![](https://www.cloudsolution.tokai-com.co.jp/white-paper/resource/1109-01-img-02.jpg)
AWS Client VPNでも自宅からアクセスしてメンテナンス可能?
前回の記事では、テレワーク(リモートワーク)をしながら、自宅からアクセスするAWSメンテナンスは可能なのか?ということをご紹介しました。
【【テレワーク(リモートワーク)】 ~自宅からアクセスするAWS保守メンテナンス方法まとめ~
今回は上記の記事の続きとして、AWS Client VPNの構築手順をご紹介します。
AWS Client VPNは、クライアントベースのAWSマネージドVPNサービスです。OpenVPNベースのVPNクライアントを使用してVPN接続を行うサービスです。詳しいサービス内容や仕様は、AWS Client VPNの管理者ガイドをご確認ください。
AWS Client VPNの料金形態
- ※ 東京リージョン(2020/09時点)の利用を前提として試算
AWS Client VPN
AWS Client VPN エンドポイント アソシエーション |
$0.15/時間 |
---|---|
AWS Client VPN 接続 | $0.05/時間 |
Simple AD
スモールサイズ | $0.08/時間 |
---|
Client VPNはエンドポイントをVPCに関連付けしている時間とVPN接続をしている時間で課金されます。メンテナンス回線ならば、不要な時間はVPCとの関連付けを外すと安く使用が可能になります。
※参考 月額費用計算
AWS Client VPN エンドポイントアソシエーション | $0.15/時間 × (24時間 × 366日 ÷ 12) = 月額$109.8 |
---|---|
AWS Client VPN 接続 | $0.05/時間 × (24時間 × 366日 ÷ 12) = 月額$36.6 |
Simple AD | $0.08/時間 × (24時間 × 366日 ÷ 12) = 月額$58.56 |
データ通信料 | $0.114/GB ×1024GB= 月額 $116.74 |
合計 | $321.70 |
実際に構築する手順をご紹介!
VPNの構築
まず、AWS上にAWSマネージドサービスのVPNを構築します。
次に、ローカルPCでAWS提供のクライアントを使用してVPNを構築後、VPN構築後目的のサーバに接続します。
![ローカルPCからVPNサーバを経由し、目的のサーバに接続する様子](/white-paper/resource/1109-02-img-02.png)
構築のポイント
- ユーザ管理と認証をADで行うことで管理がしやすくなります。
- AWSマネージメントサービスなので、エンドポイントのセキュリティ対策不要です。
- 接続はAWSが提供しているクライアントソフトで簡単に使用が可能です。
- AWSよりサポートを提供してもらえるので、サポート面に安心があります。
- 料金が高いので、環境に合わせてご確認をお願いいたします。
構築手順
AWS Client VPN 管理者ガイド1.証明書の作成 (Windows)
- ①
EasyRSAのダウンロード
OpenVPN Windowsのサイトから最新リリースをダウンロードする。
フォルダを解凍⇒EasyRSA-Start.bat ファイルを実行。
- ②
新しいPKI環境を作成
- ③
認証機関 (CA) を構築
- ④
サーバ証明書とキーを生成
- ⑤
下記の証明書が発行されたことを確認する
pki/issued/server.crt
pki/private/server.key
2.証明書のアップロード
- ①
AWS Certificate Managerにアクセスし、[証明書のインポート]をクリック
![ACMページの証明書のインポートをクリックする"](/white-paper/resource/1109-03-img-02.png)
- ②
対応する証明書をテキストエディタで開き、それぞれのファイルの内容を「証明書のインポート」ページの該当する箇所に貼り付ける
証明書のプライベートキー:server.keyファイルの内容
証明書チェーン:ca.crtファイルの内容
![ACMページに、証明書本文](/white-paper/resource/1109-04-img-02.png)
- ③
タグの登録
![ACMページに、Nameタグを打ち込む"](/white-paper/resource/1109-05-img-02.png)
- ④
最後に確認を行いインポート完了
3. Simple ADの作成
ディレクトリは
AWS Directory Service
管理ガイドを参考に構築します。
- ①
ADのユーザ登録
4. クライアントVPN エンドポイントの作成
- ①
Amazon VPC コンソールにアクセスし、「クライアント VPN エンドポイント」を選択
![VPCページからクライアントVPNエンドポイントを選択する様子"](/white-paper/resource/1109-06-img-02.png)
- ②
クライアントVPNエンドポイントの作成をクリック
![クライアントVPNエンドポイントの作成をクリックする様子"](/white-paper/resource/1109-07-img-02.png)
- ③
各種パラメータを入力
![作成時のポイント①クライアントのIP](/white-paper/resource/1109-08-img-02.png)
- ④
作成したエンドポイントを選択し、詳細から[関連付け]タブ内の「関連付け」をクリック
![作成したエンドポイントを選択、詳細から関連付けのタブを選択、関連付けを選択する様子"](/white-paper/resource/1109-09-img-02.png)
- ⑤
関連付けるVPC情報を入力
![VPCは、関連付けるVPCを入力する。関連付けるサブネットの選択は、関連付けるサブネットを入力する。"](/white-paper/resource/1109-10-img-02.png)
- ⑥
クライアントアクセスの承認
(どのユーザがどのネットワーク範囲にアクセスできるかをここで制限を行うことができます。)
認証のタブ⇒受信の承認を選択
![クライアントアクセスの承認は、承認のタブを押す、受信の承認を選択する。"](/white-paper/resource/1109-11-img-02.png)
- ⑦
アクセスを有効にするCIDRとユーザを指定
![アクセスを有効にする送信先ネットは、アクセス可能な範囲をCDIRで指定する。アクセスを付与する対象は、アクセス権を付与するユーザを指定する。"](/white-paper/resource/1109-12-img-02.jpg)
5. VPN接続
- ①
クライアントソフトの取得
- ②
クライアント VPN エンドポイントの設定ファイルをダウンロード
クライアント設定のダウンロードを選択
![クライアント](/white-paper/resource/1109-13-img-02.png)
- ③
クライアント設定ファイルを読み込む
ファイルをクリック⇒プロファイル管理を選択
![クライアント設定ファイルを読み込む際は、ファイルをクリックし、プロファイル管理を選択する。"](/white-paper/resource/1109-14-img-02.png)
- ④
「プロファイルを追加」をクリック
![「プロファイルを追加」をクリックする。"](/white-paper/resource/1109-15-img-02.png)
- ⑤
表示名に適当な名称を入力(ここでは、tokai_testと入力)⇒VPN設定ファイルにAWSからダウンロードしたファイルを選択
![表示名に適当な名称を入力(ここでは、tokai_testと入力)し、VPN設定ファイルにAWSからダウンロードしたファイルを選択する。"](/white-paper/resource/1109-16-img-02.png)
- ⑥
完了をクリック
![完了をクリックする。"](/white-paper/resource/1109-17-img-02.png)
- ⑦
VPN接続を実施
登録したプロファイルが選択されていることを確認⇒接続をクリック
![VPN接続を実施し、登録したプロファイルが選択されていることを確認したのち、接続をクリックする。"](/white-paper/resource/1109-18-img-02.png)
- ⑧
「3.Simple ADの作成」で登録したユーザでログインをする。
![「-3.Simple](/white-paper/resource/1109-19-img-02.png)
- ⑨
接続が完了する
![接続が完了する。"](/white-paper/resource/1109-20-img-02.png)
まとめ
今回はAWS Client VPN + simple ADでのメンテナンス回線を構築してみました。ADをSimple ADで使用しましたが、もちろんAD Connectorを使用して既存ADと連携することもできます。この他にも多要素認証を有効化できるなどClient VPNでは有用な機能があるので導入を検討してみてはいかがでしょうか。
導入のご検討や、お困りごとがある際は、気軽に当社お問合せサイトにお問合せください。お客様の環境に最適な方法を提案いたします。