IPsecを使用したAWS(vRX)-拠点間接続

管理番号:YMHRT-20656

本設定例では、IPsecトンネル機能を使用しています。

IPsecトンネル機能の対応機種は、RTX5000RTX3500RTX1220RTX1210RTX830NVR700WFWX120vRXです。

構成図

ヤマハルーターとAWSにデプロイしたvRX間を、IPsecトンネルで接続する構成です。
IPsec アグレッシブモードで設定しますので、拠点のグローバルIPアドレスが動的に割り当てられる場合でもご利用いただけます。
本設定例では、CloudFormation(クラウドフォーメーション)のテンプレートを利用して、AWSリソースを自動構築する方法をご紹介します。

本設定例をご利用の際は、事前に、AWSアカウントを取得しておく必要があります。AWSマネジメントコンソールにアクセスできる環境が整っていれば、誰でも簡単にvRXの運用を開始できます。
AWSアカウントの作成方法は、AWSアカウント作成の流れ をご参照ください。その他、Amazon VPCに関する情報および設定方法については、アマゾン ウェブ サービス(AWS)にお問い合わせください。
※AWSは、米国その他の諸国における、Amazon.com, Inc. の商標です。

本設定例のCloudFormationのテンプレートでは、以下のセットアップを行います。
   ・vRX環境用のVPCの作成
   ・サブネット(LAN1、LAN2)の作成
   ・ルートテーブルの作成
   ・インターネットゲートウェイの作成
   ・セキュリティーグループの作成
   ・EC2インスタンスの作成
   ・Elastic IPの作成、EC2インスタンスに関連付け
※テンプレートの形式バージョンは「2010-09-09」です。最新の形式バージョンは、CloudFormation ユーザーガイドでご確認ください。

本機能の対応機種のうち、設定例を掲載している機種は、以下のとおりです。

機種 掲載内容 備考
AWS vRX 設定例
テンプレート
 
拠点 RTX1220 RTX1210 RTX830 NVR700W コマンド設定例  

AWS 仮想ルーターvRX

設定の概要

以下の手順で設定を行います。

  • キーペアの作成:SSHを使用してvRXへ接続するときに使用する、キーペアを作成します。すでにキーペアをお持ちの場合、新しいキーペアの作成は不要です。
  • AWSリソースの構築:CloudFormationテンプレートでAWSリソースを自動構築します。
  • AWSリソースの確認:vRXに払い出された、IPアドレスを確認します。

キーペアの作成

1. AWSにログインします。

図 説明画像

2.「EC2」をクリックします。

図 説明画像

3.「キーペア」をクリックします。

図 説明画像

4.「キーペアの作成」をクリックします。

図 説明画像

5. キーペアの情報を入力して、「キーペアを作成」をクリックします。

名前 任意の名前
ファイル形式 「pem」を選択
図 説明画像

6. キーペア(プライベートキー)が作成されました。

図 説明画像

7. プライベートキーファイルを、任意の場所に保存します。
   ※プライベートキーファイルは、SSHを使用してvRXへ接続するときに使用します。大切に保管しておいてください。

図 説明画像

AWSリソースの構築

1. CloudFormationテンプレートファイル をダウンロードします。

2.「AWS」をクリックして、トップページに戻ります。

図 説明画像

3.「CloudFormation」をクリックします。

図 説明画像

4.「スタックの作成」をクリックします。

図 説明画像

5.「新しいリソースを使用(標準)」をクリックします。

図 説明画像

6.「テンプレートファイルのアップロード」を選択します。

図 説明画像

7.「ファイルの選択」をクリックします。

図 説明画像

8. 手順1 でダウンロードした CloudFormationテンプレートファイルを選択して、「開く」をクリックします。

図 説明画像

9. ファイル名を確認して、「次へ」をクリックします。

図 説明画像

10. スタックの詳細を入力して、「次へ」をクリックします。

スタックの名前 任意の名前
VPC Network Address Class Amazon VPCで使用するネットワークアドレスを指定
   ClassA:10.0.0.0/16
   ClassB:172.16.0.0/16
   ClassC:192.168.0.0/16
EC2 Key Pair いずれかのEC2キーペアを指定
  - キーペアの作成で作成したEC2キーペア
  - すでにお持ちのEC2キーペア
License User Name vRXのユーザーID
License Password vRXのユーザーパスワード
vRX Basic License vRX 基本ライセンス
vRX Option License vRX VPNオプションライセンス
IPsec Ike Remote Name 拠点のセキュリティー・ゲートウェイの名前
   ※拠点ルーター「VPN(IPsec)の設定」の ipsec ike local name コマンドと設定を合わせます。
Pre-Shared Key 拠点との事前共有鍵
   ※拠点ルーター「VPN(IPsec)の設定」の ipsec ike pre-shared-key コマンドと設定を合わせます。
図 説明画像

11.「次へ」をクリックします。

図 説明画像

12. 設定内容を確認して問題がなければ、「スタックの作成」をクリックします。

図 説明画像

13. スタックのステータスを確認します。「CREATE_IN_PROGRESS」が「CREATE_COMPLETE」と表示されるまで、数分間待ちます。

図 説明画像

14.「CREATE_COMPLETE」と表示されました。以上で、CloudFormationテンプレートによるAWSリソースの構築は完了です。

図 説明画像

AWSリソースの確認

1.「リソース」タブをクリックします。

図 説明画像

2. リソースの構築状況を確認します。
   すべてのリソースのステータスが「CREATE_COMPLETE」であれば、利用可能な状態です。リソースの構築に失敗した場合は、空欄になります。

図 説明画像

3. ElasticIPを確認します。
   ElasticIPは、拠点-vRX のトンネルを設定するときや、SSHを使用してvRXへ接続するときに利用しますので、ひかえておいてください。

図 説明画像

vRXの設定(Config)は、SSHでvRXに接続後に確認できます。コマンドは「show config」です。
vRXに接続する手順は、vRX ユーザーガイド「SSHを使用して本製品へ接続する」でご確認ください。

拠点 ルーター

※ネットワーク機器を安全にお使いいただくために、管理パスワードの変更を奨励します。

ゲートウェイの設定 ip route default gateway pp 1
ip route (172.16.0.0/16) gateway tunnel 1
LANインターフェースの設定
(LAN1ポートを使用)
ip lan1 address 192.168.100.1/24
WANインターフェースの設定
(LAN2ポートを使用)
pp select 1
pp always-on on
pppoe use lan2
pp auth accept pap chap
pp auth myname (ISPへ接続するID) (ISPへ接続するパスワード)
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp mtu 1454
ip pp secure filter in 1020 1030 2000
ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 105 106 107
ip pp nat descriptor 1
pp enable 1
VPN(IPsec)の設定 tunnel select 1
ipsec tunnel 1
ipsec sa policy 1 1 esp aes-cbc sha-hmac
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on heartbeat 3 3
ipsec ike local address 1 192.168.100.1
ipsec ike local name 1 (セキュリティー・ゲートウェイの名前) key-id # 注釈1
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text (事前共有鍵) # 注釈1
ipsec ike remote address 1 (vRXのElasticIP)
ip tunnel tcp mss limit auto
tunnel enable 1
ipsec auto refresh on
フィルターの設定 ip filter source-route on
ip filter directed-broadcast on
ip filter 1010 reject * * udp,tcp 135 *
ip filter 1011 reject * * udp,tcp * 135
ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 1014 reject * * udp,tcp 445 *
ip filter 1015 reject * * udp,tcp * 445
ip filter 1020 reject 192.168.100.0/24 *
ip filter 1030 pass * 192.168.100.0/24 icmp
ip filter 2000 reject * *
ip filter 3000 pass * *
ip filter dynamic 100 * * ftp
ip filter dynamic 101 * * www
ip filter dynamic 102 * * domain
ip filter dynamic 103 * * smtp
ip filter dynamic 104 * * pop3
ip filter dynamic 105 * * submission
ip filter dynamic 106 * * tcp
ip filter dynamic 107 * * udp
NATの設定 nat descriptor type 1 masquerade
nat descriptor masquerade static 1 1 192.168.100.1 udp 500
nat descriptor masquerade static 1 2 192.168.100.1 udp 4500
DHCPの設定 dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.2-192.168.100.191/24
DNSの設定 dns server (ISPから指定されたDNSサーバーのIPアドレス)
dns private address spoof on

[注釈の説明]

注釈:
vRX「AWSリソースの構築 手順10」の IPsec Ike Remote Name および Pre-Shared Key の設定と合わせます。

接続状態の確認

本設定例では、SSHでvRXに接続して、接続状態を確認します。
vRXに接続する手順は、vRX ユーザーガイド「SSHを使用して本製品へ接続する」でご確認ください。

・「show status tunnel 1」コマンドで、VPNの接続状態を確認できます。

[コンソール]
# show status tunnel 1
TUNNEL[1]:
説明:
インタフェースの種類: IPsec ★
トンネルインタフェースは接続されています ★
開始: yyyy/mm/dd hh:mm:ss
通信時間: 12分21秒
受信: (IPv4) 15 パケット [1252 オクテット]
(IPv6) 0 パケット [0 オクテット]
送信: (IPv4) 15 パケット [1252 オクテット]
(IPv6) 0 パケット [0 オクテット]
#
[解説]
トンネルインターフェースの接続状態が表示されます。
コマンドの詳細は、トンネルインタフェースの状態の表示 をご覧ください。

・「show status license vrx」コマンドで、vRXのライセンス情報を確認できます。

[コンソール]
# show status license vrx
ユーザーID: vrx_user
インスタンスID: 12345678
基本ライセンス:
=========================================================
品番 速度 有効期限
---------------------------------------------------------
*vRX-TR-B1 10G 2020/01/06 - 2020/01/25
オプションライセンス:
vRX-TR-V1
#
[解説]
ライセンスの品番、状態、有効期限が表示されます。本設定例は、トライアルライセンスの表示になっています。
コマンドの詳細は、ライセンス情報の表示 をご覧ください。

【ご注意】
本設定例は、設定の参考例を示したもので、動作を保証するものではございません。
ご利用いただく際には、十分に評価・検証を実施してください。

メール

ご相談・お問い合わせ