ニフクラ ブログ

ニフクラやクラウドの技術について、エンジニアが語るブログです。

ニフクラの新サービス、リモートアクセスVPNゲートウェイ機能を利用してみた

こんにちは、ニフクラテクニカルアカウントチームです。

2019年04月10日にクライアント環境からニフクラにVPN接続できる新機能リモートアクセスVPNゲートウェイがリリースされました。

この機能では、クライアント端末への設定のみで手軽にVPN接続環境が整うため、ニフクラへのセキュアな接続を比較的簡単に実現できます。拠点側へのVPN機器の設置は不要です。

早速この機能を使用し、異なるネットワークからニフクラに作成してあるサーバー(Windows、Linux)にアクセスしてみました。

以降、リモートアクセスVPNゲートウェイの仕様や作成方法、実際に使用した結果についてご紹介します。

前提条件

本ブログは、以下の前提知識がある方を想定しています。

  • ニフクラの基本的なコントロールパネルの操作、サービスを利用する知識
    (サーバー作成、ネットワーク構築など)

検証概要

以下の流れでVPN接続環境をセットアップします。

(1)作業端末にCA証明書をインポート
(2)CA証明書をアップロード
(3)リモートアクセスVPNゲートウェイを作成
(4)作業端末にリモートアクセスVPNゲートウェイクライアントソフトをインストール
(5)リモートアクセスVPNゲートウェイ経由(パスワード認証 + クライアント証明書認証)で、Windowsサーバー、Linuxサーバーへログインする。

f:id:TechnicalAccountEngineer:20190423160238p:plain

利用リソース

本検証を実施するにあたり、利用したニフクラのリソース情報に関して以下に記載します。
※各リソースのアクセス制限に関しては、ニフクラのファイアウォール等を用いて適切に設定の上実施しています。

リソース 数量
サーバー
(サーバーOS:Windows Server 2016、CentOS 7.6)
2
プライベートLAN 1
リモートアクセスVPNゲートウェイ 1

検証内容

準備したリソースを使用し、リモートアクセスVPNゲートウェイ経由で、サーバー(Windows、Linux)に、ログインするまでの内容を記載します。

リソース準備(作業端末)

(1) CA証明書の作成

ここでは、下記ブログを参考にCA証明書を作成します。
ニフクラブログ
(プライベートCAを1clickで作成出来るツール genca を公開しました!)

  1. クライアント環境に応じた実行ファイルをダウンロードします。
  2. ダウンロードした「genca_windows_amd64.exe」を実行します。
  3. 「nifcloud.local.CAcert.pem」が作成されます。
1
f:id:TechnicalAccountEngineer:20190419153131p:plain
2
f:id:TechnicalAccountEngineer:20190419153138p:plain
3
f:id:TechnicalAccountEngineer:20190419153142p:plain

(2) CA証明書のインポート

genca」で作成したファイルの一つを使用し、CA証明書をインポートします。

1.「client.nifcloud.local.pfx」を実行します。
2~5.「次へ」をクリックします。
6.「完了」をクリックします。

1
f:id:TechnicalAccountEngineer:20190419153213p:plain
2
f:id:TechnicalAccountEngineer:20190419153216p:plain
3
f:id:TechnicalAccountEngineer:20190419153219p:plain
4
f:id:TechnicalAccountEngineer:20190419153223p:plain
5
f:id:TechnicalAccountEngineer:20190419153226p:plain
6
f:id:TechnicalAccountEngineer:20190419153230p:plain

リソース準備(ニフクラ)

(1) SSHキーの作成

ここでは、設定項目や設定値は省略させて頂きます。
※作成方法は、以下を参照してください。
クラウドヘルプ(SSHキー)

(2) プライベートLANの作成

ここでは、設定項目や設定値は省略させて頂きます。
※作成方法は、以下を参照してください。
クラウドヘルプ(プライベートLAN:作成)

(3) CA証明書のアップロード

ここでは、ニフクラのコントロールパネルから「① CA証明書の作成」で作成したCA証明書をアップロードします。

  1. コントロールパネルの左上のメニューから「すべてのサービス」-「SSL証明書」をクリックします。
  2. 「CA証明書」-「CA証明書アップロード」をクリックします。
  3. 「ファイルを選択」をクリックし、作成した「nifcloud.local.CAcert.pem」を選択し「確認へ」をクリックします。
  4. 「アップロード」をクリックします。
  5. 「CA証明書」がアップロードされたことを確認します。
1
f:id:TechnicalAccountEngineer:20190419153258p:plain
2
f:id:TechnicalAccountEngineer:20190419153305p:plain
3
f:id:TechnicalAccountEngineer:20190423185437p:plain
4
f:id:TechnicalAccountEngineer:20190419153315p:plain
5
f:id:TechnicalAccountEngineer:20190419153320p:plain

(4) リモートアクセスVPNゲートウェイの作成

本検証では、以下の設定とします。
※本検証ではサーバー証明書を使用していないですが、実際に使用する場合は適切に設定の上実施して下さい。

項目 設定値
リモートアクセスVPNGW名 RAVPNGW01
ゾーン east-11
料金プラン 従量
プライベート側ネットワーク RAVPNPVLAN01
IPアドレス 192.168.2.254
ネットワークプールのCIDR 192.168.3.0/24
サーバー証明書 指定しない
CA証明書 「(3) CA証明書のアップロード」で登録したもの
メモ -
暗号スイート AES256-SHA

■リモートアクセスVPNゲートウェイ作成

  1. コントロールパネルの左上のメニューから「すべてのサービス」-「ネットワーク」をクリックします。
  2. 「ネットワーク上での操作」-「リモートアクセスVPNGW作成」を選択します。
  3. 必要項目を入力し「暗号スイート選択へ」をクリックします。
  4. 「AES256-SHA」を選択し「確認へ」をクリックします。
  5. 「作成する」をクリックします。
  6. 「リモートアクセスVPNGW」が作成されたことを確認します。
1
f:id:TechnicalAccountEngineer:20190419163115p:plain
2
f:id:TechnicalAccountEngineer:20190419163118p:plain
3
f:id:TechnicalAccountEngineer:20190423160323p:plain
4
f:id:TechnicalAccountEngineer:20190419163126p:plain
5
f:id:TechnicalAccountEngineer:20190423160326p:plain
6
f:id:TechnicalAccountEngineer:20190419154936p:plain

■ユーザー作成(VPN接続用)

  1. 作成した「リモートアクセスVPNGW」を選択します。
  2. 「リモートアクセスVPNGWの操作」-「ユーザー作成」を選択します。
  3. 必要項目を入力し「作成する」をクリックします。
1
f:id:TechnicalAccountEngineer:20190419154936p:plain
2
f:id:TechnicalAccountEngineer:20190419153922p:plain
3
f:id:TechnicalAccountEngineer:20190419153926p:plain

※作成方法は、以下を参照してください。
クラウドヘルプ(リモートアクセスVPNゲートウェイ: 作成)

(5) ファイアウォールグループの作成

■ファイアウォールグループ

ここでは、設定項目や設定値は省略させて頂きます。
※作成方法は、以下を参照してください。
クラウドヘルプ(ファイアウォールグループの新規作成)

■ INルール設定

本検証では、以下の設定とします。

ファイアウォールグループ名 プロトコル ポート 接続元種別
(IPアドレス)
備考
RAVPNFW01 TCP 3389 192.168.2.254
(リモートアクセスVPNゲートウェイのIP)
windows 用
RAVPNFW02 TCP 22 192.168.2.254
(リモートアクセスVPNゲートウェイのIP)
Linux用

※作成方法は、以下を参照してください。
クラウドヘルプ(ファイアウォール:ルールの追加)

(6) サーバーの作成

ここでは、ニフクラのコントロールパネルから、コンソール経由でサーバーにログインし、プライベートIPアドレスを手動設定します。
※Linuxサーバーは、起動時スクリプトを使用しrootパスワードを設定します。

以下の項目以外は省略させて頂きます。

サーバー名 OS プライベートIPアドレス
RAVPNSV01 Windows Server 2016 192.168.2.10
RAVPNSV02 CentOS7.6 192.168.2.20

※作成方法は、以下を参照してください。
クラウドヘルプ(サーバーの作成)

(7) リモートアクセスVPNゲートウェイのクライアントソフトダウンロード

コントロールパネルから、リモートアクセスVPNゲートウェイのクライアントソフトをダウンロードします。

  1. 作成した「リモートアクセスVPNGW」を選択します。
  2. 「クライアントダウンロードURL」をクリックします。
  3. 「OK」を選択します。
  4. ユーザー作成(VPN接続用)で設定した「ユーザー名」と「パスワード」を入力し、「ログイン」をクリックします。
  5. 「プロファイル名」をクリックします。
  6. 「ここをクリックして」をクリックします。
  7. 「VMware_VPN_Client-Setup.zip」がダウンロードできたことを確認します。
1
f:id:TechnicalAccountEngineer:20190419154936p:plain
2
f:id:TechnicalAccountEngineer:20190419154941p:plain
3
f:id:TechnicalAccountEngineer:20190419154945p:plain
4
f:id:TechnicalAccountEngineer:20190419154950p:plain
5
f:id:TechnicalAccountEngineer:20190419192557p:plain
6
f:id:TechnicalAccountEngineer:20190419155002p:plain
7
f:id:TechnicalAccountEngineer:20190419155005p:plain

(8) リモートアクセスVPNゲートウェイのクライアントソフトインストール

作業端末に、リモートアクセスVPNゲートウェイにアクセスするためのクライアントソフトをインストールします。

■インストーラー起動

  1. 「VMware_VPN_Client-Setup.zip」を解凍し「Installer.exe」を実行します。
  2. 「はい」を選択します。
1
f:id:TechnicalAccountEngineer:20190419160254p:plain
2
f:id:TechnicalAccountEngineer:20190419160258p:plain

■ログイン
作業端末からリモートアクセスVPNゲートウェイに接続します。

  1. 作業端末のタスクトレイから「SSL VPN-Plus Client」 -「右クリック」-「ログイン」を選択します。
  2. 「ログイン」を選択します。
  3. 「client.nifcloud.local.pfx」で作成したCA証明書を選択し「OK」をクリックします。
  4. ユーザー作成(VPN接続用)で設定した「ユーザー名」と「パスワード」を入力し、「OK」をクリックします。
  5. 「OK」をクリックします。
1
f:id:TechnicalAccountEngineer:20190423164034p:plain
2
f:id:TechnicalAccountEngineer:20190419160301p:plain
3
f:id:TechnicalAccountEngineer:20190419160304p:plain
4
f:id:TechnicalAccountEngineer:20190419160306p:plain
5
f:id:TechnicalAccountEngineer:20190419160310p:plain

接続確認

作業端末から対象のサーバーにログインします。

(1) Windowsサーバー

ここでは、リモートデスクトップを使用します。

  1. 作業端末からリモートデスクトップを起動し、接続先IPとユーザ名を指定し「接続」をクリックします。
  2. 「接続」をクリックします。
  3. 「パスワード」を入力し「OK」を選択します。
  4. 対象サーバーにログイン後、コマンドプロンプトを起動し「ipconfig」コマンドで確認します。
1
f:id:TechnicalAccountEngineer:20190423161817p:plain
2
f:id:TechnicalAccountEngineer:20190419160328p:plain
3
f:id:TechnicalAccountEngineer:20190423161821p:plain
4
f:id:TechnicalAccountEngineer:20190419160336p:plain

(2) Linuxサーバー

ここでは、TeraTermを使用します。

1~2. 作業端末からTeraTermを起動し、ログインに必要な項目を入力し「OK」を選択します。
3. 対象サーバーにログイン後、「ip a」コマンドで確認します。

1
f:id:TechnicalAccountEngineer:20190419160340p:plain
2
f:id:TechnicalAccountEngineer:20190419160345p:plain
3
f:id:TechnicalAccountEngineer:20190419160349p:plain

リモートアクセスVPNゲートウェイを使用し、サーバーにログインができました。

まとめ

本ブログでは、CA証明書の作成を「genca」で実施しました。「genca」をダウンロード後、「.exeファイル」を実行するだけなので、おすすめです。
また、作成したCA証明書のアップロードやリモートアクセスVPNゲートウェイのクライアントソフトダウンロードは、コントロールパネル上で実施できるため、わかりやすいと思います。

本機能は、クライアント端末への設定のみでVPN環境が整い、ニフクラのプライベートLANに対して、SSL-VPNによってセキュアに接続出来ます。
お客様オフィスや外出先からニフクラ内のサーバーにアクセスしたい場合等に活用してみてはいかがでしょうか。

注意事項

  • 本記事については検証結果の1つとなります。実際に検討される場合は、事前にそれぞれの要件を鑑みて実装するか確認してください。
  • 本記事ではOS上の操作についても記載していますが、ニフクラではOS以上はご利用者様の責任範囲となりますのでご留意ください。