VPNゲートウェイサーバーの構成

Question

現在、グローバルIPを持つ何台かサーバー（主にLinux系, Windows 2008 サーバーもある）があって、社外からファイルやデータのコピーやサーバー内で何らかのタスクを起動する必要があったときに、sshで繋いで作業しています。

今度、そのサーバーらを社内限定の閉じたLANに移設し、外部からはVPNサーバー経由で繋ぐ仕組みを導入しようとしています。

vpnはユーザーとしては使ったことがあります。
別の会社所属した時に、vpnのアカウント発行されて、クライアント側にC社の有料のanyconnectツールインストールして、vpn gatewayから認証受けると内部のサーバーも簡単にssh等でアクセス出来てた。

その仕組み理解せずただ使ってたこと、今後悔しています。

vpn gateway 使えば、社外のクライアント端末からリモートサーバー（社内サーバー）まで専用線なような接続できることはネットで読んで分かりましたが、vpn gatewayサーバーがどうやって内部のサーバーに「このユーザーは認証OKでつなげてあげてください」「このユーザはNG」、等を伝えるの？知りたいです。

ネットで、OpenVPNというオープンソースソフトウェアがあること分かりました。

OpenVPNで上記なようなことができるかどうか、わかってないけど、適切なサーバーハードウェアにCentOSやUbuntuの最新OS入れてgatewayサーバーは構築してみようと思います。が、ネットワーク的な必要な設定が全く見えてない。

今までの理解は以下：

1. OpenVPN入れたサーバーをグローバルIPのネットワークに置く。社外から繋ぎたい人はこのサーバーにアクセスする。
例）VPN gateway サーバーのIP：133.XXX.XXX.101

Windowsユーザー用OpenVPN Client（GUIのインターフェース）があるかどうかこれから探すことにして、linux系端末から一つのconsoleで認証操作し、そのセッションは開きぱなしにして、別のconsoleからアクセスしたいサーバーへsshで繋ぐ

2. アドレス変換用ルータ（どんなものおすすめですか、書いてくださいね！16ポートぐらいは欲しい）のWAN側はグローバルIP、LAN側は外部からアクセスしたいサーバーを接続する
例）WAN側(global) 133.XXX.XXX.102
LAN側には社内のデータを持つサーバーに接続します。
このサーバーのIPは(非global)172.16.0.5にする。

LAN側にStaticIPアドレスを設けたい場合、IP番号はどこかに登録するんですか？例えばルータに？
今はDHCP機能を持つルータもありますが、ローカルLAN内はすべてstatic IPにしたい。

3. この後、やり方わからない。
上記のように、外部からVPN gatewayサーバーで認証を受けて、今度 ssh test_user@172.16.0.5すると、社内限定LAN内なのに、繋がるようにしたい。

4. 上記２．のルータは、VPN機能付きのルータであることが必要ですか？
必要であれば、そのルータにVPN gateway サーバーからOKされているパケットなら「通してよ」のようなルールを設定するところあるのでしょうか。

箇条書きでもよいのでやるべきステップを教えてください。

よろしくお願いします。

cage64 · Accepted Answer

>「このセッションはVPNgatewayサーバーの認証ずみ」だからLAN側に通せよ」、「あのやつは認証できてないので通すのはやめてよ」
はVPNgateway でしか区別できないので、こういうことをどうしてもやりたいなら VPNgateway でやるしかないのでは？
VPNgateway では仮想的にネットワークを作り、そこにVPN接続した機器を繋げます。仮想ネットワークとはNATとして繋いでもいいし、ブリッジとして繋いでもいいのですが、DMZに繋ぐのですからNATでしょう。
そうなると、VPNgatewayのNAT内側のネットワークから172.16.0.* への指定したポートへの接続を許す、みたいなルールを書くことになるのではないでしょうか。
ルータ側では、VPNgateway から来た内部への許可されたポート宛のパケットは通す、という設定になるでしょう。

ただNAT接続なら（外からVPNgateway にはVPN用のポートしか開放しないので)、VPNserverから内部宛に来たパケットは信用できる、と考えてルータだけで制御するのではないでしょうか。
VPNgatewayがクラックされた場合だけVPNgatewayからの認証出来てないパケットが内部にいくことになるでしょうが、そんなことになったら、認証ずみでも信用できるとは思えません。どこまでリスクを想定した制御をするかはポリシーの問題であって正解はないですね。
もしVPNネットワークがブリッジ接続なら、VPNgatewayでやるしかないです。

なお、VPNとは関係ないですが、VPNgateway では静的ルーティング（172.16.0.0宛のパケットはルータへ投げろ、という指示）も必要でしょう。贅沢をいえば、内部用のDNSサーバもあってVPNgateway で引けるといいです。

lowrider_2005 · Answer

すみません、やっと最初の質問文読みました ^^;
OpenVPNサーバをDMZに置いて、「VPNクライアントはDMZのネットワークの一員になる」設計なんですね？
であればいきなり社内のプライベートIPは振られないですね。失礼しました。
アクセス制限はDMZと社内の間にある機器（ファイヤウォールとかルーターとか）でやれば良いと思います。

lowrider_2005 · Answer

＞ルール書くのはVPNサーバー内ですか。

この「ルール」というのは、

＞global IPを持っているWAN側にあるLinuxサーバー(VPN gatewayサーバー)内で、ルーターの反対側（LAN側）に接続されたサーバーへのアクセスルール

のことですかね？
VPNgatewayから外部へのアクセスルール？
もしそれを書く必要があるのであれば、VPNgatewayのiptablesでも良いし、その上にファイヤウォールがあるなら（あると思いますが）そこでやっても良いのでは？
でもVPN接続できた時点で同じネットワークにいることになりますから、ルールの書き方によってはマッチしない（効果が出ない）こともありますから注意は必要でしょう。
同じネットワークアドレスのノードと通信する場合は「外向き通信」になりません。

lowrider_2005 · Answer

ごめんなさい、面倒なのですべて読んでません。

VPNをシンプルに考えると、VPNサーバー（VPNゲートウェイ）がやる仕事は認証とアドレス発行だけです。
どの程度の規模のネットワークか存じませんが、VPN機能のついた家庭用ルーターとWindowsのPCに備わっているIPSecとかPPTPの機能だけで実現できます。
WindowsPCからルーターに接続すれば、ルーターはIDとパスワードで認証し、認証が通ればプライベートネットワークで指定した範囲からIPアドレスを割り当てます。
あとはその内部ネットワークの一員ですから、社内にいるのと同様に内部のIPアドレスを指定して接続できますし、ネットワークプリンタに印刷することもできます。
このときにWindowsOCでipconfigで確認すれば、社内ネットワークのアドレスが割り振られているのがわかるはずです。

専用の接続アプリを使うものもあるし、OSの機能で繋ぐ場合もあるし、拠点同士のルーターでトンネルを掘る場合もあるし、端末間でsshトンネルを貼る場合もあります。
どんな機材を使い、どんなネットワーク構成にして構築するかは場合によります。

VPNゲートウェイサーバーの構成

>「このセッションはVPNgatewayサーバーの認証ずみ」だからLAN側に通せよ」、「あのやつは認証できてないので通すのはやめてよ」

すみません、やっと最初の質問文読みました ^^;

＞ルール書くのはVPNサーバー内ですか。

ごめんなさい、面倒なのですべて読んでません。

似たような質問が見つかりました

関連するカテゴリからQ&Aを探す

デイリーランキングこのカテゴリの人気デイリーQ&Aランキング

マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング