2011年8月24日水曜日

VPC上のEC2(Subnetごと)にVPN経由での通信確認

スズキです。

下記でVPN接続が確立できたので、
"Customer Gateway"の作成とVPN接続
実際にVPC上のEC2と通信して見ます、下記と同じような内容ですが、
VPC上のEC2にVPN経由で接続(SSH)
今回は"Subnet"ごとの挙動に注目して確認してみます。

まずは何も"Route Table"を設定していない状態で、
自宅(VPNルータ側)のPC(192.168.1.2)から"10.0.1.0/24"上のEC2(10.0.1.4)に
"ping"すると、タイムアウトしてしまいました。

> ping 10.0.1.4
10.0.1.4 に ping を送信しています 32 バイトのデータ:
要求がタイムアウトしました。
要求がタイムアウトしました。
要求がタイムアウトしました。

接続できるようにするには"10.0.1.0/24"が割り当てられている"Route Table"に
下記のように"0.0.0.0/0"("192.168.1.0/24"でもOK)の"Target"に
VPN接続が確立している"Virtual Private Gateway"を指定する必要があります。


また、セキュリティグループも調整しておきます。


この状態で再度"ping"すると、通信できていることがわかります。

> ping 10.0.1.4
10.0.1.4 に ping を送信しています 32 バイトのデータ:
10.0.1.4 からの応答: バイト数 =32 時間 =9ms TTL=61
10.0.1.4 からの応答: バイト数 =32 時間 =8ms TTL=61
10.0.1.4 からの応答: バイト数 =32 時間 =10ms TTL=61

そして別のSubnet"10.0.0.0/24"上のEC2インスタンス(10.0.0.4)にも
"ping"できるかと試してみると下記のようにタイムアウトしてしまいました。

> ping 10.0.0.4
10.0.0.4 に ping を送信しています 32 バイトのデータ:
要求がタイムアウトしました。
要求がタイムアウトしました。
要求がタイムアウトしました。

やはり通信できるようにするには、下記のように"Target"に"Virtual Private Gateway"を
指定する設定を"10.0.0.0/24"が割り当てられた"Route Table"に行う必要があります。


この状態だと"ping"が通ることがわかります。

> ping 10.0.0.4
10.0.0.4 に ping を送信しています 32 バイトのデータ:
10.0.0.4 からの応答: バイト数 =32 時間 =11ms TTL=61
10.0.0.4 からの応答: バイト数 =32 時間 =8ms TTL=61
10.0.0.4 からの応答: バイト数 =32 時間 =10ms TTL=61

反対にEC2側からVPN経由での通信ですが、下記のように
VPNルーター((192.168.1.1))までは"ping"が通ることがすぐに確認できます。

$ ping 192.168.1.1
PING 192.168.1.1 (192.168.1.1) 56(84) bytes of data.
64 bytes from 192.168.1.1: icmp_seq=1 ttl=62 time=9.18 ms
64 bytes from 192.168.1.1: icmp_seq=2 ttl=62 time=9.76 ms
64 bytes from 192.168.1.1: icmp_seq=3 ttl=62 time=10.4 ms

しかし、PC(192.168.1.2)に"ping"すると、タイムアウトしてしまいました。

$ ping 192.168.1.2
PING 192.168.1.2 (192.168.1.2) 56(84) bytes of data.
^C
--- 192.168.1.2 ping statistics ---
3 packets transmitted, 0 received, 100% packet loss, time 2421ms

このあたりは、VPCというよりもVPNルーター(SSG5)の設定だと思いますので、
後日、改めて調査することにします。

そろそろ"NAT"か!?
--------
http://www.suz-lab.com

0 コメント: