-
CA証明書、プライベートLAN、リモートアクセスVPNゲートウェイ、サーバー証明書の作成
-
作業端末にリモートアクセスVPNゲートウェイのクライアントソフトウェアをインストール
-
作業端末からリモートアクセスVPNゲートウェイに接続し、ログイン
【ニフクラ活用応用編】セキュアメンテナンスパターン:リモートアクセスVPNゲートウェイ利用
メンテナンス用に、リモートアクセスVPNゲートウェイを設定するパターンです。
解決したい課題/要求事項
-
システムをセキュアに保つため、メンテナンス用途での各サーバーへのアクセスを限定したい
ニフクラでの解決パターン
-
システムへメンテナンス用途でアクセスするユーザーをリモートアクセスVPN利用者に限定することで、セキュアなシステムを維持する
実装
-
お客様環境の端末に専用のクライアントソフトウェアをインストールすることで、ニフクラ内のリモートアクセスVPNゲートウェイとのSSL-VPN接続を実現できる
補足
-
1つのプライベートLANに1つのリモートアクセスVPNゲートウェイが設定可能
-
リモートアクセスVPNゲートウェイを作成する際に、サーバー証明書を指定する必要がある
-
グローバルIPアドレスを利用しないサーバーでプライベートLANのNICにIPアドレスを付与する際は以下の方法で設定可能です。
-
コンソール を利用してログインしOS上でIPアドレスを設定する
-
Linux系のサーバーでrootのパスワードを設定していない場合は、シングルユーザーモードでログインし、パスワードを設定できます。
FAQ シングルユーザーモードでのログイン
-
-
注意点
-
リモートアクセスVPNゲートウェイにはファイアウォールを適用出来ない
-
ルートテーブルの設定は出来ない
-
リモートアクセスVPNゲートウェイに設定される以下のネットワーク帯が重複している場合作成に失敗する
-
ネットワークプールのネットワーク帯
-
設定するプライベートLANのネットワーク帯
-
自動で払い出されるグローバルIPアドレスのネットワーク帯
-
本パターンの構成要素
本パターンを実現するためのニフクラサービス構成要素例は以下表の通りです。
サービス名 |
タイプ |
用途 |
数量 |
備考 |
---|---|---|---|---|
c2-medium |
サーバー |
1 |
- |
|
c2-medium |
サーバー |
2 |
- |
|
グローバルIPアドレスを利用しない |
2 |
- |
||
- |
サーバー用 |
2 |
- |
|
- |
- |
1 |
- |
|
ravgw.small |
お客様環境接続用 |
1 |
- |
|
- |
- |
1 |
- |