SSL-VPN接続(SSL-VPN V3 Connection)

対象リージョン:東日本第3/西日本第3

システム上に構築した仮想環境へセキュアーに接続し、仮想サーバにログインして管理操作をするために、SSL-VPN接続機能を提供します。

SSL-VPN接続環境の構築手順はSSL-VPN接続を利用した仮想サーバOSへの接続 [東日本第3/西日本第3]を参照してください。

重要:

SSL-VPNのクライアントアドレスプールには、以下のネットワークアドレスは指定しないでください。以下のネットワークアドレスを指定した場合、通信できなくなることが想定されます。

  • 使用しているネットワークアドレス
  • クライアントPCが接続しているローカルネットワークアドレス

通信ができなくなった場合は、ヘルプデスクまで連絡してください。

図: SSL-VPN接続の利用イメージ


セッション数の拡張

SSL-VPN接続のセッション数の上限を拡張できます。

flavor名 コネクション上限値 説明
small 1コネクション当たり20セッション デフォルトの上限
normal 1コネクション当たり255セッション 拡張した場合の上限
注:
  • 2024年7月現在、normalフレーバは未提供です。
  • SSL-VPNに接続する場合、プロジェクト直下とプロジェクトに所属しているグループに登録するユーザーの総数の上限は1000です。

注意事項

サブネット関連

  • 1つの仮想ルータにつき、作成できるVPNサービスは1つ(IPsec VPN、またはSSL-VPN)だけです。複数のサブネットにSSL-VPN接続をする場合は、仮想ルータ、SSL-VPN機能(VPNサービス、SSL-VPN Connection)をサブネットごとに作成してください。
  • SSL-VPNで接続するサブネットアドレスと、クライアントPCのサブネットアドレスは重複しないようにしてください。
  • SSL-VPNで接続するサブネットには、ゲートウェイアドレスを設定してください。なお、設定したゲートウェイアドレスは、SSL-VPNを使用している間は削除しないでください。

  • SSL-VPNで接続するサブネットも含め、仮想サーバに複数のサブネットを接続する場合は、仮想サーバには適切なルートを設定してください。

    • デフォルトゲートウェイの設定は、仮想サーバのOS上で、適切なサブネットのゲートウェイを設定してください。
    • SSL-VPNのクライアントアドレスプールに設定するサブネットへのルート設定は、お客様システムメンテナンス用ネットワークのサブネットに指定したゲートウェイを経由するように、サブネットのホストルートで設定してください。

  • SSL-VPN Connectionリソースを接続する仮想ルータには、以下のサブネットを接続しないでください。

    • 192.168.80.0/25
    • 192.168.90.0/25
  • SSL-VPN接続後、クライアントからSSL-VPNで接続するサブネットアドレスにだけアクセスできます。

SSL-VPNの仕様と作成関連

  • SSL-VPN Connection通過後の通信に関しては、ファイアーウォールサービスで明示的に許可する必要があります。
  • SSL-VPN機能は、HEATテンプレートなどのスタック機能の定義をサポートしません。
  • SSL-VPN接続の作成時、仮想ルータへ自動的に追加された静的ルート設定(Nexthop:192.168.80.4、Destination:クライアントアドレスプール)を削除しないでください。
  • SSL-VPN V2 Connectionと SSL-VPN V3 Connectionを同時に同じ仮想ルータ/VPNサービスには設定できません。SSL-VPN V2 ConnectionとSSL-VPN V3 Connectionを同時に利用する場合は、それぞれ異なる仮想ルータ/VPNサービスを作成し、設定してください。

SSL-VPNの接続と運用関連

  • SSL-VPNで接続するには、お客様システムメンテナンス用ネットワークに、SSL-VPN Connectionリソースを追加設定します。

  • SSL-VPN Connectionリソースに接続するには、クライアントPCにSSL-VPN用のクライアントソフトをインストールし、SSL-VPN接続のための設定をする必要があります。

  • SSL-VPN接続には、プロジェクト直下とプロジェクトに所属しているグループのユーザーの証明書を使用してください。
  • SSL-VPN接続中は、すべての通信がSSL-VPN経由になりますが、クライアント端末の設定状態によっては、DNS通信がSSL-VPNを経由しない場合があります。

    その場合は、クライアント端末で物理インターフェースに設定しているDNS設定を削除してください。

  • 1つの仮想ルータにおける同時に利用できないネットワークサービスについては、同時に利用できないネットワークサービスを参照してください。
  • プロジェクト直下とプロジェクトに所属しているグループへのユーザーの追加、またはプロジェクト直下とプロジェクトに所属しているグループからのユーザーの削除を実施する場合、情報が反映されるまでに最大1時間程度かかります。

多要素認証(MFA)

  • 時間ベースのワンタイムパスワード(TOTP:Timebase-One-TimePassword)を使用した多要素認証をサポートしています。
    • 時間情報をもとにワンタイムパスワードが発行されるため、事前にワンタイムパスワードを発行する端末の時刻設定が正しいことを確認してください。
    • 多要素認証はSSL-VPN Connection単位で設定されます。 ユーザーごとに多要素認証の有効・無効を設定することはできません。

  • ワンタイムパスワードを発行するために、ユーザごとにシークレットシードを生成してください。

    • シークレットシードは生成後、APIなどを用いて参照することはできません。そのためシークレットシードは紛失・漏洩しないよう注意してください。
    • シークレットシードを忘れた場合は APIを用いてシークレットシードを削除し、再度シークレットシードを生成してください。
    • ユーザーをプロジェクトから除外した場合、該当ユーザーのシークレットシードは無効化される場合があります。再度ユーザーをプロジェクトに所属させた場合は、シークレットシードを再生成してください。
サーバ証明関連
  • 公開キー:鍵長2048ビットのRSA
  • 署名アルゴリズム:RSA付きSHA256
  • ハッシュ関数:SHA256
ヒント: 暗号化スイートについては「SSL-VPN接続がサポートする暗号スイート一覧」を参照してください。