ニフクラ ブログ

ニフクラやクラウドの技術について、エンジニアが語るブログです。

ニフクラの新サービス、リモートアクセスVPNゲートウェイ機能を利用してみた

こんにちは、ニフクラテクニカルアカウントチームです。

2019年04月10日にクライアント環境からニフクラにVPN接続できる新機能リモートアクセスVPNゲートウェイがリリースされました。

この機能では、クライアント端末への設定のみで手軽にVPN接続環境が整うため、ニフクラへのセキュアな接続を比較的簡単に実現できます。拠点側へのVPN機器の設置は不要です。

早速この機能を使用し、異なるネットワークからニフクラに作成してあるサーバー(Windows、Linux)にアクセスしてみました。

以降、リモートアクセスVPNゲートウェイの仕様や作成方法、実際に使用した結果についてご紹介します。

前提条件

本ブログは、以下の前提知識がある方を想定しています。

  • ニフクラの基本的なコントロールパネルの操作、サービスを利用する知識
    (サーバー作成、ネットワーク構築など)

検証概要

以下の流れでVPN接続環境をセットアップします。

(1)作業端末にCA証明書をインポート
(2)CA証明書をアップロード
(3)リモートアクセスVPNゲートウェイを作成
(4)作業端末にリモートアクセスVPNゲートウェイクライアントソフトをインストール
(5)リモートアクセスVPNゲートウェイ経由(パスワード認証 + クライアント証明書認証)で、Windowsサーバー、Linuxサーバーへログインする。

f:id:TechnicalAccountEngineer:20190423160238p:plain

利用リソース

本検証を実施するにあたり、利用したニフクラのリソース情報に関して以下に記載します。
※各リソースのアクセス制限に関しては、ニフクラのファイアウォール等を用いて適切に設定の上実施しています。

リソース 数量
サーバー
(サーバーOS:Windows Server 2016、CentOS 7.6)
2
プライベートLAN 1
リモートアクセスVPNゲートウェイ 1

検証内容

準備したリソースを使用し、リモートアクセスVPNゲートウェイ経由で、サーバー(Windows、Linux)に、ログインするまでの内容を記載します。

リソース準備(作業端末)

(1) CA証明書の作成

ここでは、下記ブログを参考にCA証明書を作成します。
ニフクラブログ
(プライベートCAを1clickで作成出来るツール genca を公開しました!)

  1. クライアント環境に応じた実行ファイルをダウンロードします。
  2. ダウンロードした「genca_windows_amd64.exe」を実行します。
  3. 「nifcloud.local.CAcert.pem」が作成されます。

1f:id:sameshima_fjct:20190819162139p:plain 2f:id:sameshima_fjct:20190819162323p:plain 3f:id:sameshima_fjct:20190819162335p:plain

(2) CA証明書のインポート

genca」で作成したファイルの一つを使用し、CA証明書をインポートします。

1.「client.nifcloud.local.pfx」を実行します。
2~5.「次へ」をクリックします。
6.「完了」をクリックします。

1 f:id:sameshima_fjct:20190819165011p:plain 2 f:id:sameshima_fjct:20190819165019p:plain 3 f:id:sameshima_fjct:20190819165036p:plain 4 f:id:sameshima_fjct:20190819165058p:plain 5 f:id:sameshima_fjct:20190819165115p:plain 6 f:id:sameshima_fjct:20190819165128p:plain

リソース準備(ニフクラ)

(1) SSHキーの作成

ここでは、設定項目や設定値は省略させて頂きます。
※作成方法は、以下を参照してください。
クラウドヘルプ(SSHキー)

(2) プライベートLANの作成

ここでは、設定項目や設定値は省略させて頂きます。
※作成方法は、以下を参照してください。
クラウドヘルプ(プライベートLAN:作成)

(3) CA証明書のアップロード

ここでは、ニフクラのコントロールパネルから「① CA証明書の作成」で作成したCA証明書をアップロードします。

  1. コントロールパネルの左上のメニューから「すべてのサービス」-「SSL証明書」をクリックします。
  2. 「CA証明書」-「CA証明書アップロード」をクリックします。
  3. 「ファイルを選択」をクリックし、作成した「nifcloud.local.CAcert.pem」を選択し「確認へ」をクリックします。
  4. 「アップロード」をクリックします。
  5. 「CA証明書」がアップロードされたことを確認します。

1 f:id:sameshima_fjct:20190819165737p:plain 2 f:id:sameshima_fjct:20190819165834p:plain 3 f:id:sameshima_fjct:20190819165927p:plain 4 f:id:sameshima_fjct:20190819170004p:plain 5 f:id:sameshima_fjct:20190819170105p:plain

(4) リモートアクセスVPNゲートウェイの作成

本検証では、以下の設定とします。
※本検証ではサーバー証明書を使用していないですが、実際に使用する場合は適切に設定の上実施して下さい。

項目 設定値
リモートアクセスVPNGW名 RAVPNGW01
ゾーン east-11
料金プラン 従量
プライベート側ネットワーク RAVPNPVLAN01
IPアドレス 192.168.2.254
ネットワークプールのCIDR 192.168.3.0/24
サーバー証明書 指定しない
CA証明書 「(3) CA証明書のアップロード」で登録したもの
メモ -
暗号スイート AES256-SHA

■リモートアクセスVPNゲートウェイ作成

  1. コントロールパネルの左上のメニューから「すべてのサービス」-「ネットワーク」をクリックします。
  2. 「ネットワーク上での操作」-「リモートアクセスVPNGW作成」を選択します。
  3. 必要項目を入力し「暗号スイート選択へ」をクリックします。
  4. 「AES256-SHA」を選択し「確認へ」をクリックします。
  5. 「作成する」をクリックします。
  6. 「リモートアクセスVPNGW」が作成されたことを確認します。

1 f:id:sameshima_fjct:20190819170706p:plain 2 f:id:sameshima_fjct:20190819170737p:plain 3 f:id:sameshima_fjct:20190819170812p:plain 4 f:id:sameshima_fjct:20190819171005p:plain 5 f:id:sameshima_fjct:20190819171113p:plain 6 f:id:sameshima_fjct:20190819171149p:plain

■ユーザー作成(VPN接続用)

  1. 作成した「リモートアクセスVPNGW」を選択します。
  2. 「リモートアクセスVPNGWの操作」-「ユーザー作成」を選択します。
  3. 必要項目を入力し「作成する」をクリックします。

1 f:id:sameshima_fjct:20190819172036p:plain 2 f:id:sameshima_fjct:20190819172226p:plain 3 f:id:sameshima_fjct:20190819172250p:plain

※作成方法は、以下を参照してください。
クラウドヘルプ(リモートアクセスVPNゲートウェイ: 作成)

(5) ファイアウォールグループの作成

■ファイアウォールグループ

ここでは、設定項目や設定値は省略させて頂きます。
※作成方法は、以下を参照してください。
クラウドヘルプ(ファイアウォールグループの新規作成)

■ INルール設定

本検証では、以下の設定とします。

ファイアウォールグループ名 プロトコル ポート 接続元種別
(IPアドレス)
備考
RAVPNFW01 TCP 3389 192.168.2.254
(リモートアクセスVPNゲートウェイのIP)
windows 用
RAVPNFW02 TCP 22 192.168.2.254
(リモートアクセスVPNゲートウェイのIP)
Linux用

※作成方法は、以下を参照してください。
クラウドヘルプ(ファイアウォール:ルールの追加)

(6) サーバーの作成

ここでは、ニフクラのコントロールパネルから、コンソール経由でサーバーにログインし、プライベートIPアドレスを手動設定します。
※Linuxサーバーは、起動時スクリプトを使用しrootパスワードを設定します。

以下の項目以外は省略させて頂きます。

サーバー名 OS プライベートIPアドレス
RAVPNSV01 Windows Server 2016 192.168.2.10
RAVPNSV02 CentOS7.6 192.168.2.20

※作成方法は、以下を参照してください。
クラウドヘルプ(サーバーの作成)

(7) リモートアクセスVPNゲートウェイのクライアントソフトダウンロード

コントロールパネルから、リモートアクセスVPNゲートウェイのクライアントソフトをダウンロードします。

  1. 作成した「リモートアクセスVPNGW」を選択します。
  2. 「クライアントダウンロードURL」をクリックします。
  3. 「OK」を選択します。
  4. ユーザー作成(VPN接続用)で設定した「ユーザー名」と「パスワード」を入力し、「ログイン」をクリックします。
  5. 「プロファイル名」をクリックします。
  6. 「ここをクリックして」をクリックします。
  7. 「VMware_VPN_Client-Setup.zip」がダウンロードできたことを確認します。

1 f:id:sameshima_fjct:20190819173034p:plain 2 f:id:sameshima_fjct:20190819173112p:plain 3 f:id:sameshima_fjct:20190819173216p:plain 4 f:id:sameshima_fjct:20190819173312p:plain 5 f:id:sameshima_fjct:20190819173340p:plain 6 f:id:sameshima_fjct:20190819173506p:plain 7 f:id:sameshima_fjct:20190819173601p:plain

(8) リモートアクセスVPNゲートウェイのクライアントソフトインストール

作業端末に、リモートアクセスVPNゲートウェイにアクセスするためのクライアントソフトをインストールします。

■インストーラー起動

  1. 「VMware_VPN_Client-Setup.zip」を解凍し「Installer.exe」を実行します。
  2. 「はい」を選択します。

1 f:id:sameshima_fjct:20190819173814p:plain 2 f:id:sameshima_fjct:20190819173829p:plain

■ログイン
作業端末からリモートアクセスVPNゲートウェイに接続します。

  1. 作業端末のタスクトレイから「SSL VPN-Plus Client」 -「右クリック」-「ログイン」を選択します。
  2. 「ログイン」を選択します。
  3. 「client.nifcloud.local.pfx」で作成したCA証明書を選択し「OK」をクリックします。
  4. ユーザー作成(VPN接続用)で設定した「ユーザー名」と「パスワード」を入力し、「OK」をクリックします。
  5. 「OK」をクリックします。

1 f:id:sameshima_fjct:20190819174146p:plain 2 f:id:sameshima_fjct:20190819174250p:plain 3 f:id:sameshima_fjct:20190819174313p:plain 4 f:id:sameshima_fjct:20190819174433p:plain 5 f:id:sameshima_fjct:20190819174510p:plain

接続確認

作業端末から対象のサーバーにログインします。

(1) Windowsサーバー

ここでは、リモートデスクトップを使用します。

  1. 作業端末からリモートデスクトップを起動し、接続先IPとユーザ名を指定し「接続」をクリックします。
  2. 「接続」をクリックします。
  3. 「パスワード」を入力し「OK」を選択します。
  4. 対象サーバーにログイン後、コマンドプロンプトを起動し「ipconfig」コマンドで確認します。

1 f:id:sameshima_fjct:20190819174752p:plain 2 f:id:sameshima_fjct:20190819174818p:plain 3 f:id:sameshima_fjct:20190819174846p:plain 4 f:id:sameshima_fjct:20190819174953p:plain

(2) Linuxサーバー

ここでは、TeraTermを使用します。

1~2. 作業端末からTeraTermを起動し、ログインに必要な項目を入力し「OK」を選択します。
3. 対象サーバーにログイン後、「ip a」コマンドで確認します。

1 f:id:sameshima_fjct:20190819175115p:plain 2 f:id:sameshima_fjct:20190819175210p:plain 3 f:id:sameshima_fjct:20190819175243p:plain

リモートアクセスVPNゲートウェイを使用し、サーバーにログインができました。

まとめ

本ブログでは、CA証明書の作成を「genca」で実施しました。「genca」をダウンロード後、「.exeファイル」を実行するだけなので、おすすめです。
また、作成したCA証明書のアップロードやリモートアクセスVPNゲートウェイのクライアントソフトダウンロードは、コントロールパネル上で実施できるため、わかりやすいと思います。

本機能は、クライアント端末への設定のみでVPN環境が整い、ニフクラのプライベートLANに対して、SSL-VPNによってセキュアに接続出来ます。
お客様オフィスや外出先からニフクラ内のサーバーにアクセスしたい場合等に活用してみてはいかがでしょうか。

注意事項

  • 本記事については検証結果の1つとなります。実際に検討される場合は、事前にそれぞれの要件を鑑みて実装するか確認してください。
  • 本記事ではOS上の操作についても記載していますが、ニフクラではOS以上はご利用者様の責任範囲となりますのでご留意ください。