みなさんこんにちは。先日、さくらのクラウドとの接続例が公開されていましたので、さくらのクラウド VPCルータとIPsecでVPN接続し、セキュアなリモートデスクトップ環境を構築してみたいと思います。

今回の検証に用いたネットワーク構成

今回の検証では、さくらのクラウド側に以下を作成しました。

• スイッチ
• VPCルータ
• リモートデスクトップ用仮想サーバ (CentOS7)

RTX830のWAN側は、固定グローバルIPアドレスが/32で割り当てられており、RTX830 LAN1のIPアドレスは192.168.10.1とし、「さくらのクラウドとVPN(IPsec)接続するルーターの設定 : コマンド設定」を参考にconfigを作成しています。

[さくらのクラウド]スイッチを作成する

VPCルータを作成する前に、スイッチを作成しておきます。さくらのクラウド コントロールパネルよりログインし、「サービス」->「さくらのクラウド(IaaS)」->「ネットワーク」->「スイッチ」の順にクリックしましょう。

まだスイッチが作られていないか、新しいスイッチにVPCルータを接続する場合、画面右上の「追加」よりスイッチを作成します。

スイッチを作成するにあたり、以下パラメータを投入します。「ルータ」の項目で「いいえ」を選択する以外は任意のパラメータもしくは空欄で構いません。

各項目入力後、「作成」ボタンをクリックします。

[さくらのクラウド]VPCルータを作成する

スイッチ作成後、画面左側メニューより「アプライアンス」->「VPCルータ」の順にクリックします。

次にVPCルータ作成画面から「作成」をクリックします。

今回はテスト用のVPCルータを作成する想定ですので、プランは「スタンダード」を選択します。また、RTX830設置拠点側と接続するため、インターネット接続を「有効」にして「作成」ボタンをクリックします。

その他パラメータ(「名前」「説明」「タグ」「アイコン」)の投入は任意で構いません。

プライベート側にインターフェースを追加する

VPCルータの一覧から今回作成したルータを選択し「詳細」をクリックし、「インターフェース」をクリックします。

作成直後のVPCルータにはグローバルIPアドレスが付与されています。これはRTX830側に設定しますので、控えておきましょう。

上記画面 プライベート1 インターフェースの右側、鉛筆アイコンをクリックしてインターフェースを設定します。

投入するパラメータは以下の通りです。

上記パラメータ投入後、「更新」ボタンをクリックします。

先ほどの画面に戻り、「反映」ボタンをクリックして反映させます。

DHCPサーバを設定する

配下のリモートデスクトップ環境(クライアントPC)に自動的にIPアドレスを付与するため、VPCルータにDHCPサーバを設定します。画面上部「DHCP」->「追加」の順にクリックします。

DHCPサーバ設定では以下のパラメータを投入し「追加」ボタンをクリックします。

「反映」ボタンをクリックして設定を反映します。

サイト間VPNを設定する

いよいよVPCルータにサイト間VPNを設定します。画面上部「サイト間VPN」->「追加」の順にクリックします。

サイト間VPN設定では以下のパラメータを投入し「追加」ボタンをクリックします。

設定終了後、画面上部「反映」ボタンをクリックします。

ここまでの設定が終わったら、VPCルータの電源を投入します。

RTX830を設定する

「さくらのクラウドとVPN(IPsec)接続するルーターの設定 : コマンド設定」を参考にconfigを投入します。本稿ではRTX830側のネットワークを 192.168.10.0/24 と例示しており、さくらのクラウド側ネットワークも192.168.20.0/24と例示しておりますので、適宜読み替えていただければと思います。設定を始めるにあたり、RTX830側の設定に必要な以下パラメータを手元に用意しておきます。

1. ISPへ接続するID
2. ISPへ接続するパスワード
3. ISPから付与される固定IPアドレス
4. ISPから指定されたDNSサーバのIPアドレス
5. さくらのクラウド VPCルータのグローバルIPアドレス
6. 「サイト間VPNを設定する」の項目で設定したPre Shared Secret (事前共有鍵)

今回検証した環境で投入した上記6つのパラメータを手元に用意してconfigを作成してください。RTX830設定後、さくらのクラウド側で以下のようにステータスがUPになっていればサイト間VPN接続が確立されています。

リモートデスクトップ環境を構築する

ここまでの作業で、スイッチ作成、VPCルータ作成、RTX830の設定が終わりました。接続確認も兼ねて、さくらのクラウドにリモートデスクトップ環境を構築します。

今回はVPCルータ配下にCentOS7のOSイメージにGNOME-xrdpのスタートアップスクリプトを使用してOSをインストールし、KRDCパッケージをインストールして、さくらのクラウド側からRTX830設置拠点にあるWindowsマシンに向けてリモートデスクトップを行います。

詳細は省略しますが、サーバ構築時のハマりポイントだけ解説しますと、まず下記図のように「シンプルモード」のチェックを外して作業を開始します。

スタートアップスクリプト実行に必要なため、NICは「インターネットに接続」を選択します(後でNICの設定を変更します)。

「ディスクの修正」から「GNOME-xrdp」のスタートアップスクリプトを選択します。

OSインストール後、コンソールからログインし、「startx」コマンドを実行します。

OS起動直後に「yum update」コマンドを実行してパッケージを最新にした後、NIC設定を変更するためにいちどシャットダウンします。

OSシャットダウン後、さくらのクラウド コントロールパネルからサーバ一覧から先ほど作成したサーバのNIC設定を変更します。「NIC」をクリックし、NICを追加します。

作成したNIC右側 ▼ をクリックし、接続を編集します。

接続先NICを選ぶ項目が表示されますので、「スイッチに接続」を選択します。

スイッチの選択肢が表示されるので、「[さくらのクラウド]スイッチを作成する」で作成したスイッチを選択します。

スイッチ側に接続されたNICを作成した後、もともとあったNIC、接続先が「共有セグメント インターネット」のNICを選択して切断します。

ここまでの設定が終わったら、ふたたびサーバの電源を投入します。

サーバ起動後、コンソールからログインし、画面右上のメニューからNICの設定を行います。サーバ側からもeth0(共有セグメント側に接続されていた)側を切断しましょう。

NIC選択後「有線設定」をクリックし、eth0の設定を呼び出します。

以下のように、eth0の「自動接続する」のチェックを外して「適用」をクリックします。

その後、eth0を「オフ」にします。

次にeth1の設定を呼び出します。

こちらは、VPCルータのDHCP割り当て範囲内のIPアドレスが付与されていること、「自動接続する」にチェックが入っていること、「他のユーザーも利用可能」にチェックが入っていることを確認してキャンセルをクリックします。

「アプリケーション」から端末を開いて、インターネット側にpingが飛ぶことを確認します。

同様に、RTX830設置拠点 (192.168.10.0/24) 側にpingが飛ぶことも確認します。

それでは、リモートデスクトップソフト KRDC をインストールしてみましょう。「アプリケーション」->「Application Installer」をクリックし、検索ボタンからKRDCを検索し、インストールします。

KRDC起動後、rdpを選択してRTX830設置拠点側のWindowsマシンのアドレスを入力して接続してみましょう。

以下のように、ユーザ名とパスワードを入力します。

以下のようにWindowsログイン画面が出れば接続成功です。

それでは逆にWindowsマシンからリモートデスクトップ環境へRDP接続してみましょう。

このようにログインできました。

いかがでしたでしょうか。RTX830とさくらのクラウドをIPsecで接続することで、外出先から社内のリソースやアプリケーションを使用したいといった要求にも応えることができることがおわかりいただけたかと思います。

著者の記事一覧

著者

濱田 康貴

株式会社パイプライン 代表取締役