LOG IN

connect AWS and Azure using IPSec VPN

by otsuka752

2019/04/01

Google Map は、4/1 限定の? へびゲーム!?

炊飯器の時計は当然サマータイム非対応だった...。

マイコン?制御のセントラルヒーティングの時計は、サマータイム対応している。すごい! (本当? 奥さん変えたか?)

マイコン?制御のセントラルヒーティングの時計は、サマータイム対応している。すごい! (本当? 奥さん変えたか?)

【朗報】ダブリンバスと Luas 乗り放題カードが更新された

ダブリンバスのカードリーダー側でも更新されてたことを確認。オッケー。

title に '#' が含まれてる時の処理がダメな g.o.a.t. さん。

お土産にいただいた海苔。ありがとう!!!

ダブリンバス 1F 1番後ろの席は、エンジン背負ってるようで暖かい。

 

お腹が空かず、ちょいとバスで車酔いしたのは、ケーキ食べたせいだ。

帰宅したらドーナツ揚げてて気持ち悪い。

ラムを(オーブンでなく)グリルで焼きました。煙で家の火災報知器が鳴りました。ゴメンナサイ。

焦げ目がイイ。魚もグリルにしよう、そうしよう。

ファイル名にも本文中にも(全角・半角)の(英数文字・カタカナ)が不規則に混ざっている Word で作る必要性が皆無の Word 書類を見ながら作業する必要があって、本当に本当にダメージを受けている。そして Google Group は Internal Server Error Error 500 だし。

本当に脳みそが疲労するので止めていただきたい。

画像の貼り付けが無いだけマシ、と思うことにする。

心を落ち着けるために洗い物に集中してみた...落ち着いた。

疲労コンパイル

意味ない Word は text にしよう。原本も text で良いじゃん。俺がルールだ!

全角と半角の区別ができない人の気持ちが分からん。Dublinって書くなよ。Dublin って書けよ。ってか、混ぜるなよ!

すいません、取り乱しました。(カシュッ)

macOS ハングアップしたので落ち着こう。

7年前の今日(3/31) 横浜市から渋谷区に引っ越ししてた模様。

13年前の今日(4/1) 三鷹市から江東区へ引っ越ししてた模様。そして、その後 2-3ヶ月で中央区へ。

花火打ち上げてる? 今日は酔っ払いがウルサイ。

2019/04/02

Azure さんに個人検証環境を作る気運! ちょっと、誰か、クーポンとか無いんですか?

新型ダブリンバスではない。

ひどい渋滞の中、バス専用レーンを突き進む。

隣の席のお兄ちゃんがタッパーで持参したヨーグルトを食べ始めたので臭い。

Azure でアカウントゲットしてログインしてる。

あられ? ひょう?も降った模様。寒くはない。

お洒落なんだろうか?

Azure と AWS/VGW で VPN 張っちゃうとパケット見れないので、まずは VyOS 君の出番かな?

Azure さんの VPN は PolicyBase only なんですか?

Dynamic: Dynamic addresses are assigned only after a public IP address is associated to an Azure resource, and the resource is started for the first time.

Virtual Gateway は Dynamic only みたいなメッセージが出た記憶が。直感と反対だった。でも、紐付けても IPアドレス見えず。何かが変だ。

経験ある人と一緒にポチポチしたらすぐ終わりそうなレベル。だが、楽しい。

掃除のおばはんが机を揺らしてくるので帰宅中。

【抜粋】パブリック IP アドレスは、VPN ゲートウェイの作成時に、このオブジェクトに対して動的に割り当てられます。 VPN Gateway では現在、パブリック IP アドレスの "動的" 割り当てのみサポートしています。

【抜粋】もっとも、VPN ゲートウェイに割り当てられた IP アドレスが後から変わることは基本的にありません。

Azure で VirtualNetworkGateway を作成して 15min 経過しても「Your deployment is underway」ですが、問題ありますかね。もうちょい待てって感じ?

作成された〜、けど Public IP が出てこない。「-」のまま。

まだダメ。放置して帰る。

家に帰ってもう一度見てみたらアサインされてた〜。やった

Azure VirtualNetworkGateway さんは、最初の最初の UDP/500 を送信してくれるってことで良いんだよね? ちな、AWS VGW は送信しません。再作成の時の最初のパケットは投げるけど。

VPN 張れた。

祝 : 初めての Virtual Machine on Azure にログイン via IPSec VPN from AWS EC2

なかなか順調だった。ビール飲もう。

昨夜の半角全角混在との戦いと、 今夜の AWS/Azure IPSec VPN との戦いで、 疲労具合が全く異なる。

2019/04/03

Azure AWS を VPN接続できてウレシイ!...で、俺は本当は何をしたかったんだっけか。 次に何をしようか、試そうか。

AWS VGW も、一度接続された後は initiator/responder 両方の役割になります。SA 更新を開始する側にもなります。ただ、本当の初期状態では、パケット投げません。(一応、メモっておきます。)

各コンポーネントの機能概要や制限が分からないので、ポチポチ試して慣れよう。見てる範囲では、ドキュメントがきれいに揃ってて分かりやすくて凄く良い。

「PolicyBased VPN ゲートウェイ」の「最大 S2S (サイト toサイト)接続」が 1 なのは、対向のサイトに GlobalIPAddr 1つを意味するんだろうか。2つで冗長できないんだろうか。(polucy base だから1つだけ、で納得する話ではあるけど)

一度、全部消してやり直そう、そうしよう。

なるほど。

Click Create to begin creating the VPN gateway. (snip) Creating a gateway can take up to 45 minutes.

Azure Virtual Network の各コンポーネントの役割とか、設定項目とか、関連付ける別コンポーネントとかが何となく分かってきた(気がする)。

Azure 未経験者が、VPN をメインにほんの少しだけ(24時間未満)触ったタイミングでの感想やメモ。

(a) Resource Group はリソースをグループ化する。アカウント内で、タグより大きく分類するイメージに見えた

(b) Azure Virtual Network は AWS VPC 相当。CIDR アドレスを指定。

(c) Address Space の用途は今ひとつ分からない。

(d) Local network gateway の Local はオンプレを示すっぽい。オンプレ側の IPアドレス x1 や CIDR を設定。直感と逆で戸惑った。

(e) オンプレで複数ルータを置いて冗長する場合には Local network gateway も複数作成する。

(f) Local network gateway を指定しつつ Connection で VPN を張る。PSK はここで設定。

(g) AWS/VGW と VPN 張る場合は Local network gateway も 2つで、それぞれに Connections を作成。

(h) Virual network gateway は VPN 集約っぽい。RouteBase/PolicyBase はここで一意に。IPアドレス x1。作成して最大 45分かかる場合も。

(i) Virual network gateway は DynamicIPアドレスの必要性あり。作成後は変更されない。けど、違和感大。(文句じゃない)

(j) GatewaySubnet の特殊性を知らないとハマるというか戸惑う。Virtual network gateway が足を出すサブネット。

(k) Virual network gateway を RESET できるのは便利。対向で見てると 1-2分後に SA 削除リクエストパケット到着。RESET 完了まで 13min かかった。

(l) この辺まで作成して VPN を何とか動かしてから Virtual Network の Diagram 見るとイメージが湧いた(かもしれない)

(m) Azure はドキュメントが綺麗にまとまってて良い。相対的に AWS は分かりづらい。

(o) Azure <==(VPN)==> AWS を Static/RouteBase で tunnel(connection) x2 にすると Azure からの outbound は片側だけ。ルール不明。

この後、RouteBase/PolicyBase とか Static/BGP とか IKEv1/v2 あたりの組み合わせ可否が分からない。Static でなく BGP を。PolicyBase を試すか迷う。

Virtual network gateway の冗長は、Virtual Network に複数 Virtual network gateway なんだろうか。試していない。

(現場からは一旦以上です。)

え? Azure Virtual Network の CIDR 被っちゃだめなの?

The address space '10.0.0.0/16' overlaps with '10.0.0.0/16' in virtual network 'my-Virtual-Network'.

しかもグローバルでの重複もダメか。厳しい...けど、良いことも多そう。

RouteBase / BGP / IKEv2 の構成可否の確認と、構成できるなら作ってみてお終いかな。 PolicyBase / Static / IKEv1 を試す意味は無さそう。

試したけど駄目だった。BGP 有効にして Connection 作ると、SKU 大きくしろとのメッセージ。でも、どのコンポーネントの SKU なのか分からず。Connection / Local network gateway / Virtual network gateway / Virtual Network ではなさげ。でも、これ以外に見つからず。public IP とか?

対向で見ると、始まってもいない、1パケットも飛んできてない。

2019/04/04

おはようございます。ちょっと話はズレますが、BGP 使えなさそうな(別の)理由を見つけちゃいました。

peer IPAddr を Azure 側は 169.254.x.x 以外にする必要があり、一方で、AWS 側は 169.254.x.x/30 に指定する必要があるので、peer 張れないという問題です。

そうなんです!(前から知ってた風に)

DX は変更できたはずです。

Aw͜s 側は、プライベートでなくリンクローカルアドレス縛り、ですね。

お布団からの脱出

A「こんな問題がありました」

大勢「(わいわい、がやがや)」

B「ルール決めました。これなら大丈夫です!」

【結果】無駄なルールで疲労する人が増える。そして、ルールは増え続け、滅多に減らない。

A「こんな課題があります」

大勢「(わいわい、がやがや)」

B「システム作りました。これなら大丈夫です!」

【結果】当然システムは万全でなく新しい仕組みで疲労する人が増える。システムを使うことが目的となる。そして、例外対応は増え続け、滅多に減らない。

大勢「(皆で一緒に不幸になろう。お前だけの幸福は許さん。)」

PureStorage さんに、あの人もいたのか〜!?ってなってる。

「誰かが言ったことを鵜呑みにしない」はどこに入るだろうか。

自分の中で、メールと言う連絡手段が機能していない。届いたどうでも良いメールを既読にすることすら出来てない。ちな、会社でなく、個人メール。

誰かに返事をいただけることを期待して緩く質問。

Azure で Virtual network gateway はどう冗長しますか? 冗長不要ですか?

1つの Virtual network gateway には 1つの IPAddr しかアサインされないので、複数の Virtual network gateway が必要だと予想しています。

1つの Virtual Network に複数の VirtualSubnet を作成できず、複数の Virtual network gateway も作成できないように見えました。

例えば AWS/VPC/VGW では 2つのエンドポイントの IPAddr が払い出されるので、冗長できてると判断できます。

Azure と AWS/VGW で VPN 張るときに BGP 使えないことが分かったので、例にある 3つの構成以外になりそうです。 マルチデバイスで Act/Act で「メッシュにしない」感じ。今夜か明日に試す予定です〜。

AWS からの outbound は ECMP 使えず、ECMP 使える TransitGW では BGP 必須と言う...。どうにかならんのか?

オフィスの自席を離れ 30分で家の最寄りのバス停へ。そして、バスの中も有意義な時間だった。最高か!?

Virtual network gateway with Enabled active-active mode

First public IP address

13.94.xx.xx (xxxx-10-public-ip-11)

Second public IP address

13.94.yy.yy (xxxx-10-public-ip-12)

もうすぐ 19時の雨上がり

2本で 4ユーロのターキーもも肉。

2019/04/05

AWS Classic VPN さん...

疲れたよ。明日はもっと疲れるよ。ちな、お仕事ではない。

アイルランドの主食はじゃがいも

やだなー。やだなー。明日はやだなー。ただでさえメンドイのに、色々やらなきゃならんて。やだなー。

今日までめっちゃ準備して大変で、明日は明日でめっちゃメンドイので、やだなー。

とてもとても疲労してるし、とてもとても嫌だ。

モチベーション上げれることを探してやるけど、やだなー。

2019/04/06

Luas もカッコいいと思う。

OTHER SNAPS