自宅がiDC？

yDCを移設後身近にサーバがなくなって広々と快適な生活が
おくれるようになりました。が、しかしいろいろと面倒なことやセキュリティ的な
心配もあるので、リモートVPN設定をしました。その備忘録を。

VPNで繋ぐことで何がいいって、もちろんセキュリティ的なことと
サーバが置いてあるネットワークをあたかもローカルで繋いでいるような
感覚で接続できることです。

下の図のようにVPNを使用せずSSHやWindowsのリモートデスクトップ、ESXiに繋いだりなんて
危なっかしくて使う気になれませんw
少しでもリスクを減らすために、VPNを使って暗号化された仮想的なネットワークを構築してやります。

今回は接続先にNetScreen 5GTを置き、接続元はリモートVPNクライアントを使用しました。
リモートVPNクライアントは10ライセンスついて¥15,000なのでとてもリーズナブル？w
yDC契約者にはオプションで使ってもらおうかしらwww

話はそれましたが早速設定方法手順を下記に。
今回はNetScreen 5GT側の設定にコマンドラインを使用しました。
だって楽ですしねw

ところでリモートVPNの設定には、IP Poolを使用する方法と使用しない方法があります。
IP Poolを使用した方法の方がセキュリティ的にもよく、
サーバと同じセグメントを無駄に消費しないのでお勧めです。

全体的な設定の流れはこんな感じ。
①IP Poolの設定
②ユーザの作成
③Phase1の設定
④Phase2の設定
⑤Policiesの設定

具体的に説明していきます。

①IP Poolの設定
まずIP Poolは接続元のクライアントに払い出されるIPを設定する項目になります。
PoolするIPの範囲を指定します。
>set ippool “remote-pool” 192.168.xxx.xxx 192.168.xxx.xxx

②ユーザの作成
接続するユーザを限定しつつ、ユーザがIPPoolを利用するように設定します。
接続ユーザの認証にはxauth設定をします。
> set user “user1″ uid 1
> set user “user1″ ike-id u-fqdn “user1@hoge.foo” share-limit 1
> set user “user1″ type ike xauth
> set user “user1″ remote ippool “remote-pool”
> set user “user1″ remote dns1 “192.168.xxx.xxx”
> set user “user1″ remote dns2 “192.168.xxx.xxx”
> set user password “*******”

③Phase1の設定
> set ike gateway “GW-Remote” dialup “user1″ Aggr outgoing-interface “untrust” preshare “***********” proposal “pre-g2-3des-md5″
> set ike gateway “GW-Remote” nat-traversal keepalive-frequency 5

④Phase2の設定
> set vpn “VPN-Remote” gateway “GW-Remote” no-replay tunnel idletime 0 proposal “g2-esp-3des-md5″

⑤Policiesの設定
ポリシーには接続先のネットワークを指定します。これがないといつまでたってもVPNの
接続が確率できません。ここでかなりはまりましたが。。。
set policy id 2 name “VPN-Remote” from “Untrust” to “Trust” “Dial-Up VPN” “192.168.xxx.xxx/24″ “ANY” tunnel vpn “VPN-Remote” id3 log

あとはリモートVPNクライアントの設定をして接続するだけです。
これで自宅からVMware vSphere Clientを使ってESXiに接続できます。

今まではyDC側にあるWindowsマシンにログインしてそこから使ってたりしました。
これはあまりにもナンセンスなのでさようならしましたw

10月 9th, 2009 | Tags: H/W構成, NetScreen, VPN | Category: FireWall, H/W, ネットワーク | Subscribe to comments | Leave a comment | Trackback URL