前回、VyOSをVM Player上にインストールしてゲストOSの接続設定等を実施しました。
今回は、AWS VPCとのVPN接続をやってみようと思います。(もともと、AWSの勉強をしていた時にVPN接続のイメージがつかず、VM Playerのネットワーク設定やVyOSにチャレンジし始めました。ついに本来やりたかったところまで来ました・・・!)
ちなみに、直近で無料ダウンロード可能なVyOS1.4だと、参考にした記事と結構コマンドが違いました。下記手順の途中に出てくる、AWSコンソールからダウンロードできる設定手順はそこそこ修正が必要なので、そのあたりをしっかり残そうと思います。
<全3回でやろうと思っていること>
①VMware Playerの仮想ネットワーク設定
②VyOS1.4を使ったDNS,DHCP,NATなど
③VyOS1.4とAWS VPC間のSite-to-Site VPN接続 ←今回はこれです。
(1) 初期状態と目標
(2) AWSコンソール上での設定
(3) VyOS上の設定
(4) 接続確認
<環境>
【オンプレ(自宅)側】
ホストOS: Windows10 20H2
ハイパーバイザ: VMware WorkStation 16 Player
ゲストOS①: CentOS 8
ゲストOS②: CentOS 7
仮想ルータ: VyOS 1.4
【AWS側】
EC2:Red Hat Enterprise Linux 8
#(1)初期状態と目標
###初期状態
- オンプレ(自宅)側
- 前回までと同じ
- インターネットルータ(192.168.11.1)にVyOSがブリッジ接続
- VyOSはインターネットルータに接続したネットワークインターフェースeth0(192.168.11.25)の他に2つのネットワーク[VMnet3:192.168.88.0/24、VMnet4:192.168.153.0/24]のデフォルトルートであるeth1(192.168.88.1)、eth2(192.168.153.1)の2つのネットワークインターフェースを持つ
- VMnet3にはゲストOS①(CentOS 8, 192.168.88.128)、VMnet4にはゲストOS②(CentOS 7, 192.168.153.128)が接続されている
- AWS側
- VPC(10.2.0.0/16)内にプライベートサブネット(10.2.0.0/24)を構築
- サブネット内でEC2(RHEL8, 10.2.0.74)を起動
###目標
VyOSをVPNルータ(=Customer gateway)としてVPCとの間にSite-to-Site VPNを構築する。
ゲストOSとEC2との間で双方向にアクセスできるようにする。また、VPNトンネルは冗長化のために2本構築する(AWSのSite-to-Site VPNではデフォルトでそうなる)。
#(2) AWSコンソール上での設定
VPC側、オンプレ側双方のゲートウェイを作成した後、VPN接続を構成する。
また、ルートテーブルの伝播設定を入れる。
###カスタマーゲートウェイの作成
AWSコンソール上で「VPCサービス」>「カスタマーゲートウェイ」>カスタマーゲートウェイの作成を選択。
名前は適当に入力、ルーティングは「動的」、IPアドレスはCMANのサイト等で確認した自宅ルータのグローバルIPアドレスを入力。その後、カスタマーゲートウェイの作成を押下。
下記の画面が出れば成功。「閉じる」を押下。
###仮想プライベートゲートウェイの作成
左側のナビゲーションペインで「仮想プライベートゲートウェイ」を選択し、「仮想プライベートゲートウェイの作成」を押下。
名前を適当に入力して、「仮想プライベートゲートウェイの作成」。
こちらも下記の画面が出れば成功。「閉じる」を押下。
「アクション」>「VPCにアタッチ」
アタッチしたいVPCを選択し、「はい、アタッチします」
状態が「attaching」からしばらくして「attached」になることを確認(適宜右上の更新マークを押す)。
###サイト間のVPN接続
左側のナビゲーションペインで「サイト間のVPN接続」を選択し、「VPN接続の作成」を押下。
名前を適当入力し、これまで作成した仮想プライベートゲートウェイ、カスタマーゲートウェイを選択。
画面を下にスクロールし、「VPN接続の作成」
(他の項目はすべて入力しない)
この画面が出てればOK。「閉じる」を押下。
状態が「保留中」からしばらくして「」に変わることを確認する。(適宜右上の更新マークを押す)
###ルートテーブルの伝播設定
右側のナビゲーションペインで「ルートテーブル」を選択。今回EC2の存在するサブネットに関連付けられたルートテーブルを選択し、「ルート伝播」タブに進む。
「ルート伝播」タブに遷移後、「ルート伝達」の編集を押下。
「伝播」にチェックを入れて「保存」。
「伝播」が「はい」に変わっていればOK。
※ちなみに、「ルート」タブをみると、この時点は何も伝播されていないことがわかる。
(=「伝播済」が「はい」になっているレコードが無い)
#(3) VyOS上の設定
AWSコンソール上で作成したサイト間VPNの設定を、オンプレ側のVyOSに流し込む。
前述の通り、VyOS1.4ではAWSからダウンロードした内容は一部修正が必要なため、要注意。
###VyOS側の設定ファイルのダウンロード
左側のナビゲーションペインで「サイト間のVPN接続」を選択。
今回作成したVPNを選択し、「設定をダウンロード」を押下。
ベンダーは「Vyatta」、プラットフォームは「Vyatta Network OS」、ソフトウェアは「Vyatta Network OS 6.5+」を選択し、ダウンロード。
ちなみに、この時点ではVyOS側の設定がされていないため、当然リンクはダウン状態になっていることが「トンネル詳細」タブを開くと確認できる。
###VyOS1.4での修正ポイント
設定ファイル(vpn-xxxxxxxxxxxxxxxxx.txt)がダウンロード出来たら、メモ帳等で開く。
設定は、IPSec Tunnel#1と#2それぞれで「#1 IKE設定」「#2 IPSecの設定」「#3 カスタマーゲートウェイ側のインターフェース(Virtual Tunnesl Interface, vti)の設定」「#4 BGPの設定」の順で書かれている。
このまま設定を流し込むとVyOS1.4ではエラーが発生するため、下記のように修正する。
######1: Internet Key Exchange (IKE) Configuration [local-addressの修正]
- ローカルアドレスをVyOSのeth0のアドレスに修正
Tunnel #1, #2双方とも修正する。
####before
set vpn ipsec site-to-site peer 52.68.168.156 local-address '217.178.18.0'
####
####after
set vpn ipsec site-to-site peer 52.68.168.156 local-address '192.168.11.25'
####
####before
set vpn ipsec site-to-site peer 52.193.65.249 local-address '217.178.18.0'
####
####after
set vpn ipsec site-to-site peer 52.193.65.249 local-address '192.168.11.25'
####
######4: Border Gateway Protocol (BGP) Configuration [① bgp構文の修正]
- ローカルのASNを事前に定義するよう、1行設定を追加
- 既存の行をVyOS1.4の仕様に合わせ修正
- VPC側にアドバタイズするセグメントをVMnet3, VMnet4に定義
Tunnel #1, #2双方とも修正する。 (設定を流すときに「すでに定義されています」みたいなアラートが出るが、スルーでOK)
なお、下記では"!"で始まる行は省略して記載しているが、実際には残っていてOK。
####before
set protocols bgp 65000 neighbor 169.254.67.69 remote-as '64512'
set protocols bgp 65000 neighbor 169.254.67.69 soft-reconfiguration 'inbound'
set protocols bgp 65000 neighbor 169.254.67.69 timers holdtime '30'
set protocols bgp 65000 neighbor 169.254.67.69 timers keepalive '10'
set protocols bgp 65000 network 0.0.0.0/0
####
####after
set protocols bgp local-as 65000
set protocols bgp neighbor 169.254.67.69 remote-as '64512'
set protocols bgp neighbor 169.254.67.69 address-family ipv4-unicast soft-reconfiguration 'inbound'
set protocols bgp neighbor 169.254.67.69 timers holdtime '30'
set protocols bgp neighbor 169.254.67.69 timers keepalive '10'
set protocols bgp address-family ipv4-unicast network 192.168.88.0/24
set protocols bgp address-family ipv4-unicast network 192.168.153.0/24
####
####before
set protocols bgp 65000 neighbor 169.254.53.197 remote-as '64512'
set protocols bgp 65000 neighbor 169.254.53.197 soft-reconfiguration 'inbound'
set protocols bgp 65000 neighbor 169.254.53.197 timers holdtime '30'
set protocols bgp 65000 neighbor 169.254.53.197 timers keepalive '10'
set protocols bgp 65000 network 0.0.0.0/0
####
####after
set protocols bgp local-as 65000
set protocols bgp neighbor 169.254.53.197 remote-as '64512'
set protocols bgp neighbor 169.254.53.197 address-family ipv4-unicast soft-reconfiguration 'inbound'
set protocols bgp neighbor 169.254.53.197 timers holdtime '30'
set protocols bgp neighbor 169.254.53.197 timers keepalive '10'
set protocols bgp address-family ipv4-unicast network 192.168.88.0/24
set protocols bgp address-family ipv4-unicast network 192.168.153.0/24
####
上記の修正が終わったら、VyOSをconfコマンドで設定編集モードにして、ファイルの内容を全文コピペ。"failed"が無いことを確認し、commit→save→exit。
ちなみにInvalid commandとかsyntac error, already existsみたいなのはスルーでOK。
#(4) 接続確認
設定が完了したら、正しく反映されているかを確認する。
###AWSコンソールでの状態確認
VPCサービスの左側のナビゲーションペインで「「サイト間のVPN接続」を選択。
今回設定したVPNを一覧から選択し、「トンネル詳細」タブを開くと、、リンクがアップしていることがわかる。(アップは少しラグがあるため、少し待って右上での更新マークを押す)
また、ルートテーブルを確認すると、オンプレ側のセグメントが伝播されていることが確認できる。
###VyOSのBGPテーブル
VPCへのルートがオンプレ側に広告されていることを確認。
yos@vyos:~$ show ip bgp
BGP table version is 3, local router ID is 192.168.153.1, vrf id 0
Default local pref 100, local AS 65000
Status codes: s suppressed, d damped, h history, * valid, > best, = multipath,
i internal, r RIB-failure, S Stale, R Removed
Nexthop codes: @NNN nexthop's vrf id, < announce-nh-self
Origin codes: i - IGP, e - EGP, ? - incomplete
Network Next Hop Metric LocPrf Weight Path
* 10.2.0.0/16 169.254.53.197 200 0 64512 i
*> 169.254.67.69 100 0 64512 i
*> 192.168.88.0/24 0.0.0.0 0 32768 i
*> 192.168.153.0/24 0.0.0.0 0 32768 i
Displayed 3 routes and 4 total paths
vyos@vyos:~$
ついでに、ルーティングテーブルにVPCへのルート定義が追加されていること、ネットワークインターフェースにvti0, vti1が追加されていることを確認。
vyos@vyos:~$ show ip route
Codes: K - kernel route, C - connected, S - static, R - RIP,
O - OSPF, I - IS-IS, B - BGP, E - EIGRP, N - NHRP,
T - Table, v - VNC, V - VNC-Direct, A - Babel, D - SHARP,
F - PBR, f - OpenFabric,
> - selected route, * - FIB route, q - queued, r - rejected, b - backup
S>* 0.0.0.0/0 [210/0] via 192.168.11.1, eth0, weight 1, 23:35:42
B>* 10.2.0.0/16 [20/100] via 169.254.67.69, vti0, weight 1, 00:02:00
C>* 169.254.53.196/30 is directly connected, vti1, 00:02:05
C>* 169.254.67.68/30 is directly connected, vti0, 00:02:05
C>* 192.168.11.0/24 is directly connected, eth0, 23:35:43
C>* 192.168.88.0/24 is directly connected, eth1, 23:35:45
C>* 192.168.153.0/24 is directly connected, eth2, 23:35:42
vyos@vyos:~$
vyos@vyos:~$
vyos@vyos:~$ show int
Codes: S - State, L - Link, u - Up, D - Down, A - Admin Down
Interface IP Address S/L Description
--------- ---------- --- -----------
eth0 192.168.11.25/24 u/u VMNet0,Bridge,Internet
eth1 192.168.88.1/24 u/u VMNet3
eth2 192.168.153.1/24 u/u VMNet4
lo 127.0.0.1/8 u/u
::1/128
vti0 169.254.67.70/30 u/u VPC tunnel 1
vti1 169.254.53.198/30 u/u VPC tunnel 2
vyos@vyos:~$
###ゲストOS→EC2アクセス
ping、curl、SSHアクセスを確認。
curlはhttpdを起動した状態で、適当なテキストファイルを獲得することで確認。また、いずれもセキュリティグループは開いておく。
[root@centos8-01 ~]# ping 10.2.0.74
PING 10.2.0.74 (10.2.0.74) 56(84) bytes of data.
64 bytes from 10.2.0.74: icmp_seq=1 ttl=63 time=12.8 ms
64 bytes from 10.2.0.74: icmp_seq=2 ttl=63 time=12.8 ms
64 bytes from 10.2.0.74: icmp_seq=3 ttl=63 time=16.3 ms
^C
--- 10.2.0.74 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 8ms
rtt min/avg/max/mdev = 12.803/13.970/16.281/1.639 ms
[root@centos8-01 ~]#
[root@centos8-01 ~]# curl 10.2.0.74/vpntest.txt
VPN-test
[root@centos8-01 ~]#
[root@centos8-01 ~]# ssh -i nittakey1.pem ec2-user@10.2.0.74
Last login: Sun May 23 21:00:54 2021 from 217.178.18.0
[ec2-user@ip-10-2-0-74 ~]$ uname -n
ip-10-2-0-74.ap-northeast-1.compute.internal
[ec2-user@ip-10-2-0-74 ~]$
###EC2→ゲストOSアクセス
ping、curl、SSHアクセスを確認。
curlはhttpdを起動した状態で、適当なテキストファイルを獲得することで確認。
[root@ip-10-2-0-74 html]# ping 192.168.88.128
PING 192.168.88.128 (192.168.88.128) 56(84) bytes of data.
64 bytes from 192.168.88.128: icmp_seq=1 ttl=63 time=11.6 ms
64 bytes from 192.168.88.128: icmp_seq=2 ttl=63 time=12.2 ms
64 bytes from 192.168.88.128: icmp_seq=3 ttl=63 time=14.4 ms
^C
--- 192.168.88.128 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 5ms
rtt min/avg/max/mdev = 11.575/12.713/14.406/1.223 ms
[root@ip-10-2-0-74 html]#
[root@ip-10-2-0-74 html]# ping 192.168.153.128
PING 192.168.153.128 (192.168.153.128) 56(84) bytes of data.
64 bytes from 192.168.153.128: icmp_seq=1 ttl=63 time=14.5 ms
64 bytes from 192.168.153.128: icmp_seq=2 ttl=63 time=16.8 ms
64 bytes from 192.168.153.128: icmp_seq=2 ttl=63 time=15.8 ms
^C
--- 192.168.153.133 ping statistics ---
3 packets transmitted, 2 received, 33.3333% packet loss, time 6ms
rtt min/avg/max/mdev = 14.466/15.610/16.755/1.151 ms
[root@ip-10-2-0-74 html]#
[root@ip-10-2-0-74 html]# curl 192.168.88.128/vpntest.txt
CentOS-8-VPN-test
[root@ip-10-2-0-74 html]# ssh admin@192.168.88.128
admin@192.168.88.128's password:
Activate the web console with: systemctl enable --now cockpit.socket
Last login: Sat May 22 23:40:19 2021 from 10.2.0.74
[admin@centos8-01 ~]$ uname -n
centos8-01
[admin@centos8-01 ~]$
#まとめ
VyOSの操作に慣れたり、VyOS1.4だとコマンドがうまく流れないことなどで時間を費やしてしまいましたが、振り返るとかなり簡単にVPN設定が導入できることを体感することができました。
また、VPN設定の手順やポイントを抑えることができ、AWSの資格試験で勉強した内容のりかいをことができました。
一旦ネットワーク勉強は区切ろうと思いますが、他にもVyOSで出来ることがあれば別の機会にやってみようと思います。
#参考
VyOS 1.4のConfigration Guide
元パチ屋店員NWエンジニアの技術ブログ -AWS VPCと自宅LANをVPN接続してみた
VyOS で site-to-site VPN をしてみた