はじめに
VPC環境におけるClient VPNとSite to Site VPNの統合ユースケースの設定について紹介します。
過去、統合ユースケース環境をIBM Cloud Classic環境のVirtual Router Appliance(VRA)等を用いて構築された事例も多々ありますが、これらVRA上で稼働しているネットワークOSの設定/ライフサイクル管理に苦労している利用者も多いと考えます。ClassicによるVPN環境をVPC環境に移行する事で、VPN機能のマネージドサービス化により、ベアメタル(物理)サーバやネットワークOSの管理から解放されます。また、VPN機能自体においてもセキュリティーのベスト・プラクティスを維持し、セキュリティーの脆弱性を最小限に抑える事が可能となります。
さらに、IBM Cloudの管理サービス(Log Analysys/Cloud Monitoring/Secrets Manager)との連携も容易になります。
本稿で利用する環境
- Client VPNサーバ(Client VPN for VPC):VPN端末からのOpen VPN接続を受けつけるGWサーバ
- IP Sec VPNサーバ(Site to Site VPN for VPC):拠点間をIPSecで接続するGWサーバ
- Linuxサーバ :通信確認用として利用
- VPNクライアント端末:OpenVPNクライアントソフトを利用
Site to Site VPN for VPC環境準備
IBM Cloud コンソールカタログの検索から「VPN for VPC」を入力して、表示されたタイルを選択すると以下の画面となります。
VPN type として、「Site-to-Site VPN gateway」を選択します。(Client-to-site VPN serverは、上述のClient VPN for VPC環境準備で選択します)
各種設定情報は、Qiita記事IBM Cloud(VPC) x Google Cloud IPsecVPN接続/IBMCloud VPN設定に記載されている内容を参考に設定入力を進めていきます。
設定を進めるにあたって注意が必要な部分についてご説明します。
Mode(Policy-based VPN とRoute-based VPN)の選定
今回は、シンプルにpolicy-based VPNを選定します。両方式の違いは、Qiita記事「IBM Cloud VPC: route-based VPNを利用したAZまたぎのActive/Active構成」を参照ください。
IP Sec VPN間のConnection/ルーティング設定
IP Secピア宛先毎のコネクションを作成します。以下は、VPC:vpn-cloud-vpc側のIP Sec VPNサーバ:cloud-vpngwの設定状態です。VPN Connection:ipsec-to-clientというコネクションを作成し宛先ピアアドレスとして、VPC:vpn-client-vpcのIP Sec VPNサーバ:client-vpngwのグローバルIPアドレスを指定しております。
VPN connection毎の設定ページでピア毎の詳細設定を実施します。対応ピアのIP Sec VPNサーバとの間で、以下の各種パラメータ設定を合わせる事が重要です。
- Preshared key
- IKE policies
- IPsec policies
- CIDRs
特に、CIDRsに関しては、双方で通信を行うCIDRsの情報が、Local IBM CIDRsと対抗側のPeer CIDRsで双方に同じ情報が設定されていないとIP Secのセッション確立が行われません。
今回、Client VPN及びSite to Site VPNの統合ユースケースという事でClient VPNサーバ側の設定内容に準じて必要により、Local IBMCIDRs側のクライアントIPネットワークアドレスプールの情報追加が必要な場合があります。
Client VPN for VPC環境準備
こちらの記事を参考にClient VPN for VPC環境を構築し、お手元の端末にインストールしたOpenVPNクライアントソフトからVPN接続を実施します。
サーバ証明書や鍵ファイルは、Secrets Managerにて登録管理し、VPN Serverと連携します。詳細はこちらの記事「IBM Cloud: Client VPN for VPCにおけるAPI証明書管理 (Secrets Manager)」を参照ください。
その他、今回、Client VPN及びSite to Site VPNの統合ユースケースにおいて、注意が必要な事項について説明します。
Client VPNのルート設定
Open VPNで接続するクライアントにスプリットトンネルを利用しない場合、クライアントは全ての通信をClient VPN サーバ経由で通信しようとします。逆に、スプリットトンネリングの設定を実施するとClient VPNサーバのVPNサーバが有している全てのルーティングテーブル情報をクライアント端末のルーティングテーブルに追加します。クライアント端末はこの追加されたルーティング設定に基づき、通信を行います。
Client VPNサーバのルーティング設定は、VPN Server内の「VPN server routes」にて実施します。
ルーティングテーブルは、経路毎に許可設定が必要となりますので、クライアント端末からの通信先を全てルート上に反映が必要です。以下の例では、2つのVPC(vpn-cloud-vpc/vpn-client-vpc)の宛先を記載しております。
クライアント端末接続後のアドレス変換設定
上述のClient VPNサーバのルーティング設定では、宛先毎のアクションとして、クライアント端末が接続された後にアドレスを変換を実施するか方式を決定する必要があります。詳細は、こちら記事「deliver Route アクションを使用した VPN トラフィックのルール」を参照ください。
- アクションが
deliver
の場合は、パケットがトンネルから復号された後に直接転送されるので、パケットの送信元 IP が VPN クライアントの IP (つまり、クライアント IP プールからの IP) になります。 - アクションが
translate
の場合は、パケットがトンネルから復号された後に、パケットの送信元 IP が VPN サーバーのプライベート IP に変換されてからパケットが送信されます。
この変換実施の可否は、今回の統合ユースケースにおいて、全体のルーティング設計として整合を考慮する必要がありますので、十分ご注意ください。
今回の場合、クライアント端末からIPSec VPN経由で接続するVPC(vpn-client-vpc 10.230.128.0/20)に対しては、Client VPNサーバが収容されているVPC(vpn-cloud-vpc 10.212.48.0/26)のIPアドレスがソースIPアドレスとなる為、上述したIP Sec VPNのルーティング設定でVPN Client のプールのネットワークアドレスがルーティング情報上に設定されていなくても通信する事が可能となります。
なお、VPC(vpn-cloud-vpc 10.212.48.0/26)に対しては、クライアントIPアドレスプールのアドレスでそのまま通信しますが、IP Sec間の通信を通りませんので、IP Secのルーティング設定の影響を受けません。
VPN サーバーの経路伝搬の構成
上述した「クライアント端末接続後のアドレス変換設定」で、deliver モードでクライアントIPプールのアドレスを利用して通信を行う場合、このネットワークアドレス情報をVPCのルーティングテーブルに注入する為、VPNサーバの経路伝搬の構成の考慮が必要となります。
まとめ
VPC環境におけるClient VPN及びSite to Site VPNの統合ユースケースの設定方法をご紹介しました。統合ユースケースでは、エンドツーエンド通信におけるルーティング設定とアドレス変換について配慮が必要です。
以下に記載するポイント欄において全体的に整合が取れるような設定が必要となります。