AWSの Site-to-Site VPN を利用して、データセンターとVPN接続する設定を行いました。
構成図
今回、Site-to-Site VPNを利用してデータセンターと接続した際の構成は以下の通りです。
接続確認
データセンターに構築したシステムに対して、以下の3パターンで接続確認を実施しました。
・社内イントラ
・VPNソフト
・AWS Client VPN
1.社内イントラ
社内イントラからの接続は、オンプレミスのCIDRをデータセンター側で許可してもらうことで接続できました。
2.VPNソフト
社外から社内システムに接続する際は、AWSのEC2に構築したVPN Serverへ接続してからアクセスする構成にしています。
そのため、VPNソフトからの接続については、EC2が起動しているVPCのCIDRをデータセンター側で許可してもらうことで接続できました
3.AWS Client VPN
AWS Client VPN からデータセンターへの接続については、クライアントVPNエンドポイントに設定したCIDRが接続元IPアドレスになると考え、データセンター側で通信許可を設定してもらいました。
しかし、この設定では疎通ができませんでした。
調査を進めたところ、以下の記事にある通り、AWS Client VPN に関連付けたサブネットにENIが作成され、NATされることが分かりました。
https://aws.amazon.com/jp/blogs/news/networking-and-content-delivery-using-aws-client-vpn-to-scale-your-work-from-home-capacity/
そのため、NAT後のサブネットのCIDRをデータセンター側で許可してもらったところ、無事に疎通できるようになりました。
AWS Client VPN からオンプレミスやデータセンターへのアクセス許可を設定する際は、参考になれば幸いです。