IBM Cloud Docs
VPNサーバーで使用するセキュリティグループとNACLの設定

VPNサーバーで使用するセキュリティグループとNACLの設定

セキュリティ・グループとネットワーク・アクセス制御リスト(NACL)は、VPNサーバが配置されているVPNサーバのサブネット上だけでなく、VPNトンネルを介して通信する他のVPCサブネット上でも設定できます。

VPNサーバーのサブネットにセキュリティグループとNACLを設定する場合は、VPNトンネルのトラフィックを許可するために以下のルールが設定されていることを確認してください。 詳細については、セキュリティー・グループについてネットワーク ACL のセットアップを参照してください。

VPN サーバーをプロビジョン時にセキュリティー・グループを指定しなかった場合は、VPC のデフォルトのセキュリティー・グループが VPN サーバーに接続されます。 サーバーのプロビジョニング後に、他のセキュリティー・グループを VPN サーバーに接続することができます。

VPN プロトコル・トラフィックのルール

VPN サーバーは、TCP プロトコルまたは UDP プロトコルで実行できます。 VPN サーバーをプロビジョンする時に、プロトコルとポートを指定できます。 セキュリティ・グループ・ルールとNACLを使用して、対応するプロトコルとポートを開く必要があります。

VPNサーバーのセキュリティグループルール
インバウンド/アウトバウンドのルール プロトコル 送信元/宛先タイプ ソース
インバウンド VPN server protocol CIDR ブロック 0.0.0.0/0 VPN server port
アウトバウンド VPN server protocol CIDR ブロック 0.0.0.0/0 VPN server port
VPNサーバーのNACLルール
インバウンド/アウトバウンドのルール プロトコル 送信元 IP 送信元ポート 宛先 IP 宛先ポート
インバウンド VPN server protocol 任意 任意 VPN server subnet VPN server port
アウトバウンド VPN server protocol VPN server subnet VPN server port 任意 任意

例えば、デフォルトでは、VPNサーバーはUDPポート 443 で実行されるため、セキュリティ・グループとNACLルールを以下のように設定する必要がある:

デフォルトのプロトコルとポートを持つVPNサーバーのセキュリティグループルールの設定情報
インバウンド/アウトバウンドのルール プロトコル 送信元/宛先タイプ ソース
インバウンド UDP CIDR ブロック 0.0.0.0/0 443
アウトバウンド UDP CIDR ブロック 0.0.0.0/0 443
デフォルトのプロトコルとポートを持つVPNサーバーのNACLの設定情報
インバウンド/アウトバウンドのルール プロトコル 送信元 IP 送信元ポート 宛先 IP 宛先ポート
インバウンド UDP 任意 任意 VPN server subnet 443
アウトバウンド UDP VPN server subnet 443 任意 任意

deliver ルートアクションを持つVPNトラフィックのルール

クライアントが VPN サーバーに接続されると、VPN サーバーはデフォルトでクライアントからのすべてのトラフィックを除去します。 このトラフィックを許可するには、VPN サーバーで VPN 経路を構成する必要があります。 ルートのアクションは delivertranslate のどちらかである。

  • アクションが deliver の場合は、パケットがトンネルから復号された後に直接転送されるので、パケットの送信元 IP が VPN クライアントの IP (つまり、クライアント IP プールからの IP) になります。
  • アクションが translate の場合は、パケットがトンネルから復号された後に、パケットの送信元 IP が VPN サーバーのプライベート IP に変換されてからパケットが送信されます。

セキュリティグループとNACLルールを作成するときに、どのCIDRを指定すべきかに注意すること。

VPNサーバー上のVPN配信ルートのセキュリティグループルール
インバウンド/アウトバウンドのルール プロトコル 送信元/宛先タイプ ソース
インバウンド すべて CIDR ブロック VPN route destination CIDR 任意
アウトバウンド すべて CIDR ブロック VPN route destination CIDR 任意
VPNサーバーサブネット上のVPN配信ルートのNACLルール
インバウンド/アウトバウンドのルール プロトコル 送信元 IP 送信元ポート 宛先 IP 宛先ポート
インバウンド すべて VPN route destination CIDR 任意 VPN server client IP pool 任意
アウトバウンド すべて VPN server client IP pool 任意 VPN route destination CIDR 任意

同時に、VPC仮想サーバー上でセキュリティグループとNACLを設定し、VPNクライアントからのトラフィックのブロックを解除する必要があります:

VPC仮想サーバーインターフェイス上のVPN配信ルートのセキュリティグループルール
インバウンド/アウトバウンドのルール プロトコル 送信元/宛先タイプ ソース
インバウンド すべて CIDR ブロック VPN server client IP pool 任意
アウトバウンド すべて CIDR ブロック VPN server client IP pool 任意
VPC仮想サーバーサブネット上のVPN配信ルートのNACLルール
インバウンド/アウトバウンドのルール プロトコル 送信元 IP 送信元ポート 宛先 IP 宛先ポート
インバウンド すべて VPN server client IP pool 任意 VPN route destination CIDR 任意
アウトバウンド すべて VPN route destination CIDR 任意 VPN server client IP pool 任意

例えば、VPN サーバーのプロビジョン時にクライアント IP プールとして 172.16.0.0/20 を使用し、VPN クライアントからサブネット 10.240.128.0/24 のリソースにアクセスする場合は、宛先 10.240.128.0/24 とアクション deliver を使用して VPN 経路を作成する必要があります。 また、セキュリティグループとNACLルールを以下のように設定する必要がある:

VPNサーバー上のVPN配信ルートのセキュリティグループルール
インバウンド/アウトバウンドのルール プロトコル 送信元/宛先タイプ ソース
インバウンド すべて CIDR ブロック 10.240.128.0/24 任意
アウトバウンド すべて CIDR ブロック 10.240.128.0/24 任意
VPNサーバーサブネット上のVPN配信ルートのNACLルール
インバウンド/アウトバウンドのルール プロトコル 送信元 IP 送信元ポート 宛先 IP 宛先ポート
インバウンド すべて 10.240.128.0/24 任意 172.16.0.0/20 任意
アウトバウンド すべて 172.16.0.0/20 任意 10.240.128.0/24 任意
VPC仮想サーバー上のVPN配信ルートのセキュリティグループルール
インバウンド/アウトバウンドのルール プロトコル 送信元/宛先タイプ ソース
インバウンド すべて CIDR ブロック 172.16.0.0/20 任意
アウトバウンド すべて CIDR ブロック 172.16.0.0/20 任意
VPC仮想サーバーサブネット上のVPN配信ルートのNACLルール
インバウンド/アウトバウンドのルール プロトコル 送信元 IP 送信元ポート 宛先 IP 宛先ポート
インバウンド すべて 172.16.0.0/20 任意 10.240.128.0/24 任意
アウトバウンド すべて 10.240.128.0/24 任意 172.16.0.0/20 任意

translate ルートアクションを持つVPNトラフィックのルール

VPN 変換経路のルールは、送信経路の場合とほとんど同じです。 唯一の違いは、パケットの送信元 IP が VPN サーバーのプライベート IP に変換されることです。 そのため、VPNサーバーのクライアントIPプールではなく、VPNサーバーのサブネットを使用する必要があります。

VPNサーバーのプロビジョニング時に複数のサブネットを選択した場合は、すべてのサブネットをセキュリティグループとNACLルールに含める必要があります。

VPN サーバーの VPN 変換経路のセキュリティー・グループ・ルール
インバウンド/アウトバウンドのルール プロトコル 送信元/宛先タイプ ソース
インバウンド すべて CIDR ブロック VPN route destination CIDR 任意
アウトバウンド すべて CIDR ブロック VPN route destination CIDR 任意
VPNサーバーのサブネット上のVPNトランスレート・ルートのNACLルール
インバウンド/アウトバウンドのルール プロトコル 送信元 IP 送信元ポート 宛先 IP 宛先ポート
インバウンド すべて VPN route destination CIDR 任意 VPN server subnet CIDR 任意
アウトバウンド すべて VPN server subnet CIDR 任意 VPN route destination CIDR 任意

通常、VPN 変換経路の宛先は VPC の外にあります。 たとえば、VPN サーバーを使用して IBM classic infrastructure virtual server instance にアクセスしたいとします。 同時に、VPNクライアントからのトラフィックをブロックしないように、宛先にファイアウォールルールを設定する必要があります。

例えば、VPN サーバーのプロビジョニング時にサブネット 10.240.64.0/24 および 10.240.129.0/24 を使用する場合、 IBM クラシック・インフラストラクチャー内にサブネット 10.187.190.0/26 があり、VPN クライアントからクラシック仮想サーバー・インスタンスにアクセスする必要があります。 次に、宛先を指定してVPNルートを作成する必要があります: 10.187.190.0/26 アクション translate そして、以下のようにセキュリティグループとNACLルールを設定する:

VPN サーバーの VPN 変換経路のセキュリティー・グループ・ルール
インバウンド/アウトバウンドのルール プロトコル 送信元/宛先タイプ ソース
インバウンド すべて CIDR ブロック 10.187.190.0/26 任意
アウトバウンド すべて CIDR ブロック 10.187.190.0/26 任意
VPNサーバーのサブネット上のVPNトランスレート・ルートのNACLルール
インバウンド/アウトバウンドのルール プロトコル 送信元 IP 送信元ポート 宛先 IP 宛先ポート
インバウンド すべて 10.187.190.0/26 任意 10.240.64.0/24 任意
インバウンド すべて 10.187.190.0/26 任意 10.240.129.0/24 任意
アウトバウンド すべて 10.240.64.0/24 任意 10.187.190.0/26 任意
アウトバウンド すべて 10.240.129.0/24 任意 10.187.190.0/26 任意
ターゲット・ファイアウォール・デバイスの VPN 変換経路のファイアウォール・ルール (オプション)
インバウンド/アウトバウンドのルール プロトコル 送信元 IP 送信元ポート 宛先 IP 宛先ポート
インバウンド すべて 10.240.64.0/24 任意 10.187.190.0/26 任意
インバウンド すべて 10.240.129.0/24 任意 10.187.190.0/26 任意
アウトバウンド すべて 10.187.190.0/26 任意 10.240.64.0/24 任意
アウトバウンド すべて 10.187.190.0/26 任意 10.240.129.0/24 任意