- 新しい順
- 投票が多い順
- コメントが多い順
Esetサイトのみアクセス制限できましたが、クライアントVPNエンドポイントの通信ログとNATゲートウェイの通信ログ を確認することはできますでしょうか?
VPCフローログを取得してみてはいかがでしょうか?
https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/flow-logs.html
実際の画面が見れていないので判断ができないのですが、以下のブログで紹介されているようにClientVPNルートテーブルで0.0.0.0/0をプライベートサブネットに向ける必要があります。
上記は設定済みでしょうか?
https://dev.classmethod.jp/articles/aws-client-vpn-with-static-ip/
ご回答ありがとうございます。 丸々ご紹介頂いたページのIPアドレス体系で実施したところVPNのNATゲートウェイ経由で接続できました。 https://qiita.com/Hi_Noguchi/items/63c185add376b8bc2931
ただ、自己作成した10.0.0.0/21のVPCでは何度も設定確認しましたが、接続できませんでした。 ちょっとこの点については、IPアドレス体系が悪いのかどうか次の課題として取り組みます。
まずは、VPNのNATゲートウェイ経由でインターネット接続できることが達成できましたことを感謝申し上げます。
追加で質問がございます。
VPNのNATゲートウェイ経由でインターネット接続することはできたのですが、 インターネット接続するサイトを制限したいためいろいろ試行錯誤しました。
接続するサイトは「Eset定義ファイルダウンロードサイト」と「Esetアクティベーションサイト」のみです。
クライアントVPNエンドポイントか、NATゲートウェイのどちらかでセキュリティグループを作成して制御しようとしましたが、 NATゲートウェイにセキュリティグループを適用できないことに気づきました。
NATゲートウェイは、サブネットに関連付けできるだけで、関連付けしたサブネットにもセキュリティグループを紐づけできなかったためです。
サブネットで制御するとなるとネットワークACLで設定かと思いますが、セキュリティグループの方が簡単そうなので セキュリティグループで行えればと思い、クライアントVPNエンドポイントでセキュリティグループを 下記のように設定し、対象のサイトのみアクセスできるように出来ました。
[クライアントVPNエンドポイント]
セキュリティグループ設定
元々の設定は、インバウトとアウトバウンドともにIPv4 すべてのトラフィック 0.0.0.0/0 でインターネット接続可状態
上記から下記に変更
・インバウンドはすべて削除
・アウトバウンド IPv4ですべてのトラフィックをEset定義ファイルダウンロードサイトとアクティベーションサイト 20サイトほどを送信先で登録
IPv4ですべてのトラフィックを送信先でGoogleのDNSアドレスで登録
*なぜかDNSに通信許可しないとEsetサイトへアクセスできませんでした。
質問ですが、
Esetサイトのみアクセス制限できましたが、クライアントVPNエンドポイントの通信ログとNATゲートウェイの通信ログ を確認することはできますでしょうか?
理由:クライアントVPNエンドポイントのセキュリティグループで制限をしていますが、 例えばyahoo.co.jpなどのブラウザにアクセスしても当然アクセスできませんが、 NATゲートウェイに対して通信料がかかっていないか念のため確認したいためです。 WIndowsは特に意識していなくても外部サイトへアクセスしようとすると思いますので そちらも合せて確認もします。
関連するコンテンツ
- AWS公式更新しました 2年前
- AWS公式更新しました 2年前
回答ありがとうございます。 0.0.0.0/0の設定漏れておりましたので追加しました。 また、承認ルールに10.0.0.0/21も漏れていたので追加しました。
* 承認ルール:0.0.0.0/0 すべてにアクセスをtrue と 送信先CIDR 10.0.0.0/21(追加)
* ルートテーブル:送信先CIDR 10.0.0.0/21 と 送信先CIDR 0.0.0.0/0(追加)
追加しましたが検証結果に変化はありませんでした。
route printコマンド結果を質問に追加いたしました。
何かわかりますでしょうか? VPN接続しなおしたのでIPが10.110.0.162に変わっております。
私のAWSアカウントで以下のブログで紹介されている手順で作成してみましたが正常にインターネット接続ができました。 https://qiita.com/Hi_Noguchi/items/63c185add376b8bc2931
何かしら設定が抜けているような気がするのですが、文章だけだと判断が難しいです。 一度、上記のブログの手順で作成し直していただいてもよろしいでしょうか? ちなみに証明書作成に使用したコマンドは以下のようになっています。