情報があまりなく苦労したのでメモります。
※追記(2015/7/15)
常時VPN接続が要件でしたが、sla monitor対象をトンネルIPアドレスに
していても不定期に接続が切れてしまうのでEC2のサーバIPアドレスを
指定しました。それでもReKeyによる接続し直しが発生するようですが
要件的には問題無いのでそちらの設定に変更しました。
環境
[社内LAN] - [CISCO ASA 5505] - [ブロードバンドルータ] - [AWS VPC]
元々インターネット接続用のブロードバンドルータがあるためCISCOを配下に設置
グローバルIPは、ISPから5つほど取得済みなのでそのうちの一つを使用
グローバルIPは、NAT変換のため社内LAN向けIPと1対1で紐づけられている
1.CISCO ASA 5505初期設定
INBOUND、OUTBOUNDインタフェースのVLANを設定しインターネットへの接続確認
2.AWS側でVPC、VPN環境を作成
VPCウィザードを起動
「1つのプライベートサブネットのみ、およびハードウェアVPNアクセスを持つVPC」を選択
VPCネットワークアドレスはデフォルトを使用(10.0.0.0/24)
作成後、VPN接続から「設定のダウンロード」ボタンをクリックし、カスタマーゲートウェイ用の
設定ファイルをダウンロード
※IGW、EIPは使用しません。
3.カスタマーゲートウェイ用のファイルの内容をCISCO ASA 5505に設定
コンフィグモードに移行
ファイルの内容
80行目付近:access-list extended permit ip host AWSのトンネルIPアドレス(その1) host 社内LAN向けのグローバルIPに紐づけられているIPアドレス
access-list extended permit ip host AWSのトンネルIPアドレス(その2) host 社内LAN向けのグローバルIPに紐づけられているIPアドレス
94行目付近:access-list acl-amzn extended permit ip any
any → any4 に変更
access-list acl-amzn extended permit ip any4 10.0.0.0 255.255.255.0
108行目付近:crypto map 1 match address acl-amzn
のラベルは、アンダースコアが使えないのでハイフォンに変更
155行目付近:type echo protocol ipIcmpEcho interface
は、AWSから指定されているトンネルIPアドレスを指定
4.ダウンロードファイルには記載されていない設定(これを設定しないとトンネル開通後インスタンスにアクセスできない)
コンフィグモードに移行
VPN通信はNAT対象外とする以下の設定を実施
object network LOCAL
subnet 192.168.1.0 255.255.255.0 ← 社内LANローカルサブネットの指定
object network REMOTE
subnet 10.0.1.0 255.255.255.0 ← AWS側EC2インスタンスを生成するサブネットの指定
nat (inside,outside) source static LOCAL LOCAL destination static REMOTE REMOTE
5.開通の儀式
CISCO ASA 5505側でADSMツールやコマンドラインからのshowコマンドを利用して
トンネルがMM_ACTIVEになっていることを確認
社内LANのPCなどからEC2インスタンスIPアドレスに対してpingコマンドを実行
※AWS側のネットワークACLは、pingが通るように設定しておくこと