DDNSと組み合わせたSoftEtherVPNの実践設定

DDNSと組み合わせたSoftEtherVPNの実践設定

SoftEtherVPNを使えば、外出先から社内ネットワークへアクセスが可能になります。
しかし、どこからでもアクセスが可能であるということは、悪意のある人間からの 攻撃を受けやすい状態であるため、SoftEtherVPNの認証だけではセキュリティ脆弱性となりえる。
そこで、FW側でIP制限をかけるべきであるが、固定IPのみを許可した場合、外出先からモバイルルータ(スマホ)を使って 緊急メンテナンスのための接続ができない。

そこで考えるのが、DDNSを組み合わせてアクセス可能なIPを限定し、セキュリティ強化することです。 しかし、ここで問題になるのが、各FWにはDNSキャッシュがあるため、DDNSで更新したIPが反映されるまで時間がかかってしまう。 SSGでは、4時間ごとにキャッシュをクリアできるが、これでは会社に戻って作業した方がはやい。
今回は、DDNSキャッシュをクリアするバッチスクリプトを取り込み、定期的(4時間以内)に実行することでIP反映を なるべく早くする。

DDNSと組み合わせたSoftEtherVPN構築手順の概要

■DDNSと組み合わせたSoftEtherVPNの事前作業

・DDNSにホスト名を登録する
・FWのセキュリティポリシー追加
　DDNSホスト名からのアクセス許可設定
・FWのDNSキャッシュのクリア設定
・SoftEtherVPNサーバインストールと初期設定
　ESXi上の検証環境手順であるSoftEtherVPNサーバインストールと SoftEter VPN Server初期設定を参考に設定する
・SoftEtherVPNクライアント設定
　ESXi上の検証環境手順であるSoftEtherVPNサーバインストールを参考にインストールする

■SoftEtherVPN接続時の手順

１．DDNSのホストにIP紐づけ＆オンライン化
２．VPN接続要求
３．接続元IPの確認(FW処理)
４．VPN接続完了

　３，４はFWとクライアントPC間で自動で処理されます。

　※作業が完了した後、DDNSのホスト名とIPアドレスの紐付けをクリアもしくはオフラインにしておくこと！！

DDNSと組み合わせたSoftEtherVPNの事前作業

DDNSと組み合わせたSoftEtherVPN環境を構築するために必要な事前作業を説明する。

DDNSにホスト名を登録する

DDNSとして、無料で使うことができるCYBERGATEを利用した場合の手順を説明します。
■CYBERGATEにアクセスする
　CYBERGATEのDDNS

■DDNSにホスト名を登録する
　・「CyberGate - DDNS - ホストの追加」をクリック
　 　

　・ホスト名、ドメイン名を任意のものを入力し、「確認」クリック
　この名前(ホスト名、ドメイン名)をFWに登録してください。
　

　・内容を確認し、「送信」クリック
　

FWのセキュリティポリシー追加

ここでは、DDNSで登録したホスト名からのアクセスを許可するポリシーを追加します。
IPアドレスではなくホスト名でアクセス許可ができるFWである必要がある。今回SSGを前提に 説明する。
■SSGにDDNSホスト名を登録する

■SSGにDDNSホストからのアクセスを許可する
SoftEtherVPNのアクセスで5555ポートを許可する

FWのDNSキャッシュのクリア設定

LinuxからSSGへSSH接続し、DNSキャッシュクリア(exec dns refresh)を実行する。
■ssg_dns_refresh.sh の変更すべき変数
下記の変数を環境に合わせて、変更してください。

REMOTE_HOST	SSGのIPアドレス	192.168.1.1
USER	SSGのユーザ名	netscreen
PASS	SSGのパスワード	hogehogepwd
PROMPT	SSGのログインプロンプト	SSG140->

# vi /opt/scripts/bin/ssg_dns_refresh.sh 

#!/bin/bash

#messagesへのログ出力の文言定義
MESSAGE1="SSGのDNSリフレッシュを開始します。コマンド：$0"
MESSAGE2="SSGのDNSリフレッシュを完了しました。コマンド：$0"

#SSG情報定義
REMOTE_HOST="192.168.1.1"
USER="netscreen"
PASS="hogehogepwd"
CMD="exec dns refresh"
PROMPT='SSG140->'

#関数定義
X_CMD(){ # user pw host cmd ## ssh ログインしてコマンドを実行するshell関数
local U=$1 ; shift # user
local PW=$1 ; shift # password
local H=$1 ; shift # host
local LCMD=$*
echo $LCMD
local PR=$PROMPT # prompt regular expression
expect -c "
set timeout 20
spawn ssh -l $U $H
while (1) {
expect timeout { break } \"(yes/no)?\" { sleep 1;send \"yes\r\" } \"word: \" { sleep 1;send \"$PW\r\" } -re \"$PR\" { sleep 1;send \"\r\";break }
}
expect -re \"$PR\" ; sleep 1; send \"$LCMD \r\"
expect -re \"$PR\" ; sleep 1; send \"exit\r\"
"
}

#messagesにスクリプト開始ログを出力
logger $MESSAGE1

X_CMD $USER $PASS $REMOTE_HOST $CMD

#messagesにスクリプト完了ログを出力
logger $MESSAGE2

■cron設定
20分ごとにDNSキャッシュをクリアする設定とします。

10,30,50 * * * * /opt/scripts/bin/ssg_dns_refresh.sh >/dev/null 2>&1

SoftEtherVPNサーバインストールと初期設定

　ESXi上の検証環境手順であるSoftEtherVPNサーバインストールと SoftEter VPN Server初期設定を参考に設定する

SoftEtherVPNクライアント設定

　ESXi上の検証環境手順であるSoftEtherVPNサーバインストールを参考にインストールする

SoftEtherVPN接続時の手順

SoftEtherVPNでVPN接続する手順は、DDNSホスト名とIPアドレス紐付け(オンライン化)を行う以外は、通常のVPN接続と同じです。

DDNSにホスト名を変更する

DDNSに登録したホスト名にIPアドレスの紐づけ(オンライン化)を行う。

■CYBERGATEにアクセスする
　CYBERGATEのDDNS

■DDNSに登録したホスト名のIPアドレス変更する
　・「-DDNS- ホストのIPアドレス変更・削除」をクリック
　

　・DDNSの対象ホスト名の「変更」クリック
　

　・IPアドレスを確認し、「確認」

VPN接続要求

クライアントPC側で「SoftEtherVPNクライアント接続」を起動し、対象のVPN接続を行う。
DDNSのIPアドレスが反映されれば、VPN接続ができます。

DDNSホストのオフライン

VPN接続が終わったら、VPN切断とDDNSホストのオフライン化を忘れず行うこと。
■CYBERGATEにアクセスする
　CYBERGATEのDDNS

■DDNSに登録したホスト名のIPアドレス変更する
　・「-DDNS- ホストのIPアドレス変更・削除」をクリック

　・DDNSの対象ホスト名の「変更」クリック

　・IPアドレスを確認し、「オフライン」