フォーム読み込み中
Alibaba Cloudを使ったリモートアクセスVPNの構築
ソリューションアーキテクト
赤羽 啓
通信キャリアの伝送路からエンタープライズのLANまで、ネットワークを中心としたインフラ設計・構築経験を経て、現在はクラウドのソリューションアーキテクトとして活動しています。
2022年9月9日掲載
ソリューションアーキテクトの赤羽です。今回はAlibaba Cloudを使ったリモートアクセスVPNの構成例と構築手順についてお話しします。オンプレ環境にSSL-VPN装置が無い場合でもリモートアクセスができるようになります。
2022年、新型コロナウイルスの影響で中国各地でロックダウン発令がありました。小規模な事業所ではリモートアクセス環境が無い事が多く、社員が出社できなくなれば業務継続が難しくなります。急いでリモートアクセス用のSSL-VPN装置やUTMを用意するにしても、半導体不足の影響もあり納期が数ヵ月後だったり、ロックダウン発令中であれば現地に立ち入ることができないため、物理機器を設置できません。
そのような緊急時の対処として、Alibaba Cloudを中継させるような形でリモートアクセス環境を構築することができます。この方法であれば中国の現地拠点にSSL-VPN専用機を置く必要も無いですし、ロックダウンが明けてリモート環境が不要となった場合も、クラウドインスタンスを削除するだけでいつでもシステム廃止ができます。
次のセクションで構成イメージ・構築手順をご紹介いたします。
- AlibabaCloud に関する記事です
- 小規模拠点のリモートアクセスVPN環境にお困りの方
- クラウドを使ったリモートアクセスVPN構築手順を掲載しています
構成イメージ/必要リソース
【構成イメージ】
一般的なリモートアクセスでは、SSL-VPN機器を事業所に設置し、専用のクライアントソフトを使って接続をします。今回の例ではSSL-VPN機能をクラウド上で実行させます。接続元PCと接続先の事業所の間をVPN Gatewayで中継させる形でリモートアクセス環境を構築します。
【必要リソース】
■Alibaba Cloud
- VPC
- VPN Gateway(IPsec-VPN/SSL-VPN 共に enable)
■事務所
- IPsec-VPN対応のルータ
- インターネット回線
- 固定グローバルIPアドレス
■アクセス元PC
- OpenVPN(SSL-VPNクライアントソフト)
- SSL-VPN証明書(Alibaba Cloudで生成・ダウンロードします)
構築手順1-VPC作成
1-1.Alibaba Cloudのコンソールのプロダクト一覧より、Virtual Private Cloudを選択
※Webコンソール画面は2022年9月時点のものです
1-2 VPCs > 上部リージョンを選択 > Create VPCのボタンをクリック
1-3.設定画面にて以下入力しOKをクリック
VPC
Name:任意のものを入力
IPv4 CIDR Block :任意のアドレス帯を入力
vSwitch
Name:任意のものを入力
Zone:任意のものを選択
IPv4 CIDR Block :VPC範囲内のアドレス帯を入力
構築手順2-IPsec-VPN 設定
2-1. コンソールの左メニューよりVPNGatewaysを選択 > リージョンを選択 > Create VPN Gatawayをクリック
2-2. 下記選択し、VPN Gatewayをデプロイ※課金発生します
Name : 任意のもの
リージョンを選択 : 今回は上海を選択
VPCを選択 : 手順1で作成したVPCを選択
帯域を選択 : 必要な帯域を選択
IPsecVPN・SSLVPN : ともにEnable
SSLConnection : 必要な数量を選択(SSL-VPNの最大同時接続数)
BuyNowをクリック
→確認画面で内容を確認し購入
VPN Gateways画面に追加されたことを確認
VPN Gatewayのグローバル IP Addressはここで確認できます。
2-3. VPNメニュー > Customer Gateways > Create Customer Gatawayを選択
画面右側に入力画面が表示されるので以下入力する
Name:任意のもの
IP Address:事務所ルータの固定グローバルIPアドレスを入力
Costomer Gateways画面に追加されたことを確認
2-4. VPN メニュー> IPsec Connections > リージョンを選択 > Create IPsec Connection をクリック
2-5. Create IPsec Connection画面で以下入力
Name:任意のもの
VPN Gateway:手順2-2で作成したVPN Gatewayを選択
Customer Gateway:手順2-3で作成したCustomer Gatewayを選択
Routing Mode:Destination Routing Modeを選択
Pre-Shared Key:任意のもの(CPE側にも同じものを設定します)
2-6. Addvanced Configurationの設定メニューを開く
下記例はデフォルト値です。CPE設定とあわせてください。
Local ID,Remote ID は自動設定されますので空欄でOKです。
2-7. 事務所VPNルータのIPSEC接続設定(※本例では省略します)
下記にて接続設定例をご紹介しております。ご利用の機器にてVPN Gatewayに設定したIPsecパラメータ、PreSharedKeyを設定してください。
IPsec Connections 一覧でStatusがPhase2完了となればVPN接続OKです。
構築手順3-ルーティング設定
3-1. VPN gateways メニュー > 対象のVPN Gatewayを選択
3-2. Destination Routingタブ > AddRouteEntryをクリック
※事務所のローカルセグメント向けのルーティングを設定します。
Destination CIDR Block : 事務所LANのローカルIPアドレス帯
Next Hop Type : IPsec Connection
Next Hop : 手順2で作成したIPsecConnectionを選択
Publish to VPC : yes
※Publish to VPCをyesにすることで、AlibabaCloudのVPC内部ルーティングにも自動で反映され、IPsecで接続した事務所とSSL-VPNクライアント間で通信可能になります。
構築手順4-SSL Server設定
4-1. VPNメニュー > SSL Servers > Crate SSL Server をクリック
下記入力します
Name : 任意のもの
VPN Gateway :手順2で作成したVPN Gatewayを選択
Local Network :事務所LANのローカルIPアドレス帯
Client Subnet : 自宅/外出先のPCに割り当てるローカルIPアドレス帯
構築手順5-SSL Client設定
5-1. VPNメニュー > SSL Client > Create SSL Client をクリック
下記入力します
Name : 任意のもの
SSL Server : 手順4で作成したものを選択
5-2. 作成したクライアントのActions > Downloadをクリック
SSL-VPN接続に必要なコンフィグ/クライアント証明書をダウンロードできます。
5-3. 接続元PCにOpenVPNソフトをインストール、上記ダウンロードしたコンフィグ/クライアント証明書をインポート ※詳細省略します
OpenVPNソフトでVPN接続することで、AlibabaCloudのVPN Gateway経由で事業所へのリモートアクセスが可能になります。
以上でリモートアクセス環境構築完了です。
まとめ
Alibaba Cloudを使ったリモートアクセスVPNの構成例と構築手順についてご紹介いたしました。今回は中国(上海)リージョンを使った構成でしたが、日本リージョンでも同様に構築することができます。SSL-VPN機器の調達に時間がかかる場合や、現地での物理対応が難しい場合などに、一時的なリモートアクセス用としてご検討・ご活用いただければと思います。
関連サービス
Alibaba Cloud
Alibaba Cloudは中国国内でのクラウド利用はもちろん、日本-中国間のネットワークの不安定さの解消、中国サイバーセキュリティ法への対策など、中国進出に際する課題を解消できるパブリッククラウドサービスです。
\ 業務課題をデジタルで支援 /
デジタルツールの選定から導入の手引きまで、中小規模のお客さまへわかりやすくお伝えします。
メールマガジン登録(無料)
ビジネスに役立つ記事やウェビナー情報をお届けします。
おすすめの記事
条件に該当するページがございません
