見出し画像
Photo by garakutax

AWS Client VPNを使ってmacをEC2に接続する

S.Shimmyo

クライアントからAWS内にセキュアに接続したい。

サーバーおよびクライアント証明書とキーの生成

まずはローカルで以下の証明書と鍵を生成する。

ここで使うOpenVPN。

クローンして、

git clone https://github.com/OpenVPN/easy-rsa.git

移動して、

cd easy-rsa/easyrsa3

新しいPKI環境を初期化

./easyrsa init-pki

次のコマンドを実施。

./easyrsa build-ca nopass

サーバー証明書とキーを生成。

./easyrsa build-server-full server nopass

クライアント証明書とキーを生成。

./easyrsa build-client-full client1.domain.tld nopass

サーバ証明書とキー、クライアント証明書とキーをカスタムフォルダにコピーして、カスタムフォルダに移動。

mkdir ~/custom_folder/
cp pki/ca.crt ~/custom_folder/
cp pki/issued/server.crt ~/custom_folder/
cp pki/private/server.key ~/custom_folder/
cp pki/issued/client1.domain.tld.crt ~/custom_folder
cp pki/private/client1.domain.tld.key ~/custom_folder/
cd ~/custom_folder/

サーバー証明書とキー、およびクライアント証明書とキーを ACM にアップロード。

aws acm import-certificate --certificate fileb://server.crt --private-key fileb://server.key --certificate-chain fileb://ca.crt
aws acm import-certificate --certificate fileb://client1.domain.tld.crt --private-key fileb://client1.domain.tld.key --certificate-chain fileb://ca.crt

クライアント VPN エンドポイントを作成する

こちらにあるようにエンドポイントを作成する

ターゲットネットワークを関連付ける

Target network associationsには接続したいEC2にアタッチされているvpcとsubnetを登録。

VPC の認可ルールを追加する

Add authorization ruleには接続したいEC2があるsubnetを登録。今回は、172.31.16.0/20。0.0.0.0/0も登録して、インターネットも許可しておく。

インターネットへのアクセスを提供する

Route destinationには172.31.0.0/16と0.0.0.0/0も登録。

セキュリティグループの要件を検証する

今回は、接続したいEC2にclient VPNが属するセキュリティグループをインバウンドルールアウトバンドルール両方にアタッチしてAll traficを許可。元のをインターネットに接続した。

クライアント VPN エンドポイント設定ファイルをダウンロードする

Download client configurationでローカルに持ってきて、以下追記。

cert /path/client1.domain.tld.crt
key /path/client1.domain.tld.key

以下からmac版をダウンロード

以下の通りやれば繋がる。


この記事が気に入ったらサポートをしてみませんか?