AWS Client VPNを使ってmacをEC2に接続する
クライアントからAWS内にセキュアに接続したい。
サーバーおよびクライアント証明書とキーの生成
まずはローカルで以下の証明書と鍵を生成する。
ここで使うOpenVPN。
クローンして、
git clone https://github.com/OpenVPN/easy-rsa.git
移動して、
cd easy-rsa/easyrsa3
新しいPKI環境を初期化
./easyrsa init-pki
次のコマンドを実施。
./easyrsa build-ca nopass
サーバー証明書とキーを生成。
./easyrsa build-server-full server nopass
クライアント証明書とキーを生成。
./easyrsa build-client-full client1.domain.tld nopass
サーバ証明書とキー、クライアント証明書とキーをカスタムフォルダにコピーして、カスタムフォルダに移動。
mkdir ~/custom_folder/
cp pki/ca.crt ~/custom_folder/
cp pki/issued/server.crt ~/custom_folder/
cp pki/private/server.key ~/custom_folder/
cp pki/issued/client1.domain.tld.crt ~/custom_folder
cp pki/private/client1.domain.tld.key ~/custom_folder/
cd ~/custom_folder/
サーバー証明書とキー、およびクライアント証明書とキーを ACM にアップロード。
aws acm import-certificate --certificate fileb://server.crt --private-key fileb://server.key --certificate-chain fileb://ca.crt
aws acm import-certificate --certificate fileb://client1.domain.tld.crt --private-key fileb://client1.domain.tld.key --certificate-chain fileb://ca.crt
クライアント VPN エンドポイントを作成する
こちらにあるようにエンドポイントを作成する
ターゲットネットワークを関連付ける
Target network associationsには接続したいEC2にアタッチされているvpcとsubnetを登録。
VPC の認可ルールを追加する
Add authorization ruleには接続したいEC2があるsubnetを登録。今回は、172.31.16.0/20。0.0.0.0/0も登録して、インターネットも許可しておく。
インターネットへのアクセスを提供する
Route destinationには172.31.0.0/16と0.0.0.0/0も登録。
セキュリティグループの要件を検証する
今回は、接続したいEC2にclient VPNが属するセキュリティグループをインバウンドルールアウトバンドルール両方にアタッチしてAll traficを許可。元のをインターネットに接続した。
クライアント VPN エンドポイント設定ファイルをダウンロードする
Download client configurationでローカルに持ってきて、以下追記。
cert /path/client1.domain.tld.crt
key /path/client1.domain.tld.key
以下からmac版をダウンロード
以下の通りやれば繋がる。
この記事が気に入ったらサポートをしてみませんか?