2026年02月25日
Tweet
とりあえずテスト
AWS側での設定
・カスタマーゲートウェイ作成
IP アドレス
※カスタマーゲートウェイデバイスの外部インターフェイスの IP アドレスを指定します。
NAT外側のグローバルIPを記載
※今回は動的IPは考慮していません。テストであれば、現在のグローバルIPアドレスを記載すればOKです。IP変わったら、再設定(=再作成)が必要です。
・仮想プライベートゲートウェイ作成
デフォルトでいいと思います。
作成後はVPCにアタッチします。
・Site-to-Site VPN 接続の作成
ターゲットゲートウェイのタイプ
→ 仮想プライベートゲートウェイ
上記で作成したものを選択
カスタマーゲートウェイ
既存で、上記で作成したものを選択
ルーティングオプション
動的・静的どちらでも。練習ならBGP?
ローカル IPv4 ネットワーク CIDR
デフォルトの通り 0.0.0.0/0
リモート IPv4 ネットワーク CIDR
デフォルトの通り 0.0.0.0/0
サンプルConfigをダウンロードします。
EC2の画面から、
セキュリティグループを選択
FortigateのローカルIPからの通信を許可します。
今回はpingのみ確認なので、
すべてのICMPをFortigateのローカルIPから許可しました。
----
Fortigate側設定
----
VPNトンネルの作成
リモートゲートウェイ
IPアドレスで、AWS側のグローバルIP
インターフェース: WAN
ローカルゲートウェイ
FortigateのWAN側のIP。NAT配下なのでローカルIPになります。
プライマリIPを選択すると自動で設定されます。
事前共有鍵
AWSから指定のあったもの
IKEバージョン2
Diffie-Hellmanグループ
AWSで指定のあったもの。今回は2
キーの有効期間
AWSで指定のあったもの。
フェーズ2セレクター
ローカルアドレスとリモートアドレスは
0.0.0.0/0
※Site-to-Site VPN 接続の作成時の「ローカル IPv4 ネットワーク CIDR」等と連動します。注意
暗号化 - 認証
AWSから指定のあったもの。今回はAWS128-SHA1
キーの有効期間
AWSから指定のあったもの。今回は3600秒
ネットワーク - BGPメニューから BGP情報を登録します。
ローカルAS
AWSから指定のあったもの。
ルーターID
FortigateのWAN側のIP。NAT配下なのでローカルIPになります。
ネイバーもAWSの指示通りに設定します。
ほかはデフォルトのまま
ファイアーウォールポリシーの設定
VPN → LOCAL への通信を許可
LOCAL → VPN への通信を許可
これでしばらくすると、VPNが接続されます。
相互にpingを売ってみると、無事に疎通しました。
※なおこの状態にするまで、トラブルもあったのでおおむね8時間かかりました。
大変だった。
AWS側での設定
・カスタマーゲートウェイ作成
IP アドレス
※カスタマーゲートウェイデバイスの外部インターフェイスの IP アドレスを指定します。
NAT外側のグローバルIPを記載
※今回は動的IPは考慮していません。テストであれば、現在のグローバルIPアドレスを記載すればOKです。IP変わったら、再設定(=再作成)が必要です。
・仮想プライベートゲートウェイ作成
デフォルトでいいと思います。
作成後はVPCにアタッチします。
・Site-to-Site VPN 接続の作成
ターゲットゲートウェイのタイプ
→ 仮想プライベートゲートウェイ
上記で作成したものを選択
カスタマーゲートウェイ
既存で、上記で作成したものを選択
ルーティングオプション
動的・静的どちらでも。練習ならBGP?
ローカル IPv4 ネットワーク CIDR
デフォルトの通り 0.0.0.0/0
リモート IPv4 ネットワーク CIDR
デフォルトの通り 0.0.0.0/0
サンプルConfigをダウンロードします。
EC2の画面から、
セキュリティグループを選択
FortigateのローカルIPからの通信を許可します。
今回はpingのみ確認なので、
すべてのICMPをFortigateのローカルIPから許可しました。
----
Fortigate側設定
----
VPNトンネルの作成
リモートゲートウェイ
IPアドレスで、AWS側のグローバルIP
インターフェース: WAN
ローカルゲートウェイ
FortigateのWAN側のIP。NAT配下なのでローカルIPになります。
プライマリIPを選択すると自動で設定されます。
事前共有鍵
AWSから指定のあったもの
IKEバージョン2
Diffie-Hellmanグループ
AWSで指定のあったもの。今回は2
キーの有効期間
AWSで指定のあったもの。
フェーズ2セレクター
ローカルアドレスとリモートアドレスは
0.0.0.0/0
※Site-to-Site VPN 接続の作成時の「ローカル IPv4 ネットワーク CIDR」等と連動します。注意
暗号化 - 認証
AWSから指定のあったもの。今回はAWS128-SHA1
キーの有効期間
AWSから指定のあったもの。今回は3600秒
ネットワーク - BGPメニューから BGP情報を登録します。
ローカルAS
AWSから指定のあったもの。
ルーターID
FortigateのWAN側のIP。NAT配下なのでローカルIPになります。
ネイバーもAWSの指示通りに設定します。
ほかはデフォルトのまま
ファイアーウォールポリシーの設定
VPN → LOCAL への通信を許可
LOCAL → VPN への通信を許可
これでしばらくすると、VPNが接続されます。
相互にpingを売ってみると、無事に疎通しました。
※なおこの状態にするまで、トラブルもあったのでおおむね8時間かかりました。
大変だった。
stock_value at 14:33│Comments(0)│技術
