AWS クライアント VPN の開始方法 - AWS クライアント VPN
前提条件ステップ 1: サーバーおよびクライアント証明書とキーの生成ステップ 2: クライアント VPN エンドポイントを作成するステップ 3: ターゲットネットワークを関連付けるステップ 4: VPC の認可ルールを追加するステップ 5: インターネットへのアクセスを提供するステップ 6: セキュリティグループの要件を検証するステップ 7: クライアント VPN エンドポイント設定ファイルをダウンロードするステップ 8: クライアント VPN エンドポイントに接続する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS クライアント VPN の開始方法

このチュートリアルでは、次の処理を実行するクライアント VPN エンドポイントを作成します。

  • すべてのクライアントが 1 つの VPC にアクセスできるようにします。

  • すべてのクライアントがインターネットにアクセスできるようにします。

  • 相互認証を使用します。

次の図は、このチュートリアルを完了した後の VPC とクライアント VPN エンドポイントの設定を示しています。

インターネットにアクセスするクライアント VPN

前提条件

このチュートリアルを開始する前に、以下の要件を満たしていることを確認してください。

  • クライアント VPN エンドポイントを操作するために必要な許可。

  • AWS Certificate Manager に証明書をインポートするために必要な許可。

  • 少なくとも 1 つのサブネットとインターネットゲートウェイを持つ VPC。サブネットに関連付けられているルートテーブルには、インターネットゲートウェイへのルートが必要です。

ステップ 1: サーバーおよびクライアント証明書とキーの生成

このチュートリアルでは、相互認証が使用されます。相互認証では、クライアント VPN は証明書を使用してクライアントとクライアント VPN エンドポイント間の認証を実行します。サーバー証明書とキー、および少なくとも 1 つのクライアント証明書とキーが必要です。少なくとも、サーバー証明書を AWS Certificate Manager (ACM) にインポートする必要があり、クライアント VPN エンドポイントを作成するときに指定する必要があります。ACM へのクライアント証明書のインポートはオプションです。

この目的で使用する証明書をまだ持っていない場合は、OpenVPN easy-rsa ユーティリティを使用して作成できます。OpenVPN easy-RSA ユーティリティを使用してサーバーおよびクライアント証明書とキーを生成し、ACM にインポートするステップの詳細については、「相互認証」を参照してください。

注記

サーバー証明書は、クライアント VPN エンドポイントを作成するのと同じ AWS リージョンの AWS Certificate Manager (ACM) でプロビジョニングするか、インポートする必要があります。

ステップ 2: クライアント VPN エンドポイントを作成する

クライアント VPN エンドポイントは、クライアント VPN セッションを有効にして管理するために作成して設定するリソースです。これは、すべてのクライアント VPN セッションの終了ポイントです。

クライアント VPN エンドポイントを作成するには

  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで [Client VPN Endpoint] (クライアント VPN エンドポイント) を選択し、[Create Client VPN Endpoint] (クライアント VPN エンドポイントの作成) を選択します。

  3. (オプション) クライアント VPN エンドポイントの名前タグと説明を入力します。

  4. [Client IPv4 CIDR] (クライアント IPv4 CIDR) に、クライアント IP アドレスを割り当てる IP アドレス範囲を CIDR 表記で指定します。

    注記

    IP アドレス範囲は、ターゲットネットワークのアドレス範囲、VPC のアドレス範囲、またはクライアント VPN エンドポイントに関連付けられるルートと重複できません。クライアントアドレス範囲は /22 以上で、/12 CIDR ブロックサイズを超えないようにする必要があります。クライアント VPN エンドポイントの作成後にクライアントのアドレス範囲を変更することはできません。

  5. [Server certificate ARN] (サーバー証明書 ARN) として、ステップ 1 で生成したサーバー証明書の ARN を選択します。

  6. [Authentication options] (認証オプション) で、[Use mutual authentication] (相互認証を使用する) を選択してから、[Client certificate ARN] (クライアント証明書 ARN) で、使用するクライアント証明書の ARN を選択します。

    サーバー証明書とクライアント証明書が同じ認証機関 (CA) によって署名されている場合、サーバーとクライアントの両方の証明書についてサーバー証明書 ARN を指定することができます。この状況では、サーバー証明書に対応するすべてのクライアント証明書を使用して認証できます。

  7. 残りはデフォルト設定のままにして、[Create Client VPN Endpoint] (クライアント VPN エンドポイントの作成) を選択します。

クライアント VPN エンドポイントを作成すると、その状態は pending-associate になります。クライアントは、少なくとも 1 つのターゲットネットワークを関連付けた後でのみ、VPN 接続を確立できます。

クライアント VPN エンドポイントに指定できるオプションの詳細については、「クライアント VPN エンドポイントを作成する」を参照してください。

ステップ 3: ターゲットネットワークを関連付ける

クライアントが VPN セッションを確立するには、ターゲットネットワークをクライアント VPN エンドポイントに関連付ける必要があります。ターゲットネットワークは、VPC のサブネットです。

ターゲットネットワークをクライアント VPN エンドポイントに関連付けるには

  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで、[Client VPN Endpoints] (クライアント VPN エンドポイント) を選択します。

  3. 前の手順で作成したクライアント VPN エンドポイントを選択してから、[Target network associations] (ターゲットネットワークの関連付け)、[Associate target network] (ターゲットネットワークを関連付ける) を選択します。

  4. [VPC] で、サブネットがある VPC を選択します。

  5. [Choose a subnet to associate] (関連付けるサブネットを選択する) で、クライアント VPN エンドポイントに関連付けるサブネットを選択します。

  6. [Associate target network] (ターゲットネットワークを関連付ける) を選択します。

  7. 認可ルールで許可されている場合、クライアントが VPC のネットワーク全体にアクセスするには、1 つのサブネットの関連付けで十分です。アベイラビリティーゾーンに障害が発生した場合に高可用性を提供するために、追加のサブネットを関連付けることができます。

最初のサブネットをクライアント VPN エンドポイントに関連付けると、次の処理が実行されます。

  • クライアント VPN エンドポイントの状態が available に変わります。これで、クライアントは VPN 接続を確立できるようになりましたが、認証ルールを追加するまで VPC 内のリソースにアクセスすることはできません。

  • VPC のローカルルートが、クライアント VPN エンドポイントルートテーブルに自動的に追加されます。

  • VPC のデフォルトのセキュリティグループが、クライアント VPN エンドポイントに自動的に適用されます。

ステップ 4: VPC の認可ルールを追加する

クライアントが VPC にアクセスするには、クライアント VPN エンドポイントのルートテーブルに VPC へのルートと認可ルールが存在する必要があります。ルートは、前のステップで既に自動的に追加されています。このチュートリアルでは、すべてのユーザーに VPC へのアクセスを付与します。

VPC の認可ルールを追加するには

  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで、[Client VPN Endpoints] (クライアント VPN エンドポイント) を選択します。

  3. 認可ルールを追加するクライアント VPN エンドポイントを選択します。[Authorization rules] (認可ルール) を選択してから、[Add authorization rule] (認可ルールを追加する) を選択します。

  4. [Destination network to enable] (有効にする送信先ネットワーク) に、アクセスを許可するネットワークの CIDR を入力します。例えば、VPC 全体へのアクセスを許可するには、VPC の IPv4 CIDR ブロックを指定します。

  5. [Grant access to] (アクセスを付与する対象) で、[Allow access to all users] (すべてのユーザーにアクセスを許可する) を選択します。

  6. [Description] (説明) に、認可ルールの簡単な説明を入力します。

  7. [Add authorization rule] (認可ルールを追加する) を選択します。

ステップ 5: インターネットへのアクセスを提供する

AWS サービス、ピア接続 VPC、オンプレミスネットワークなど、VPC に接続されている追加のネットワークとインターネットへのアクセスを提供できます。追加のネットワークごとに、クライアント VPN エンドポイントのルートテーブルにネットワークへのルートを追加し、クライアントアクセスに付与する認可ルールを設定します。

このチュートリアルでは、すべてのユーザーにインターネットと VPC へのアクセスを付与します。VPC へのアクセスは既に設定したため、このステップではインターネットへのアクセスを設定します。

インターネットへのアクセスを提供するには

  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで、[Client VPN Endpoints] (クライアント VPN エンドポイント) を選択します。

  3. このチュートリアル用に作成したクライアント VPN エンドポイントを選択します。[Route Table] (ルートテーブル) を選択してから、[Create Route] (ルートの作成) を選択します。

  4. [Route destination] (ルートの宛先) に「0.0.0.0/0」と入力します。[Subnet ID for target network association] (ターゲットネットワーク関連付けのサブネット ID) で、トラフィックをルーティングするサブネットの ID を指定します。

  5. [Create Route] (ルートの作成) を選択します。

  6. [Authorization rules] (認可ルール) を選択してから、[Add authorization rule] (認可ルールを追加する) を選択します。

  7. [Destination network to enable access] (アクセスを有効にする送信先ネットワーク) で、「0.0.0.0/0」と入力し、[Allow access to all users] (すべてのユーザーにアクセスを許可する) を選択します。

  8. [Add authorization rule] (認可ルールを追加する) を選択します。

ステップ 6: セキュリティグループの要件を検証する

このチュートリアルでは、ステップ 2 でのクライアント VPN エンドポイントの作成時にセキュリティグループが指定されていません。つまり、VPC のデフォルトのセキュリティグループが、ターゲットネットワークが関連付けられるときにクライアント VPN エンドポイントに自動的に適用されます。その結果、VPC のデフォルトのセキュリティグループがクライアント VPN エンドポイントに関連付けられているはずです。

次のセキュリティグループの要件を確認します。

  • トラフィックをルーティングするサブネットに関連付けられているセキュリティグループ (この場合はデフォルトの VPC セキュリティグループ) によって、インターネットへのアウトバウンドトラフィックが許可されること。このためには、宛先 0.0.0.0/0 へのすべてのトラフィックを許可するアウトバウンドルールを追加します。

  • VPC 内のリソースのセキュリティグループに、クライアント VPN エンドポイントに適用されるセキュリティグループ (この場合はデフォルトの VPC セキュリティグループ) からのアクセスを許可するルールがあること。これにより、クライアントが VPC 内のリソースにアクセスできるようになります。

詳細については、「セキュリティグループ」を参照してください。

ステップ 7: クライアント VPN エンドポイント設定ファイルをダウンロードする

次のステップでは、クライアント VPN エンドポイント設定ファイルをダウンロードして準備します。設定ファイルには、クライアント VPN エンドポイントの詳細と VPN 接続を確立するために必要な証明書情報が含まれています。このファイルを、クライアント VPN エンドポイントに接続する必要があるエンドユーザーに提供します。エンドユーザーは、このファイルを使用して VPN クライアントアプリケーションを設定します。

クライアント VPN エンドポイント設定ファイルをダウンロードして準備するには

  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで、[Client VPN Endpoints] (クライアント VPN エンドポイント) を選択します。

  3. このチュートリアル用に作成したクライアント VPN エンドポイントを選択し、[Download client configuration] (クライアント設定のダウンロード) を選択します。

  4. ステップ 1 で生成されたクライアント証明書とキーを見つけます。クライアント証明書とキーは、クローンされた OpenVPN easy-rsa repo の次の場所にあります。

    • クライアント証明書 — easy-rsa/easyrsa3/pki/issued/client1.domain.tld.crt

    • クライアントキー — easy-rsa/easyrsa3/pki/private/client1.domain.tld.key

  5. 任意のテキストエディタを使用して、クライアント VPN エンドポイント設定ファイルを開きます。<cert></cert> および <key></key> タグをファイルに追加します。次のように、クライアント証明書の内容とプライベートキーの内容を、対応するタグ間に配置します。

    <cert>
Contents of client certificate (.crt) file
</cert>

<key>
Contents of private key (.key) file
</key>

  6. クライアント VPN エンドポイント設定ファイルを保存して閉じます。

  7. クライアント VPN エンドポイント設定ファイルをエンドユーザーに配信します。

クライアント VPN エンドポイント設定ファイルの詳細については、「クライアント設定ファイルをエクスポートして設定する」を参照してください。

ステップ 8: クライアント VPN エンドポイントに接続する

AWS が提供するクライアントまたは別の OpenVPN ベースのクライアントアプリケーションと、作成したばかりの設定ファイルを使用して、クライアント VPN エンドポイントに接続できます。詳細については、『AWS Client VPN ユーザーガイド』を参照してください。