120827 JAWS-UG Sapporo7 openswanでvpc
•
0 likes•2,099 views
2012/08/27 第7回JAWS-UG札幌支部 事例発表資料
Recommended
More Related Content
What's hot
What's hot (20)
Viewers also liked
Similar to 120827 JAWS-UG Sapporo7 openswanでvpc
Similar to 120827 JAWS-UG Sapporo7 openswanでvpc (20)
Recently uploaded
Recently uploaded (9)
120827 JAWS-UG Sapporo7 openswanでvpc
- 1. 第7回 JAWS-UG 札幌 勉強会 Openswanで Amazon VPCを使う (株)アフォーダンス 新 真千恵 2012年8月27日
- 2. 自己紹介 • 新 真千恵 – ATARASHI Machie – 株式会社アフォーダンス – JAWS-UG札幌支部 副代表 – 好きなサービス:EC2 copyright Affordance Corp. 2
- 3. お客様の環境 関連会社A 関連会社X 関連会社Z AP Server ・・・・ AP Server AP AP ・・・・ AP 14台 Server Server Server CPU&Memory の負荷増大 お客様の環境 DMZ AP Server 1台 内部セグメント RDB copyright Affordance Corp. 3
- 4. DBサーバを社内 環境に置いたまま AWSにAPサーバを 設置したい… お 客 様 copyright Affordance Corp. 4
- 5. 1. Amazon VPCを使いましょう! 仮想プライベートクラウド( VPN接続) 2. Amazon EC2を使いましょう! サーバ わ た し 3. Amazon ELBを使いましょう! ロードバランサー copyright Affordance Corp. 5
- 6. お客様のルータは 何ですか? copyright Affordance Corp. 6
- 7. Cisco ASA5510 copyright Affordance Corp. 7
- 8. Amazon VPCで機能するルータ Amazon VPC FAQ(http://aws.amazon.com/jp/vpc/faqs/#C9) copyright Affordance Corp. 8
- 9. Amazon VPCで機能するルータの仕様 Amazon VPC FAQ(http://aws.amazon.com/jp/vpc/faqs/#C8) copyright Affordance Corp. 9
- 10. Cisco ASA5510 Amazon VPC FAQ(http://aws.amazon.com/jp/vpc/faqs/#C8) copyright Affordance Corp. 10
- 12. copyright Affordance Corp. 12
- 13. copyright Affordance Corp. 13 Openswan公式サイト(http://wiki.openswan.org/)
- 14. VPC with Single Public Subnet Only VPC with Public and Private Subnets VPC with Public and Private Subnets VPC with Private Subnet Only and Hardware VPN Access Hardware VPN Access copyright Affordance Corp. 14
- 15. お客様の環境 関連会社A 関連会社X 関連会社Z AP Server ・・・・ AP Server AP AP ・・・・ AP 14台 Server Server Server お客様の環境 DMZ AP Server 1台 内部セグメント RDB copyright Affordance Corp. 15
- 16. 関連会社A ・・・ 関連会社X 関連会社Z VPN Connection Internet Gateway 172.16.0.0/16 172.16.1.11 Customer AP Gateway Server 172.16.0.250 (Cisco ASA5510) open Security Group-ap swan 172.16.1.0/24 AP Security Group-os VPC public Subnet Server 172.16.0.0/24 Availability Zone-a VPC public Subnet Availability Zone-a Elastic Load Balancer DB 172.16.2.11 192.168.2.0/24 AP Server お客様環境 Security Group-ap 172.16.2.0/24 VPC public Subnet copyright Affordance Corp. Availability Zone-b 16
- 17. 道のり 4 2 3 1 copyright Affordance Corp. 17
- 18. 困ったこと その1 Openswan (ipsec)が起動 できない (ログ) but no connection has been authorized with policy=PSK copyright Affordance Corp. 18
- 19. 解決のためのキーワード • まずは確認 – ipsecはちゃんと動作できてる? – confファイルは大丈夫? copyright Affordance Corp. 19
- 20. ipsec verify Checking your system to see if IPsec got installed and started correctly: Version check and ipsec on-path [OK] Linux Openswan U2.6.37/K3.2.12-3.2.4.amzn1.i686 (netkey) Checking for IPsec support in kernel [OK] SAref kernel support [N/A] NETKEY: Testing XFRM related proc values [FAILED] Please disable /proc/sys/net/ipv4/conf/*/send_redirects or NETKEY will cause the sending of bogus ICMP redirects! [FAILED] sysctlの設定を有効化 sysctl -p Please disable /proc/sys/net/ipv4/conf/*/accept_redirects or NETKEY will accept bogus ICMP redirects! [OK] Checking that pluto is running [OK] Pluto listening for IKE on udp 500 [OK] Pluto listening for NAT-T on udp 4500 [OK] Checking for 'ip' command [OK] Checking /bin/sh is not /bin/dash [OK] Checking for 'iptables' command [OK] Opportunistic Encryption Support [DISABLED] copyright Affordance Corp. 20
- 21. /etc/ipsec.d/home.conf conn home left=%defaultroute leftid=xxx.xxx.xxx.xxx leftsubnet=172.16.0.250/16 right=yyy.yyy.yyy.yyy rightid=yyy.yyy.yyy.yyy rightsubnet=192.168.2.0/24 authby=secret ike=aes128-md5-modp1024,3des-sha-modp1024 esp=aes128-md5 pfs=yes お客様のASA configとの矛盾点を forceencaps=yes auto=start 修正 conn vpcsub2 leftsubnet=172.16.1.0/24 also=home conn vpcsub3 leftsubnet=172.16.2.0/24 also=home copyright Affordance Corp. 21
- 22. Openswan (ipsec)が 起動できた! (ログ) ISAKMP SA established {auth=OAKLEY_PRESHARED_KEY cipher=aes_128 prf=oakley_md5 group=modp1536} copyright Affordance Corp. 22
- 23. 困ったこと その2 Openswanサーバ からpingをたたく と、SSHコンソール が死ぬ… copyright Affordance Corp. 23
- 24. 困ったこと その3 ipsec.conf を変更したら Openswanに SSH接続できなく なった… copyright Affordance Corp. 24
- 25. 解決のためのキーワード • 何もかもリセットしちゃう – Openswanサーバを忘れる! – イチから作り直す! たった30分! 悩んだ時間 300分 copyright Affordance Corp. 25
- 26. Openswan(ipsec)が 起動できた! pingもたたける! お客様にも 繋がりましたログ が出た! copyright Affordance Corp. 26
- 27. 困ったこと その4 APサーバから pingが通らない… copyright Affordance Corp. 27
- 28. 解決のためキーワード • Source/Dest Check copyright Affordance Corp. 28
- 29. Source/Dest Check copyright Affordance Corp. 29
- 30. APサーバから pingもたたける! お客様の DBサーバにも 繋がった! copyright Affordance Corp. 30
- 31. 関連会社A ・・・ 関連会社X 関連会社Z VPN Connection Internet Gateway 172.16.0.0/16 172.16.1.11 Customer AP Gateway Server 172.16.0.250 (Cisco ASA5510) open Security Group-ap swan 172.16.1.0/24 AP Security Group-os VPC public Subnet Server 172.16.0.0/24 Availability Zone-a VPC public Subnet Availability Zone-a Elastic Load Balancer DB 172.16.2.11 192.168.2.0/24 AP Server お客様環境 Security Group-ap 172.16.2.0/24 VPC public Subnet copyright Affordance Corp. Availability Zone-b 31
- 32. 最後に Amazon VPCで機能しないルータでもAmazon VPCは構築可能 (慣れれば)短時間で構築可能 Amazon VPCで ルータを使うことを オススメします! 秒殺で構築可能! ご相談お待ちしております! copyright Affordance Corp. 32
- 33. 参考資料 copyright Affordance Corp. 33
- 34. http://www.techsmog.com/index.php/2011/05/03/openswan-amazon-vpc-and-cisco-asa-putting-it-all-together/ copyright Affordance Corp. 34
- 35. http://www.mohancheema.net/howtos/amazon-vpc-with-openswan-and-cisco-asa-site-to-site-vpn copyright Affordance Corp. 35