VPNソフトウェアOpenswanをご紹介!

こんにちは。SB Cloud ソリューションアーキテクトのMIです。

最近VPN通信を利用した環境を低コストで簡単に導入したいとのご要望を受けることが多くなってきましたので、オープンソース・ソフトウェアを利用した環境設定についてご紹介します。

オープンソース・ソフトウェアとしてメジャーなSoftEtherもありますが、今回はお客様先のJuniperルータがSoftEtherのプロトコルに適用していない環境であった事もあり、Openswanを利用した環境についてご説明していきます。

OpenswanはLinux向けに開発されたIPsec機能を実装するオープンソース・ソフトウェアです。Openswanでインターネットを経由し、異なるネットワーク間をIPSecで接続する環境を構築できます。

おさらい、なぜVPNが必要なの?

複数のリージョンを渡るサービスを運用すると、リージョン間でデータやAPI呼び出しが発生してきます。公共のインターネットで安全にデータ等のやり取りするためには、通信を暗号化したVPN接続が有効です。

Openswan構成

今回、構築したOpenswanの環境は次の通りです。東京リージョンと北京リージョンにOpenswanのVPNサーバーと疎通確認用マシンを配置し、各リージョンの疎通確認用マシン間で通信が出来ることを確認しました。

構築のポイント

・Openswanでは自局のことを左側(Left)、相手局のことを右側(right)という用語を使用します。どちらの局を設定しているのかを意識しながら設定を行うと分かり易いです。

・アルゴリズムのパラメータとikeバージョンを双方合わせます。※今回はAlibabaCloud内の通信要件で構築している為、デフォルト設定で意識する必要はありませんが、オンプレミス環境との接続時にはipsec.conf設定で注意が必要です。

環境の構築

手順のアウトラインは以下をご参照ください。

(1)VPCの準備
東京リージョンと北京リージョンにVPCを作成します。

・東京リージョン・北京リージョン(2)ECSインスタンス作成
VPNサーバ2台、疎通確認用マシン2台を準備します。

・東京リージョン・北京リージョン(3)セキュリティーグループ設定

VPN通信に必要なポートを許可します。

・東京リージョン(イントラネット入力)

・北京リージョン(イントラネット入力)

(4)VRouter設定
VPC内のECSインスタンスから相手側のVPCにネットワーク通信させるために、VRouterへルーティングを追加します。

・東京リージョン

・北京リージョン

(5)IP転送設定
VPNサーバがIP転送できるように設定します。

(6)リダイレクト無効化
VPNサーバのOpenswanのVPN通信のためICMPリダイレクトを無効にします。

(7)Openswanのインストール
vpn_tokyo、vpn_beijing にOpenswanをインストールします。

(8)ipsec.conf設定
VPNサーバの接続パラメータを設定します。

(9)ipsec.secrets設定
VPNサーバの接続パラメータを設定します。

(10)Openswan起動

vpn_tokyo、vpn_beijingのOpenswanを起動します。

以上で設定完了です。

動作確認

問題なく動作するか下記内容で確認しました。

(1)Openswan起動
vpn_tokyo、vpn_beijingで以下のコマンドを実行し、構成ファイルの正常性を確認します。vpn_tokyo、vpn_beijingで以下のコマンドを実行し、Openswanの状態が「active (running)」になっており、エラーが記録されていないことを確認します。東京リージョンのVPNサーバ(vpn_tokyo)から北京リージョンのVPNサーバ(vpn_beijing)へ、pingコマンドでプライベートIPを指定して、疎通を確認します。北京リージョンのVPNサーバ(vpn_beijing)から東京リージョンのVPNサーバ(vpn_tokyo)へpingコマンドでプライベートIPを指定して、疎通を確認します。

東京リージョンの接続確認用マシン(ping_tokyo)から北京リージョンの接続確認用マシン(ping_beijing)へpingコマンドでプライベートIPを指定して、疎通を確認します。北京リージョンの接続確認用マシン(ping_beijing)から東京リージョンの接続確認用マシン(ping_tokyo)へpingコマンドでプライベートIPを指定して、疎通を確認します。動作確認の結果双方に構築したサーバ間の接続が問題ないことがお分かり頂けるかと思います。これでipsecを利用した環境を簡単に構築することが出来ました。

最後に

今回はOpenswanにより東京・北京リージョン間のVPN通信を実現する方法について書きました。VPN接続によって異なるリージョン間を公共インターネット上でつなぎ、安全に通信が行うことができます。実は最近AlibabaCloudのVPN接続サービス(VPNGateway)も日本でリリースされましたのでより高可用性でセキュリティレベルの高い環境をお求めの方は是非ご利用頂ければと思います。VPNGatewayについてもご紹介していますのでご参照下さい。

この記事をシェアする