こんにちは、ニフクラテクニカルアカウントチームです。
2019年04月10日にクライアント環境からニフクラにVPN接続できる新機能リモートアクセスVPNゲートウェイがリリースされました。
この機能では、クライアント端末への設定のみで手軽にVPN接続環境が整うため、ニフクラへのセキュアな接続を比較的簡単に実現できます。拠点側へのVPN機器の設置は不要です。
早速この機能を使用し、異なるネットワークからニフクラに作成してあるサーバー(Windows、Linux)にアクセスしてみました。
以降、リモートアクセスVPNゲートウェイの仕様や作成方法、実際に使用した結果についてご紹介します。
前提条件
本ブログは、以下の前提知識がある方を想定しています。
- ニフクラの基本的なコントロールパネルの操作、サービスを利用する知識
(サーバー作成、ネットワーク構築など)
検証概要
以下の流れでVPN接続環境をセットアップします。
(1)作業端末にCA証明書をインポート
(2)CA証明書をアップロード
(3)リモートアクセスVPNゲートウェイを作成
(4)作業端末にリモートアクセスVPNゲートウェイクライアントソフトをインストール
(5)リモートアクセスVPNゲートウェイ経由(パスワード認証 + クライアント証明書認証)で、Windowsサーバー、Linuxサーバーへログインする。
利用リソース
本検証を実施するにあたり、利用したニフクラのリソース情報に関して以下に記載します。
※各リソースのアクセス制限に関しては、ニフクラのファイアウォール等を用いて適切に設定の上実施しています。
リソース | 数量 |
---|---|
サーバー (サーバーOS:Windows Server 2016、CentOS 7.6) |
2 |
プライベートLAN | 1 |
リモートアクセスVPNゲートウェイ | 1 |
検証内容
準備したリソースを使用し、リモートアクセスVPNゲートウェイ経由で、サーバー(Windows、Linux)に、ログインするまでの内容を記載します。
リソース準備(作業端末)
(1) CA証明書の作成
ここでは、下記ブログを参考にCA証明書を作成します。
ニフクラブログ
(プライベートCAを1clickで作成出来るツール genca を公開しました!)
- クライアント環境に応じた実行ファイルをダウンロードします。
- ダウンロードした「genca_windows_amd64.exe」を実行します。
- 「nifcloud.local.CAcert.pem」が作成されます。
1 2 3
(2) CA証明書のインポート
「genca」で作成したファイルの一つを使用し、CA証明書をインポートします。
1.「client.nifcloud.local.pfx」を実行します。
2~5.「次へ」をクリックします。
6.「完了」をクリックします。
1 2 3 4 5 6
リソース準備(ニフクラ)
(1) SSHキーの作成
ここでは、設定項目や設定値は省略させて頂きます。
※作成方法は、以下を参照してください。
クラウドヘルプ(SSHキー)
(2) プライベートLANの作成
ここでは、設定項目や設定値は省略させて頂きます。
※作成方法は、以下を参照してください。
クラウドヘルプ(プライベートLAN:作成)
(3) CA証明書のアップロード
ここでは、ニフクラのコントロールパネルから「① CA証明書の作成」で作成したCA証明書をアップロードします。
- コントロールパネルの左上のメニューから「すべてのサービス」-「SSL証明書」をクリックします。
- 「CA証明書」-「CA証明書アップロード」をクリックします。
- 「ファイルを選択」をクリックし、作成した「nifcloud.local.CAcert.pem」を選択し「確認へ」をクリックします。
- 「アップロード」をクリックします。
- 「CA証明書」がアップロードされたことを確認します。
1 2 3 4 5
(4) リモートアクセスVPNゲートウェイの作成
本検証では、以下の設定とします。
※本検証ではサーバー証明書を使用していないですが、実際に使用する場合は適切に設定の上実施して下さい。
項目 | 設定値 |
---|---|
リモートアクセスVPNGW名 | RAVPNGW01 |
ゾーン | east-11 |
料金プラン | 従量 |
プライベート側ネットワーク | RAVPNPVLAN01 |
IPアドレス | 192.168.2.254 |
ネットワークプールのCIDR | 192.168.3.0/24 |
サーバー証明書 | 指定しない |
CA証明書 | 「(3) CA証明書のアップロード」で登録したもの |
メモ | - |
暗号スイート | AES256-SHA |
■リモートアクセスVPNゲートウェイ作成
- コントロールパネルの左上のメニューから「すべてのサービス」-「ネットワーク」をクリックします。
- 「ネットワーク上での操作」-「リモートアクセスVPNGW作成」を選択します。
- 必要項目を入力し「暗号スイート選択へ」をクリックします。
- 「AES256-SHA」を選択し「確認へ」をクリックします。
- 「作成する」をクリックします。
- 「リモートアクセスVPNGW」が作成されたことを確認します。
1 2 3 4 5 6
■ユーザー作成(VPN接続用)
- 作成した「リモートアクセスVPNGW」を選択します。
- 「リモートアクセスVPNGWの操作」-「ユーザー作成」を選択します。
- 必要項目を入力し「作成する」をクリックします。
1 2 3
※作成方法は、以下を参照してください。
クラウドヘルプ(リモートアクセスVPNゲートウェイ: 作成)
(5) ファイアウォールグループの作成
■ファイアウォールグループ
ここでは、設定項目や設定値は省略させて頂きます。
※作成方法は、以下を参照してください。
クラウドヘルプ(ファイアウォールグループの新規作成)
■ INルール設定
本検証では、以下の設定とします。
ファイアウォールグループ名 | プロトコル | ポート | 接続元種別 (IPアドレス) |
備考 |
---|---|---|---|---|
RAVPNFW01 | TCP | 3389 | 192.168.2.254 (リモートアクセスVPNゲートウェイのIP) |
windows 用 |
RAVPNFW02 | TCP | 22 | 192.168.2.254 (リモートアクセスVPNゲートウェイのIP) |
Linux用 |
※作成方法は、以下を参照してください。
クラウドヘルプ(ファイアウォール:ルールの追加)
(6) サーバーの作成
ここでは、ニフクラのコントロールパネルから、コンソール経由でサーバーにログインし、プライベートIPアドレスを手動設定します。
※Linuxサーバーは、起動時スクリプトを使用しrootパスワードを設定します。
以下の項目以外は省略させて頂きます。
サーバー名 | OS | プライベートIPアドレス |
---|---|---|
RAVPNSV01 | Windows Server 2016 | 192.168.2.10 |
RAVPNSV02 | CentOS7.6 | 192.168.2.20 |
※作成方法は、以下を参照してください。
クラウドヘルプ(サーバーの作成)
(7) リモートアクセスVPNゲートウェイのクライアントソフトダウンロード
コントロールパネルから、リモートアクセスVPNゲートウェイのクライアントソフトをダウンロードします。
- 作成した「リモートアクセスVPNGW」を選択します。
- 「クライアントダウンロードURL」をクリックします。
- 「OK」を選択します。
- ユーザー作成(VPN接続用)で設定した「ユーザー名」と「パスワード」を入力し、「ログイン」をクリックします。
- 「プロファイル名」をクリックします。
- 「ここをクリックして」をクリックします。
- 「VMware_VPN_Client-Setup.zip」がダウンロードできたことを確認します。
1 2 3 4 5 6 7
(8) リモートアクセスVPNゲートウェイのクライアントソフトインストール
作業端末に、リモートアクセスVPNゲートウェイにアクセスするためのクライアントソフトをインストールします。
■インストーラー起動
- 「VMware_VPN_Client-Setup.zip」を解凍し「Installer.exe」を実行します。
- 「はい」を選択します。
1 2
■ログイン
作業端末からリモートアクセスVPNゲートウェイに接続します。
- 作業端末のタスクトレイから「SSL VPN-Plus Client」 -「右クリック」-「ログイン」を選択します。
- 「ログイン」を選択します。
- 「client.nifcloud.local.pfx」で作成したCA証明書を選択し「OK」をクリックします。
- ユーザー作成(VPN接続用)で設定した「ユーザー名」と「パスワード」を入力し、「OK」をクリックします。
- 「OK」をクリックします。
1 2 3 4 5
接続確認
作業端末から対象のサーバーにログインします。
(1) Windowsサーバー
ここでは、リモートデスクトップを使用します。
- 作業端末からリモートデスクトップを起動し、接続先IPとユーザ名を指定し「接続」をクリックします。
- 「接続」をクリックします。
- 「パスワード」を入力し「OK」を選択します。
- 対象サーバーにログイン後、コマンドプロンプトを起動し「ipconfig」コマンドで確認します。
1 2 3 4
(2) Linuxサーバー
ここでは、TeraTermを使用します。
1~2. 作業端末からTeraTermを起動し、ログインに必要な項目を入力し「OK」を選択します。
3. 対象サーバーにログイン後、「ip a」コマンドで確認します。
1 2 3
リモートアクセスVPNゲートウェイを使用し、サーバーにログインができました。
まとめ
本ブログでは、CA証明書の作成を「genca」で実施しました。「genca」をダウンロード後、「.exeファイル」を実行するだけなので、おすすめです。
また、作成したCA証明書のアップロードやリモートアクセスVPNゲートウェイのクライアントソフトダウンロードは、コントロールパネル上で実施できるため、わかりやすいと思います。
本機能は、クライアント端末への設定のみでVPN環境が整い、ニフクラのプライベートLANに対して、SSL-VPNによってセキュアに接続出来ます。
お客様オフィスや外出先からニフクラ内のサーバーにアクセスしたい場合等に活用してみてはいかがでしょうか。
注意事項
- 本記事については検証結果の1つとなります。実際に検討される場合は、事前にそれぞれの要件を鑑みて実装するか確認してください。
- 本記事ではOS上の操作についても記載していますが、ニフクラではOS以上はご利用者様の責任範囲となりますのでご留意ください。