Fujitsu Cloud Direct当社が提供するサービスを法人のお客様へ直接販売するサイトです。

こんにちは、FJcloud-Vテクニカルアカウントチームです。

2019年04月10日にクライアント環境からFJcloud-VにVPN接続できる新機能リモートアクセスVPNゲートウェイがリリースされました。

この機能では、クライアント端末への設定のみで手軽にVPN接続環境が整うため、FJcloud-Vへのセキュアな接続を比較的簡単に実現できます。拠点側へのVPN機器の設置は不要です。

早速この機能を使用し、異なるネットワークからFJcloud-Vに作成してあるサーバー(Windows、Linux)にアクセスしてみました。

以降、リモートアクセスVPNゲートウェイの仕様や作成方法、実際に使用した結果についてご紹介します。

前提条件

本記事は、以下の前提知識がある方を想定しています。

• FJcloud-Vの基本的なコントロールパネルの操作、サービスを利用する知識 (サーバー作成、ネットワーク構築など)

検証概要

以下の流れでVPN接続環境をセットアップします。

1. 作業端末にCA証明書をインポート
2. CA証明書をアップロード
3. リモートアクセスVPNゲートウェイを作成
4. 作業端末にリモートアクセスVPNゲートウェイクライアントソフトをインストール
5. リモートアクセスVPNゲートウェイ経由（パスワード認証 + クライアント証明書認証）で、Windowsサーバー、Linuxサーバーへログインする。

利用リソース

本検証を実施するにあたり、利用したFJcloud-Vのリソース情報に関して以下に記載します。
※各リソースのアクセス制限に関しては、FJcloud-Vのファイアウォール等を用いて適切に設定の上実施しています。

検証内容

準備したリソースを使用し、リモートアクセスVPNゲートウェイ経由で、サーバー(Windows、Linux)に、ログインするまでの内容を記載します。

リソース準備（作業端末）

CA証明書の作成

ここでは、この記事を参考にCA証明書を作成します。

クライアント環境に応じた実行ファイルをダウンロードします。

ダウンロードした「genca_windows_amd64.exe」を実行します。

「nifcloud.local.CAcert.pem」が作成されます。

CA証明書のインポート

「genca」で作成したファイルの一つを使用し、CA証明書をインポートします。

「client.nifcloud.local.pfx」を実行します。

「次へ」をクリックします。

「完了」をクリックします。

リソース準備（FJcloud-V）

SSHキーの作成

ここでは、設定項目や設定値は省略させて頂きます。
※作成方法は、こちらを参照してください。

プライベートLANの作成

ここでは、設定項目や設定値は省略させて頂きます。
※作成方法は、こちらを参照してください。

CA証明書のアップロード

ここでは、FJcloud-Vのコントロールパネルから「CA証明書の作成」で作成したCA証明書をアップロードします。

コントロールパネルの左上のメニューから「すべてのサービス」-「SSL証明書」をクリックします。

「CA証明書」-「CA証明書アップロード」をクリックします。

「ファイルを選択」をクリックし、作成した「nifcloud.local.CAcert.pem」を選択し「確認へ」をクリックします。

「アップロード」をクリックします。

「CA証明書」がアップロードされたことを確認します。

リモートアクセスVPNゲートウェイの作成

本検証では、以下の設定とします。
※本検証ではサーバー証明書を使用していないですが、実際に使用する場合は適切に設定の上実施して下さい。

リモートアクセスVPNゲートウェイ作成

コントロールパネルの左上のメニューから「すべてのサービス」-「ネットワーク」をクリックします。

「ネットワーク上での操作」-「リモートアクセスVPNGW作成」を選択します。

必要項目を入力し「暗号スイート選択へ」をクリックします。

「AES256-SHA」を選択し「確認へ」をクリックします。

「作成する」をクリックします。

「リモートアクセスVPNGW」が作成されたことを確認します。

ユーザー作成（VPN接続用）

作成した「リモートアクセスVPNGW」を選択します。

「リモートアクセスVPNGWの操作」-「ユーザー作成」を選択します。

必要項目を入力し「作成する」をクリックします。

※作成方法は、こちらを参照してください。

ファイアウォールグループの作成

ファイアウォールグループ

ここでは、設定項目や設定値は省略させて頂きます。
※作成方法は、こちらを参照してください。

INルール設定

本検証では、以下の設定とします。

※作成方法は、こちらを参照してください。

サーバーの作成

ここでは、FJcloud-Vのコントロールパネルから、コンソール経由でサーバーにログインし、プライベートIPアドレスを手動設定します。
※Linuxサーバーは、起動時スクリプトを使用しrootパスワードを設定します。

リモートアクセスVPNゲートウェイのクライアントソフトダウンロード

コントロールパネルから、リモートアクセスVPNゲートウェイのクライアントソフトをダウンロードします。

作成した「リモートアクセスVPNGW」を選択します。

「クライアントダウンロードURL」をクリックします。

「OK」を選択します。

ユーザー作成（VPN接続用）で設定した「ユーザー名」と「パスワード」を入力し、「ログイン」をクリックします。

「プロファイル名」をクリックします。

「ここをクリックして」をクリックします。

「VMware_VPN_Client-Setup.zip」がダウンロードできたことを確認します。

リモートアクセスVPNゲートウェイのクライアントソフトインストール

作業端末に、リモートアクセスVPNゲートウェイにアクセスするためのクライアントソフトをインストールします。

インストーラー起動

「VMware_VPN_Client-Setup.zip」を解凍し「Installer.exe」を実行します。

「はい」を選択します。

ログイン

作業端末からリモートアクセスVPNゲートウェイに接続します。

作業端末のタスクトレイから「SSL VPN-Plus Client」 -「右クリック」-「ログイン」を選択します。

「ログイン」を選択します。

「client.nifcloud.local.pfx」で作成したCA証明書を選択し「OK」をクリックします。

ユーザー作成（VPN接続用）で設定した「ユーザー名」と「パスワード」を入力し、「OK」をクリックします。

「OK」をクリックします。

接続確認

作業端末から対象のサーバーにログインします。

Windowsサーバー

ここでは、リモートデスクトップを使用します。

作業端末からリモートデスクトップを起動し、接続先IPとユーザ名を指定し「接続」をクリックします。

「接続」をクリックします。

「パスワード」を入力し「OK」を選択します。

対象サーバーにログイン後、コマンドプロンプトを起動し「ipconfig」コマンドで確認します。

Linuxサーバー

ここでは、TeraTermを使用します。

作業端末からTeraTermを起動し、ログインに必要な項目を入力し「OK」を選択します。

対象サーバーにログイン後、「ip a」コマンドで確認します。

リモートアクセスVPNゲートウェイを使用し、サーバーにログインができました。

まとめ

本ブログでは、CA証明書の作成を「genca」で実施しました。「genca」をダウンロード後、「.exeファイル」を実行するだけなので、おすすめです。
また、作成したCA証明書のアップロードやリモートアクセスVPNゲートウェイのクライアントソフトダウンロードは、コントロールパネル上で実施できるため、わかりやすいと思います。

本機能は、クライアント端末への設定のみでVPN環境が整い、FJcloud-VのプライベートLANに対して、SSL-VPNによってセキュアに接続出来ます。
お客様オフィスや外出先からFJcloud-V内のサーバーにアクセスしたい場合等に活用してみてはいかがでしょうか。

注意事項

• 本記事については検証結果の１つとなります。実際に検討される場合は、事前にそれぞれの要件を鑑みて実装するか確認してください。
• 本記事ではOS上の操作についても記載していますが、FJcloud-VではOS以上はご利用者様の責任範囲となりますのでご留意ください。