クラウド技術仕様（リモートアクセスVPNゲートウェイ:リモートアクセスVPNゲートウェイ）

ニフクラリモートアクセスVPNゲートウェイ：リモートアクセスVPNゲートウェイ

構成の上限

パラメーター名	内容
作成可能数	1個/プライベートLAN
作成可能なユーザー数	1024ユーザー/リモートアクセスVPNゲートウェイ
コネクション上限数	ravgw.small: 50接続/リモートアクセスVPNゲートウェイ ravgw.medium: 100接続/リモートアクセスVPNゲートウェイ ravgw.large: 1000接続/リモートアクセスVPNゲートウェイ

作成時のパラメーター

基本設定

パラメーター名	指定可能なパラメーター	必須	内容
リモートアクセスVPNゲートウェイ名	半角英数字 1～15文字	○	リモートアクセスVPNゲートウェイの名前を指定します。
ゾーン	任意のゾーン	○	リモートアクセスVPNゲートウェイを作成するゾーンを指定します。
プライベート側ネットワーク	任意のプライベートLAN	○	リモートアクセスVPNゲートウェイが利用するプライベートLANを指定します。
IPアドレス	任意のプライベートLANのIPアドレス	○	リモートアクセスVPNゲートウェイがプライベートLANで利用するIPアドレスを指定します。
ネットワークプールのCIDR	任意のCIDR	○	リモートアクセスVPNゲートウェイに接続するクライアントが所属するネットワークのCIDRを指定します。ネットワークプールについての詳細はこちらをご確認ください。
サーバー証明書	ニフクラで作成またはアップロードされたサーバー証明書	○	サーバー証明書を指定します。サーバー証明書についての詳細な仕様はこちらをご確認ください。
CA証明書	ニフクラで作成またはアップロードされたCA証明書		CA証明書を指定します。 CA証明書についての詳細な仕様はこちらをご確認ください。

暗号スイート選択

パラメーター名	指定可能なパラメーター	必須	内容
暗号スイート	AES128-GCM-SHA256 AES256-GCM-SHA384 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES256-GCM-SHA384	○	SSL-VPNで利用する暗号スイートを選択します。暗号スイートは複数選択が可能です。

注意事項

最新バージョンの接続確認済みOSについてはこちらをご確認ください。
リモートアクセスVPNゲートウェイの作成の際は、プライベートLANが必須になります。
リモートアクセスVPNゲートウェイの作成の際は、サーバー証明書の指定が必須になります。
リモートアクセスVPNゲートウェイにはファイアウォールを適用できません。
・接続元の制限を行いたい場合は「パスワード認証」もしくは「パスワード認証 + クライアント証明書認証」をご利用ください。
・認証についての詳細な仕様はクラウド技術仕様（リモートアクセスVPNゲートウェイ:認証）をご確認ください。
クライアント端末から(プロキシを経由した)リモートアクセスVPNゲートウェイへの通信要件として、宛先 TCP 443 の通信を許可する必要があります。ファイアウォールやプロキシで許可されているかご確認ください。
リモートアクセスVPNゲートウェイの設定で以下のネットワーク帯が重複している場合、リモートアクセスVPNゲートウェイの作成に失敗します。
・プライベート側ネットワークのネットワーク帯
・ネットワークプールのCIDR
・自動で払い出されるグローバルIPアドレスのネットワーク帯
リモートアクセスVPNゲートウェイを作成後、以下の設定変更はできません。設定変更には再作成が必要となりますので設定時は十分にご注意ください。
・プライベート側ネットワーク
・ IPアドレス
・ネットワークプールのCIDR
・暗号スイート

コントロールパネルに表示される情報

基本情報

リモートアクセスVPNゲートウェイの基本情報から、現在のリモートアクセスVPNゲートウェイの状態が確認できます。

ステータス	アイコン	説明
利用可能		リモートアクセスVPNゲートウェイは正常に稼動しており、設定変更が行える状態です。
処理中		リモートアクセスVPNゲートウェイは再起動、または設定変更中です。

コネクション

パラメーター名	内容
コネクションID	コネクションのIDです。
ユーザー名	リモートアクセスVPNゲートウェイに接続しているユーザー名です。
クライアントIPアドレス	リモートアクセスVPNゲートウェイに接続しているクライアントのIPアドレスです。
割り当てIPアドレス	リモートアクセスVPNゲートウェイに接続しているクライアントに割り当てられているネットワークプールのIPアドレスです。
接続開始時間	リモートアクセスVPNゲートウェイと接続を開始した日時です。

ログ

ニフクラリモートアクセスVPNゲートウェイ:ログをご確認ください。

リモートアクセスVPNゲートウェイの操作

リモートアクセスVPNゲートウェイに対して以下の操作が可能です。

リモートアクセスVPNGW名変更
タイプ変更
翌月の料金プラン変更
メモ変更
サーバー証明書を設定する
CA証明書を設定する
CA証明書を解除する
ユーザー作成
ユーザー削除
コネクション削除
再起動
アップグレード
削除

注意事項

リモートアクセスVPNゲートウェイのタイプ変更、またはアップグレードを行った場合、リモートアクセスVPNゲートウェイが再起動されます。
そのため、接続しているコネクションが切断されますので、実施完了後に再度接続してください。
リモートアクセスVPNゲートウェイに設定したサーバー証明書を変更した場合、以下の状態となります。
- 設定変更の際に接続しているクライアント端末は切断されます。再度接続するにはクライアントの設定ファイルの更新が必要になります。
- クライアントの設定ファイルで接続先をFQDNで指定している場合に、異なるFQDNのサーバー証明書へ変更した際には、DNSレコードの設定およびクライアントの設定ファイルの更新が必要になります。
リモートアクセスVPNゲートウェイにCA証明書を設定、または解除した場合、以下の状態となります。
・設定・解除の際に接続しているクライアント端末は切断されます。
・クライアント設定ファイルのクライアント証明書や秘密鍵の値の更新が必要になり、再接続出来ない場合があります。
クライアント設定ファイルの更新は再度コントロールパネルからダウンロードいただき、必要に応じてクライアント証明書や秘密鍵の値を入力するようにしてください。
アップグレードは通信断が発生します。
v1.2以前からv2.0.0以降にアップグレードすることはできません。

ネットワークプール

リモートアクセスVPNゲートウェイに接続されているクライアントが所属するネットワークです。

ネットワークプールについて_構成図

タイプ毎のネットワークプールのセグメント分割

ネットワークプールはタイプ毎にセグメントが分割されます。
またリモートアクセスVPNゲートウェイに設定されるネットワークプールのゲートウェイIPアドレスは、セグメントのネットワークアドレスに+1されたIPアドレスとなります。

タイプ	ネットワークプールのセグメント数	ネットワークプールに10.0.0.0/24を指定した場合に分割されるセグメント	リモートアクセスVPNゲートウェイのネットワークプールのゲートウェイIPアドレス
ravgw.small	1	`10.0.0.0/24`	`10.0.0.1`
ravgw.medium	2	`10.0.0.0/25`, `10.0.0.128/25`	`10.0.0.1`, `10.0.0.129`
ravgw.large	6	`10.0.0.0/26`, `10.0.0.64/26`, `10.0.0.128/27`, `10.0.0.160/27`, `10.0.0.192/27`, `10.0.0.224/27`	`10.0.0.1`, `10.0.0.65`, `10.0.0.129`, `10.0.0.161`, `10.0.0.193`, `10.0.0.225`

クライアントの送信元IPアドレス

ネットワークプール上のクライアントからプライベートLAN上のサーバーに通信する場合、リモートアクセスVPNゲートウェイでSNATされるため、
プライベートLAN上のサーバーから見える送信元IPアドレスはリモートアクセスVPNゲートウェイのプライベートIPアドレスになります。
「クライアントA」から「サーバーA」に対してリモートアクセスVPNゲートウェイ経由で通信した場合、「サーバーA」から見える送信元IPアドレスは192.168.0.254となります。