AWS Client VPN で作るリモート接続環境④

こんにちは。米須です。
今回は AWS Client VPN の設定について説明したいと思います。
※オンプレへリモート接続する際は、別途オンプレと VPC をサイト間 VPN で接続が必要です。

Client VPN エンドポイントの作成

[AWS ドキュメント]
クライアント VPN の操作
https://docs.aws.amazon.com/ja_jp/vpn/latest/clientvpn-admin/cvpn-working.html

VPC のメニューから「クライアント VPN エンドポイント」を選択し、「クライアント VPN エンドポイントの作成」ボタンを押します。

次に、クライアント VPN エンドポイントの各項目について設定していきます。必要に応じて設定してください。

クライアント VPN エンドポイント

※がついている項目は、作成後の変更不可です

名前タグ 任意の値を入力します。
説明 任意の値を入力します。
クライアント IPv4 CIDR※ 接続時の NAT で払い出される IP アドレスの範囲を設定します。(/16~/22が設定可)
サーバ証明書 ARN AWS Client VPN で作るリモート接続環境② においてAWS Certificate Manager(以下、ACMとします) に登録したサーバ証明書の ARN を選択します。
認証オプション※ AWS Client VPN で作るリモート接続環境② に記載したように、認証方法を選択できます。今回は「相互認証の使用」と「ユーザベースの認証を使用」の両方にチェックを入れ、「Active Directory 認証」を選択しています。
クライアント VPN エンドポイント

※がついている項目は、作成後の変更不可です

クライアント証明書 ARN ACM に登録したクライアント証明書の ARN を選択します。
ディレクトリ ID※ Active Directory 認証をしている場合は、ActiveDirectory(以下、ADとします) のディレクトリ ID を入力します。
接続ログ記録 ここを設定すると、CloudWatch Logs に接続ログが記録されます。
DNS サーバ1IPアドレス、DNS サーバ2 IPアドレス ClientVPN 接続後、ホスト名でRDP接続したい場合などは、ここに DNS サーバを設定します。AWS 環境とオンプレがサイト間 VPN で接続されている場合は、オンプレの DNS も設定できます。
トランスポートプロトコル※ TCP と UDP が選べますが、速度面を考慮し今回は UDP を選択しました。
クライアント VPN エンドポイント
スプリットトンネルを有効にする [チェックを外した場合]
   すべてのパケットが ClientVPN を通して AWS に流れます。VPN 接続しつつインターネットに繋ぎたい場合は、インターネットGWを作成するなど AWS 側からインターネットに接続するルートを作る必要があります。

[チェックをつけた場合]
   AWS 向け以外のパケットは接続元 PC から接続している別のネットワークに流れるます。接続元PCがインターネットに接続できるのであれば、ここにチェックをつけるだけで VPN 接続しつつインターネットができます。

チェックをつけておくと余計なパケットが AWS 側に流れないのでいいかなと思います。

ここまで設定したら、「クライアント VPN エンドポイントの作成」を押してエンドポイントを作成しましょう。

サブネットの関連づけ

作成されたエンドポイントを選択し、サブネットを関連付けましょう。
「関連付け」タブの「関連付け」ボタンを押します。

サブネットの関連づけ

ClientVPN と関連付ける VPC とサブネットを選択し、「関連付け」ボタンを押します。

サブネットの関連づけ

ボタンを押した直後は、黄色のアイコンと「関連付け中」と表示されますが、しばらくすると緑のアイコンで「関連付け済み」に変わります。なお、サブネットを関連付けたところからが費用発生となり、関連付けているサブネットの数が増えると費用も増えます。

サブネットの関連づけ

ルートの作成

次はルートの作成です。ここで作成したルートのみが接続可能です。
「ルートテーブル」タブから「ルートの作成」ボタンを押します。

ルートの作成

ClientVPN を作成した VPC から接続したい先を設定します。

ルートの作成

 

ルート送信先 接続先の CIDR を設定します。ピアリング先の VPC にあるサブネットの CIDR や サイト間 VPN 接続されているオンプレの CIDR も設定できます。
ターゲット VPC サブネット ID クライアント VPN エンドポイントに紐づけたサブネットを設定します。

認証ルールの追加

「認証」タブの「受信の承認」ボタンを押します。

認証ルールの追加

各項目を設定します。私はあまり AD に詳しくないので、アクセスグループ ID に設定するためのオブジェクト SID を取得するのに少し苦労しました。。。(^^;

認証ルールの追加

 

アクセスを有効にする送信先ネット アクセスを許可する CIDR を設定します。
アクセスを付与する対象 [すべてのユーザにアクセスを許可する を選択した場合]
  認証OKとなったすべてのユーザが指定された指定された送信先ネットに接続することができます。

[特定のアクセスグループのユーザへのアクセスを許可するを選択した場合]
  を選択した場合は、「アクセスグループ ID」にて設定したグループのみ接続が許可されます。
アクセスグループ ID ADに登録されているユーザのプロパティにある「Object Sid」を設定します。オブジェクトSID

さいごに

これで AWS 側の設定は終わりです。次回はクライアントの PC にツールを設定して接続確認をしましょう。

AWSClientVPN

Posted by komesu