結論

設定ミスによる予期せぬ通信を防ぐため、Client VPN エンドポイント専用のセキュリティグループを作成して適用しましょう。 (VPC に初期設定状態で存在する default セキュリティグループを使用しないようにしましょう。)

当該セキュリティグループにインバウンドルールは不要です。削除しましょう。

また、アウトバウンドルールはすべてのトラフィックを許可する設定にしておくのがオススメです。

セキュリティグループの役割について(おさらい)

セキュリティグループは AWS の各種リソースに適用できる仮想ファイアウォールです。

インバウンドルールおよびアウトバウンドルールにプロトコル・送信元(送信先)などを設定することでトラフィックを制御できます。この送信元(送信先)にはネットワーク CIDR や特定の IP アドレスのほか、セキュリティグループそのものを指定することもできます。

Client VPN におけるセキュリティグループ

Client VPN エンドポイントに適用される

Client VPN エンドポイントを作成する際、当該エンドポイントに適用するセキュリティグループを指定できます。

特にセキュリティグループを指定しない場合 VPC のdefault セキュリティグループが適用されるのですが、この default セキュリティグループには少々厄介な性質があります。

#aws #aws client vpn

Client VPN のセキュリティグループをいかに設定すべきか
10.05 GEEK