EC2インスタンスでRRAS VPNゲートウェイの設定を進めているところです。今は動作していますが、ある項目で詰まっています。RRASに加えて、AWSのVirtual Private Gatewayを利用したサイト間VPNもあります。リモートサイトを 192.168.1.0/24、AWSのVPCを 192.168.20.0/24 とします。私のRRASボックスは 192.168.30.0/24 の静的IPプールを使用しています。
RRASクライアントからリモートサイトへアクセスしようとしても、どこにも到達できません。そこにWiresharkを走らせてもPingさえ見えません。デフォルトゲートウェイ(192.168.20.1)へPingも試しましたが反応せず、内部ネットワークでは通っています。
VPC自体には、VPCの内部NICに到達できるようにルートを追加しています。これにより、192.168.30.0/24 は正常に機能し、私のRRASクライアント(例: 192.168.30.10)はVPCサブネットのすべてと通信できます。
また、RRASボックスには、リモートサイトのサブネットをVPCルーター(.1)へ向けるルートも設定しています。これはRRAS自身がリモートサイトに到達できているため動作しているようですが、クライアント側からは到達できません。
源/宛先のチェックはRRASボックスで無効にしています。
VPCルーターにも同様の設定(源/宛先確認の無効化)は必要でしょうか? RRASクライアントがリモートサイトのリソースと通信できるようにするにはどうしたら良いでしょうか?(VPCのネイティブサブネットからはPingも通信も問題ありません)。VPCルーターがRRASのIPプールをブロックしているように見えるのですが、それが原因かもしれません。
VPCのルートテーブルにリモートサイトへのルートを設定していますか?
はい…リモートサイトとAWS VPC間はアクセスできるのですが、RRASクライアントからはダメです。
VPCフローログを有効にして、RRASクライアントのトラフィックがどうなっているか見てみてください。RRASサーバーのセキュリティグループに必要なポートを許可していることも確認してください。
それはやって、しばらくログを見たのですが、今のところRRASとAWSのDNSサーバー間のDNSルックアップだけでした。その他のトラフィックは見えません。
VPNクライアントはトラフィックを送信していることを確認済みで、tracertではRRASサーバーまでは到達しますが、それ以降は何も。遠隔側のゲートウェイにもルートは設定されているはずですが、Pingもtracertも有効な情報を返してくれません。
RRASを別のサブネットに配置して、そのサブネット内にクライアントIPを配置するのが良さそうだと考え始めています。そうすればVPCはそれを認識できるはずです。
VPCのCIDRが192.168.20.0/24で、RRASは192.168.30.0/24サブネットにありますよね? 実際にVPCのCIDRが /24 かどうかを確認できますか?間違いでなければ笑。
たしかにそれですぐに確認します。間違いを犯しましたね(笑)。
確認しました。CIDRは .20.0/24 です。それにサブネットを追加すると、自動的にルートテーブルに “local” として追加されてしまいます。これが問題を解決するかどうかは分かりません。技術的にはサブネットとして追加し、そのCIDRをVPCに設定することも可能です。
それが問題のようです。VPCのCIDRが .20.0/24 の場合、.30.0/24 はVPCの一部ではありません。そのため、.30.0/24をVPCのCIDRに追加すべきです。
あるいは、VPCのCIDRを 192.168.16.0/20 に変更すれば、192.168.16.0 から .31.255 までの範囲をカバーし、どちらのサブネットも含めつつリモートサブネットも séparately 保持できます。
それは後から修正できないので、サブネットを追加することはできます。もう一度試してみる価値はありそうです。RRASを別のサブネットに配置してみて、変化があるか確かめてみます。