DDNSと組み合わせたSoftEtherVPNの実践設定

DDNSと組み合わせたSoftEtherVPNの実践設定

SoftEtherVPNを使えば、外出先から社内ネットワークへアクセスが可能になります。
しかし、どこからでもアクセスが可能であるということは、悪意のある人間からの 攻撃を受けやすい状態であるため、SoftEtherVPNの認証だけではセキュリティ脆弱性となりえる。
そこで、FW側でIP制限をかけるべきであるが、固定IPのみを許可した場合、外出先からモバイルルータ(スマホ)を使って 緊急メンテナンスのための接続ができない。

そこで考えるのが、DDNSを組み合わせてアクセス可能なIPを限定し、セキュリティ強化することです。 しかし、ここで問題になるのが、各FWにはDNSキャッシュがあるため、DDNSで更新したIPが反映されるまで時間がかかってしまう。 SSGでは、4時間ごとにキャッシュをクリアできるが、これでは会社に戻って作業した方がはやい。
今回は、DDNSキャッシュをクリアするバッチスクリプトを取り込み、定期的(4時間以内)に実行することでIP反映を なるべく早くする。

DDNSと組み合わせたSoftEtherVPN構築手順の概要

■DDNSと組み合わせたSoftEtherVPNの事前作業

・DDNSにホスト名を登録する
・FWのセキュリティポリシー追加
　DDNSホスト名からのアクセス許可設定
・FWのDNSキャッシュのクリア設定
・SoftEtherVPNサーバインストールと初期設定
　ESXi上の検証環境手順であるSoftEtherVPNサーバインストールと SoftEter VPN Server初期設定を参考に設定する
・SoftEtherVPNクライアント設定
　ESXi上の検証環境手順であるSoftEtherVPNサーバインストールを参考にインストールする

■SoftEtherVPN接続時の手順

１．DDNSのホストにIP紐づけ＆オンライン化
２．VPN接続要求
３．接続元IPの確認(FW処理)
４．VPN接続完了

　３，４はFWとクライアントPC間で自動で処理されます。

　※作業が完了した後、DDNSのホスト名とIPアドレスの紐付けをクリアもしくはオフラインにしておくこと！！

DDNSと組み合わせたSoftEtherVPNの事前作業

DDNSと組み合わせたSoftEtherVPN環境を構築するために必要な事前作業を説明する。

DDNSにホスト名を登録する

DDNSとして、無料で使うことができるCYBERGATEを利用した場合の手順を説明します。
■CYBERGATEにアクセスする
　CYBERGATEのDDNS

■DDNSにホスト名を登録する
　・「CyberGate - DDNS - ホストの追加」をクリック
　 　

　・ホスト名、ドメイン名を任意のものを入力し、「確認」クリック
　この名前(ホスト名、ドメイン名)をFWに登録してください。
　

　・内容を確認し、「送信」クリック
　

FWのセキュリティポリシー追加

ここでは、DDNSで登録したホスト名からのアクセスを許可するポリシーを追加します。
IPアドレスではなくホスト名でアクセス許可ができるFWである必要がある。今回SSGを前提に 説明する。
■SSGにDDNSホスト名を登録する

■SSGにDDNSホストからのアクセスを許可する
SoftEtherVPNのアクセスで5555ポートを許可する

FWのDNSキャッシュのクリア設定

LinuxからSSGへSSH接続し、DNSキャッシュクリア(exec dns refresh)を実行する。
■ssg_dns_refresh.sh の変更すべき変数
下記の変数を環境に合わせて、変更してください。

REMOTE_HOST	SSGのIPアドレス	192.168.1.1
USER	SSGのユーザ名	netscreen
PASS	SSGのパスワード	hogehogepwd
PROMPT	SSGのログインプロンプト	SSG140->

# vi /opt/scripts/bin/ssg_dns_refresh.sh 

#!/bin/bash

#messagesへのログ出力の文言定義
MESSAGE1="SSGのDNSリフレッシュを開始します。コマンド：$0"
MESSAGE2="SSGのDNSリフレッシュを完了しました。コマンド：$0"

#SSG情報定義
REMOTE_HOST="192.168.1.1"
USER="netscreen"
PASS="hogehogepwd"
CMD="exec dns refresh"
PROMPT='SSG140->'

#関数定義
X_CMD(){ # user pw host cmd ## ssh ログインしてコマンドを実行するshell関数
local U=$1 ; shift # user
local PW=$1 ; shift # password
local H=$1 ; shift # host
local LCMD=$*
echo $LCMD
local PR=$PROMPT # prompt regular expression
expect -c "
set timeout 20
spawn ssh -l $U $H
while (1) {
expect timeout { break } \"(yes/no)?\" { sleep 1;send \"yes\r\" } \"word: \" { sleep 1;send \"$PW\r\" } -re \"$PR\" { sleep 1;send \"\r\";break }
}
expect -re \"$PR\" ; sleep 1; send \"$LCMD \r\"
expect -re \"$PR\" ; sleep 1; send \"exit\r\"
"
}

#messagesにスクリプト開始ログを出力
logger $MESSAGE1

X_CMD $USER $PASS $REMOTE_HOST $CMD

#messagesにスクリプト完了ログを出力
logger $MESSAGE2

■cron設定
20分ごとにDNSキャッシュをクリアする設定とします。

10,30,50 * * * * /opt/scripts/bin/ssg_dns_refresh.sh >/dev/null 2>&1

SoftEtherVPNサーバインストールと初期設定

　ESXi上の検証環境手順であるSoftEtherVPNサーバインストールと SoftEter VPN Server初期設定を参考に設定する

SoftEtherVPNクライアント設定

　ESXi上の検証環境手順であるSoftEtherVPNサーバインストールを参考にインストールする

SoftEtherVPN接続時の手順

SoftEtherVPNでVPN接続する手順は、DDNSホスト名とIPアドレス紐付け(オンライン化)を行う以外は、通常のVPN接続と同じです。

DDNSにホスト名を変更する

DDNSに登録したホスト名にIPアドレスの紐づけ(オンライン化)を行う。

■CYBERGATEにアクセスする
　CYBERGATEのDDNS

■DDNSに登録したホスト名のIPアドレス変更する
　・「-DDNS- ホストのIPアドレス変更・削除」をクリック
　

　・DDNSの対象ホスト名の「変更」クリック
　

　・IPアドレスを確認し、「確認」

VPN接続要求

クライアントPC側で「SoftEtherVPNクライアント接続」を起動し、対象のVPN接続を行う。
DDNSのIPアドレスが反映されれば、VPN接続ができます。

DDNSホストのオフライン

VPN接続が終わったら、VPN切断とDDNSホストのオフライン化を忘れず行うこと。
■CYBERGATEにアクセスする
　CYBERGATEのDDNS

■DDNSに登録したホスト名のIPアドレス変更する
　・「-DDNS- ホストのIPアドレス変更・削除」をクリック

　・DDNSの対象ホスト名の「変更」クリック

　・IPアドレスを確認し、「オフライン」

ESXi上のSoftEtherVPN検証環境構築【VPNクライアントインストール】

ESXi上のSoftEtherVPN検証環境構築【VPNクライアントインストール】

VPN接続したいWindowsクライアント側に「SoftEther VPN Clinet」をインストールし、VPN接続設定を説明する。
■「SoftEther VPN Clinet」のダウンロード
ダウンロード先：http://www.softether-download.com/ja.aspx?product=softether

　・ダウンロードするソフトウェアを選択：SoftEther VPNE(Freeware)
　・コンポーネントを選択：SoftEther VPN Clinet
　・プラットフォームを選択：Windows
　・CPUを選択：Intel (x86 and x64)
　・ダウンロードファイル：SoftEther VPN Client (Ver 2.00, Build 9387, rtm)
　　softether-vpnclient-v2.00-9387-rtm-2013.09.16-windows-x86_x64-intel.exe (29.11 MB)

■「SoftEther VPN Clinet」のインストール
　・ダウンロードしたインストーラを実行
　・「SoftEther VPNセットアップウィザード」起動 - 「次へ」
　・「インストールソフトウェアの選択」画面 - 「SoftEther VPN Clinet」選択 - 「次へ」
　・「使用許諾契約書」画面 - 「使用許諾契約書に同意します」チェック - 「次へ」
　・「重要事項証明書」画面 - 「次へ」
　・「インストール先ディレクトリ」画面 - 変更せず「次へ」
　・「インストール準備の完了」画面 - 「次へ」
　・「セットアップが完了」画面 - 「SoftEter VPNサーバー管理マネージャを起動します」チェック - 「完了」
　

ESXi上のSoftEtherVPN検証環境構築【VPN設定】

仮想LANカードがまだ作成されていない状態で、「新しい接続設定を作成」を実行すると、仮想LANカードのみが作成される。
仮想LANカードが作成された状態で、再度「新しい接続設定を作成」を実行することで、VPN接続設定が可能となる。
■「SoftEther VPN Clinet」の仮想LANカード作成
　・ディスクトップ上にある「SoftEther VPNクライアント接続」をクリック
　・「SoftEther VPNクライアント接続マネージャ」起動 - メニュー「接続」- 「新しい接続設定の作成」クリック
　・初回は、まだ仮想LANカードが作成されていないため、下記のメッセージのダイアログが表示するので、「はい」をクリック
　　「新しい接続設定を作成する前に、仮想LANカードを作成してください。仮想LANカードを作成しますか？」
　・「新しい仮想LANカードの作成」ダイアログ - 仮想LANカードの名前を入力 - 「OK」
　
　
　 ・仮想LANカード作成完了
　

■「SoftEther VPN Clinet」のVPN設定
再度、「新しい接続設定を作成」を実行する。
　・「SoftEther VPNクライアント接続マネージャ」起動 - メニュー「接続」- 「新しい接続設定の作成」クリック
　・「新しい接続設定のプロパティ」起動 - 下記項目を入力 - 「OK」
　　　

接続設定名	識別できる任意の名前
ホスト名	名前解決可能なホスト名またはIPアドレス
ポート番号	443,992,1194,5555の内、FWで許可されているポートを選択
仮想HUB	VPNサーバで設定した仮想HUBを指定する
プロキシの種類	クライアントPC側のネットワーク環境に合わせ変更
ユーザ認証	標準パスワード認証
ユーザ名/パスワード	VPNサーバ側で設定したユーザ名/パスワード

　　 　

ESXi上のSoftEtherVPN検証環境構築手順の目次

・ESXi上のSoftEtherVPN検証環境構築手順【環境】
・ESXi上のSoftEtherVPN検証環境構築手順【ESXiのネットワーク設定】
・ESXi上のSoftEtherVPN検証環境構築手順【SoftEter VPN Serverインストール】
・ESXi上のSoftEtherVPN検証環境構築手順【SoftEter VPN Server初期設定】
・ESXi上のSoftEtherVPN検証環境構築手順【SoftEter VPN Clientインストール設定】

ESXi上のSoftEtherVPN検証環境構築【VPNサーバの初期設定】

ESXi上のSoftEtherVPN検証環境構築【VPNサーバの初期設定】

「SoftEther VPN Server」をCentOSにインストールしたので、設定が難しいと思われる方が多いですが、「SoftEther VPN Server」の設定は WindowsPCにインストールした「SoftEther VPN Server Manager for Windows」から簡単に設定ができます。

SoftEther VPN Serverの初期設定

■SoftEther VPNの「新しい接続設定」
・「SoftEther VPNサーバ管理マネージャ」を起動する
・「SoftEther VPNサーバ管理マネージャ」TOP画面 - 「新しい接続設定」クリック
・「新しい接続設定の作成」画面 - 下記の情報を入力 - 「OK」クリック
　　・接続設定名(他のVPN接続と識別できる名前にしておく)
　　・ホスト名(名前解決できるホスト名またはIPアドレス)
　　・443(その他992,1194,5555から選択)
　　　※FW,IPTABLESで接続を許可しておくこと
　　・直接TCP/IP接続(環境に合わせてProxyに変更する)



■パスワード設定
「SoftEther VPN Server」に初回アクセス時にパスワード設定ができます。
・「SoftEther VPNサーバ管理マネージャ」TOP画面 - 接続設定名を選択 -「接続」クリック


・「管理者パスワードの設定」ダイアログ - 新しいパスワード -「OK」クリック
　　※初回アクセスのみ「管理者パスワードの設定」ダイアログが起動する


■「SoftEther VPN Server」の設定
パスワード設定同様に初回アクセスに「SoftEther VPN Serer/Bridge 簡易セットアップ」が起動する。
・「SoftEther VPN Serer/Bridge 簡易セットアップ」画面 - 「リモートアクセスVPNサーバ」チェック - 「次へ」


・「SoftEther VPNサーバー管理マネージャ」ダイアログ - 「OK」
・「簡易セットアップ 仮想HUB名の決定」 - 「OK」
・「IPsec/L2TP/EtherIP/L2TPv3設定」画面 - 必要に応じて「L2TPサーバ機能を有効にする」チェック - 「OK」
　これらは必須ではなく、のちほど設定も可能です。
　※Ipsec事前共有鍵を設定する場合、一部のスマホ端末で9文字以下という制約があります。



・「VPN Azure サービスの設定」- 「VPN Azureを無効する」チェック -「OK」
　VPN Azureを使用する必要がないため、無効化しておく。



・「簡易セットアップの実行」画面 - 「ユーザを作成する」クリック
　VPN接続するユーザを作成する



・「ユーザーの新規作成」画面 - ユーザ名,本名を入力 - 認証方法「パスワード」-パスワード入力 -「OK」クリック



・「SoftEther VPNサーバー管理マネージャ」ダイアログ - 「OK」クリック
・「ユーザーの管理」画面 - 「OK」クリック
　作成したユーザが作成されていることを確認する。
・「簡易セットアップの実行」画面 - 「ローカルブリッジの設定」- プライベートNICを選択 -「閉じる」
　※VMで稼動している場合は、下記のメッセージがでる。

　　ESXiのデフォルトではプロミスモードが許可されていません。次の「VMWARE　ESXiのプロミスモードへ変更」記事を参照してくだい

・「SoftEther VPN Server」の設定完了

ESXi上のSoftEtherVPN検証環境構築手順の目次

・ESXi上のSoftEtherVPN検証環境構築手順【環境】
・ESXi上のSoftEtherVPN検証環境構築手順【ESXiのネットワーク設定】
・ESXi上のSoftEtherVPN検証環境構築手順【SoftEter VPN Serverインストール】
・ESXi上のSoftEtherVPN検証環境構築手順【SoftEter VPN Server初期設定】
・ESXi上のSoftEtherVPN検証環境構築手順【SoftEter VPN Clientインストール設定】