key file://server.key --certificate-chain file://ca.crt --region ap-northeast-1

  5. 設定の流れ(2/3) • Client VPNエンドポイントを作成します

  6. 設定の流れ(3/3) • クライアントをインストール・設定します

  7. ポイント① 認証オプションの選択 • Active Directory(AD)認証 • VPNサーバ側でADと連携してユーザ名・パスワードでクライアントを認 証します(ユーザを認証) • 証明書による相互認証

    • VPNサーバ側でクライアント証明書を使ってクライアントを認証します (端末を認証) • VPNサーバ側でのクライアントの認証対象が違います • クライアント側ではともにサーバ証明書を使ってサーバを認証します • 前述の通り併用も可能です

  8. ポイント① 認証オプションの選択 【注】証明書にパスワードを付けることはできません • パスワード認証が必要ならActive Directory認証を設定します

  9. ポイント② 証明書と有効期限 • 証明書はACM(AWS Certificate Manager)にインポートします • 証明書には有効期限があります • CA(認証局)証明書

    • サーバ証明書 • クライアント証明書(相互認証の場合に使用) • ACMでは証明書を自動更新してくれません • オレオレ認証局で更新してACMに(再)インポートする必要があります • CA証明書を更新したら設定ファイルの再ダウンロードが必要です

  10. ポイント③ クライアントソフト • コンソールから設定ファイルをダウンロードし、クライアント ソフトにインポートして使います

  11. ポイント③ クライアントソフト • そのため、GUIで設定できるもの(例:vpnux Client)よりも、 設定ファイルをインポートして使うソフトのほうが向いていま す(例:OpenVPN GUI for Windows)

    • 相互認証では以下の行を追記します • cert 【証明書ファイル名】 • key 【キーファイル名】

  12. ポイント④ Client VPNのルーティング • Client VPNはAWSとしては異例の「外→中(VPC)→外のルー ティングができるサービス」です • OpenVPNクライアントから接続する場合、クライアントの通信 は全てClient

    VPNエンドポイントにルーティングされます • そのままではVPN接続中のクライアントから直接インターネットアクセ スができなくなります

  13. ポイント④ Client VPNのルーティング • クライアントからインターネットアクセスさせる場合は、 Client VPNエンドポイントから0.0.0.0/0への受信の承認と ルーティングを設定する必要があります

  14. ポイント④ Client VPNのルーティング ※同じ原理で、オンプレネットワーク(Direct Connect先等) への接続も可能です

  15. まとめ • 認証オプションを適切に選択しましょう • 証明書の更新を忘れずに • クライアントソフトは設定ファイルのインポートが可能なもの が向いています • ルーティングを上手に設定して快適なVPNライフを

  16. ありがとうございました