おはようございます!マネジメントオフィスいまむらの今村敦剛です。
この度、IDCフロンティアのIaaS型パブリッククラウドサービスを使い、OpenVPNサーバを構築しました。自宅(外出先)から事務所のPCをリモートで操作するためですが、構築方法を記録しておきます。今回は全体的な構想を解説します。
スポンサーリンク
この連載の全体的な構成
この連載は、全11回を予定しています。全体的な構成は下記の通りです。(それぞれの項目ごとに1回の記事を書く予定です)
連載記事一覧
- 全体構想
- IaaS設定 - 仮想マシン作成
- IaaS設定 - IaaSネットワーク設定
- IaaS設定 - 操作環境整備
- IaaS設定 - DDNS設定
- VPNサーバ設定 - インストール
- VPNサーバ設定 - 鍵・証明書作成
- VPNサーバ設定 - server.conf作成
- VPNクライアント設定 - 鍵・証明書作成
- VPNクライアント設定 - client.ovpn作成
- VPNクライアント設定 - windows自動起動設定
OpenVPNで何がやりたいのか・なぜOpenVPNなのか
VPN構築の目的は、事務所にあるメインPCにリモートデスクトップで外部からアクセスすることです。こうすれば、外出先に持ち出すノートPCには重要な情報をローカルに保存せずに済みます。紛失や盗難時といったリスクに対するセキュリティレベルが向上するというわけですね。また、事務所のネットワークにNASがあり、そこに重要度の高い情報を保存しています。その情報にアクセスするためにも、VPNが必要というわけです。
これまではSoftetherとVPN Azureを使って、VPNを構築していました。これはこれでお手軽でよかったのですが、接続が不安定で、外出先でもたつくことがたびたびありました。さらにはSoftether VPNは、IPv6とIPoE環境での利用にいろいろと制約があるという情報を見つけたので、OpenVPNに変更しようと思った次第ですね。
事務所のネットワークでDMZを設定し、DMZに置いたルータをVPNサーバにしてアクセスするという手もあるのですが、機器を増やすのが面倒くさいのと、ネットワーク環境を変えた時に(例えばプロバイダや回線を変更した時に)、いろいろと面倒くさそうだということで、IaaSにOpenVPNサーバを立てて自宅と事務所でリモートデスクトップすることに決めました。ところで、SoftEtherのほうは、OpenVPNがうまく動かなかったときのためのバックアップとして残しておく予定です。
最終的なネットワーク構成はどうなったか
今回の取り組み(IaaSでOpenVPNサーバ構築)で、最終的にどういうネットワーク構成になったのでしょうか。結論は下記のとおりです。
VPNサーバはIaaS(今回のケースではIDCフロンティアを利用)の仮想マシンにインストールをしました。そして、自宅PCと事務所PCをそれぞれVPNクライアントとして設定。それぞれがVPNサーバとVPNを貼ります。そのトンネルを経由して、事務所側のPCへリモートデスクトップする、というものです。自宅LANから、事務所LANの各端末(例えばNASなど)にアクセスすることも、OpenVPNの機能としては可能ですが、この構成だと無理がある上、そもそも自分としての需要がないので、今回は事務所LANのwindows機止まりのVPNとします。
IaaSはawsにしようかどうか迷いましたが、IDCフロンティアのクラウドサービスはワンコイン(500円+税)で利用が可能でしたので、価格重視でIDCフロンティアを利用しています。(awsの無料利用枠を使って、できるかどうをまずは検証するという方法もあるとは思います)
IDCFフロンティアのクラウドサービスでは、仮想マシンをインターネットに接続する際に必要なパブリックIPアドレス(=グローバルIPアドレス)が1つ無料で使えます。Webを読む限り、たぶん固定IPなんだろうと思うのですが、「仮想ルーターを停止している場合、ソースIPアドレスが変更になる場合があります。」という記述があるので、念のためにダイナミックDNSを利用しています。ダイナミックDNSとは、グローバルIPアドレスが変わっても、つないでくれるサービスです(IPアドレスの変更しても、DNSがその変更後の情報を自動で更新してくれます)
この他、スマートフォン(iPhone)で事務所PCにVPN接続もしますが、今回の記事ではその方法の解説は割愛します。気が向いたら記事にするかもしれません😊
今回のネットワーク構成の諸環境まとめ
IaaS(IDCフロンティア)
- マシンタイプ light.s1
- 仮想マシン台数 1台
VPNサーバ
- CentOS 7.9 64-bit ※CentOSは2024年6月30日にサポート終了予定です。それまでにRocky Linuxあたりへ移行します
- OpenVPN 2.4.12
- Easy-rsa 3.0.8
VPNクライアント
- Windows10 (事務所PC)
- Windows11 (自宅PC)
- OpenVPN GUI 11.43.0.0
では、次回に続きます!