VPNサーバーで使用するセキュリティグループとNACLの設定
セキュリティ・グループとネットワーク・アクセス制御リスト(NACL)は、VPNサーバが配置されているVPNサーバのサブネット上だけでなく、VPNトンネルを介して通信する他のVPCサブネット上でも設定できます。
VPNサーバーのサブネットにセキュリティグループとNACLを設定する場合は、VPNトンネルのトラフィックを許可するために以下のルールが設定されていることを確認してください。 詳細については、セキュリティー・グループについてとネットワーク ACL のセットアップを参照してください。
VPN サーバーをプロビジョン時にセキュリティー・グループを指定しなかった場合は、VPC のデフォルトのセキュリティー・グループが VPN サーバーに接続されます。 サーバーのプロビジョニング後に、他のセキュリティー・グループを VPN サーバーに接続することができます。
VPN プロトコル・トラフィックのルール
VPN サーバーは、TCP プロトコルまたは UDP プロトコルで実行できます。 VPN サーバーをプロビジョンする時に、プロトコルとポートを指定できます。 セキュリティ・グループ・ルールとNACLを使用して、対応するプロトコルとポートを開く必要があります。
VPNサーバーのセキュリティグループルール
| インバウンド/アウトバウンドのルール |
プロトコル |
送信元/宛先タイプ |
ソース |
値 |
| インバウンド |
VPN server protocol |
CIDR ブロック |
0.0.0.0/0 |
VPN server port |
| アウトバウンド |
VPN server protocol |
CIDR ブロック |
0.0.0.0/0 |
VPN server port |
VPNサーバーのNACLルール
| インバウンド/アウトバウンドのルール |
プロトコル |
送信元 IP |
送信元ポート |
宛先 IP |
宛先ポート |
| インバウンド |
VPN server protocol |
任意 |
任意 |
VPN server subnet |
VPN server port |
| アウトバウンド |
VPN server protocol |
VPN server subnet |
VPN server port |
任意 |
任意 |
例えば、デフォルトでは、VPNサーバーはUDPポート 443 で実行されるため、セキュリティ・グループとNACLルールを以下のように設定する必要がある:
デフォルトのプロトコルとポートを持つVPNサーバーのセキュリティグループルールの設定情報
| インバウンド/アウトバウンドのルール |
プロトコル |
送信元/宛先タイプ |
ソース |
値 |
| インバウンド |
UDP |
CIDR ブロック |
0.0.0.0/0 |
443 |
| アウトバウンド |
UDP |
CIDR ブロック |
0.0.0.0/0 |
443 |
デフォルトのプロトコルとポートを持つVPNサーバーのNACLの設定情報
| インバウンド/アウトバウンドのルール |
プロトコル |
送信元 IP |
送信元ポート |
宛先 IP |
宛先ポート |
| インバウンド |
UDP |
任意 |
任意 |
VPN server subnet |
443 |
| アウトバウンド |
UDP |
VPN server subnet |
443 |
任意 |
任意 |
deliver ルートアクションを持つVPNトラフィックのルール
クライアントが VPN サーバーに接続されると、VPN サーバーはデフォルトでクライアントからのすべてのトラフィックを除去します。 このトラフィックを許可するには、VPN サーバーで VPN 経路を構成する必要があります。 ルートのアクションは deliver か translate のどちらかである。
- アクションが
deliver の場合は、パケットがトンネルから復号された後に直接転送されるので、パケットの送信元 IP が VPN クライアントの IP (つまり、クライアント IP プールからの IP) になります。
- アクションが
translate の場合は、パケットがトンネルから復号された後に、パケットの送信元 IP が VPN サーバーのプライベート IP に変換されてからパケットが送信されます。
セキュリティグループとNACLルールを作成するときに、どのCIDRを指定すべきかに注意すること。
VPNサーバー上のVPN配信ルートのセキュリティグループルール
| インバウンド/アウトバウンドのルール |
プロトコル |
送信元/宛先タイプ |
ソース |
値 |
| インバウンド |
すべて |
CIDR ブロック |
VPN route destination CIDR |
任意 |
| アウトバウンド |
すべて |
CIDR ブロック |
VPN route destination CIDR |
任意 |
VPNサーバーサブネット上のVPN配信ルートのNACLルール
| インバウンド/アウトバウンドのルール |
プロトコル |
送信元 IP |
送信元ポート |
宛先 IP |
宛先ポート |
| インバウンド |
すべて |
VPN route destination CIDR |
任意 |
VPN server client IP pool |
任意 |
| アウトバウンド |
すべて |
VPN server client IP pool |
任意 |
VPN route destination CIDR |
任意 |
同時に、VPC仮想サーバー上でセキュリティグループとNACLを設定し、VPNクライアントからのトラフィックのブロックを解除する必要があります:
VPC仮想サーバーインターフェイス上のVPN配信ルートのセキュリティグループルール
| インバウンド/アウトバウンドのルール |
プロトコル |
送信元/宛先タイプ |
ソース |
値 |
| インバウンド |
すべて |
CIDR ブロック |
VPN server client IP pool |
任意 |
| アウトバウンド |
すべて |
CIDR ブロック |
VPN server client IP pool |
任意 |
VPC仮想サーバーサブネット上のVPN配信ルートのNACLルール
| インバウンド/アウトバウンドのルール |
プロトコル |
送信元 IP |
送信元ポート |
宛先 IP |
宛先ポート |
| インバウンド |
すべて |
VPN server client IP pool |
任意 |
VPN route destination CIDR |
任意 |
| アウトバウンド |
すべて |
VPN route destination CIDR |
任意 |
VPN server client IP pool |
任意 |
例えば、VPN サーバーのプロビジョン時にクライアント IP プールとして 172.16.0.0/20 を使用し、VPN クライアントからサブネット 10.240.128.0/24 のリソースにアクセスする場合は、宛先 10.240.128.0/24 とアクション deliver を使用して VPN 経路を作成する必要があります。 また、セキュリティグループとNACLルールを以下のように設定する必要がある:
VPNサーバー上のVPN配信ルートのセキュリティグループルール
| インバウンド/アウトバウンドのルール |
プロトコル |
送信元/宛先タイプ |
ソース |
値 |
| インバウンド |
すべて |
CIDR ブロック |
10.240.128.0/24 |
任意 |
| アウトバウンド |
すべて |
CIDR ブロック |
10.240.128.0/24 |
任意 |
VPNサーバーサブネット上のVPN配信ルートのNACLルール
| インバウンド/アウトバウンドのルール |
プロトコル |
送信元 IP |
送信元ポート |
宛先 IP |
宛先ポート |
| インバウンド |
すべて |
10.240.128.0/24 |
任意 |
172.16.0.0/20 |
任意 |
| アウトバウンド |
すべて |
172.16.0.0/20 |
任意 |
10.240.128.0/24 |
任意 |
VPC仮想サーバー上のVPN配信ルートのセキュリティグループルール
| インバウンド/アウトバウンドのルール |
プロトコル |
送信元/宛先タイプ |
ソース |
値 |
| インバウンド |
すべて |
CIDR ブロック |
172.16.0.0/20 |
任意 |
| アウトバウンド |
すべて |
CIDR ブロック |
172.16.0.0/20 |
任意 |
VPC仮想サーバーサブネット上のVPN配信ルートのNACLルール
| インバウンド/アウトバウンドのルール |
プロトコル |
送信元 IP |
送信元ポート |
宛先 IP |
宛先ポート |
| インバウンド |
すべて |
172.16.0.0/20 |
任意 |
10.240.128.0/24 |
任意 |
| アウトバウンド |
すべて |
10.240.128.0/24 |
任意 |
172.16.0.0/20 |
任意 |
translate ルートアクションを持つVPNトラフィックのルール
VPN 変換経路のルールは、送信経路の場合とほとんど同じです。 唯一の違いは、パケットの送信元 IP が VPN サーバーのプライベート IP に変換されることです。 そのため、VPNサーバーのクライアントIPプールではなく、VPNサーバーのサブネットを使用する必要があります。
VPNサーバーのプロビジョニング時に複数のサブネットを選択した場合は、すべてのサブネットをセキュリティグループとNACLルールに含める必要があります。
VPN サーバーの VPN 変換経路のセキュリティー・グループ・ルール
| インバウンド/アウトバウンドのルール |
プロトコル |
送信元/宛先タイプ |
ソース |
値 |
| インバウンド |
すべて |
CIDR ブロック |
VPN route destination CIDR |
任意 |
| アウトバウンド |
すべて |
CIDR ブロック |
VPN route destination CIDR |
任意 |
VPNサーバーのサブネット上のVPNトランスレート・ルートのNACLルール
| インバウンド/アウトバウンドのルール |
プロトコル |
送信元 IP |
送信元ポート |
宛先 IP |
宛先ポート |
| インバウンド |
すべて |
VPN route destination CIDR |
任意 |
VPN server subnet CIDR |
任意 |
| アウトバウンド |
すべて |
VPN server subnet CIDR |
任意 |
VPN route destination CIDR |
任意 |
通常、VPN 変換経路の宛先は VPC の外にあります。 たとえば、VPN サーバーを使用して IBM classic infrastructure virtual server instance にアクセスしたいとします。 同時に、VPNクライアントからのトラフィックをブロックしないように、宛先にファイアウォールルールを設定する必要があります。
例えば、VPN サーバーのプロビジョニング時にサブネット 10.240.64.0/24 および 10.240.129.0/24 を使用する場合、 IBM クラシック・インフラストラクチャー内にサブネット 10.187.190.0/26 があり、VPN クライアントからクラシック仮想サーバー・インスタンスにアクセスする必要があります。 次に、宛先を指定してVPNルートを作成する必要があります: 10.187.190.0/26 アクション translate そして、以下のようにセキュリティグループとNACLルールを設定する:
VPN サーバーの VPN 変換経路のセキュリティー・グループ・ルール
| インバウンド/アウトバウンドのルール |
プロトコル |
送信元/宛先タイプ |
ソース |
値 |
| インバウンド |
すべて |
CIDR ブロック |
10.187.190.0/26 |
任意 |
| アウトバウンド |
すべて |
CIDR ブロック |
10.187.190.0/26 |
任意 |
VPNサーバーのサブネット上のVPNトランスレート・ルートのNACLルール
| インバウンド/アウトバウンドのルール |
プロトコル |
送信元 IP |
送信元ポート |
宛先 IP |
宛先ポート |
| インバウンド |
すべて |
10.187.190.0/26 |
任意 |
10.240.64.0/24 |
任意 |
| インバウンド |
すべて |
10.187.190.0/26 |
任意 |
10.240.129.0/24 |
任意 |
| アウトバウンド |
すべて |
10.240.64.0/24 |
任意 |
10.187.190.0/26 |
任意 |
| アウトバウンド |
すべて |
10.240.129.0/24 |
任意 |
10.187.190.0/26 |
任意 |
ターゲット・ファイアウォール・デバイスの VPN 変換経路のファイアウォール・ルール (オプション)
| インバウンド/アウトバウンドのルール |
プロトコル |
送信元 IP |
送信元ポート |
宛先 IP |
宛先ポート |
| インバウンド |
すべて |
10.240.64.0/24 |
任意 |
10.187.190.0/26 |
任意 |
| インバウンド |
すべて |
10.240.129.0/24 |
任意 |
10.187.190.0/26 |
任意 |
| アウトバウンド |
すべて |
10.187.190.0/26 |
任意 |
10.240.64.0/24 |
任意 |
| アウトバウンド |
すべて |
10.187.190.0/26 |
任意 |
10.240.129.0/24 |
任意 |