ハウツーガイド：VPNネットワークをCloudSigmaインフラストラクチャに接続する

Renich2016-07-15 · 2 min read

ハウツーガイド：VPNネットワークをCloudSigmaインフラストラクチャに接続する

近年、VPNは一般的に利用されており、世の中のさまざまなセキュリティ脅威を考えれば、それは驚くべきことではありません。企業のネットワークに安全に接続したい場合もあれば、位置情報を匿名化するためにプロキシネットワーク経由で接続したい場合もあるでしょう。クラウドインフラの到来により、多くのお客様がクラウドインフラに安全に接続し、パブリックIPアドレスで公開することなく、多くのクラウドサーバーをプライベートIPのみで運用したいと考えています。

一般的に、VPNを使用したい状況は多々あります。そこで本記事では、クラウドインフラを保護するために、迅速かつ簡単にVPNを起動して実行する方法の概要を説明します。

このチュートリアルでは、 CloudSigma ネットワークを独自のVPNネットワークに接続する方法を学びます。これにより、アクセス元のホームネットワークの一部であるかのように、サーバーを利用できるようになります。

前提条件は以下の通りです：

CentOS 7。
CloudSigmaの内部ネットワーク（LAN）。他のサーバーが接続されているもの。
独自のLAN。

ネットワーク：

リモートプライベートLAN: 192.168.0.0/24
リモートVPNサーバー: 192.168.0.20
独自のLAN: 192.168.1.0/24
ローカルVPNサーバー: 192.168.1.10

それでは、始めましょう：

# libreswanのセットアップ
## インストール
yum -y install libreswan

## 初期化
ipsec initnss

## 起動と有効化
systemctl enable ipsec
systemctl start ipsec

## ファイアウォール
firewall-cmd --permanent --add-port=500/udp --add-port=4500/udp
firewall-cmd --permanent --add-rich-rule='rule protocol value=esp accept'
firewall-cmd --permanent --add-rich-rule='rule protocol value=ah accept'
firewall-cmd --reload


# サイト間（両方のサーバーで実行）
## キー
ipsec newhostkey --configdir /etc/ipsec.d --output /etc/ipsec.d/www.example.com.secrets
ipsec showhostkey --left # ローカル側
ipsec showhostkey --right # リモート側

## /etc/ipsec.d/mysite.conf の作成
## leftrsasigkey と rightrsasigkey を適宜置き換えてください
cat << 'EOF' > /etc/ipsec.d/mysite.conf
conn mysite
    leftid=@centos-docker-libreswan1.tbc.cloudsigma.com
    leftrsasigkey=your-left-key
    left=192.168.0.20
    leftsourceip=192.168.0.20
    leftsubnet=192.168.0.0/24
    rightid=@centos-docker-libreswan2.tbc.cloudsigma.com
    rightrsasigkey=your-right-key
    right=192.168.1.10
    rightsourceip=192.168.1.10
    rightsubnet=192.168.1.0/24
    authby=rsasig
    auto=start

EOF

## 再起動
systemctl restart ipsec

## 追加
ipsec auto --add mysite
ipsec auto --up mysite

# 確認
ping -c 3 192.168.0.20
ping -c 3 192.168.1.10

# libreswanのセットアップ

## インストール

yum -y install libreswan

## 初期化

ipsec initnss

## 起動と有効化

systemctl enable ipsec

systemctl start ipsec

## ファイアウォール

firewall-cmd --permanent --add-port=500/udp --add-port=4500/udp

firewall-cmd --permanent --add-rich-rule='rule protocol value=esp accept'

firewall-cmd --permanent --add-rich-rule='rule protocol value=ah accept'

firewall-cmd --reload

# サイト間（両方のサーバーで実行）

## キー

ipsec newhostkey --configdir /etc/ipsec.d --output /etc/ipsec.d/www.example.com.secrets

ipsec showhostkey --left # ローカル側

ipsec showhostkey --right # リモート側

## /etc/ipsec.d/mysite.conf の作成

## leftrsasigkey と rightrsasigkey を適宜置き換えてください

cat << 'EOF' > /etc/ipsec.d/mysite.conf

conn mysite

leftid=@centos-docker-libreswan1.tbc.cloudsigma.com

leftrsasigkey=your-left-key

left=192.168.0.20

leftsourceip=192.168.0.20

leftsubnet=192.168.0.0/24

rightid=@centos-docker-libreswan2.tbc.cloudsigma.com

rightrsasigkey=your-right-key

right=192.168.1.10

rightsourceip=192.168.1.10

rightsubnet=192.168.1.0/24

authby=rsasig

auto=start

EOF

## 再起動

systemctl restart ipsec

## 追加

ipsec auto --add mysite

ipsec auto --up mysite

# 確認

ping -c 3 192.168.0.20

ping -c 3 192.168.1.10

ipsec/libreswanの基本

ipsec/libreswanの概念に詳しくない方のために、以下に基本を説明します：

「left（左）」と「right（右）」のサーバーは、互いに接続するサーバーを指すための単なる参照名に過ぎません。これらの用語は任意に割り当てることができます。ただし、慣例があります。通常、ローカルサーバーを“left”と呼び、rightは言うまでもなくリモートサーバーを指します。

すべてのルーティングはipsecによって処理されるため、心配する必要はありません。pingが通らない場合は、設定に問題があります。お気軽に以下をご利用ください：

ipsec status

1	ipsec status

このような問題が発生したときに、いくつかの難解な出力を読み解くことができるようになります。根気強く読み、注意を払い続けてください。最終的には、その一部を理解できるようになるでしょう。😉

さて、決定的なリファレンスを以下に示します。読み進めてください。VPNネットワークや関連する事柄について、多くの興味深いことを学ぶことができます。例えば、LibreSwanのwikiには、Cisco固有の設定、“road warrior”設定（米国のNetflix番組を視聴するため）、ホスト間設定など、非常に多くのセットアップ例が掲載されています。

私のお気に入りの情報源の1つであるRHELのマニュアルでは、最初からすべてをセットアップする方法を、順を追って分かりやすく説明しています。間違いなく一読の価値があり、このHowToに代わる素晴らしい選択肢です。

リファレンス

Renich

著者 · CloudSigma

Preslav DobrevはCloudSigmaのクリエイティブデザイナーであり、従来型および革新的なマーケティングチャネルを活用した一貫性のあるビジネスアイデンティティに注力しています。彼は芸術的なビジョンと戦略的マーケティングを融合させ、インパクトのあるブランドナラティブを生み出すことに長けています。