sidetech

インフラエンジニアの寄り道メモ。

Juniper SRX320とAWSでVPN接続-その2

今日も昨日の続きです。
最近Arduinoをいじれていないのですが、結局週末は機器には触っている日々です。

VPNは張れてたんですけどね・・・対象となるEC2にpingが届かないんですよ。

これはあっしがBGPを良く分かっていないからだな・・・と言う事で継続で今日はトライアンドエラーです。
結構アレンジしないと駄目なんですね。色々書き換えましたよ・・・。壊した構成を消すのもめんどくさい。それは明日にします。
今日は昼ぐらいから始めたんですが・・・SRXのナレッジ見たりBGPをなんちゃらを今勉強したり・・・格闘しつつ・・・タイムアップ。何かが足りない。
自宅に戻って・・・世界の果てまでイッテQを見てからリモートで会社に潜り込んで、SRXをじ~っと眺めていて、ポリシーにログを取れるようにしたのにログにICMPが乗っかってこないことに少しイライラしていました。
trustからuntrustに抜ける通信を他のセグメントでやってみると記録される。
でも対象のセグメントの記録が残らない。
[E:flair]もしかしてtrust to trustか。と思ってポリシーを作ったら・・・ICMP通りました[E:crying]
実はついさっき、上手くいきました[E:coldsweats02]
わたくし、結構1時間ぐらいハマっていることから離れるとカンが冴える時あるんです[E:coldsweats01]
でも中々そうなれないのが難しい所・・・[E:despair]
一通りの知能を絞りきってからじゃないと、このカンの効果が出ないのも難しい所[E:wobbly]
AWSから提供されるコンフィグもBGPの広告が0.0.0.0/0になっているんで、そこもちゃんとアレンジしてやらんといけないってのは日中には分かっていたんでアレンジしたりSRX側のStatic Routeもちゃんと書いてあげることで、AWS側に動的ルートが自動的に追加されていくところもわかりましたが・・・まさかSRXのポリシーとは・・・とほほ。
詳細は、まだVPNを組む機会がまだまだあるのでその時にキャプチャーするとして、とりあえずなんとかなりました。[E:coldsweats01]
こうやってハマれるのも本番稼働前の検証環境(ほぼ本番状態だけど)だからだし、ハマっておかないと覚えられない挙動とかもこういう時に確認出来るんでハマるのも悪くないよね。ハマっておくと、いざの本番構築時にハマる時間を少なく出来るしね。
失敗は成功の母とは言いますが、本当にそうだと思います。
あと、これをちゃんとやっておくと手順書型人間にならずに済みます。カンも鋭くなっていくしね。でも昔より検証期間とか勉強期間が設けにくくなったなぁ・・・。
この反復をあと最低6回はやらないといけないので身体に馴染んでくれるでしょうw
ただ、今日は本当はAWS側の作業をメインにしたかったのに全く出来なかったんで・・・うーんどうしよぉ[E:bearing]