さくらクラウドVPCルータ(サイト間VPN)とOpenVPNを利用したVPN拠点の構築

昨今、コロナ禍により業務を遂行するにあたり、テレワークを余儀なくされてます。

社内のNASやら、運用・保守業務で「IPアドレス制限されている」サーバにアクセスするために、会社ルータ(RTX-1210)にVPN接続をすることが多々発生しています。

そうした中、RTX-1210にVPN(L2TP)接続ができないというスタッフが続々と発生するという問題が顕著化しました。(以前よりそういった問題がちょくちょくありましたが、特に業務への影響は軽微であったことから、放置していました。)

ログ、コンフィグなどを見直して、ある程度あたりはつけましたが、業務に影響がでるかもしれない作業を実施する時間的余裕もないのと、本当にそれで問題が解消する保証もないのと、別件で使ってる拠点間接続だと、通信が安定しているという事もあり、 外部にVPNサーバを立てて、そいつと、会社のRTX-1210を拠点間接続でつないでしまえばいいのじゃなかろうかと思い立ったが吉事。さっそくやってみました。

さくらクラウドのVPCルータにもVPN(L2TP)サービスがあるので、最初これが使えるか?と試したのですが、VPCルータから全パケットを拠点間接続の接続先に転送するルーティングを入れると、VPN(L2TP)サービスに接続できなくなってしまうという問題(というかあたりまえなんですが。。)があり、以下のようなネットワークを作ってみました。

簡単に説明すると、さくらVPCルータを拠点間接続だけに利用して、VPNサーバは別にサーバを立てて、VPNクライアントから接続されたパケットはすべて、VPCルータ経由・拠点間VPN接続を得て会社のRTX-1210から出ていくルーティングを設定するというものです。

つまり、以下のような通信ラインを確保しようという試みです。

以下構築の手順メモ

OpenVPNを設定する

【設定前提情報】

ローカルスイッチネットワーク情報: 192.168.100.0/23
接続先スイッチ: local-switch(1)
サーバのNetwork: eth0 (Global側) 30.30.30.1
サーバのNetwork: eth1 (Loal側) 192.168.100.2
OS: CentOS 7.6

【手順】

STEP1) 必要パッケージをインストールする

yum -y update
yum install epel-release -y
yum --enablerepo=epel -y install openvpn easy-rsa

STEP2) 各種設定準備を行う
※パスワード、CAのcommonnameは好きな値を設定の事

mkdir /etc/openvpn/easy-rsa
cp /usr/share/easy-rsa/3.0.7/* /etc/openvpn/easy-rsa/ -R

cd /etc/openvpn/easy-rsa

./easyrsa init-pki
./easyrsa build-ca
./easyrsa gen-dh
./easyrsa build-server-full server_r nopass
./easyrsa build-client-full client1 nopass
openvpn --genkey --secret /etc/openvpn/ta.key
cd /etc/openvpn/
cp /usr/share/doc/openvpn*/sample/sample-config-files/server.conf server_r.conf

STEP3) server_r.confの設定を行う

vi /etc/openvpn/server_r.conf

デフォルト値から以下を変更する

ca /etc/openvpn/easy-rsa/pki/ca.crt
cert /etc/openvpn/easy-rsa/pki/issued/server_r.crt
key /etc/openvpn/easy-rsa/pki/private/server_r.key  # This file should be kept secret
dh /etc/openvpn/easy-rsa/pki/dh.pem
push "route 192.168.0.0 255.255.255.0"
push "redirect-gateway def1 bypass-dhcp"
comp-lzo
user nobody
group nobody
status /var/log/openvpn-status.log
log         /var/log/openvpn.log
log-append  /var/log/openvpn.log

STEP4) net.ipv4.ip_forward の設定を行う

vi /etc/sysctl.d/10-ipv4_forward.conf

net.ipv4.ip_forward = 1

sysctl --system

STEP5) iptablesの設定を行う

yum -y install iptables-services
systemctl disable firewalld
systemctl stop firewalld
systemctl enabled iptables
systemctl start iptables

vi /etc/sysconfig/iptables

*filter
 :INPUT ACCEPT [0:0]
 :FORWARD ACCEPT [0:0]
 :OUTPUT ACCEPT [6:813]
 -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
 -A INPUT -p icmp -j ACCEPT
 -A INPUT -i lo -j ACCEPT
 -A INPUT -p udp -m udp --dport 1194 -j ACCEPT
 -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
 -A INPUT -j REJECT --reject-with icmp-host-prohibited
 -A FORWARD -d 192.168.100.0/23 -i tun+ -j ACCEPT
 -A FORWARD -o eth0 -m state --state NEW -j ACCEPT
 -A FORWARD -o eth1 -m state --state NEW -j ACCEPT
 -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
 -A FORWARD -j REJECT --reject-with icmp-host-prohibited
 COMMIT
 *nat
 :PREROUTING ACCEPT [51:3492]
 :INPUT ACCEPT [0:0]
 :OUTPUT ACCEPT [2:152]
 :POSTROUTING ACCEPT [3:212]
 -A POSTROUTING -s 10.8.0.0/24 -o eth1 -j MASQUERADE
 COMMIT

※ボールドの部分がポイント

systemctl restart iptables

STEP6) OpenVPN起動

systemctl enable openvpn@server_r
systemctl start openvpn@server_r

STEP7) ルーティングの設定

ip rule add from 10.8.0.0/24 table 100 prio 100


ip route add 10.8.0.0/24 dev eth0 proto kernel scope link metric 100 table 100

ip route add default via 192.168.100.1 table 100

※このルーティングがポイント(10.8.0.0/24からのパケットは全部、192.168.100.1へルーティングするという内容を用意する)

STEP7) ルーティングの永続化

※設定方法確認中
 とりあえずいまは起動時にスクリプトで実行させておく。

STEP8) クライアントで利用するcert / keyは以下ファイルを利用する

/etc/openvpn/easy-rsa/pki/ca.crt
/etc/openvpn/ta.key
/etc/openvpn/easy-rsa/pki/issued/client1.crt
/etc/openvpn/easy-rsa/pki/private/client1.key

.ovpnファイルを作ると接続設定するのが楽になります。
以下のようなファイルを作る

client
 dev             tun
 proto           udp
 remote          30.30.30.1 1194
 resolv-retry infinite
 nobind
 persist-key
 persist-tun
 remote-cert-tls server
 tls-client
 key-direction 1
 cipher AES-256-CBC
 comp-lzo
 verb 3
<ca>
 ここに、「/etc/openvpn/easy-rsa/pki/ca.crt」の内容を張り付ける 
</ca>
<key>
 ここに、「/etc/openvpn/easy-rsa/pki/private/client1.key」の内容を張り付ける 
</key>
<cert>
 ここに、「/etc/openvpn/easy-rsa/pki/issued/client1.crt」の内容を張り付ける 
</cert>
<tls-auth>
 ここに、「/etc/openvpn/ta.key」の内容を張り付ける 
</tls-auth>

さくらクラウド VPCを利用した「拠点間VPN接続」の設定を行う。

さくらクラウドVPCの設定を行う

■さくらクラウド ネットワーク情報

【設定前提情報】
ローカルスイッチネットワーク情報: 192.168.100.0/23
接続先スイッチ: local-switch(1)
VPCルーター(インターフェース:プライベート1)に割り当てるIP: 192.168.100.1
対向IPアドレス: 10.10.10.1
対向ID: 192.168.100.1
Pre Shared Secret: unko123
対向Prefix: 0.0.0.0/0
ローカルPrefix: 192.168.100.0/23

【手順】

STEP1) VPCルーターを追加する
    プラン: スタンダード
    インターネット接続: 有効
    そのほかの項目は任意で入力する
    
STEP2) VPCルーターのインターフェースの設定
    スイッチ: 既存スイッチを接続
    接続先スイッチ: local-switch(1)
    IPアドレス: 192.168.100.1
    プレフィックス: /23

STEP3) サイト間VPNの設定
    対向IPアドレス: 10.10.10.1
    対向ID: 192.168.100.1
    Pre Shared Secret: unko123
    対向Prefix: 0.0.0.0/0
    ローカルPrefix: 192.168.100.0/23

STEP4) 「反映」を行う

RTX-1210側の設定を行う

【設定前提情報】
■RTX-1210ネットワーク情報
Global-IP:  10.10.10.1
LAN-IP: 172.16.100.1 (NetworkAddress: 172.16.100.0/23)
■さくらクラウド VPC(サイト間VPN設定情報)
Global-IP: 20.20.20.1
対向IPアドレス: 10.10.10.1
対向ID: 192.168.100.1
Pre Shared Secret: unko123
対向Prefix: 0.0.0.0/0
ローカルPrefix: 192.168.100.0/23

【手順】

★RTX-1210側への設定手順
参考: https://knowledge.sakura.ad.jp/7051/

1) RTX-1210のGUIツールにて、拠点間VPNの設定を行う。 (簡単設定→VPN→拠点間接続)
 接続種別の選択: IPSec
 ネットワーク環境: 自分側と接続先の両方とも固定のグローバルアドレスまたはネットボランチDNSホスト名を持っている
 自分側の設定(設定名): SAKURA VPN
 接続先の情報(接続先のホスト名またはIPアドレス): 10.10.10.1
接続先と合わせる設定(認証鍵 (pre-shared key)): unko123
接続先と合わせる設定(認証アルゴリズム): HMAC-SHA
接続先と合わせる設定(暗号アルゴリズム): AES-CBC
 経路に関する設定: 接続先のLAN側のアドレス
192.168.100.0 / 255.255.254.0(23bit)
10.8.0.0 / 255.255.254.0(24bit)
2) CONFIGを取得して、「description tunnel “SAKURA VPN”」の設定部分を探して、設定情報を変更する

※例えば、

tunnel select 16
 description tunnel "SAKURA VPN"
 ipsec tunnel 9
  ipsec sa policy 9 9 esp aes-cbc sha-hmac
  ipsec ike keepalive log 9 off
  ipsec ike keepalive use 9 on heartbeat 10 6
  ipsec ike local address 9 172.16.100.1
  ipsec ike nat-traversal 9 on
  ipsec ike pre-shared-key 9 text unko123
  ipsec ike remote address 9 20.20.20.1
 ip tunnel tcp mss limit auto
 tunnel enable 16

であった場合、以下のような設定情報を作成。

tunnel select 16
  description tunnel "SAKURA VPN"
  ipsec tunnel 9
   ipsec sa policy 9 9 esp aes-cbc sha-hmac
   ipsec ike always-on 9 on
   ipsec ike duration ipsec-sa 9 1800
   ipsec ike duration ike-sa 9 28800
   ipsec ike encryption 9 aes-cbc
   ipsec ike group 9 modp1024
   ipsec ike hash 9 sha
   ipsec ike keepalive log 9 off
   ipsec ike keepalive use 9 on dpd 15 2
   ipsec ike local address 9 172.16.100.1
   ipsec ike local id 9 172.16.100.0/23
   ipsec ike nat-traversal 9 off
   ipsec ike pfs 9 on
   ipsec ike pre-shared-key 9 text unko123
   ipsec ike remote address 9 20.20.20.1
   ipsec ike remote id 9 192.168.100.0/23
   ipsec auto refresh 9 on
  ip tunnel mtu 1280
  ip tunnel tcp mss limit auto
  tunnel enable 16

これを、RTX-1210の「コマンド実行」で実行する。

以上