1-3b-4:VPC内サーバからインターネットへ

ここでやること

テスト用サーバ(192.168.101.30)からインターネット接続しようとしても繋がりません。
なぜならば、テスト用サーバのサブネット192.168.101.16/28 のルーティングテーブル設定は・・・
手順1-1で設定した「192.168.101.0/24以外はインターネットゲートウェイに向いている」
からです。
最初に定義したように
192.168.101.16/28 と 192.168.101.32/28 は直接インターネットに接続できるのはまずいので細工します。

ここでは、SophosUTM(192.168.101.14)をNATインスタンスとして稼働させます。
NATインスタンスの説明はこのあたりです。
また、SophosUTMをNATインスタンスとして構築する方法については、
Sophos公式手順にも記載されています→[PDF]Sophos UTM on AWS 概要および導入ガイド
ちなみに
Sophos社公式手順では、VPCウィザードで勝手に作成されるNATインスタンスを削除する方法ですが
このサイトでは、VPCウィザードでNATインスタンスを作成していません。
先ほどの手順で作成したSophosUTMインスタンスをNATインスタンスの役割に変更します。

ではやります

1,SophosUTMインスタンスの”送信元/送信先の変更チェック” を無効にする

EC2管理コンソールから、SophosUTM(192.168.101.14)のインスタンスを選択して
アクション→ネットワーキング→送信元/送信先の変更チェック  を選択
無効化する。ボタンを押します。

2,VPCルーティングテーブル オブジェクトを作成する

ルートテーブルオブジェクトを作成します。

VPC管理コンソールから、ルートテーブルを選択。”ルートテーブルの作成”ボタンを押します。
ネームタグ:Sophos経由
とし、作成ボタンを押します。

作成したルートテーブルを編集します。
先ほど作成したオブジェクトを選択して、画面下部の”ルート”タブを選択。
”編集”ボタンを押すと編集できます。
”別ルートの追加”ボタンを押し・・・
送信元:0.0.0.0/0
ターゲット:SophosUTMのインスタンスIDを選択します
”保存”ボタンを押して完了します。
これで、このルーティングテーブルオブジェクトの役割として・・・
192.168.101.0/24はローカルで、それ以外の通信はすべてSophosUTMインスタンスへ通す。
となります。

このルーティングテーブルオブジェクトは、サブネット単位で割り当てられますので、
次にサブネットを修正します。

3,サブネットを修正する

手順1-1で作成した、192.168.101.16/28 と 192.168.101.32/28 のサブネットに割り当てられている
ルーティングテーブルオブジェクトを変更します。

VPC管理コンソールから、サブネットを選択します。
まずは、192.168.101.16/28 行を選択し、
”ルートテーブル”タブを開きます。
”編集”ボタンを押します

変更先を、先ほどの手順で作成したルーティングテーブルオブジェクトに変更し、
”保存”ボタンで完了します。

同じ手順を、192.168.101.32/28でも行います。
最終的に↓のような構成になっています。

4,SophosUTMの通信許可

ここまでの手順で、”SophosUTMサーバの外側”の通信経路許可ができています。
次に、”SophosUTM内での通信許可”設定を行います。
まず、
定義とユーザ→ネットワーク定義で”新規ネットワーク定義”ボタンを押す
名前:AWS-VPC 101.0/24(分かり易い名前で)
タイプ:ネットワーク
IPv4アドレス:192.168.101.0
ネットマスク:/24
保存して、ネットワークオブジェクトを作成する。

次に、ネットワークプロテクション→NATを選択して
”NAT”タブを開く
”新規NATルール”ボタンを押し・・・
-------------------------------------
トラフィック送信元:AWS-VPC 101.0/24 (つまり192.168.101.0/24からのアクセス)
サービス:Any
トラフィック宛先:Internet IPv4
-------------------------------------
変更後の送信元:Internal(Address)  
変更後のサービス:なし
-------------------------------------
自動ファイヤーウォール:ON
初期パケットログ:ON
で、保存します。
一覧のスイッチをON(緑)にしておきます。

5,確認します

手順1-3b-2で作成した、テスト用サーバ192.168.101.30 にリモートデスクトップ接続して、
このサーバのデスクトップからインターネット接続ができることを確認してください。
IPアドレス確認サイトで、IPアドレスを確認してみます。。

SophosUTMのElastic IPで接続できていることがわかりますね??


5,テスト用サーバを削除します
テスト用サーバ192.168.101.30を選択して、”アクション”ボタン→”インスタンスの状態”→”削除”
で終わりです。



Comments