MK's-Lab

日々のはてなな用語を調べてメモるブログです

(検証)リモートVPN環境作成①

スプリットトンネリング構成でトラフィック分離とAzureADの条件付きアクセスの検証

  1. 概要

  2. 準備

    2-1.概要図

    2-2.登場人物

  3. VPNサーバー作成

    3-1.VPNサーバーのソフトウェアインストール

    3-2.ルーターの設定

    3-3.VPNのエージェントのインストール、設定

    3-4.VPNでの社内アクセス、インターネットアクセスの確認

  4. クラウドプロキシとの同時使用設定

    4-1.クライアントマシンにスプリット設定

    4-2.AzureADの条件付きアクセス機能の設定でM365の認証用のIPアドレスVPNサーバーのアドレスにで登録

    4-3.インターネット通信ををPACファイルでGCP上のプロキシ(Squid)経由にする

    4-3.想定通り通信ができているかの確認

  5. まとめ

1.概要

とある要件があり、VPNサーバーを作成し、リモートからVPNアクセスをする検証を実施しました。 テーマは「快適なリモートワークを実現する」です。 主だったインターネットのアクセスは直接クラウドプロキシを通してログを取得しつつ、社内(家だけで社内想定)へのアクセスはVPNを使用します。 一部のインターネット通信(固定の送信元IPアドレスが必要な宛先向け:M365の認証トラフィックとか)についてはVPNを通るように設定します。 以下の3点を検証します。

  1. VPNサーバーを構築、エンドデバイスにはVPNクライアントをインストール、リモートから社内にアクセスできるようにする。
  2. VPNクラウド上のプロキシを併用する(VPNはオンデマンドでON/OFF想定、プロキシはGCP上に作ったSquidにPACファイルでインターネットアクセスのトラフィック転送。
  3. 特定のアクセス先についてはプロキシを通らず、VPN経由で社内に入り、社内のルーターから外に出ていくように設定する。o365の通信は認証トラフィックのみVPN経由とし、VPN経由のインターネットアクセスは極力減らす。(o365の条件付きアクセスで場所のポリシー適用をしていることを想定)

 

2.準備

2-1.概要図

2-2.登場人物

  1. Asahi net (固定IP付き) VPNサーバーのホストのIPアドレスです。以前にGREトンネルを作成した時に導入
  2. 家庭用ルーター、ポート変換可能、Buffalo製品 ポートマッピング機能、DHCPサーバー機能付き (普通のブロードバンドルーターでも機能が付いているものが多いと思います。)
  3. VPNサーバー Windows10HomeのノートPCを使用します。
  4. Work from AnywhereなノートPC PACファイルを適用します。
  5. VPNソフトウェア 無償で提供されているSoftetherというVPNを使用することにしました。

3.VPNサーバー作成

3-1.VPNサーバーのソフトウェアインストール

まず、サーバーになるPCを用意します。普通のPCでもよさげですが、 LAN線が接続できると良いです。 今回のVPNL2TP/IP-Secの方式で接続します。 仮想 HUB と、企業内(家)ネットワークと接続されている物理的な LAN カードとの間に ローカルブリッジを作成し、仮想 HUB に接続したすべてのリモートコンピュータは、 物理的な既存の Ethernet セグメントの一部として扱われるようにします。

VPNサーバーのIPアドレス:192.168.100.3

ルーターIPアドレス:192.168.100.1

ポートフォワーディング設定:UDP500, UDP4500

以下がSoftetherVPNの仕様です。

https://ja.softether.org/SoftEther_VPN_Specifications

SoftEther VPN Server の L2TP/IPsec サーバー機能の仕様

  • ユーザー認証: PAP または MS-CHAPv2
  • NAT トラバーサル: RFC3947 IPsec over UDP Encapsulation
  • 使用するポート: UDP 500 と UDP 4500
  • 対応する暗号方式: DES-CBC, 3DES-CBC, AES-CBC
  • 対応する署名方式: MD5 and SHA-1
  • 対応する Diffie-Hellman グループ: MODP 768 (Group 1), MODP 1024 (Group 2) and MODP 1536 (Group 5)
  • 互換性のある VPN クライアント: Windows, Mac, iOS または Android に組み込まれた VPN クライアント
  • 互換性のあるクライアント OS: Windows, Mac, iOS, Android または、他の L2TP クライアントをサポートする OS
  • 対応する VPN 構成: リモートアクセス VPN

早速VPNソフトをダウンロードしていきます。   以下にアクセスします。

https://www.softether-download.com/ja.aspx

以降のダウンロード、インストールの仕方は動画を確認 ↓↓↓

3-2.ルーターの設定

ルーターはBuffaloのブロードバンドルーターを使用します。上記の動画で設定内容をお伝えしています。

3-3.VPNのエージェントのインストール、設定

クライアント端末にVPNのエージェントをインストールします。上記の動画で設定内容をお伝えしています。

3-4.VPNでの社内アクセス、インターネットアクセスの確認

設定が終わったら早速VPNの接続できているかを確認します。

「確認くん」等のIPアドレス確認ツールを使ってどこからアクセスしているかの確認をします。

saitama.ocn.ne.jp >> 自宅のWifiの環境からのアクセスです

bc.googleusercontent.com  >> GCP上のプロキシからのアクセスです

ppp.asahi-net.or.jp >> VPNサーバー経由のアクセスです

VPNの接続ができた後、”Ipconfig”、”route print"を実施します。

<ipconfig>デフォルトゲートウェイVPN側にあり、Wifiのアダプタにはデフォルトゲートウェイの記載   がありませんでした。

<route print>

<ControlPanel >

上記だとすべてのトラフィックVPNを通ってしまっているかと思います。   試しに社内(家)のWebポータル”http://192.168.100.12"にアクセスしてみます。

アクセスできました。 IPが確認できる「確認くん」にもアクセスします。VPNサーバーに紐づいたIPアドレスを返してきたので、 インターネットのアクセスもVPN経由になっています。

しつこいですが、”tracert” もしてみました。

次にトラフィックを分離するためにスプリット構成にします。