MikroTik ルーターで動的ルーティングベースの AWS サイト間 VPNを設定する方法を教えてください。

所要時間3分
0

BGP を使用して、AWS と MikroTik ルーター間の AWS マネージドサイト間 VPN 接続を設定したいと考えています。

解決方法

**注:**AWS VPN のパフォーマンスを最適化する方法については、AWS サイト間 VPNを参照して、適切なオプションを選択してパフォーマンスを最適化してください

前提条件

始める前に、次のことを確認してください。

  • 仮想プライベートゲートウェイに関連付けられた、またはトランジットゲートウェイに接続された仮想プライベートクラウド (VPC) CIDR を設定しました。
  • VPC CIDR はオンプレミスネットワーク CIDR と重複しません。

BGP ルーティングを使用して MikroTik ルーターで AWS サイト間 VPNを作成する

  1. AWS サイト間 VPN 入門のステップ 1 から 5 に従って、VPN 接続の AWS 側を設定します。注:
    • カスタマーゲートウェイデバイスの自律システム番号 (ASN) を確認します。デフォルトを選択した場合、AWS はカスタマーゲートウェイの ASN を 65000 として提供します。
    • ステップ 5でルーティングオプションを動的として選択します。
  2. Amazon VPC コンソールを開きます。サイトと VPN の接続に移動します。
  3. VPN 接続を選択し、ルーターのサンプル設定ファイルをダウンロードします。 
    **注:**このサンプルファイルを使用して、ルーターに AWS サイト間 VPNを設定します。
  4. Winbox を使用して MikroTik ルーターのユーザーインターフェイスにログインします
  5. MikroTik ルーターで IPSEC 提案を次のように設定します:
    IPSEC 提案では、暗号化、認証、Diffie-Hellman グループ、ライフタイムに関する IPSEC パラメータを定義しています。
    [IP] タブ > [IPsec] > [提案] に移動します。
    + ボタンを選択します。次に、以下のように入力します。
    **名前: **ipsec-vpn-xxxxxxxxx-0
    **Auth.アルゴリズム: **sha1
    **Encr.アルゴリズム: **aes-128-cbc
    有効期間: 01:00:00
    **PFS グループ: **modp1024
    [適用] を選択し、[OK] を選択します。
    注: 置<vpn-xxxxxxxxx-0> IPsec VPN アドレスまたは VPN の名前を入力してください。
  6. 次の方法で、MikroTik ルーターに IPSEC ポリシーを作成します。 IPSEC ポリシーは、ローカルサブネットから VPC サブネットへのトラフィックを許可します。IPSEC ポリシーでは、カスタマーゲートウェイ (MikroTik ルーター) の内部トンネル IP と AWS VPN トンネルエンドポイントの内部トンネル IP からのトラフィックも許可されます。MikroTik ルーターの IPSEC ポリシーのトラフィックセレクターは、任意 (0.0.0.0/0) から任意 (0.0.0.0/0) まで設定できます。
    [IP] タブ > [IPsec] > [ポリシー] に移動します。
    + ボタンを選択します。次に、以下のように入力します。
    アドレス: 0.0.0.0/0
    Dst.アドレス: 0.0.0.0/0
    [アクション] タブ を選択します [トンネル] を選択します。次に、以下の通り入力します。
    **SA Src.アドレス:**WAN/ 外部インターフェイス
    **SA Dst.アドレス:**VGW 外部 IP
    **提案: **ipsec-vpn-xxxxxxxxx-0
    [適用] を選択し、[OK] を選択します。
    注: 置換 <vpn-xxxxxxxxx-0> IPsec VPN アドレスまたは VPN の名前を入力してください。
  7. MikroTik ルーターでインターネットキー交換 (IKE) プロファイルを作成します。IKE プロファイルは、暗号化、認証、Diffie-Hellman グループ、認証キー、およびライフタイムの IKE SA またはフェーズ 1 SA パラメータを定義します。
    [IP]] タブ > [IPsec] > [プロファイル] に移動します。
    + ボタンを選択します。以下のように詳細を入力します。
    **プロファイル名: **profile-vpn-xxxxxxxxx-0
    **ハッシュアルゴリズム: **sha1
    **暗号化アルゴリズム: **aes-128
    **DH グループ: **modp1024
    有効期間: 08:00:0
    DPD インターバル: 10
    DPD の最大障害数: 3
    [適用] を選択し、[OK] を選択します。
    注: 置換 <profile-vpn-xxxxxxxxx-0> プロフィールの VPN アドレスまたはプロフィールの名前を入力してください。
  8. IKE プロファイルを AWS VPN エンドポイント (ピア) に関連付けます。
    [IP] タブ > [IPsec] > [ピア] に移動します。次に、以下のように詳細を入力します。
    アドレス: <AWS tunnel IP>
    ローカルアドレス:<MikroTik IP on the external interface>
    **プロフィール: **profile-vpn-xxxxxxxxx-0
    **交換モード:**メイン
    [適用] を選択し、[OK] を選択します。
    注: 置換 <AWS tunnel IP> ご使用の AWS トンネル IP アドレスと <Mikrotik IP アドレス (外部インターフェイスでは)、関連する MikroTik IP アドレスを入力してください。置換 <profile-vpn-xxxxxxxxx-0> プロフィールの VPN アドレスまたはプロフィールの名前を入力してください。
  9. 事前共有キーを追加してピアを認証します。事前共有キーは、AWSコンソールからダウンロードしたサンプル設定ファイルから取得されます。
    [IP] タブ > [IPsec] > [アイデンティティ] に移動します。次に、以下のように詳細を入力します。
    **認証方法:**事前共有キー
    シークレット: AAAAAAAAAAAAAAAAAA
    [適用] を選択し、[OK] を選択します。
  10. MikroTikルーターの論理トンネルインターフェイスを以下の方法で設定します。 オンプレミスのプライベートネットワークからのすべてのトラフィックは、論理トンネルインターフェイスにルーティングされます。その後、トラフィックは暗号化されて VPC に送信され、その逆も同様です。
    [IP] タブ > [アドレス] に移動します
    + ボタンを選択します。次に、以下のように詳細を入力します。
    アドレス: 169.254.X.X.30
    **インターフェイス:**WAN/ 外部インターフェイス
    [適用] を選択し、[OK] を選択します。
  11. 次に示すように、MikroTik ルーターの BGP ピアを AWS VPN トンネルエンドポイント (仮想プライベートゲートウェイまたはトランジットゲートウェイ) との間でルーティングプレフィックスを交換するように設定します。
    [ルーティング] > [BGP] > [ピア] に移動します。
    **+**ボタンを選択し、[一般] タブを選択します。次に、以下のように詳細を入力します。
    名前: BGP-vpn-xxxxxxxxx-0
    **リモートアドレス: **169.254.X.X
    リモート AS: 64512
    ホールドタイム: 30
    **キープアライブ時間: **10
    [適用] を選択し、[OK] を選択します。
    注: 置換 <BGP-vpn-xxxxxxxxx-0> お使いの BGP VPN アドレスを入力してください。
  12. ローカルのオンプレミスプレフィックスをアドバタイズします。カスタマーゲートウェイ (MikroTik ルーター) はローカルプレフィックスを AWS にアドバタイズします。サブネット/マスクが 10.0.0.0/16 のローカルプレフィックスの例を次に示します。
    [ルーティング] タブ > [BGP] > [ネットワーク] に移動します。
    + ボタンを選択します。次に、以下の通り入力します。
    ネットワーク: 10.0.0.0/16
    [適用] を選択し、[OK] を選択します。
  13. NAT 免除を設定します。
    ローカルサブネットから VPC へのトラフィックを許可するルールを作成します。
    **注:**カスタマーゲートウェイでネットワークアドレス変換 (NAT) を実行する場合、ローカルサブネットから VPC サブネットへ、またはその逆のトラフィックを許可する NAT 免除ルールが必要になる場合があります。このサンプルルールは、ローカルサブネットから VPC サブネットへのトラフィックを許可します。
    [IP] タブ > [ファイアウォール] > [NAT] に移動します。
    **+**ボタンを選択し、[一般] タブを選択します。次に、以下の通り入力します。
    チェーン: srcnat
    Scr. アドレス: ローカルサブネット/マスク
    **Dst. アドレス:**Amazon Virtual Private Cloud (Amazon VPC) エンドポイント
    [アクション] タブを選択します。次に、以下の通り入力します。
    アクション = 承認
    [適用] を選択し、[OK] を選択します。
  14. カスタマーゲートウェイに関連する内部 IP (MikroTik トンネル IP) から、AWS トンネルに関連する内部 IP (つまり、仮想プライベートゲートウェイまたはトランジットゲートウェイ) へのトラフィックを許可するファイアウォールルールを作成します。
    **+**ボタンを選択し、[一般] タブを選択します。次に、以下の通り入力します。
    チェーン: srcnat
    Scr.アドレス: 169.254.X.X
    Dst.アドレス: 169.254.X.X
    [アクション] タブを選択します。
    アクション = 承認
    [適用] を選択し、[OK] を選択します。
    **注:**カスタマーゲートウェイには、NAT 免除ルールと競合する可能性のある複数のファイアウォールルールがある場合があります。ポリシーの矛盾を避けるため、NAT 免除ルールを設定した順序で評価されるように配置してください。
AWS公式
AWS公式更新しました 9ヶ月前
コメントはありません

関連するコンテンツ