クライアント VPN の開始方法 - AWS Client VPN
前提条件ステップ 1: サーバーおよびクライアント証明書とキーの生成ステップ 2: クライアント VPN エンドポイントを作成するステップ 3: クライアントの VPN 接続を有効にするステップ 4: クライアントのネットワークへのアクセスを承認するステップ 5: (オプション) 追加のネットワークへのアクセスを有効にするステップ 6: クライアント VPN エンドポイントの設定ファイルをダウンロードするステップ 7: クライアント VPN エンドポイントに接続する

クライアント VPN の開始方法

以下のタスクは、クライアント VPN に慣れるのに役立ちます。このチュートリアルでは、次の処理を実行する クライアント VPN エンドポイントを作成します。

  • 単一の VPC へのアクセスを提供します。

  • インターネットへのアクセスを提供します。

  • 相互認証を使用します。詳細については、「相互認証」を参照してください。

前提条件

この入門チュートリアルを完了するには、以下が必要です。

  • クライアント VPN エンドポイントを操作するために必要なアクセス許可。

  • 少なくとも 1 つのサブネットを持つ VPC、インターネットゲートウェイ、およびインターネットゲートウェイへのルート。

ステップ 1: サーバーおよびクライアント証明書とキーの生成

このチュートリアルでは、相互認証が使用されます。相互認証では、クライアント VPN は証明書を使用してクライアントとサーバー間の認証を実行します。

サーバーとクライアント証明書とキーを生成する手順の詳細については、「相互認証」を参照してください。

ステップ 2: クライアント VPN エンドポイントを作成する

クライアント VPN エンドポイントを作成するとき、VPN 接続を確立するためにクライアントが接続できる VPN 構造を作成します。

クライアント VPN エンドポイントを作成した後、以下のことに注意してください。

  • クライアント VPN エンドポイントの初期状態は pending-associate です。クライアントは、少なくとも 1 つのターゲットネットワークを関連付けた後でのみ、VPN 接続を確立できます。

  • クライアント VPN エンドポイント DNS 名を受け取ります。これは、VPN 接続を確立するためにクライアントが使用する DNS 名です。

  • クライアント VPN エンドポイントの設定ファイルをダウンロードできます。このファイルは、VPN に接続する必要があるクライアントに提供できます。

クライアント VPN エンドポイントを作成するには (コンソール)

  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで [クライアント VPN Endpoints (クライアント VPN エンドポイント)] を選択し、[Create クライアント VPN endpoint (クライアント VPN エンドポイントの作成)] を選択します。

  3. (オプション) [説明] に、クライアント VPN エンドポイントの簡単な説明を入力します。

  4. [Client IPv4 CIDR (クライアント IPv4 CIDR)] に、CIDR 表記で IP アドレス範囲を指定し、そこからクライアント IP アドレスを割り当てます。たとえば、10.0.0.0/16 と指定します。

    注記

    IP アドレス範囲は、ターゲットネットワークまたは クライアント VPN エンドポイントに関連するいずれかのルートと重複できません。クライアント CIDR は、/12~/22 の範囲のブロックサイズが必要で、VPC CIDR またはルートテーブル内のその他のルートと重複できません。クライアント VPN エンドポイントの作成後に IP アドレスの範囲を変更することはできません。

  5. [Server certificate ARN (サーバー証明書 ARN)] に、サーバーによって使用される TLS 証明書の ARN を指定します。クライアントは、接続先の クライアント VPN エンドポイントを認証するためにサーバー証明書を使用します。

    注記

    サーバー証明書は AWS Certificate Manager (ACM) でプロビジョニングする必要があります。

  6. VPN 接続を確立するとき、クライアントを認証するために使用する認証方法を指定します。相互証明書認証を使用するには、[Use mutual authentication (相互認証の使用)] を選択し、[クライアント証明書 ARN] にステップ 1 で生成したクライアント証明書の ARN を指定します。

  7. Amazon CloudWatch Logs を使用してクライアント接続に関するデータをログに記録するかどうかを指定します。[Do you want to log the details on client connections? (クライアント接続の詳細を記録しますか?)] で、次のいずれかの操作を行います。

    • クライアント接続のログ記録を有効にするには、[はい] を選択します。[CloudWatch Logs log group name (CloudWatch Logs ロググループ名)] に使用するロググループの名前を入力して、[CloudWatch Logs log stream name (CloudWatch Logs ログストリーム名)] に使用するログストリームの名前を入力します。

    • クライアント接続のログ記録を無効にするには、[いいえ] を選択します。

  8. (オプション) DNS 解決に使用する DNS サーバーを指定します。カスタム DNS サーバーを使用するには、[DNS Server 1 IP address (DNS サーバー 1 IP アドレス)] と [DNS Server 2 IP address (DNS サーバー 2 IP アドレス)] に、使用する DNS サーバーの IP アドレスを指定します。VPC DNS サーバーを使用するには、[DNS Server 1 IP address (DNS サーバー 1 IP アドレス)] または [DNS Server 2 IP address (DNS サーバー 2 IP アドレス)] に IP アドレスを指定し、VPC DNS サーバー IP アドレスを追加します。

    注記

    クライアントが DNS サーバーに到達できることを確認します。

  9. (オプション) VPN エンドポイントでスプリットトンネルを有効にするには、[Enable split-tunnel (スプリットトンネルの有効化)] を選択します。

    デフォルトでは、VPN エンドポイントの分割トンネルは無効になっています。

  10. (オプション) デフォルトでは、クライアント VPN サーバーは UDP 転送プロトコルを使用します。代わりに TCP トランスポートプロトコルを使用するには、[Transport Protocol (トランスポートプロトコル)] の [TCP] を選択します。

    注記

    UDP は通常、TCP よりも優れたパフォーマンスが得られます。

  11. (オプション) [VPC ID] で、クライアント VPN エンドポイントに関連付ける VPC を選択します。[セキュリティグループ ID] で、クライアント VPN エンドポイントに適用する VPC のセキュリティグループを 1 つ以上選択します。

  12. (オプション) [VPN port (VPN ポート)] で、VPN ポート番号を選択します。デフォルトは 443 です。

  13. [クライアント VPN エンドポイントの作成] を選択します。

ステップ 3: クライアントの VPN 接続を有効にする

クライアントが VPN セッションを確立できるようにするため、ターゲットネットワークを クライアント VPN エンドポイントに関連付ける必要があります。ターゲットネットワークは、VPC のサブネットです。

最初のサブネットを クライアント VPN エンドポイントに関連付けると、次の処理が実行されます。

  • クライアント VPN エンドポイントの状態が available になります。これで、クライアントは VPN 接続を確立できるようになりましたが、認証ルールを追加するまで VPC 内のリソースにアクセスすることはできません。

  • VPC のローカルルートは、クライアント VPN エンドポイントルートテーブルに自動的に追加されます。

  • VPC のデフォルトのセキュリティグループが、サブネットの関連付けに自動的に適用されます。サブネットを関連付けた後でセキュリティグループを変更することができます。

サブネットを クライアント VPN エンドポイント (コンソール) 関連付けるには

  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで、[クライアント VPN エンドポイント] を選択します。

  3. サブネットを関連付ける クライアント VPN エンドポイントを選択し、[関連付け]、[関連付ける] をクリックします。

  4. [VPC] でサブネットが配置されている VPC を選択します。クライアント VPN エンドポイントの作成時に VPC を指定した場合は、同じ VPC である必要があります。

  5. [Subnet to associate (関連付けるサブネット)] で クライアント VPN エンドポイントに関連付けるサブネットを選択します。

  6. [Associate (関連付ける)] を選択します。

    注記

    承認ルールで許可されている場合、クライアントが VPC のネットワーク全体にアクセスするには、1 つのサブネット関連付けで十分です。アベイラビリティーゾーンの 1 つがダウンした場合の高可用性を維持するために、追加のサブネットを関連付けることができます。

ステップ 4: クライアントのネットワークへのアクセスを承認する

関連付けられているサブネットが存在する VPC へのアクセスをクライアントに承認するには、承認ルールを作成する必要があります。承認ルールには、どのクライアントが VPC にアクセスできるかを指定します。このチュートリアルでは、すべてのユーザーにアクセス許可を付与します。

ネットワークターゲットに承認ルールを追加するには

  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで、[クライアント VPN エンドポイント] を選択します。

  3. 承認ルールを追加する クライアント VPN エンドポイントを選択し、[Authorization (承認)]、続いて [Authorize ingress (受信を承認する)] を選択します。

  4. [Destination network to enable (有効にする送信先ネットワーク)] に、アクセスを許可するネットワークの IP アドレスを CIDR 表記で入力します。

  5. 指定したネットワークにアクセスしてもよいクライアントを指定します。すべてのユーザーにアクセス許可を付与するには、[Grant access to (アクセス許可の付与)] で [Allow access to all users (すべてのユーザーにアクセスを許可する)] を選択します。

  6. [説明] に承認ルールの簡単な説明を入力します。

  7. [Add authorization rule (承認ルールを追加する)] を選択します。

  8. VPC 内のリソースのセキュリティグループに、サブネット関連付けのセキュリティグループからのアクセスを許可するルールがあることを確認します。これにより、クライアントが VPC 内のリソースにアクセスできるようになります。詳細については、「セキュリティグループ」を参照してください。

ステップ 5: (オプション) 追加のネットワークへのアクセスを有効にする

AWS サービス、ピア接続 VPC、およびオンプレミスのネットワークなど、VPC に接続されている追加のネットワークへのアクセスを可能できます。追加のネットワークごとにネットワークへのルートを追加し、クライアントアクセスに付与する承認ルールを設定する必要があります。

このチュートリアルでは、インターネットへのルートを追加し (0.0.0.0/0)、すべてのユーザーにアクセス許可を付与する承認ルールを追加します。

追加のネットワークへのアクセスを有効にするには (コンソール)

  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで、[クライアント VPN エンドポイント] を選択します。

  3. ルートを追加する クライアント VPN エンドポイントを選択し、[ルートテーブル]、次に [Create Route (ルートの作成)] を選択します。

  4. [Route destination (ルートの宛先)] に「0.0.0.0/0」を入力します。

  5. [Target VPC Subnet ID (ターゲット VPC サブネット ID)] には、トラフィックをルーティングするサブネットの ID を指定します。

  6. [説明] にルートの簡単な説明を入力します。

  7. [Create Route (ルートの作成)] を選択します。

  8. ネットワークの承認ルールを追加して、アクセスできるクライアントを指定します。ステップ 4: クライアントのネットワークへのアクセスを承認する のステップを実行します。ステップ 4 では 0.0.0.0/0 を入力し、ステップ 5 では [Allow access to all users (すべてのユーザーにアクセスを許可する)] を選択します。

  9. トラフィックのルーティングに使用しているサブネットに関連付けられているセキュリティグループで、インターネットとの間の送受信トラフィックが許可されていることを確認します。これを行うには、0.0.0.0/0 との間のインターネットトラフィックを許可するインバウンドルールとアウトバウンドルールを追加します。

ステップ 6: クライアント VPN エンドポイントの設定ファイルをダウンロードする

最後のステップでは、クライアント VPN エンドポイント設定ファイルをダウンロードして準備します。設定ファイルには、クライアント VPN エンドポイントと VPN 接続を確立するために必要な証明書情報が含まれています。VPN 接続を確立するために クライアント VPN エンドポイントに接続する必要があるクライアントにこのファイルを指定する必要があります。クライアントは、VPN クライアントアプリケーションにこのファイルをアップロードします。クライアントアプリケーションを使用して クライアント VPN エンドポイントに接続する方法の詳細については、AWS クライアント VPN ユーザーガイド を参照してください。

ステップ 2 で クライアント VPN エンドポイントを作成すると、コンソールに DNS 名 (cvpn-endpoint-0102bc4c2eEXAMPLE.prod.clientvpn.us-west-2.amazonaws.com など) が表示されます。DNS 名を指定するには、表示される名前の前にランダムな文字列を指定して、random_string.displayed_DNS_name というフォーマットになるようにする必要があります (例: asdfa.cvpn-endpoint-0102bc4c2eEXAMPLE.prod.clientvpn.us-west-2.amazonaws.com)。

クライアント VPN エンドポイント設定ファイルをダウンロードして準備するには (コンソール)

  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで、[クライアント VPN エンドポイント] を選択します。

  3. クライアント VPN 設定をダウンロードする クライアント VPN エンドポイントを選択し、[Download Client Configuration (クライアント設定のダウンロード)] を選択します。

  4. ステップ 1 で生成されたクライアント証明書およびキーを、ダウンロードした クライアント VPN エンドポイント設定ファイルと同じフォルダにコピーします。クライアント証明書とキーは、クローンされた OpenVPN easy-rsa repo の次の場所にあります。

    • クライアント証明書 — easy-rsa/easyrsa3/pki/issued/client1.domain.tld.crt

    • クライアントキー — easy-rsa/easyrsa3/pki/private/client1.domain.tld.key

  5. 任意のテキストエディタを使用して クライアント VPN エンドポイント設定ファイルを開き、以下をファイルの最後に追加します。/path/ をクライアント証明書とキーの場所に置き換えます (この場所は、エンドポイントに接続しているクライアントから見た相対的な位置です)。 

    cert /path/client1.domain.tld.crt
key /path/client1.domain.tld.key

  6. クライアント VPN エンドポイントの DNS 名の先頭にランダムな文字列を追加します。クライアント VPN エンドポイントの DNS 名を指定する行を見つけ、その前にランダム文字列を追加します。フォーマットは random_string.displayed_DNS_name になります。以下に例を示します。

    • 元の DNS 名: cvpn-endpoint-0102bc4c2eEXAMPLE.prod.clientvpn.us-west-2.amazonaws.com

    • 変更された DNS 名: asdfa.cvpn-endpoint-0102bc4c2eEXAMPLE.prod.clientvpn.us-west-2.amazonaws.com

  7. クライアント VPN エンドポイント設定ファイルを保存して閉じます。

  8. クライアント VPN エンドポイント設定ファイルとクライアント証明書とキーをクライアントに配布します。

クライアント VPN エンドポイント設定ファイルをダウンロードして準備するには (AWS CLI)

  1. クライアント VPN エンドポイント設定ファイルをダウンロードします。

    $ aws ec2 export-client-vpn-client-configuration --client-vpn-endpoint-id endpoint_id --output text>client-config.ovpn

  2. ステップ 1 で生成されたクライアント証明書およびキーを、ダウンロードした クライアント VPN エンドポイント設定ファイルと同じフォルダにコピーします。クライアント証明書とキーは、クローンされた OpenVPN easy-rsa repo の次の場所にあります。

    • クライアント証明書 — easy-rsa/easyrsa3/pki/issued/client1.domain.tld.crt

    • クライアントキー — easy-rsa/easyrsa3/pki/private/client1.domain.tld.key

  3. 任意のテキストエディタ (vimnano など) または cat >> client-config.ovpn コマンドを使用して クライアント VPN エンドポイント設定ファイルを開き、以下をファイルの最後に追加します。/path/ をクライアント証明書とキーの場所に置き換えます (この場所は、エンドポイントに接続しているクライアントから見た相対的な位置です)。 

    cert /path/client1.domain.tld.crt
key /path/client1.domain.tld.key

  4. クライアント VPN エンドポイントの DNS 名の先頭にランダムな文字列を追加します。クライアント VPN エンドポイントの DNS 名を指定する行を見つけ、その前にランダム文字列を追加します。フォーマットは random_string.displayed_DNS_name になります。以下に例を示します。

    • 元の DNS 名: cvpn-endpoint-0102bc4c2eEXAMPLE.prod.clientvpn.us-west-2.amazonaws.com

    • 変更された DNS 名: asdfa.cvpn-endpoint-0102bc4c2eEXAMPLE.prod.clientvpn.us-west-2.amazonaws.com

  5. クライアント VPN エンドポイント設定ファイルとクライアント証明書とキーをクライアントに配布します。

ステップ 7: クライアント VPN エンドポイントに接続する

AWS が提供するクライアント または別の OpenVPN ベースのクライアントアプリケーションを使用して、クライアント VPN エンドポイントに接続できます。詳細については、AWS クライアント VPN ユーザーガイド を参照してください。