sidetech

インフラエンジニアの寄り道メモ。

AWS-VPN接続にハマる

もう2月・・・。月日はあっという間ですね。

さて今回は、ろくにマニュアルを見ずにAWSVPN接続に挑戦っす。
というかマニュアルを読んでもピンとこない表現が多いんで実践で体で覚える方式です[E:happy02]

最近AWSを触って、調べものをググって思う事は・・・古い記事がイマイチ参考にならない[E:coldsweats02]
AWSの新機能やら改善が著しいようで、1年前のドキュメントでも画面と一致しないとか。クラウドサービスは厄介ですな。ググって生きてきた人にはツライ世の中になりましたw

動きを理解してしまえばどうってことないんですが中々ね・・・。

んで、VPNの接続自体はウィザードがあります。というかやり方とかが色々な場所からできてしまうので、取り敢えずザックリというと、VPCをカスタムで作る時にまとめてウィザードでやっちゃいます。
Awsvpn00
このパターンね。色々な設計に対応出来る様にしている為か、vCloud Airよりも大変[E:coldsweats01]
この例では、Public SubnetとPrivate SubnetとVPNをやっちゃうウィザード。

まぁ、言いなりでやれば全て勝手に終わります。

ハードウェアVPNというのは自分のとこのVPNルーターね。今回はテストということで、Meraki MX100でやりました。AWSVPN接続時の推奨機器リストにはありません。何故かというと・・・Meraki MXはBGPに対応していない[E:weep]

Awsvpn01
でも繋がるには繋がります。問題はMeraki MXだとトンネル2への接続方法がない。[E:crying]
今度RTX1210で冗長構成でやるっすよ・・・。なので、今回はBGPではなくStaticでやってます。

んで、ここまでは良かったんです。。。
この後EC2インスタンスを立ち上げて・・・pingしたんですが・・・応答なし。
pingが通らへんやん![E:pout]』

半日考えました。

Awsvpn02
アレコレとルーティングやらフィルターやらみていたんですが、セキュリティグループの送信元でデフォルトで入っている「sg-xxxxxx」ってのがなんじゃらほいと。

pingを打つ社内アドレスにしてみるか・・・とエントリーを足してみた所・・・。
Awsvpn03
キタ━(゚∀゚)━!

いやぁトラップ多すぎっす。[E:wobbly] デフォルトのなんちゃらってのが紛らわしい。親切な部分もあるけどさぁ・・・あと初心者がウィザード使うと、構造を理解せずに使えちゃうから危ないね。

もうねVPC廻りも何回も作り直したってのぉ~[E:weep]

仮想ネットワークって結構考え方が違うのねぇ。AWSで育ったインフラエンジニアはハードが逆に分からないって言うかもね。[E:coldsweats01]

とりあえず暫くはVPCと戦います[E:shock]