SSG140 を使って AWS VPC への VPN を複数構築
主にSSG側の設定について記載します。
ので、VPC の VPN まわりの設定については省略します。
概要構成図
前提
- ScreenOS 6.3
- インターネット回線は 1 本でOK
- もちろん複数あってもよい
- 複数の固定IPを持っている
- SSG に空きポートが1つ以上ある
- 1本目のVPNは構築済み
- bgp / static のどちらでも OK
- tunnel.1 と tunnel.2 を利用
- デフォルトの trust-vr を利用
概要
設定
vrouter 作成
新規で vrouter を作成する。
set vrouter name "test-vr" sharable set vrouter "test-vr" unset auto-route-export set ignore-subnet-conflict
zone 作成
set zone name "test" set zone "test" vrouter "test-vr"
インターフェイス設定
グローバルIPをインターフェイスに付与。
このIPで customer gateway が作られていること。
また、 /32 でないと VPN 設定がエラーになってコマンドが入らない。
set interface ethernet0/* zone "test" set interface ethernet0/* ip ***.***.***.***/32 set interface ethernet0/* nat
ポリシー設定
実際は細かく設定する。
set policy top from "test" to "Trust" "Any" "Any" "ANY" permit log set policy top from "Trust" to "test" "Any" "Any" "ANY" permit log
Amazon から DL したコンフィグを編集してコピペ
- DL するコンフィグは static 、ダメなら bgp を使う
- DLしたコンフィグ内のインターフェイス名(tunnel、及び ethernet)と zone 名 を環境に応じて編集
- 既存で使っているVPNエンドポイント (169.254.252.0/30 の様なサブネット) に重複しないコンフィグをDLする
既存ルータへのRouting
set vrouter "trust-vr" set route 10.1.0.0/16 vrouter "test-vr" preference 20 set route 169.254.252.**/30 vrouter "test-vr" preference 20 set route 169.254.252.**/30 vrouter "test-vr" preference 20
新仮想ルータへのRouting
set vrouter "test-vr" set route 0.0.0.0/0 interface ethernet0/* gateway ***.***.***.***/32 set route 10.1.0.0/16 interface tunnel.3 gateway 169.254.252.** set route 10.1.0.0/16 interface tunnel.4 gateway 169.254.252.** exit
つなぎたいところがあれば続けてルーティングを追加する
確認
- management console の vpn status を確認
- get sa コマンドで各 tunnel の status が A/U になることを確認