読者です 読者をやめる 読者になる 読者になる

Mana Blog Next

ガジェット好きIT系母ちゃんが二人の子どもを育てながらIoTに挑戦するブログ。

スポンサーリンク

YAMAHA RTX1000を使ってAmazon VPCに接続してみる。

カメラ・レンズ・ガジェット

AmazonVPCを自宅から検証したいとき、自宅環境とAmazonVPCをVPNで繋げたくなっちゃいますよね。

VPNするときに固定IPが必要ですので、i-revoの固定IPプランに入りました。

ちなみに注意点。VPN接続の環境を有効にすると「1時間当たり $0.05/VPN 接続」がかかりますので、個人的に検証で必要とか、個人で使いたい範囲を超えているかもしれません。

自宅のルーターがYAMAHAのRTX1000です。ちょっとどころか、かなり古いタイプですが壊れていません。AWS公式サイトのFAQではサポート対象外になっていて、テンプレートのconfigファイルのままだと動きませんので、少し変えてみました。



tunnel select 1
ipsec tunnel 201
ipsec sa policy 201 1 esp aes-cbc sha-hmac
ipsec ike duration ipsec-sa 1 3600
ipsec ike encryption 1 aes-cbc
ipsec ike group 1 modp1024
ipsec ike hash 1 sha
# ipsec ike keepalive use 1 on heartbeat 10 3 ←RTX1000だと認識しないので外す
ipsec ike local address 1 xxx.xxx.xxx.xxx
ipsec ike pfs 1 on
ipsec ike pre-shared-key 1 text xxxxxxxxxxxxxxxxxxxxxxxxxx
ipsec ike remote address 1 xxx.xxx.xxx.xxx
ipsec tunnel outer df-bit clear
ip tunnel address 169.254.252.2/30
ip tunnel remote address 169.254.252.1
ip tunnel tcp mss limit 1396
tunnel enable 1
tunnel select 2
ipsec tunnel 202
ipsec sa policy 202 2 esp aes-cbc sha-hmac
ipsec ike duration ipsec-sa 2 3600
ipsec ike encryption 2 aes-cbc
ipsec ike group 2 modp1024
ipsec ike hash 2 sha
# ipsec ike keepalive use 2 on heartbeat 10 3 ←RTX1000だと認識しないので外す
ipsec ike local address 2 xxx.xxx.xxx.xxx
ipsec ike pfs 2 on
ipsec ike pre-shared-key 2 text xxxxxxxxxxxxxxxxxxxxxxxxxx
ipsec ike remote address 2 xxx.xxx.xxx.xxx
ipsec tunnel outer df-bit clear
ip tunnel address 169.254.252.6/30
ip tunnel remote address 169.254.252.5
tunnel enable 2
nat descriptor address outer 1 ipcp
nat descriptor address inner 1 192.168.100.1-192.168.100.254
nat descriptor masquerade static 1 1 192.168.100.1 udp 500
nat descriptor masquerade static 1 2 192.168.100.1 esp
bgp use on
bgp autonomous-system 6500
bgp neighbor 1 10124 169.254.252.1 hold-time=30
bgp neighbor 2 10124 169.254.252.5 hold-time=30
bgp import filter 1 equal 192.168.100.0/24
bgp import 10124 static filter 1
ipsec auto refresh on
bgp configure refresh

動作確認して問題無かったら"save"しましょう。

トンネルを2つ作って冗長化しているのか分かりますね。" ipsec ike keepalive"コマンドを使った設定が出来ませんが、RTX1000の場合だと、そのままデフォルト値のまま動いているのだと推測します。

あ、YAMAHAのルーターを買い替える方が良いかもしれませんが、古いモデルでも使いたい人がいらっしゃいましたら「RTX1000」でも設定できるぜ!ということが参考になったら幸いです。

© Manami Taira