SSL-VPN接続を利用した仮想サーバOSへの接続

SSL-VPN接続機能を使用して、仮想サーバへログインするためのネットワーク環境を構築する手順を説明します。

始める前に

SSL-VPN接続環境を作成するため、サーバ用・クライアント用に以下を準備します。ファイル名は作成したもので読み替えてください。

  • サーバ用

    • 認証局証明書 ca.crt
    • サーバ証明書 server.crt
    • サーバ秘密鍵 server.key
    • DH秘密鍵 dh2048.pem
  • クライアント用

    • 認証局証明書 ca.crt (上記サーバ用のca.crtと共通)
    • クライアント証明書 client_001.crt
    • クライアント秘密鍵 client_001.key
注:
  • サーバ秘密鍵は暗号化されていないものを準備してください。
  • クライアント証明書の取得方法は「FJCSポータルユーザーズガイド」の「認証用の証明書を発行する」を参照してください。

このタスクについて

以下の手順に従って、仮想サーバ上のOSへログインするためのSSL-VPN接続環境を構築します。各リソースに設定する値は、ご利用のシステムに合わせて適宜修正してください。

図: 構築するSSL-VPN環境



ヒント: 図中でカッコをつけたリソースを、以下の手順に従って作成します。

手順

  1. グローバルIPアドレスの取得

    接続先となる仮想サーバと同じアベイラビリティゾーンの外部ネットワークから、グローバルIPアドレスを取得します。

    表 1. 設定例
    設定項目 設定値
    外部ネットワークID 「inf_az1_ext-net01」のID
    アベイラビリティゾーン名 jp-west-2a
    ヒント: 指定した外部ネットワークでグローバルIPアドレスを取得できなかった場合、別の外部ネットワークを選択して再度取得します。
  2. SSL-VPN用仮想ネットワークの作成
    表 2. 設定例
    設定項目 設定値
    アベイラビリティゾーン名 jp-west-2a
    仮想ネットワーク名 SSL-VPN_Network
  3. SSL-VPN用サブネットの作成

    作成したSSL-VPN用仮想ネットワーク内に、サブネットを作成します。

    表 3. 設定例
    設定項目 設定値
    サブネット名 SSL-VPN_Subnet
    仮想ネットワークID 「SSL-VPN_Network」のID
    IPバージョン IPv4
    ネットワークアドレス範囲

    172.18.1.0/24

    注: プレフィックス長は16~29ビットの範囲としてください。
    ゲートウェイアドレス

    172.18.1.1

    注: SSL-VPN用仮想ルータのポートのIPアドレスを必ず指定してください。また、指定後は削除しないでください。
    DHCP true
    アベイラビリティゾーン名 jp-west-2a
    DNSサーバ

    133.162.145.9

    133.162.145.10

    ホストルート

    CIDR : 192.168.1.0/24

    宛先IPアドレス : 172.18.1.1

  4. SSL-VPN用仮想ルータの作成
    表 4. 設定例
    設定項目 設定値
    仮想ルータ名 SSL-VPN_Router
    アベイラビリティゾーン名 jp-west-2a
  5. SSL-VPN用仮想ルータのゲートウェイ設定

    作成したSSL-VPN用仮想ルータに対し、以下の情報変更を行ないます。

    表 5. 設定例
    設定項目 設定値
    外部ネットワークID 「inf_az1_ext-net01」のID
  6. SSL-VPN用仮想ルータをサブネットに接続

    SSL-VPN用仮想ルータの設定情報を更新して、SSL-VPN用サブネットに接続します。詳細は「APIユーザーズガイド」の「仮想ルータの情報変更(サブネットにアタッチ)」を参照してください。

    表 6. 設定例
    設定項目 設定値
    仮想ルータID 「SSL-VPN_Router」のID
    サブネットID 「SSL-VPN_Subnet」のID
  7. SSL-VPN用ファイアーウォールルールの作成

    OSへの接続に使う通信条件をもとに、通信許可ルールとそれ以外の通信を禁止するルールを作成します。

    表 7. 許可ルールの設定例
    設定項目 設定値
    ファイアーウォールルール名 SSL-VPN_FW_rule01_tcp22
    プロトコル tcp
    送信元IPアドレス 192.168.1.0/24
    送信元ポート番号 1:65535
    宛先IPアドレス 0.0.0.0/0
    宛先ポート番号

    22

    ヒント: WindowsのRDP接続をする場合は「3389」を指定
    アクション allow
    アベイラビリティゾーン名 jp-west-2a
    表 8. 禁止ルールの設定例
    設定項目 設定値
    ファイアーウォールルール名 SSL-VPN_FW_rule_all_deny
    アクション deny
    アベイラビリティゾーン名 jp-west-2a
  8. SSL-VPN用ファイアーウォールポリシーの作成

    作成したファイアーウォールルールをまとめて、ファイアーウォールポリシーを作成します。

    表 9. 設定例
    設定項目 設定値
    ファイアーウォールポリシー名 SSL-VPN_Firewall_Policy
    ファイアーウォールルールリスト

    以下の作成済みファイアーウォールルールのリストを指定

    • 「SSL-VPN_FW_rule01_tcp22」のID
    • 「SSL-VPN_FW_rule_all_deny」のID
    アベイラビリティゾーン名 jp-west-2a
  9. SSL-VPN用ファイアーウォールの作成

    作成したファイアーウォールポリシーをSSL-VPN用仮想ルータに紐付けて、ファイアーウォールを作成します。

    表 10. 設定例
    設定項目 設定値
    ファイアーウォール名 SSL-VPN_Firewall
    ファイアーウォールポリシーID 「SSL-VPN_Firewall_Policy」のID
    仮想ルータID 「SSL-VPN_Router」のID
    アベイラビリティゾーン名 jp-west-2a
  10. SSL-VPN用認証局証明書の登録

    鍵管理サービスを使用して、認証局証明書を登録します。

    表 11. 設定例
    設定項目 設定値
    鍵情報名 ca
    秘密情報(payload) -----BEGIN CERTIFICATE-----\n (ca.crtのペイロードの改行コードを「\n」に置換した文字列) \n-----END CERTIFICATE-----
    秘密情報のコンテンツタイプ text/plain
    保持期限 2025-12-31T23:59:59
  11. SSL-VPN用サーバ証明書の登録

    鍵管理サービスを使用して、サーバ証明書を登録します。

    表 12. 設定例
    設定項目 設定値
    鍵情報名 server_certificate
    秘密情報(payload) -----BEGIN CERTIFICATE-----\n (server.crtのペイロードの改行コードを「\n」に置換した文字列) \n-----END CERTIFICATE-----
    秘密情報のコンテンツタイプ text/plain
    保持期限 2025-12-31T23:59:59
  12. SSL-VPN用サーバ秘密鍵の登録

    鍵管理サービスを使用して、サーバ秘密鍵を登録します。

    表 13. 設定例
    設定項目 設定値
    鍵情報名 server_key
    秘密情報(payload) -----BEGIN PRIVATE KEY-----\n (server.keyのペイロードの改行コードを「\n」に置換した文字列) \n-----END PRIVATE KEY-----
    秘密情報のコンテンツタイプ text/plain
    保持期限 2025-12-31T23:59:59
  13. SSL-VPN用DH秘密鍵の登録

    鍵管理サービスを使用して、DH秘密鍵を登録します。

    表 14. 設定例
    設定項目 設定値
    鍵情報名 dh
    秘密情報(payload) -----BEGIN DH PARAMETERS-----\n (dh2048.pemのペイロードの改行コードを「\n」に置換した文字列) \n-----END DH PARAMETERS-----
    秘密情報のコンテンツタイプ text/plain
    保持期限 2025-12-31T23:59:59
  14. SSL-VPN用鍵情報コンテナの作成

    上記で作成した4つの証明書・秘密鍵をまとめて、鍵情報コンテナを作成します。

    表 15. 設定例
    設定項目 設定値
    鍵情報コンテナ名 SSL-VPN_VPNCredential
    鍵情報タイプ generic
    鍵情報リスト

    以下の要素をもつオブジェクトのリストとして指定

    • "name":以下のすべてを鍵情報の名前として指定

      • 認証局証明書の場合: ca
      • サーバ証明書の場合: server_certificate
      • サーバ秘密鍵の場合: server_key
      • DH秘密鍵の場合: dh
    • "secret_ref":各鍵情報を作成した際に生成された、"secret_ref"の値を指定

    鍵情報リストの設定例)

    {
      "name": "SSL-VPN_VPNCredential",
      "type": "generic",
      "secret_refs": [
        {
          "name": "ca",
          "secret_ref": "https://keymanagement.jp-west-2.cloud.global.fujitsu.com/v1/{プロジェクトID}/secrets/{認証局証明書鍵情報のID}"
        },
        {
          "name": "server_certificate",
          "secret_ref": "https://keymanagement.jp-west-2.cloud.global.fujitsu.com/v1/{プロジェクトID}/secrets/{サーバ証明書鍵情報のID}"
        },
        {
          "name": "server_key",
          "secret_ref": "https://keymanagement.jp-west-2.cloud.global.fujitsu.com/v1/{プロジェクトID}/secrets/{サーバ秘密鍵鍵情報のID}"
        },
        {
          "name": "dh",
          "secret_ref": "https://keymanagement.jp-west-2.cloud.global.fujitsu.com/v1/{プロジェクトID}/secrets/{DH秘密鍵鍵情報のID}"
        }
      ]
    }
  15. SSL-VPN用VPNサービスの作成

    SSL-VPN用仮想ルータを経由して、SSL-VPN用サブネットに接続するVPNサービスを作成します。

    表 16. 設定例
    設定項目 設定値
    VPNサービス名 SSL-VPN_Service
    サブネットID 「SSL-VPN_Subnet」のID
    仮想ルータID 「SSL-VPN_Router」のID
    admin_state_up true
    アベイラビリティゾーン名 jp-west-2a
  16. SSL-VPN接続の作成

    作成したSSL-VPN用VPNサービスに、SSL-VPN用鍵情報コンテナを紐付けてSSL-VPN接続を作成します。

    表 17. 設定例
    設定項目 設定値
    SSL-VPN接続名 SSL-VPN_Connection
    クライアントアドレスプール 192.168.1.0/24
    鍵情報コンテナID 「SSL-VPN_VPNCredential」のID
    VPNサービスID 「SSL-VPN_Service」のID
    プロトコル tcp
    グローバルIP 「グローバルIPアドレス」のID
    アベイラビリティゾーン名 jp-west-2a
    ヒント:

    クライアントアドレスプールのIPアドレスは、以下の計算式に従って消費されます。

    IPアドレス消費量=VPNクライアント数×4個+8個(VPNサーバ側で8個消費)

    サブネットのプレフィックス値は、16~29の範囲で指定してください。

    ただし、プレフィックス値が29の場合は上記計算式は適用されず、1クライアントだけ接続可能です。

  17. SSL-VPN接続用クライアント環境のセットアップ

    付録の記事を参照して、SSL-VPN接続用クライアントをセットアップします。

    クライアント環境のセットアップが完了したら、正常にSSL-VPN接続できるかどうか確認します。

  18. SSL-VPN用仮想ネットワークへ仮想サーバ接続

    SSL-VPN接続が可能となる環境が構築できたら、「SSL-VPN用仮想ネットワーク」に仮想サーバを作成または接続します。

    注: すでに作成済みの仮想サーバを「SSL-VPN用仮想ネットワーク」へ新たに接続する場合、ポートを追加して接続します。この場合、既存のネットワークから仮想サーバへログインし、追加ポートのIPアドレスに合わせて、OSのネットワークアダプタの設定変更が必要です。
  19. OSへのログイン

    SSL-VPN接続を経由し、SSHまたはリモートデスクトップを使用して、仮想サーバのOSへログインします。

    ヒント: 接続できない場合は、「SSL-VPN用ファイアーウォールルール」の設定内容を取得し、OSログイン用の通信が正しく許可されているかを確認します。