F5 パブリック クラウド ソリューション>パブリック クラウド アーキテクチャ II: AWS の F5 ネイティブ ツールを超えた高度なユースケース>F5 ネットワークの AWS への IPSec VPN ソース|編集する
Linux ターミナル アプリから、新しいタブを開きます。 「bigip」シェル エイリアス コマンドを呼び出して、オンプレミスの bigip1 に SSH 接続します。
ビッグイップデフォルト
bigip1 から、dig を使用して bigip1 に割り当てられたパブリック IP アドレスを検出します。
あなた -b10.1.20.11 TXT +短い o-o.myaddr.l.google.com @ns1.google.com
AWS Web コンソールで、[サービス] => [ネットワーキングとコンテンツ配信] => [VPC] に移動します。 「VPC」をクリックします。 VPC ダッシュボードの左側のナビゲーション ペインで、[仮想プライベート ゲートウェイ] をクリックします。検索フィルターにユーザー名を入力します (例: user99)。仮想プライベート ゲートウェイが作成され、VPC に接続されました。次に、オンプレミス環境と AWS VPC の間に IPSec VPN トンネルを確立します。
「カスタマー・ゲートウェイ」=>「カスタマー・ゲートウェイの作成」をクリックします。
カスタマーゲートウェイを作成します。
- 名前: userXX-cgw、userXX をクラスで割り当てられた一意のユーザー ID に置き換えます。スクリーンショットの例は user99 のものです。
- ルーティング: 静的
- IP アドレス*: これは、オンプレミスの Big-IP VE のパブリック IP アドレスです。 bigip1 ターミナルから、以下の dig コマンドの出力を確認します。
あなた -b10.1.20.11 TXT +短い o-o.myaddr.l.google.com @ns1.google.com
「カスタマーゲートウェイの作成」をクリックします。
カスタマーゲートウェイの作成リクエストが成功しました。 cgw-xxxxxxxxx 形式のカスタマー ゲートウェイ ID をメモします。この ID は次のステップで必要になります。
VPC ダッシュボードの左側のナビゲーション ペインで、[VPN 接続] をクリックします。 「VPN接続の作成」をクリックします。
パラメータ | 価値 |
---|---|
名札 | userXX-vpn ここで userXX は一意のユーザー ID です |
仮想プライベートゲートウェイ | vgw-xxxxxxxx が VPC に接続されています。 |
カスタマーゲートウェイ | 既存 |
カスタマーゲートウェイID | 前の手順で作成した cgw-xxxxxxxxx。 |
ルーティングオプション | 静的 |
静的 IP プレフィックス | 10.1.0.0/16 |
すべてのトンネル オプションをデフォルトの「Generated by Amazon」のままにしておきます。 「VPN接続の作成」をクリックします。
VPN 接続の作成に成功しました。
VPC ダッシュボードの左側のナビゲーション ペインで、[VPN 接続] をクリックします。 userXX が検索フィールドに残っているはずです。そうでない場合は、検索フィールドに userXX を入力してください。作成したばかりの VPN 接続が「保留中」状態で表示されます。 「ステータス」タブをクリックします。両方のトンネルのステータスは DOWN です。
「設定をダウンロード」をクリックします
- ベンダー: F5 Networks, Inc.
- プラットフォーム: BIG-IP
- ソフトウェア: v12.0.0+
「ダウンロード」をクリックします。デフォルトでは、構成ファイルは /home/student/Downloads/ ディレクトリにダウンロードされます。
Linux RDP セッションから、左上隅の「アクティビティ」をクリックして Dock を起動します。 FileZillaを起動します。
FileZilla からサイト マネージャーを起動します。 bigip1 のエントリーがあなたのために用意されています。 bigip1 に接続します。 SFTP (安全な FTP は SSH プロトコル / TCP 22 上で実行されます) を使用して、AWS で生成された VPN 構成ファイルをオンプレミスの bigip1 に転送し、その構成をインポートします。
ダウンロードした vpn-xxxxxxxxx.txt 構成を右クリックし、アップロードします。デフォルトでは、vpn-xxxxxxxxx.txt 構成は bigip1 /root/ ディレクトリに配置されます。
bigip1 ssh セッションのターミナル ウィンドウに戻ります。 bigip ssh セッションが実行されていない場合は、コマンド エイリアス「bigip」を呼び出して自動的に接続します。 vpn-xxxxxxxx.txt を独自の VPN 構成ファイルに置き換えます。タブ補完を使用して、エラーが発生しやすいキーストロークを節約します。
CD/rootlstmsh < vpn-xxxxxxxx.txt
bigip1 はインターネットに直接接続されず、パブリック IP NAT の背後に接続されているため、IPSec トンネルが稼働する前に、インポートされた vpn 構成にいくつかの調整を加える必要があります。
デフォルトの admin / admin 資格情報を使用して、bigip1 の https 構成ユーティリティ (Web UI) にログインします。 Linux ジャンプホスト上の Firefox および Chrome ブラウザには、ブックマークが用意されています。
ネットワーク => トンネル => トンネル vpn-xxxxxxx-0
注意
bigip1 を使用していることを確認してください。これは、シミュレートされたオンプレミスの Big-IP です。
ローカルアドレスを10.1.20.11に変更します。アップデート。
2 番目のトンネルについても同じことを行います。ネットワーク => トンネル => トンネル vpn-xxxxxxx-1
ローカルアドレスを10.1.20.11に変更します。アップデート。
ネットワーク => IPsec => ピア-vpn-xxxxxxxx-0
NATトラバーサルを「オン」に変更します。
2 番目の IPsec ピアに対しても同じことを行います。ネットワーク => IPsec => ピア-vpn-xxxxxxxx-1
NATトラバーサルを「オン」に変更します。
bigip1 が AWS 10.0.0.0/16 宛てのすべてのトラフィックを IPSec トンネル経由でルーティングできるようにルートを作成します。ネットワーク => ルーター => aws-vpn。 aws-vpn ルートが存在する場合は、VLAN/トンネルをtunnel-vpn-xxxxxxxx-0に変更します。アップデート。
VPC ダッシュボードの左側のナビゲーション ペインで、[VPN 接続] をクリックします。 userXX が検索フィールドに残っているはずです。そうでない場合は、検索フィールドに userXX を入力してください。作成したばかりの VPN 接続が「保留中」状態で表示されます。 「ステータス」タブをクリックします。トンネルの 1 つがステータス: UP になりました。
トンネルをテストするには、AWS でホストされている Big-IP VE の背後にあるサンプル アプリケーションに、プライベート 10.0.x.x IP アドレスを介して接続します。 snops ターミナルから「terraform Output」を実行し、BigipExternalInterfacePrivateIP と両方の web-sever-x の値をメモします。
テラフォーム出力
ブラウザで、https から BigipExternalInterfacePrivateIP に接続し、VPN トンネルが起動していることを確認します。
Linux デスクトップ ターミナル (ただし、Super-NetOps コンテナではありません!) から、プライベート IP アドレスを介して Web サーバーに ping を送信することもできます。
Big-IP 端末から IPSec トンネルのトラブルシューティングを行うには、次の手順を実行します。
tail -f /var/log/racoon.log
Big-IP での IPSec トンネルのステータスを確認するには、次の手順を実行します。
racoonctl -ll show-sa isakmpracoonctl -ll show-sa ipsectmsh show net ipsec ipsec-sa all-properties
注意
AWS への IPSec VPN トンネルが機能していることは、ラボの残りの部分の前提条件であるため、次のセクションに進む前に、他の学生またはインストラクターと協力してトラブルシューティングを行ってください。
前の 次