こんにちはゲストさん。会員登録(無料)して質問・回答してみよう!

締切り済みの質問

AWSのVPN接続にて

現在、AWSと自宅のネットワークをインターネットVPNで接続しようと思い、おそらくトンネル接続まではできているのです、あと一歩のところでつまづいています。
現在、VPCは192.168.0.0/16、一方自宅のネットワークは192.168.0.0/24となっています。この状態で、ルートテーブルに192.168.0.0/24を追加し、NextHopを仮想プライベートGWに向ければOKと思っていたのですが、添付の警告が出て設定が完了できません。ロンゲストマッチでVPN側が選択されると思っていたのですが駄目なんでしょうか?

投稿日時 - 2018-10-28 19:39:45

QNo.9552192

困ってます

このQ&Aは役に立ちましたか?

0人が「このQ&Aが役に立った」と投票しています

回答(4)

ANo.4

IPセグメントのルールを理解した上で設定下さい。
AWSのソフトウェアVPN機能によって規定されてますので、VPNサーバ側にて、Distance値やMetric値の選択によっても、どちらを優先するかは、サーバ側の機能になります。
 自宅ネットワークを、192.168.1.0/24等のグループへ変更し、スタティックルートのテーブルを192.168.1.0/24等にしてみた方が良いかと思いますが。

 逆に、自宅ルーターがどのタイプが不明ですが、AWSへのIPSECトンネル設定にあわせて、宛先ルーティングを192.168.0.0/16にすれば良いかと思います。

投稿日時 - 2018-11-25 17:41:31

お礼

現在、ローカルルートは192.168.0.0/16となっています。なので自宅のNWを192.168.1.0/24にしても、ローカルルートと重複しているため、AWSのいうところの書きに相当します。VPNインスタンスを自分で構築する場合は、話が変わるのかもしれませんが、AWSの標準のVPN機能を使うと下記に書いている通りではないでしょうか?


「VPN 接続または AWS Direct Connect 接続から伝達されるルートが VPC のローカルルートと重複する場合は、伝達されたルートがより詳細であっても、ローカルルートが最優先されます。」

投稿日時 - 2018-12-02 09:26:04

ANo.3

> 使える場合もあるこの差は何なのかご存知であれば教えてください。

今回の設定はロンゲストマッチの原則から行くと、ご自宅のルータにとってはプレフィックスの短いAWSの方にルーティングされますが、AWS側にとっては自ネットワークの方がプレフィックスが短いのでご自宅側へのルートが存在しないと言う事になってしまいます。

また、VPNは使用するプロトコルによって接続先ネットワークへの参加方法が異なり、特にルーティング周りの制約が異なります。
その上、AWSのVPNは独自の制約があるので仕様をよく読んで、ご自身の利用環境に合っているのか確認が必要です。

投稿日時 - 2018-10-30 06:30:14

補足

ありがとうございます。
AWSのサイトから回答を探すとすれば、

https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/VPC_VPN.html#vpn-route-priority

に書かれている下記の事でしょうか?

VPNやdirectconnectの場合、ローカルルートがとにかく優先されると書いている様に読みとれますが、その理解で正しいですか?

「VPN 接続または AWS Direct Connect 接続から伝達されるルートが VPC のローカルルートと重複する場合は、伝達されたルートがより詳細であっても、ローカルルートが最優先されます。」

投稿日時 - 2018-10-30 20:45:00

ANo.2

> 実際どうなんでしょうか?
AWSはデフォルトで 10.0.0.0/16 をVPCのアドレスとして推奨しているので、それをつかえば社内側が 192.168.0.0/16 や 172..16.0.0/12 を使っている分にはIPアドレスがかぶる事は無いので問題が生じないんじゃないでしょうか。

投稿日時 - 2018-10-29 11:24:33

補足

それなら大丈夫なことは理解しています。私も20年近くネットワークのプロとして仕事をしていますので。ロンゲストマッチが使えるときと使えないときがあるようですが、今回のパターンはNG。(エラーが出たから間違いない)でも、使える場合もあるこの差は何なのかご存知であれば教えてください。

投稿日時 - 2018-10-29 21:01:13

ANo.1

VPCのIPアドレス帯にご自宅のIPアドレス帯が含まれているためルーティングできません。
どちらかのIPアドレス帯を変更しましょう。

投稿日時 - 2018-10-28 20:30:57

お礼

ありがとうございます。そうなんですか・・・。オンプレのルーターと同じように考えるとダメですね。勉強になりました。でも逆はの場合は、ロンゲストマッチが有効になるという情報がネットで転がってます。つまり、AWS(VPC)側が小さなネットワークで、自宅側(ここではVPN先)が大きなネットワークの場合は。実際どうなんでしょうか?

投稿日時 - 2018-10-28 23:48:13

あなたにオススメの質問