NetCloudのトラフィックだけを別ルートに流したい

AWS運用自動化サービス「Cloud Automator」
この記事は1年以上前に書かれたものです。
内容が古い可能性がありますのでご注意ください。

はじめに

クライアントがNetCloudに接続すると、NetCloudの仮想ネットワークに接続するトラフィックと、通常のトラフィックの両方に接続できます。172.86.160.0/20レンジ宛のパケットがNetCloudの仮想ネットワークに接続されます。
参考: Cradlepoint NetCloud(旧Pertino)を構成する時のポイントをまとめてみた

やりたいこと

さて、下記イメージ図のように、NetCloudの仮想ネットワーク宛のトラフィックだけをルートテーブル上、別ルートに流したい時があります。例えば、通常トラフィックはVGW、NetCloudのトラフィックはIGW、等。
そのような構成は実現できるのでしょうか。

詳細は以下のドキュメントの通り、NetCloudの仮想ネットワーク宛のパケットは「[uniqueID].ts.pertino.net」宛のパケットとして流れることになります。また、IPアドレスは動的に変更されることがあるとされています。
現状、ルートテーブルはFQDNでの制御に対応していないため、このトラフィックのみの制御は非常に難しいといえると思います。

Support: NetCloud Perimeter: How to exclude NCP tunnel traffic from external firewalls and proxy servers

したがって、ルートテーブルのデフォルトルート(0.0.0.0/0)をNetCloudのネットワークを流したいルートに向けておき、それ以外のルートを明示的に別のルートに設定しておく、という方法が取れるものと思います。

おわりに

以上、NetCloudのトラフィックだけを別ルートに流したいときのTipsをご紹介しました。

AWS運用自動化サービス「Cloud Automator」