Site to Site VPNで拠点CiscoルータからVPCに接続して、VPC経由で特定のインターネットサイトにのみアクセスできるようにしたい

0

下記の閉域網の構成で拠点AのクライアントPCからVPC経由でEset外部サイトのみアクセス許可をさせたい。

拠点AのクライアントPCからは、プライベートサブネットのEC2のADサーバにリモートデスクトップで接続するところまでは確認できています。 ここに画像の説明を入力してください

Site-to-Site VPNの接続アップまで完了画面 ここに画像の説明を入力してください

VPCへのアクセスは確立していますが、拠点AのPCクライアントからVPC経由でEset外部サイトに接続を許可したいのですが どうやって制御すればよいのかわかりません。

*クライアント VPN エンドポイントの場合では、クライアント VPN エンドポイントの設定画面でパブリックサブネットのNatGateWay経由するようにルーティングとセキュリティグループで制御できました。

図のようにパブリックサブネットにNatGateWayを設置して外部接続させればいいかと思っていますが、ルーティングやセキュリティグループもしくはネットワークACLで どうやって制御すればよいかご教授ください。

y-om
preguntada hace 2 meses342 visualizaciones
1 Respuesta
0
Respuesta aceptada

オンプレミスのルーターでインターネット向けの経路を全てVPCに流す必要があると思います。
「Eset外部サイト」というものの知見が無いのですが、パブリックインターネットにVPC経由でオンプレミスからアクセスするには「Eset外部サイト」のパブリックIPアドレスへのルートをオンプレミスで設定する必要があります。
また、VGWだけだとNAT Gatewayから出られない気がしています。
以下のブログで紹介されているようにTransitGatewayでルーティングしてNAT Gatewayのルートがあるサブネットから出ていくように設計が必要だと思いました。
https://dev.classmethod.jp/articles/full-managed-s3-access-with-transit-gateway/

profile picture
EXPERTO
respondido hace 2 meses
  • Direct connect は大掛かりなので、まずは、site to site VPNのままで行きたいです。 site to site VPNかつ接続先をTransitGatewayに変更すれば実現可能と解釈してよいでしょうか?もちろん検証必要ですが。

    「Eset外部サイト」は具体的には、下記のアドレスです。アクティベーションのために接続します。 https://eset-support.canon-its.jp/faq/show/41?site_domain=default#no12

  • site to site VPNかつ接続先をTransitGatewayに変更すれば実現可能と解釈してよいでしょうか?

    試せる環境が無いのでy-om様にて検証いただきたいのですが、TransitGatewayを使用すれば可能だと思います。 イメージとしては以下のブログで紹介されているような構成です。 https://qiita.com/japanvincent/items/a7fa8fceb9f49f02bf64

    「Eset外部サイト」は具体的には、下記のアドレスです。アクティベーションのために接続します。

    ご共有ありがとうございます。 こちらのIPアドレスをSite to Site VPNに流すルートがオンプレミスのルータに必要になると思います。

  • TransitGatewayに変更してみましたが、TransitGatewayアタッチメントとTransit Gateway ルートテーブルの設定が理解しづらいです。 わかりやすい参考サイトございますでしょうか?

No has iniciado sesión. Iniciar sesión para publicar una respuesta.

Una buena respuesta responde claramente a la pregunta, proporciona comentarios constructivos y fomenta el crecimiento profesional en la persona que hace la pregunta.

Pautas para responder preguntas