休みの日を1日使ってAWSを触ってみました。
こんな図でCisco1812JとVPCをVPN接続してみました。
正直僕はIPsec構築したことがないのですが、
そんな方でもすぐに接続ができてしまいます。
なぜなら、AWSにて、自動でConfigを作ってくれてtextでダウンロードができてしまうからです。
AWSさまさまですね。
CiscoのVPNできる機種で12.4以降ならそのまま流すだけでOK。
■ハマったこと
・VPC>Route table >Subnet Associationsでsubnetをassociationしてなかった。
必ずassociationすること。
・出力されるConfigですが、Static routeを追加する行はご自分のVPCセグメントに
書き換えて、ちゃんと設定すること。
(先頭行に!マークついてるのでそのまま流すとコメントアウトされてしまいます)
検証目的ならElastic IPを使わず内部セグメントでアクセス可能になるため
ちょっと安くなるかと思ったら、VPN接続自体が課金対象で\(^o^)/オワタ
しかも1812の電気代もあるし。。。
自分が1812Jに設定したConfigを載せておきます。
トンネル(経路)は2本用意して冗長するのが推奨のようですが
1本でも問題ありません。
1812-A#show run ! track 100 ip sla 100 reachability ! track 200 ip sla 200 reachability ! crypto keyring keyring-vpn-4cdf684d-1 local-address 36.55.61.77 pre-shared-key address 27.0.1.61 key ********* crypto keyring keyring-vpn-4cdf684d-0 local-address 36.55.61.77 pre-shared-key address 27.0.1.189 key ********* ! crypto isakmp policy 200 encr aes authentication pre-share group 2 lifetime 28800 ! crypto isakmp policy 201 encr aes authentication pre-share group 2 lifetime 28800 crypto isakmp keepalive 10 10 crypto isakmp profile isakmp-vpn-4cdf684d-0 keyring keyring-vpn-4cdf684d-0 match identity address 27.0.1.189 255.255.255.255 local-address 36.55.61.77 crypto isakmp profile isakmp-vpn-4cdf684d-1 keyring keyring-vpn-4cdf684d-1 match identity address 27.0.1.61 255.255.255.255 local-address 36.55.61.77 ! crypto ipsec security-association replay window-size 128 ! crypto ipsec transform-set ipsec-prop-vpn-4cdf684d-0 esp-aes esp-sha-hmac crypto ipsec transform-set ipsec-prop-vpn-4cdf684d-1 esp-aes esp-sha-hmac crypto ipsec df-bit clear ! crypto ipsec profile ipsec-vpn-4cdf684d-0 set transform-set ipsec-prop-vpn-4cdf684d-0 set pfs group2 ! crypto ipsec profile ipsec-vpn-4cdf684d-1 set transform-set ipsec-prop-vpn-4cdf684d-1 set pfs group2 ! ! ! ! ! ! interface Tunnel1 ip address 169.254.252.30 255.255.255.252 ip virtual-reassembly in ip tcp adjust-mss 1387 tunnel source 36.55.61.77 tunnel mode ipsec ipv4 tunnel destination 27.0.1.189 tunnel protection ipsec profile ipsec-vpn-4cdf684d-0 ! interface Tunnel2 ip address 169.254.252.26 255.255.255.252 ip virtual-reassembly in ip tcp adjust-mss 1387 tunnel source 36.55.61.77 tunnel mode ipsec ipv4 tunnel destination 27.0.1.61 tunnel protection ipsec profile ipsec-vpn-4cdf684d-1 ! ! interface FastEthernet0 no ip address duplex auto speed auto pppoe enable group global pppoe-client dial-pool-number 1 ! interface FastEthernet2 switchport access vlan 192 no ip address ! interface Vlan192 ip address 192.168.0.254 255.255.255.0 ip nat inside ip virtual-reassembly in ip tcp adjust-mss 1414 ! interface Dialer1 ip address negotiated ip mtu 1454 ip nat outside ip virtual-reassembly in encapsulation ppp dialer pool 1 dialer-group 1 ppp authentication chap callin ppp chap hostname ********* ppp chap password 0 ********* ! ! ! ip nat inside source list 101 interface Dialer1 overload ip route 192.168.100.0 255.255.255.0 Tunnel1 track 100 ip route 192.168.100.0 255.255.255.0 Tunnel2 track 200 ip route 0.0.0.0 0.0.0.0 Dialer1 ! ip sla 100 icmp-echo 169.254.252.29 source-interface Tunnel1 frequency 5 ip sla schedule 100 life forever start-time now ip sla 200 icmp-echo 169.254.252.25 source-interface Tunnel2 frequency 5 ip sla schedule 200 life forever start-time now access-list 101 permit ip 192.168.0.0 0.0.0.255 any dialer-list 1 protocol ip permit ! ! ! !