AWS VPCとVyOS 間でsite-to-site VPNを実装する方法

AWS

2022.11.302022.09.30

AWS VPCとVyOS 間でsite-to-site VPNを実装する方法についての説明です。

構成は下記となります。

Contents

1 VPC設定
2 VyOSのコンフィグ

VPC設定

[VPC] > [仮想プライベートゲートウェイ]から、仮想プライベートゲートウェイを作成し、

作成後、アクションから「VPCへアタッチ」を実施します。

[VPC] > [カスタマーゲートウェイ]から、カスタマーゲートウェイを作成します。

カスタマーゲートウェイのIPアドレスに対向のグローバルIPアドレスを設定します。
今回でいうと、「1.1.1.1」となります。

[VPC] > [Site-to-Site VPN 接続]から、VPN接続を作成します。

ルーティングオプションは、今回は「静的」を選択します。
作成すると、デフォルトでトンネルが2本作られます。

[VPC] > [ルートテーブル]から、「ルート伝播」を有効化します。

また、ルーティング情報が正しいことを確認します。

VyOSのコンフィグ

AWS VPC側でVyOSサンプルコンフィグをダウンロードすることができますが、それ通りに投入するだけでは動きません。修正箇所もありましたので、実際に動いたコンフィグのIPsecVPN部分を抜き出して羅列します。

VPCのルーティングを「静的」としましたので、VyOS側でもスタティックルーティングの設定を行います。

また、VPC側でトンネルが2本作られていますが、1本VPNを接続するのみの設定となります。

set interfaces ethernet eth0 address ‘192.168.1.1/24’
set interfaces ethernet eth1 address ‘192.168.10.1/24’

set interfaces vti vti0 address ‘ 169.254.60.98/30 ‘
set interfaces vti vti0 description ‘VPC tunnel 1’
set interfaces vti vti0 mtu ‘1436’

set protocols static route 34.208.67.166 next-hop 192.168.1.254
set protocols static route 0.0.0.0/0 next-hop 169.254.60.97

set vpn ipsec esp-group AWS compression ‘disable’
set vpn ipsec esp-group AWS lifetime ‘3600’
set vpn ipsec esp-group AWS mode ‘tunnel’
set vpn ipsec esp-group AWS pfs ‘enable’
set vpn ipsec esp-group AWS proposal 1 encryption ‘aes128’
set vpn ipsec esp-group AWS proposal 1 hash ‘sha1’
set vpn ipsec ike-group AWS close-action ‘none’
set vpn ipsec ike-group AWS dead-peer-detection action ‘restart’
set vpn ipsec ike-group AWS dead-peer-detection interval ’15’
set vpn ipsec ike-group AWS dead-peer-detection timeout ’30’
set vpn ipsec ike-group AWS ikev2-reauth ‘no’
set vpn ipsec ike-group AWS key-exchange ‘ikev1’
set vpn ipsec ike-group AWS lifetime ‘28800’
set vpn ipsec ike-group AWS proposal 1 dh-group ‘2’
set vpn ipsec ike-group AWS proposal 1 encryption ‘aes128’
set vpn ipsec ike-group AWS proposal 1 hash ‘sha1’

set vpn ipsec ipsec-interfaces interface ‘eth0’
set vpn ipsec site-to-site peer 34.208.67.166 authentication id ‘1.1.1.1’
set vpn ipsec site-to-site peer 34.208.67.166 authentication mode ‘pre-shared-secret’
set vpn ipsec site-to-site peer 34.208.67.166 authentication pre-shared-secret ‘XXXXXX’
set vpn ipsec site-to-site peer 34.208.67.166 authentication remote-id ‘34.208.67.166’
set vpn ipsec site-to-site peer 34.208.67.166 connection-type ‘initiate’
set vpn ipsec site-to-site peer 34.208.67.166 description ‘VPC tunnel 1’
set vpn ipsec site-to-site peer 34.208.67.166 ike-group ‘AWS’
set vpn ipsec site-to-site peer 34.208.67.166 ikev2-reauth ‘inherit’
set vpn ipsec site-to-site peer 34.208.67.166 local-address ‘192.168.1.1’
set vpn ipsec site-to-site peer 34.208.67.166 vti bind ‘vti0’
set vpn ipsec site-to-site peer 34.208.67.166 vti esp-group ‘AWS’

設定実施後、下記コマンドを利用して状態を確認します。

show vpn ike sa
show vpn ipsec sa
show interfaces

ping 169.254.60.97