Site to Site VPNで拠点CiscoルータからVPCに接続して、VPC経由で特定のインターネットサイトにのみアクセスできるようにしたい

0

下記の閉域網の構成で拠点AのクライアントPCからVPC経由でEset外部サイトのみアクセス許可をさせたい。

拠点AのクライアントPCからは、プライベートサブネットのEC2のADサーバにリモートデスクトップで接続するところまでは確認できています。 ここに画像の説明を入力してください

Site-to-Site VPNの接続アップまで完了画面 ここに画像の説明を入力してください

VPCへのアクセスは確立していますが、拠点AのPCクライアントからVPC経由でEset外部サイトに接続を許可したいのですが どうやって制御すればよいのかわかりません。

*クライアント VPN エンドポイントの場合では、クライアント VPN エンドポイントの設定画面でパブリックサブネットのNatGateWay経由するようにルーティングとセキュリティグループで制御できました。

図のようにパブリックサブネットにNatGateWayを設置して外部接続させればいいかと思っていますが、ルーティングやセキュリティグループもしくはネットワークACLで どうやって制御すればよいかご教授ください。

y-om
gefragt vor 2 Monaten341 Aufrufe
1 Antwort
0
Akzeptierte Antwort

オンプレミスのルーターでインターネット向けの経路を全てVPCに流す必要があると思います。
「Eset外部サイト」というものの知見が無いのですが、パブリックインターネットにVPC経由でオンプレミスからアクセスするには「Eset外部サイト」のパブリックIPアドレスへのルートをオンプレミスで設定する必要があります。
また、VGWだけだとNAT Gatewayから出られない気がしています。
以下のブログで紹介されているようにTransitGatewayでルーティングしてNAT Gatewayのルートがあるサブネットから出ていくように設計が必要だと思いました。
https://dev.classmethod.jp/articles/full-managed-s3-access-with-transit-gateway/

profile picture
EXPERTE
beantwortet vor 2 Monaten
  • Direct connect は大掛かりなので、まずは、site to site VPNのままで行きたいです。 site to site VPNかつ接続先をTransitGatewayに変更すれば実現可能と解釈してよいでしょうか?もちろん検証必要ですが。

    「Eset外部サイト」は具体的には、下記のアドレスです。アクティベーションのために接続します。 https://eset-support.canon-its.jp/faq/show/41?site_domain=default#no12

  • site to site VPNかつ接続先をTransitGatewayに変更すれば実現可能と解釈してよいでしょうか?

    試せる環境が無いのでy-om様にて検証いただきたいのですが、TransitGatewayを使用すれば可能だと思います。 イメージとしては以下のブログで紹介されているような構成です。 https://qiita.com/japanvincent/items/a7fa8fceb9f49f02bf64

    「Eset外部サイト」は具体的には、下記のアドレスです。アクティベーションのために接続します。

    ご共有ありがとうございます。 こちらのIPアドレスをSite to Site VPNに流すルートがオンプレミスのルータに必要になると思います。

  • TransitGatewayに変更してみましたが、TransitGatewayアタッチメントとTransit Gateway ルートテーブルの設定が理解しづらいです。 わかりやすい参考サイトございますでしょうか?

Du bist nicht angemeldet. Anmelden um eine Antwort zu veröffentlichen.

Eine gute Antwort beantwortet die Frage klar, gibt konstruktives Feedback und fördert die berufliche Weiterentwicklung des Fragenstellers.

Richtlinien für die Beantwortung von Fragen