• Like
120827 JAWS-UG Sapporo7 openswanでvpc
Upcoming SlideShare
Loading in...5
×

120827 JAWS-UG Sapporo7 openswanでvpc

  • 1,843 views
Uploaded on

2012/08/27 第7回JAWS-UG札幌支部 事例発表資料

2012/08/27 第7回JAWS-UG札幌支部 事例発表資料

More in: Technology , Business
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
1,843
On Slideshare
0
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
5
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. 第7回 JAWS-UG 札幌 勉強会 OpenswanでAmazon VPCを使う (株)アフォーダンス 新 真千恵 2012年8月27日
  • 2. 自己紹介• 新 真千恵 – ATARASHI Machie – 株式会社アフォーダンス – JAWS-UG札幌支部 副代表 – 好きなサービス:EC2 copyright Affordance Corp. 2
  • 3. お客様の環境関連会社A 関連会社X 関連会社Z AP Server ・・・・ AP Server AP AP ・・・・ AP 14台 Server Server Server CPU&Memory の負荷増大 お客様の環境 DMZ AP Server 1台 内部セグメント RDB copyright Affordance Corp. 3
  • 4. DBサーバを社内 環境に置いたまま AWSにAPサーバを 設置したい…お客様 copyright Affordance Corp. 4
  • 5. 1. Amazon VPCを使いましょう! 仮想プライベートクラウド( VPN接続)2. Amazon EC2を使いましょう! サーバ わ た し3. Amazon ELBを使いましょう! ロードバランサー copyright Affordance Corp. 5
  • 6. お客様のルータは 何ですか? copyright Affordance Corp. 6
  • 7. Cisco ASA5510 copyright Affordance Corp. 7
  • 8. Amazon VPCで機能するルータ Amazon VPC FAQ(http://aws.amazon.com/jp/vpc/faqs/#C9) copyright Affordance Corp. 8
  • 9. Amazon VPCで機能するルータの仕様 Amazon VPC FAQ(http://aws.amazon.com/jp/vpc/faqs/#C8) copyright Affordance Corp. 9
  • 10. Cisco ASA5510 Amazon VPC FAQ(http://aws.amazon.com/jp/vpc/faqs/#C8) copyright Affordance Corp. 10
  • 11. 使えない?copyright Affordance Corp. 11
  • 12. copyright Affordance Corp. 12
  • 13. copyright Affordance Corp. 13Openswan公式サイト(http://wiki.openswan.org/)
  • 14. VPC with Single Public Subnet Only VPC with Public and Private SubnetsVPC with Public and Private Subnets VPC with Private Subnet Only and Hardware VPN Access Hardware VPN Access copyright Affordance Corp. 14
  • 15. お客様の環境関連会社A 関連会社X 関連会社Z AP Server ・・・・ AP Server AP AP ・・・・ AP 14台 Server Server Server お客様の環境 DMZ AP Server 1台 内部セグメント RDB copyright Affordance Corp. 15
  • 16. 関連会社A ・・・ 関連会社X 関連会社Z VPN Connection Internet Gateway 172.16.0.0/16 172.16.1.11 Customer AP Gateway Server 172.16.0.250 (Cisco ASA5510) open Security Group-ap swan 172.16.1.0/24 AP Security Group-os VPC public Subnet Server 172.16.0.0/24 Availability Zone-a VPC public Subnet Availability Zone-a Elastic Load Balancer DB 172.16.2.11 192.168.2.0/24 AP Server お客様環境 Security Group-ap 172.16.2.0/24 VPC public Subnet copyright Affordance Corp. Availability Zone-b 16
  • 17. 道のり 4 2 31 copyright Affordance Corp. 17
  • 18. 困ったこと その1 Openswan (ipsec)が起動 できない (ログ) but no connection has been authorized with policy=PSK copyright Affordance Corp. 18
  • 19. 解決のためのキーワード• まずは確認 – ipsecはちゃんと動作できてる? – confファイルは大丈夫? copyright Affordance Corp. 19
  • 20. ipsec verifyChecking your system to see if IPsec got installed and started correctly:Version check and ipsec on-path [OK]Linux Openswan U2.6.37/K3.2.12-3.2.4.amzn1.i686 (netkey)Checking for IPsec support in kernel [OK] SAref kernel support [N/A] NETKEY: Testing XFRM related proc values [FAILED] Please disable /proc/sys/net/ipv4/conf/*/send_redirects or NETKEY will cause the sending of bogus ICMP redirects! [FAILED] sysctlの設定を有効化 sysctl -p Please disable /proc/sys/net/ipv4/conf/*/accept_redirects or NETKEY will accept bogus ICMP redirects! [OK]Checking that pluto is running [OK] Pluto listening for IKE on udp 500 [OK] Pluto listening for NAT-T on udp 4500 [OK]Checking for ip command [OK]Checking /bin/sh is not /bin/dash [OK]Checking for iptables command [OK]Opportunistic Encryption Support [DISABLED] copyright Affordance Corp. 20
  • 21. /etc/ipsec.d/home.confconn home left=%defaultroute leftid=xxx.xxx.xxx.xxx leftsubnet=172.16.0.250/16 right=yyy.yyy.yyy.yyy rightid=yyy.yyy.yyy.yyy rightsubnet=192.168.2.0/24 authby=secret ike=aes128-md5-modp1024,3des-sha-modp1024 esp=aes128-md5 pfs=yes お客様のASA configとの矛盾点を forceencaps=yes auto=start 修正conn vpcsub2 leftsubnet=172.16.1.0/24 also=homeconn vpcsub3 leftsubnet=172.16.2.0/24 also=home copyright Affordance Corp. 21
  • 22. Openswan (ipsec)が 起動できた!(ログ)ISAKMP SA established{auth=OAKLEY_PRESHARED_KEY cipher=aes_128prf=oakley_md5 group=modp1536} copyright Affordance Corp. 22
  • 23. 困ったこと その2 Openswanサーバ からpingをたたく と、SSHコンソール が死ぬ… copyright Affordance Corp. 23
  • 24. 困ったこと その3 ipsec.conf を変更したら Openswanに SSH接続できなく なった… copyright Affordance Corp. 24
  • 25. 解決のためのキーワード• 何もかもリセットしちゃう – Openswanサーバを忘れる! – イチから作り直す! たった30分! 悩んだ時間 300分 copyright Affordance Corp. 25
  • 26. Openswan(ipsec)が 起動できた! pingもたたける! お客様にも 繋がりましたログ が出た! copyright Affordance Corp. 26
  • 27. 困ったこと その4 APサーバから pingが通らない… copyright Affordance Corp. 27
  • 28. 解決のためキーワード• Source/Dest Check copyright Affordance Corp. 28
  • 29. Source/Dest Check copyright Affordance Corp. 29
  • 30. APサーバからpingもたたける! お客様のDBサーバにも 繋がった! copyright Affordance Corp. 30
  • 31. 関連会社A ・・・ 関連会社X 関連会社Z VPN Connection Internet Gateway 172.16.0.0/16 172.16.1.11 Customer AP Gateway Server 172.16.0.250 (Cisco ASA5510) open Security Group-ap swan 172.16.1.0/24 AP Security Group-os VPC public Subnet Server 172.16.0.0/24 Availability Zone-a VPC public Subnet Availability Zone-a Elastic Load Balancer DB 172.16.2.11 192.168.2.0/24 AP Server お客様環境 Security Group-ap 172.16.2.0/24 VPC public Subnet copyright Affordance Corp. Availability Zone-b 31
  • 32. 最後に Amazon VPCで機能しないルータでもAmazon VPCは構築可能 (慣れれば)短時間で構築可能 Amazon VPCで ルータを使うことを オススメします! 秒殺で構築可能! ご相談お待ちしております! copyright Affordance Corp. 32
  • 33. 参考資料 copyright Affordance Corp. 33
  • 34. http://www.techsmog.com/index.php/2011/05/03/openswan-amazon-vpc-and-cisco-asa-putting-it-all-together/ copyright Affordance Corp. 34
  • 35. http://www.mohancheema.net/howtos/amazon-vpc-with-openswan-and-cisco-asa-site-to-site-vpn copyright Affordance Corp. 35