- 締切済み
AWSのVPN接続にて
- みんなの回答 (4)
- 専門家の回答
みんなの回答
- nnori7142
- ベストアンサー率60% (755/1249)
IPセグメントのルールを理解した上で設定下さい。 AWSのソフトウェアVPN機能によって規定されてますので、VPNサーバ側にて、Distance値やMetric値の選択によっても、どちらを優先するかは、サーバ側の機能になります。 自宅ネットワークを、192.168.1.0/24等のグループへ変更し、スタティックルートのテーブルを192.168.1.0/24等にしてみた方が良いかと思いますが。 逆に、自宅ルーターがどのタイプが不明ですが、AWSへのIPSECトンネル設定にあわせて、宛先ルーティングを192.168.0.0/16にすれば良いかと思います。
- t_ohta
- ベストアンサー率38% (5253/13739)
> 使える場合もあるこの差は何なのかご存知であれば教えてください。 今回の設定はロンゲストマッチの原則から行くと、ご自宅のルータにとってはプレフィックスの短いAWSの方にルーティングされますが、AWS側にとっては自ネットワークの方がプレフィックスが短いのでご自宅側へのルートが存在しないと言う事になってしまいます。 また、VPNは使用するプロトコルによって接続先ネットワークへの参加方法が異なり、特にルーティング周りの制約が異なります。 その上、AWSのVPNは独自の制約があるので仕様をよく読んで、ご自身の利用環境に合っているのか確認が必要です。
補足
ありがとうございます。 AWSのサイトから回答を探すとすれば、 https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/VPC_VPN.html#vpn-route-priority に書かれている下記の事でしょうか? VPNやdirectconnectの場合、ローカルルートがとにかく優先されると書いている様に読みとれますが、その理解で正しいですか? 「VPN 接続または AWS Direct Connect 接続から伝達されるルートが VPC のローカルルートと重複する場合は、伝達されたルートがより詳細であっても、ローカルルートが最優先されます。」
- t_ohta
- ベストアンサー率38% (5253/13739)
> 実際どうなんでしょうか? AWSはデフォルトで 10.0.0.0/16 をVPCのアドレスとして推奨しているので、それをつかえば社内側が 192.168.0.0/16 や 172..16.0.0/12 を使っている分にはIPアドレスがかぶる事は無いので問題が生じないんじゃないでしょうか。
補足
それなら大丈夫なことは理解しています。私も20年近くネットワークのプロとして仕事をしていますので。ロンゲストマッチが使えるときと使えないときがあるようですが、今回のパターンはNG。(エラーが出たから間違いない)でも、使える場合もあるこの差は何なのかご存知であれば教えてください。
- t_ohta
- ベストアンサー率38% (5253/13739)
VPCのIPアドレス帯にご自宅のIPアドレス帯が含まれているためルーティングできません。 どちらかのIPアドレス帯を変更しましょう。
お礼
ありがとうございます。そうなんですか・・・。オンプレのルーターと同じように考えるとダメですね。勉強になりました。でも逆はの場合は、ロンゲストマッチが有効になるという情報がネットで転がってます。つまり、AWS(VPC)側が小さなネットワークで、自宅側(ここではVPN先)が大きなネットワークの場合は。実際どうなんでしょうか?
お礼
現在、ローカルルートは192.168.0.0/16となっています。なので自宅のNWを192.168.1.0/24にしても、ローカルルートと重複しているため、AWSのいうところの書きに相当します。VPNインスタンスを自分で構築する場合は、話が変わるのかもしれませんが、AWSの標準のVPN機能を使うと下記に書いている通りではないでしょうか? 「VPN 接続または AWS Direct Connect 接続から伝達されるルートが VPC のローカルルートと重複する場合は、伝達されたルートがより詳細であっても、ローカルルートが最優先されます。」