8
2

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

AWS EC2のプライベートIPにOpenVPNで接続する【Windows Server】

Posted at

はじめに

業務でクラウド(Oracle Cloud Infrastructure)を扱う機会があり、プライベートIPでインスタンスにアクセスするということを初めて経験した。インターネットに直接面していないプライベートIPにどうやってアクセスするんだろうという単純な疑問が湧いたので少し調べてみたところ、(他にも方法はありそうだが)VPNを用いればアクセスできそうだと分かったので実際に試してみた。

今回はある程度使い慣れたAWSのEC2でWindows Serverを立ち上げ、OpenVPNを用いたRDP接続を行った。
そんなに役立たない内容かもしれないが、備忘録の意味も込めて執筆する(IPフォワーディングの部分などかなり手間取ったので)

手順

VPC、サブネット、IGWの作成

1.「VPC」で検索 > 「VPC」をクリック > 「VPCを作成」をクリック

適当なIPv4 CIDRを入力し、VPCを作成をクリックしてVPCを作成する

image.png

2.「サブネット」 > 「サブネットを作成」をクリック

作成したVPC IDを選択する。
こだわりがなければプレースホルダー通りに「IPv4 サブネット CIDRブロック」を入力

3.VPCのダッシュボードの左側の「インターネットゲートウェイ」をクリック

作成画面に移動し、名前を付けて作成
その後、作成したインターネットゲートウェイの詳細画面で「アクション」をクリックし、「VPCにアタッチ」で作成したVPCにインターネットゲートウェイをアタッチする。

4.作成したVPC詳細画面の「メインルートテーブル」の詳細画面に遷移 > ルートテーブルの詳細画面に遷移

(VPCからメインルートテーブルをクリックして遷移)
image.png

(ルートテーブルの詳細画面)
image.png

「ルートを編集」をクリック > 「ルートを追加」 > 0.0.0.0/0を送信先として、作成したインターネットゲートウェイを追加し、「変更を保存」

EC2インスタンスの作成

(この辺りは個人に依るところが多いと思うが、筆者の例を挙げる)
「EC2」で検索 > 「インスタンスを起動」をクリック

1.アプリケーションおよびOSイメージ(Amazon マシンイメージ)

今回はWinsows Serverを利用するので、「その他のAMIを閲覧する」を選択。「Microsoft Windows Server 2019 Base」を選択。(OSのライセンス料はインスタンスの利用料に含まれるらしい)

image.png

2.インスタンスタイプ

今回は「t2.micro」を選択

3.キーペア (ログイン)

リモートデスクトップによるWindows Serverへのログイン時に使用
「新しいキーペアの作成」をクリック
RSAと.pemを選択し、「キーペアを作成」をクリック。
「キーペア名」に作成したものを入れる

image.png

4.ネットワーク設定

「編集」をクリック。
「VPC」「サブネット」に先ほど作成したものを割り当てる。
「パブリックIPの自動割り当て」を有効化。(OpenVPN有効化のために最初だけパブリック)
「セキュリティグループを作成」を選択。
「インバウンドセキュリティグループのルールを設定」で自宅からのRDP (Remote Desktop Protocol)とOpenVPN用のUDP接続を許可。

image.png

5.概要 (画面右側)

「インスタンスを起動」をクリック
起動後、インスタンス一覧の画面に戻って、インスタンスが作成されていることを確認

インスタンスへのRDP接続

1.作成したインスタンスの「インスタンスID」をクリックしてインスタンスの詳細画面を開き、右上の「接続」をクリック

2.「RDPクライアント」タブを開き、「パスワードを取得」をクリック

「プライベートキーファイルのアップロード」から、先ほど作成したキー(.pem)をアップロードし、「パスワードを復号化」
そうすると、画面下側の「パスワード」にWindows ServerへのRDP接続(ログイン)時に使うパスワードが表示されるので、メモしておく

image.png
image.png

3.「リモートデスクトップファイルのダウンロード」から.rdpファイルをダウンロードし、それを実行する

接続時に求められるパスワードは先ほどメモしたものを用いる

OpenVPNのセットアップ (Windows Server側)

1.OpenVPNのインストール

OpenVPN.jpのページを開き、64ビット版.msiファイルをインストール

image.png

インストールしたら実行する

image.png

ここで、「Install Now」でなく、「Customize」をクリックし、下記のようにOpenSSLのインストールを指定する

image.png

その後右下のInstall Nowをクリック

2.証明書などのセットアップ

C:\Program Files\OpenVPN\easy-rsa\EasyRSA-Start.bat
を管理者権限で実行すると、コマンドプロンプトが開かれる。
その後、以下のコマンドを一行ずつ実行し、証明書とキーを生成する。

./easyrsa init-pki
./easyrsa build-ca
./easyrsa gen-req server nopass
./easyrsa sign-req server server
./easyrsa gen-req client1 nopass
./easyrsa sign-req client client1
./easyrsa gen-dh

パスフレーズを求められたり、色んな名前を求められたりするが、そこはよしなに

生成が終わったら、
C:\Program Files\OpenVPN\config
に”ca.crt”、”server.crt”、”server.key”、”dh.pem”を入れる。またconfigフォルダ内で”server.ovpn”という設定ファイルを作成し、以下のように記述する。

port 1194
proto udp4
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
keepalive 10 120
cipher AES-256-CBC
data-ciphers AES-256-GCM:AES-128-GCM:CHACHA20-POLY1305
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 5
push "route 10.0.0.0 255.255.255.0"

自身の環境や設定に合わせる
(pushはEC2インスタンスのプライベートIPへのルーティングになるようにする)

OpenVPNのセットアップ (クライアント)

1.OpenVPNのインストール

Windows Serverと同様にOpenVPN.jpからインストールする。

2.証明書などのセットアップ

C:\Program Files\OpenVPN\config
に、Windows Serverで作成した”ca.crt”、”client.crt”、”client.key”を入れる。
また下記のような”client.ovpn”を作成し、これもconfigに入れる

client
dev tun
proto udp4
remote {EC2インスタンスのパブリックIP} 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client.crt
key client.key
remote-cert-tls server
cipher AES-256-CBC
data-ciphers AES-256-GCM:AES-128-GCM:CHACHA20-POLY1305
verb 3
push "redirect-gateway def1"

OpenVPNの接続

1.Windows Serverの1194ポートを解放

「コントロールパネル」を開き、「Windows Defender ファイヤーウォール」の詳細設定ページを開く。
「入力規則」> 右側の「新しい規則」を開く

image.png

「ポート」 > 「UDP, 特定のローカルポート(1194)」 > 「接続を許可する」 > 全てにチェック > 名前を付けて「完了」

image.png

2.OpenVPNの接続を開始

画面右下の三角マークからOpenVPNのアイコンを右クリックし、接続を開始
この操作を、サーバー側とクライアント側の双方で実施する

image.png

プライベートIPへのアクセス

1. IPフォワーディングの有効化

Windowsキーを押して「regedit」と入力し、レジストリエディタを起動

image.png

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
の階層まで行き、Parametersをクリック
「IPEnableRouter」をダブルクリックし、0から1に変更する
その後Windowsを再起動し、変更を反映させる

2.プライベートIPを用いたRDP接続

リモートデスクトップを開き、プライベートIPを入力するとインスタンスに接続できた

おわりに

実際に使えるようにしていくにはセキュリティ面などをもっと詰めて考える必要がありそうだが、とりあえずプライベートIPにアクセスするという目的を達成できてよかった

8
2
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
8
2

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?