APIを利用したAWSとのVPN接続

オンプレミスの SonicWall Firewall から AWS にVPN接続を行う設定方法は、以下の２つの方法があります。

1. 手動でトンネルインターファースを作成する。基本的には全てのSonicOSバージョンで可能です。

2. APIを利用してVPN設定を自動的に行う。SonicOS6.5以上のバージョンの機能となります。

本KBでは２のAPIを使用したVPN設定の方法を説明します。

作業の手順の概要

1. AWSでの作業: API連携用ユーザの作成

2. SonicWallの設定

2-1 AWSとAPI連携
2-2 APIによるVPN設定

3. 接続確認

1. AWSでの作業: API連携用ユーザの作成

(1) AWS IAMを開き、SonicWallからAWS API連携専用のユーザを作成します。

(2) 任意のユーザ名を入力します。

(3) 以下5つのポリシーを作成するユーザに付与します。

　1. AmazonEC2FullAccess

　2. CloudWatchLogsFullAccess

　3. AmazonVPCCrossAccountNetworkInterfaceOperations

　4. AmazonVPCFullAccess

　5. AmazonDMSVPCManagementRole

(4) オプションとしてユーザに対してタグを追加します。タグを付けない場合はブランクのまま「次のステップ：確認」をクリックします。

(5) 最後に確認画面が表示されます。付与すべき5つのポリシーが表示されていることを確認し、「ユーザの作成」をクリックします。

(6) 「アクセスキーID」と「シークレットアクセスキー」が画面上に表示されますので、コピペ等でメモします。同じ情報はCSVとしてもダウンロードすることができます。

2. SonicWallの設定

2−1  AWSとAPI連携

(1) SonicWallの管理GUIにログインします。

(2) ネットワーク→AWS設定  画面を開きます。

(3) AWS で作成したユーザの「アクセスキー」と「シークレットアクセスキー」を入力し、「リージョン」を選択し、「適用」をクリックします。

(4) 最後に「接続テスト」をクリックします。テスト成功と表示されたら閉じるをクリックし終了します。

2−2 APIによるVPN設定

(1) SonicWallの管理GUIよりVPN>AWS VPN 画面を開きます。AWSとデータ連携を行いますので、以下の画面が表示されるまで読み込み時間がかかります。VPN接続を行いたいVPC(Virtual Private Cloud) の VPN接続の作成をクリックします。

(2) VPN接続のため、AWS上の カスタマーゲートウェイ を指定するポップアップが表示されます。SonicWallでVPNの発着信するグローバルIPアドレスを入力します。AWSが自動で検知しているIPアドレスが正しい場合はそのままOK をクリックします。

自動検知ができていない/自動検知したIPアドレスが誤っている場合は、正しいIPアドレスを入力し、OK をクリックします。

(3) AWSとのVPNプロビジョニングが開始され、1~2分ほどで設定が完了します。VPN状況は最初の数分pendingと表示されますが、availableと表示されるようになります。 VPN設定を行うとAWSの仕様として2つのトンネルが作成されます。

3. 接続確認

(1) SonicWallの管理GUIより VPN>設定 画面にて、2つのVPNポリシーが自動生成され、VPN接続が成功していることを確認します。

(2) AWSコンソールでVPN接続の確認をします。「サイト間のVPN接続」画面で2つのトンネルが「アップ」となっていることを確認します。VPN IDは、上記のSonicWallの管理GUIで確認できるIDと同じになります。

(3) 同様に、AWSコンソールで、ルートテーブルにはSonicWallのLANサブネットが自動追加されていることを確認します。

(4) 注意点として、AWS上でセキュリティグループの設定は自動で追加されないため、手動でインバウンド/アウトバウンドルールを変更する必要があります。

(5) ローカルPCからAWS上のサーバに対してpingを実行し、応答があることを確認します。