1. satoshi_iwashita

    Posted

    satoshi_iwashita
Changes in title
+SSG140 を使って AWS VPC への VPN を複数構築
Changes in tags
Changes in body
Source | HTML | Preview
@@ -0,0 +1,103 @@
+主にSSG側の設定について記載します。
+ので、VPC の VPN まわりの設定については省略します。
+
+# 概要構成図
+
+<p><span itemscope itemtype="http://schema.org/Photograph"><img src="http://cdn-ak.f.st-hatena.com/images/fotolife/r/rriifftt/20141005/20141005175037.png" alt="f:id:rriifftt:20141005175037p:plain" title="f:id:rriifftt:20141005175037p:plain" class="hatena-fotolife" itemprop="image"></span></p>
+
+# 前提
+
+* ScreenOS 6.3
+* インターネット回線は 1 本でOK
+ * もちろん複数あってもよい
+* 複数の固定IPを持っている
+ * AWSアカウントが異なる場合は同一IPでも大丈夫かもしれない
+* SSG に空きポートが1つ以上ある
+* 1本目のVPNは構築済み
+ * bgp / static のどちらでも OK
+ * tunnel.1 と tunnel.2 を利用
+ * デフォルトの trust-vr を利用
+
+# 概要
+
+* SSG内に新規で仮想ルータを作成して既存に影響を与えないようにする
+* 空きポートにグローバルIPを付与する
+* 2本目は static vpn で構築する
+
+# 設定
+
+### vrouter 作成
+新規で vrouter を作成する。
+
+```
+set vrouter name "test-vr" sharable
+set vrouter "test-vr"
+unset auto-route-export
+set ignore-subnet-conflict
+```
+
+### zone 作成
+
+```
+set zone name "test"
+set zone "test" vrouter "test-vr"
+```
+
+### インターフェイス設定
+
+グローバルIPをインターフェイスに付与。
+このIPで customer gateway が作られていること。
+また、 /32 でないと VPN 設定がエラーになってコマンドが入らない。
+
+```
+set interface ethernet0/* zone "test"
+set interface ethernet0/* ip ***.***.***.***/32
+set interface ethernet0/* nat
+```
+
+### ポリシー設定
+
+実際は細かく設定する。
+
+```
+set policy top from "test" to "Trust" "Any" "Any" "ANY" permit log
+set policy top from "Trust" to "test" "Any" "Any" "ANY" permit log
+```
+
+### Amazon から DL したコンフィグを編集してコピペ
+
+* DL するコンフィグは static 、ダメなら bgp を使う
+* DLしたコンフィグ内のインターフェイス名(tunnel、及び ethernet)と zone 名 を環境に応じて編集
+* 既存で使っているVPNエンドポイント (169.254.252.0/30 の様なサブネット) に重複しないコンフィグをDLする
+ * 重複してしまった場合はダミーのグローバルIPを使って customer gateway を作るなどする
+ * こちらを参考にさせていただきました
+
+[http://d.hatena.ne.jp/j3tm0t0/20120508/1336492600:embed]
+
+### 既存ルータへのRouting
+
+```
+set vrouter "trust-vr"
+set route 10.1.0.0/16 vrouter "test-vr" preference 20
+set route 169.254.252.**/30 vrouter "test-vr" preference 20
+set route 169.254.252.**/30 vrouter "test-vr" preference 20
+```
+
+### 新仮想ルータへのRouting
+
+```
+set vrouter "test-vr"
+set route 0.0.0.0/0 interface ethernet0/* gateway ***.***.***.***/32
+set route 10.1.0.0/16 interface tunnel.3 gateway 169.254.252.**
+set route 10.1.0.0/16 interface tunnel.4 gateway 169.254.252.**
+exit
+```
+つなぎたいところがあれば続けてルーティングを追加する
+
+# 確認
+* management console の vpn status を確認
+* get sa コマンドで各 tunnel の status が A/U になることを確認
+
+この方法で複数のVPCに対してVPNを構築できています。
+
+元記事は[こちら](http://rriifftt.hatenablog.com/entry/2014/09/16/120822)