120827 jaws-ug sapporo7 openswanでvpc
DESCRIPTION
2012/08/27 第7回JAWS-UG札幌支部 事例発表資料TRANSCRIPT
Openswanで Amazon VPCを使う
第7回 JAWS-UG 札幌 勉強会
(株)アフォーダンス 新 真千恵
2012年8月27日
自己紹介
• 新 真千恵
– ATARASHI Machie
– 株式会社アフォーダンス
– JAWS-UG札幌支部 副代表
– 好きなサービス:EC2
copyright Affordance Corp. 2
お客様の環境
copyright Affordance Corp. 3
AP Server
RDB
DMZ
内部セグメント
CPU&Memory の負荷増大
1台
お客様の環境
AP Server
AP Server
AP Server
・・・・ 14台
関連会社Z
AP Server
関連会社A
AP Server
関連会社X
・・・・
copyright Affordance Corp. 4
DBサーバを社内
環境に置いたままAWSにAPサーバを設置したい…
お客様
copyright Affordance Corp. 5
1. Amazon VPCを使いましょう!
仮想プライベートクラウド( VPN接続)
2. Amazon EC2を使いましょう!
サーバ
3. Amazon ELBを使いましょう!
ロードバランサー
わたし
copyright Affordance Corp. 6
お客様のルータは 何ですか?
copyright Affordance Corp. 7
Cisco ASA5510
Amazon VPCで機能するルータ
copyright Affordance Corp. 8
Amazon VPC FAQ(http://aws.amazon.com/jp/vpc/faqs/#C9)
Amazon VPCで機能するルータの仕様
copyright Affordance Corp. 9
Amazon VPC FAQ(http://aws.amazon.com/jp/vpc/faqs/#C8)
copyright Affordance Corp. 10
Cisco ASA5510
Amazon VPC FAQ(http://aws.amazon.com/jp/vpc/faqs/#C8)
copyright Affordance Corp. 11
使えない?
copyright Affordance Corp. 12
copyright Affordance Corp. 13 Openswan公式サイト(http://wiki.openswan.org/)
copyright Affordance Corp. 14
VPC with Single Public Subnet Only VPC with Public and Private Subnets
VPC with Public and Private Subnets and Hardware VPN Access
VPC with Private Subnet Only Hardware VPN Access
お客様の環境
copyright Affordance Corp. 15
AP Server
AP Server
AP Server
・・・・
AP Server
RDB
DMZ
内部セグメント
14台
1台
お客様の環境
関連会社Z
AP Server
関連会社A
AP Server
関連会社X
・・・・
copyright Affordance Corp. 16
172.16.0.0/16
お客様環境
Customer
Gateway
(Cisco ASA5510)
VPC public Subnet 172.16.2.0/24
Availability Zone-b
AP
Server
Security Group-ap
172.16.2.11
Internet Gateway
192.168.2.0/24
VPC public Subnet 172.16.1.0/24
Availability Zone-a
AP
Server
Security Group-ap
172.16.1.11
VPC public Subnet 172.16.0.0/24
Availability Zone-a
open
swan
Security Group-os
172.16.0.250
Elastic Load
Balancer DB
関連会社Z 関連会社A 関連会社X
AP
Server
VPN Connection
・・・
道のり
copyright Affordance Corp. 17
2
4
1
3
困ったこと その1
copyright Affordance Corp. 18
Openswan(ipsec)が起動できない
but no connection has been authorized with policy=PSK
(ログ)
解決のためのキーワード
copyright Affordance Corp. 19
• まずは確認 – ipsecはちゃんと動作できてる?
– confファイルは大丈夫?
copyright Affordance Corp. 20
Checking your system to see if IPsec got installed and started correctly: Version check and ipsec on-path [OK] Linux Openswan U2.6.37/K3.2.12-3.2.4.amzn1.i686 (netkey) Checking for IPsec support in kernel [OK] SAref kernel support [N/A] NETKEY: Testing XFRM related proc values [FAILED] Please disable /proc/sys/net/ipv4/conf/*/send_redirects or NETKEY will cause the sending of bogus ICMP redirects! [FAILED] Please disable /proc/sys/net/ipv4/conf/*/accept_redirects or NETKEY will accept bogus ICMP redirects! [OK] Checking that pluto is running [OK] Pluto listening for IKE on udp 500 [OK] Pluto listening for NAT-T on udp 4500 [OK] Checking for 'ip' command [OK] Checking /bin/sh is not /bin/dash [OK] Checking for 'iptables' command [OK] Opportunistic Encryption Support [DISABLED]
ipsec verify
sysctlの設定を有効化 sysctl -p
copyright Affordance Corp. 21
/etc/ipsec.d/home.conf
conn home left=%defaultroute leftid=xxx.xxx.xxx.xxx leftsubnet=172.16.0.250/16 right=yyy.yyy.yyy.yyy rightid=yyy.yyy.yyy.yyy rightsubnet=192.168.2.0/24 authby=secret ike=aes128-md5-modp1024,3des-sha-modp1024 esp=aes128-md5 pfs=yes forceencaps=yes auto=start conn vpcsub2 leftsubnet=172.16.1.0/24 also=home conn vpcsub3 leftsubnet=172.16.2.0/24 also=home
お客様のASA configとの矛盾点を修正
copyright Affordance Corp. 22
Openswan(ipsec)が 起動できた!
ISAKMP SA established {auth=OAKLEY_PRESHARED_KEY cipher=aes_128 prf=oakley_md5 group=modp1536}
(ログ)
copyright Affordance Corp. 23
Openswanサーバからpingをたたく と、SSHコンソール
が死ぬ…
困ったこと その2
copyright Affordance Corp. 24
ipsec.conf を変更したら Openswanに
SSH接続できなくなった…
困ったこと その3
解決のためのキーワード
copyright Affordance Corp. 25
• 何もかもリセットしちゃう – Openswanサーバを忘れる!
– イチから作り直す!
たった30分! 悩んだ時間 300分
copyright Affordance Corp. 26
Openswan(ipsec)が 起動できた!
pingもたたける!
お客様にも
繋がりましたログ が出た!
copyright Affordance Corp. 27
APサーバからpingが通らない…
困ったこと その4
解決のためキーワード
copyright Affordance Corp. 28
• Source/Dest Check
copyright Affordance Corp. 29
Source/Dest Check
copyright Affordance Corp. 30
APサーバからpingもたたける!
お客様の
DBサーバにも 繋がった!
copyright Affordance Corp. 31
172.16.0.0/16
お客様環境
Customer
Gateway
(Cisco ASA5510)
VPC public Subnet 172.16.2.0/24
Availability Zone-b
AP
Server
Security Group-ap
172.16.2.11
Internet Gateway
192.168.2.0/24
VPC public Subnet 172.16.1.0/24
Availability Zone-a
AP
Server
Security Group-ap
172.16.1.11
VPC public Subnet 172.16.0.0/24
Availability Zone-a
open
swan
Security Group-os
172.16.0.250
Elastic Load
Balancer DB
関連会社Z 関連会社A 関連会社X
AP
Server
VPN Connection
・・・
最後に
copyright Affordance Corp. 32
Amazon VPCで機能しないルータでもAmazon VPCは構築可能
(慣れれば)短時間で構築可能
Amazon VPCで ルータを使うことを オススメします!
秒殺で構築可能!
ご相談お待ちしております!
参考資料
copyright Affordance Corp. 33
copyright Affordance Corp. 34
http://www.techsmog.com/index.php/2011/05/03/openswan-amazon-vpc-and-cisco-asa-putting-it-all-together/
copyright Affordance Corp. 35
http://www.mohancheema.net/howtos/amazon-vpc-with-openswan-and-cisco-asa-site-to-site-vpn