2020.11.09 【テレワーク(リモートワーク)】自宅からアクセスするAWS保守メンテナンス方法  AWS Client VPN + simple ADでのメンテナンス回線構築編

AWS Client VPNでも自宅からアクセスしてメンテナンス可能?

前回の記事では、テレワーク(リモートワーク)をしながら、自宅からアクセスするAWSメンテナンスは可能なのか?ということをご紹介しました。

【【テレワーク(リモートワーク)】 ~自宅からアクセスするAWS保守メンテナンス方法まとめ~新規ウィンドウで開く

今回は上記の記事の続きとして、AWS Client VPNの構築手順をご紹介します。

AWS Client VPNは、クライアントベースのAWSマネージドVPNサービスです。OpenVPNベースのVPNクライアントを使用してVPN接続を行うサービスです。詳しいサービス内容や仕様は、AWS Client VPNの管理者ガイド新規ウィンドウで開くをご確認ください。

AWS Client VPNの料金形態

  • 東京リージョン(2020/09時点)の利用を前提として試算
AWS Client VPN
AWS Client VPN
エンドポイント
アソシエーション
$0.15/時間
AWS Client VPN 接続 $0.05/時間
Simple AD
スモールサイズ $0.08/時間

Client VPNはエンドポイントをVPCに関連付けしている時間とVPN接続をしている時間で課金されます。メンテナンス回線ならば、不要な時間はVPCとの関連付けを外すと安く使用が可能になります。

※参考 月額費用計算
AWS Client VPN エンドポイントアソシエーション $0.15/時間 × (24時間 × 366日 ÷ 12) = 月額$109.8
AWS Client VPN 接続 $0.05/時間 × (24時間 × 366日 ÷ 12) = 月額$36.6
Simple AD $0.08/時間 × (24時間 × 366日 ÷ 12) = 月額$58.56
データ通信料 $0.114/GB ×1024GB= 月額 $116.74
合計 $321.70

実際に構築する手順をご紹介!

VPNの構築

まず、AWS上にAWSマネージドサービスのVPNを構築します。
次に、ローカルPCでAWS提供のクライアントを使用してVPNを構築後、VPN構築後目的のサーバに接続します。

ローカルPCからVPNサーバを経由し、目的のサーバに接続する様子

構築のポイント

  • ユーザ管理と認証をADで行うことで管理がしやすくなります。
  • AWSマネージメントサービスなので、エンドポイントのセキュリティ対策不要です。
  • 接続はAWSが提供しているクライアントソフトで簡単に使用が可能です。
  • AWSよりサポートを提供してもらえるので、サポート面に安心があります。
  • 料金が高いので、環境に合わせてご確認をお願いいたします。

構築手順

AWS Client VPN 管理者ガイド新規ウィンドウで開くを参考に設定を行います。

1.証明書の作成 (Windows)
  • EasyRSAのダウンロード

OpenVPN Windowsのサイト新規ウィンドウで開くから最新リリースをダウンロードする。
フォルダを解凍⇒EasyRSA-Start.bat ファイルを実行。

  • 新しいPKI環境を作成
下記のコマンドを実行
./easyrsa init-pki
  • 認証機関 (CA) を構築
Common Nameを聞かれるので適当な名称を設定する
./easyrsa build-ca nopass Common Name (eg: your user, host, or server name) [Easy-RSA CA]:tokai.com
  • サーバ証明書とキーを生成
※今回はAD認証のみを使用するのでクライアント証明書の生成は不要です。
./easyrsa build-server-full server nopass
  • 下記の証明書が発行されたことを確認する
pki/ca.crt
pki/issued/server.crt
pki/private/server.key
2.証明書のアップロード
  • AWS Certificate Managerにアクセスし、[証明書のインポート]をクリック
ACMページの証明書のインポートをクリックする"

  • 対応する証明書をテキストエディタで開き、それぞれのファイルの内容を「証明書のインポート」ページの該当する箇所に貼り付ける
証明書本文:server.crtファイルの内容
証明書のプライベートキー:server.keyファイルの内容
証明書チェーン:ca.crtファイルの内容
ACMページに、証明書本文
  • タグの登録
識別のためにNameタグを登録する
ACMページに、Nameタグを打ち込む"
  • 最後に確認を行いインポート完了
3. Simple ADの作成

ディレクトリは AWS Directory Service 管理ガイド新規ウィンドウで開くを参考に構築します。

  • ADのユーザ登録
慣れ親しんだやり方で実施してください。
4. クライアントVPN エンドポイントの作成
  • Amazon VPC コンソールにアクセスし、「クライアント VPN エンドポイント」を選択
VPCページからクライアントVPNエンドポイントを選択する様子"
  • クライアントVPNエンドポイントの作成をクリック
クライアントVPNエンドポイントの作成をクリックする様子"
  • 各種パラメータを入力
「その他のオプションパラメータ」はデフォルトで問題ありません。
作成時のポイント①クライアントのIP
  • 作成したエンドポイントを選択し、詳細から[関連付け]タブ内の「関連付け」をクリック
作成したエンドポイントを選択、詳細から関連付けのタブを選択、関連付けを選択する様子"

  • 関連付けるVPC情報を入力
VPCは、関連付けるVPCを入力する。関連付けるサブネットの選択は、関連付けるサブネットを入力する。"


  • クライアントアクセスの承認

(どのユーザがどのネットワーク範囲にアクセスできるかをここで制限を行うことができます。)

認証のタブ⇒受信の承認を選択

クライアントアクセスの承認は、承認のタブを押す、受信の承認を選択する。"

  • アクセスを有効にするCIDRとユーザを指定
アクセスを有効にする送信先ネットは、アクセス可能な範囲をCDIRで指定する。アクセスを付与する対象は、アクセス権を付与するユーザを指定する。"

5. VPN接続
  • クライアントソフトの取得
AWSクライアントVPNのダウンロードサイト新規ウィンドウで開くより、AWSクライアントVPNをインストールする。


  • クライアント VPN エンドポイントの設定ファイルをダウンロード

クライアント設定のダウンロードを選択

クライアント

  • クライアント設定ファイルを読み込む

ファイルをクリック⇒プロファイル管理を選択

クライアント設定ファイルを読み込む際は、ファイルをクリックし、プロファイル管理を選択する。"

  • 「プロファイルを追加」をクリック
「プロファイルを追加」をクリックする。"

  • 表示名に適当な名称を入力(ここでは、tokai_testと入力)⇒VPN設定ファイルにAWSからダウンロードしたファイルを選択
表示名に適当な名称を入力(ここでは、tokai_testと入力)し、VPN設定ファイルにAWSからダウンロードしたファイルを選択する。"

  • 完了をクリック
完了をクリックする。"

  • VPN接続を実施

登録したプロファイルが選択されていることを確認⇒接続をクリック

VPN接続を実施し、登録したプロファイルが選択されていることを確認したのち、接続をクリックする。"

  • 「3.Simple ADの作成」で登録したユーザでログインをする。
「-3.Simple

  • 接続が完了する
接続が完了する。"

まとめ

今回はAWS Client VPN + simple ADでのメンテナンス回線を構築してみました。ADをSimple ADで使用しましたが、もちろんAD Connectorを使用して既存ADと連携することもできます。この他にも多要素認証を有効化できるなどClient VPNでは有用な機能があるので導入を検討してみてはいかがでしょうか。


導入のご検討や、お困りごとがある際は、気軽に当社お問合せサイト新規ウィンドウで開くにお問合せください。お客様の環境に最適な方法を提案いたします。

関連サービス

導入のお問い合わせはこちら

AWSやAmazon WorkSpacesの導入から接続回線、運用・保守まで何でもお任せください。

お問い合わせ・資料請求