ご利用の前に
Q. SSL VPNとは何ですか?
- VPNは仮想プライベートネットワーク(Virtual Private Network)の略語で、外部からアクセスできないプライベートネットワークにユーザーのパソコンやネットワークなどを接続させる方法をいいます。
- プライベートネットワークとの接続は仮想のトンネルを経由して行われ、その仮想のトンネルをSSL暗号化して保護するのがSSL VPNです。
- 仮想のトンネルを経由してプライベートネットワークと接続されたユーザーのパソコンはプライベートネットワークのルーティングおよびACLポリシーに基づいて内部のサーバにアクセスできます。
Q. NAVERクラウドプラットフォームのSSL VPNサービスとは何ですか?
- SSL VPNサービスは外部からNAVERクラウドプラットフォーム内部に構成された顧客のネットワークへ暗号化されたセキュリティアクセス通信を提供するサービスです。
- SSL VPN環境が構築されていれば、いつでもどこからも盗聴/傍受の心配なく外部から内部のネットワークにアクセスできます。
Q. SSL VPNサービスの使用手順について教えてください。
- コンソールにアクセスした後、次のステップを実行すれば、簡単に申し込んで直ちに使用できます。
- コンソールにアクセス: NAVERクラウドプラットフォームコンソールにアクセスします。
- SSL VPNサービス設定: SSL VPNに外部のアクセスを許可する最大のIDの数、認証方式、VPNアイディなどの情報を登録します。VPNアイディは最大10個まで登録できます。
- SSL VPNサービスの申込み: SSL VPNサービスを申し込みます。サービスの申込みの後、直ちに利用できます。
- クライアントのインストール: NAVERクラウドプラットフォームの資料室からSSL VPN Agentをダウンロードし、外部アクセス用のパソコンにインストールします。
- アクセス: 外部アクセス用のパソコンにインストールされたAgentを実行した後、登録されたVPNアイディを利用してアクセスします。
Q. SSL VPNにアクセスすると、すべてのアクセスは内部のネットワークを経由しますか?
- SSL VPNはスプリットトンネリング(Split Tunneling)をサポートし、内部のプライベートネットワークに向かうアクセスに限って VPNトンネリックを実行します。
- 内部のプライベートネットワークに向かっていないアクセス(インターネットアクセス、他のネットワークへのアクセス)は従来のようにユーザーのパソコンのルーティングに従います。
Q. SSL VPNをコンソールで作成したらSSL VPN IP poolというのが見えますが、これは何ですか?
- SSL VPNは仮想のトンネルを使ってユーザーのパソコンと対象のネットワークを接続するサービスで、SSL VPN IP poolは対象のネットワークからユーザーのパソコンに与えられるIPアドレスです。
- ユーザーのパソコンには28ビットのネットワーク帯域で空いているIPアドレスが自動で与えられます。
- ユーザーのパソコンは対象のVMにアクセスする際、該当のSSL VPN IPアドレスを使うので、ユーザーは予めACGに該当のSSL VPN IP poolを許可するように処理しなければなりません。
Q. ユーザーアカウントの数は何ですか?
- ユーザーはSSL VPN作成の際、最大3/5/10個のVPNアイディを作成できる商品を選択できます。
- 以降、選択した数の範囲内で自由にVPNアイディを作成/削除でき、ユーザーアカウントの数はその内容を表示する項目です。
- 例えは、‘ユーザーアカウントの数(2/3)’のように表記されている場合、ユーザーがVPNアイディを3個作成できる商品を選択し、そのうち2個を作って利用しているという意味です。つまり、このユーザーは1個のVPNアイディを追加で作って利用できます。VPNがもっと必要な場合、SSL VPN商品を追加作成すれば使用できます。
Q. 一次認証方式と二次認証方式の違いは何ですか?
- SSL VPNアクセスの際の認証方式の違いです。
- 一次認証はID/PWのみで認証を受けてログインできる方式です。
- それに比べ、二次認証はMFA(Multi-Factor Authentication)方式で、ID/PWで認証を受けた後、OTPを使ってもう一度認証を受けてログインできる方式です。
- OTPを利用する認証方式はID/PWのみを利用する認証方式よりセキュリティの面で安全です。
- SSL VPNのOTPはユーザーが入力したメールとショートメッセージで送られます。
SSL VPNサービスの申込み
Step 1. コンソールにアクセス
① コンソールにアクセスした後、Security > SSL VPNをクリックします。
② 左上または画面の中央にある SSL VPNを作成をクリックします。
- SSL VPNは必要に応じて2個以上の商品を追加で申込みできます。
Step 2. スペックおよび認証方式の選択
① SSL VPN作成のポップアップウィンドウが開かれたら、まず作成可能なIDの数(3個/5個/10個)で区分されているスペックを選択します。
② VPNサービスの認証方式から一次認証または二次認証を選択します。
- 一次認証はID/PWで認証する方式です。簡単ではありますが、二次認証よりセキュリティ上の安全性が低いです。
二次認証はID/PWで認証した後、OTPで追加認証する方式です。OTPはユーザーのメールおよび携帯電話に送られます。一次認証よりセキュリティ上の安全性が高いです。
ただし、二次認証を使うためにはメールおよび携帯電話番号収集のための個人情報の取扱いに同意しなければなりません。 - 認証方式はSSL VPNサービスを作成した後は変更できないので、慎重に選択してください。
(認証方式を変えたい場合はSSL VPNサービスを削除してから再作成します。)
スペックはスペックを変更をクリックすれば、いつでも変更できます。ただし、スペックによって料金が変更されるので、自分に合うスペックを選択してください。
③ 認証方式として二次認証を使う場合、ID/PWを入力してからOTPをどんなデバイスで受信するかを選択します。ショートメッセージ、メールから選択できます。
④ 作成をクリックするとSSL VPN商品の申込みが完了します。
Step 3. ユーザー設定
認証方式に合わせて次のようにユーザーを設定します。
一次認証
二次認証
① 設定する商品を選択した後、ユーザー設定をクリックします。
② SSL VPNを使うユーザーのユーザー名およびその他の情報を入力してから追加をクリックします。
- SSL VPN作成ウィンドウで一次認証を選択した場合はユーザー名、パスワードを入力し、二次認証を選択した場合はユーザー名、パスワードの他にメールアドレスおよび携帯電話番号も一緒に入力します。
- 選択したスペックによって作成できるユーザー名の数も変わります。
- セキュリティのためにパスワードは8文字以上にし、ローマ字の大文字と小文字、特殊文字、数字の中で3種類以上1文字以上ずつ含くまれなければなりません。
③ 設定が完了したら適用をクリックしてサービスに反映します。
ユーザー名を除くすべての設定は修正可能であり、ユーザー名の追加/削除もユーザー設定でいつでもできます。
SSL VPNサービスの変更
現在選択されたスペック(登録可能なIDの数)の変更
Step 1. コンソールにアクセス
① 設定する商品を選択した後、上段のスペックを変更をクリックします。
Step 2. スペックの選択
② 変更するスペックを選択します。現在のスペックより登録可能なIDの数が少ないスペックに変更する場合、現在登録されたIDの数が変更するスペックのIDの数と同じであるかもっと少なくなければなりません。
③ 変更をクリックします。
10個以上のIDが必要な場合
10個以上のIDが必要な場合はSSL VPN商品を追加で作成します。
登録したID情報の変更
Step 1. コンソールにアクセス
① 設定する商品を選択した後、上段のユーザー設定をクリックします。
Step 2. 情報の変更
② 変更したいIDの右側の修正ボタンをクリックした後、情報を設定します。
Step 3. 保存及び適用
③ 保存をクリックすると、情報が保存されます。変更した情報を保存しない場合はキャンセルをクリックします。
④ 変更が必要なすべてのIDの情報を保存した後、下段の適用をクリックします。
認証方式の変更 – 一次認証/二次認証
一度選択した認証方式は変更できません。そのため、最初のSSL VPN作成の際、認証方式を慎重に選択しなければなりません。
SSL VPNサービスの削除
① 削除する商品を選択した後、左上のSSL VPNを削除をクリックします。
② アラートメッセージを確認してから確認をクリックすると、選択したSSL VPNサービスが削除されます。
ご注意
SSL VPNサービスを削除すると該当の商品で登録したすべてのユーザー名情報が一緒に削除されます。この情報は復元できないので、再びSSL VPNサービスを使うためにはすべての情報を再度入力しなければなりません。
SSL VPN IP poolをACGに登録
Step 1. SSL VPN IP poolの確認
① SSL VPN商品の上段に表記されたSSL VPN IP poolを確認します。
- 一般的に28ビット(16個)のIPブロックで割り当てられています。
Step 2. アクセスしたいVMのACGの確認
② SSL VPNを使ってアクセスしようとするサーバのVMにどんなACGが適用されているのか確認します。
Step 3. ACGに登録
③ Server > ACGメニューでSSL VPN IP poolを登録します。
ご参考
アクセスの形式に合わせて次のプロトコル及びポートACGに登録します。
- ping: ICMPプロトコル登録
- ssh: TCPプロトコルのポート22登録
- Windowsリモートアクセス(RDP): TCPプロトコルのポート3389登録
SSL VPN Agentのインストール
ご参考
他のVPNアクセスが有効になっている状態では他のアクセス環境と衝突が起きる可能性があるので、VPN Agentをインストールすることはお勧めではありません。
Step 0. ネットワークの点検
SSL VPNの円滑な使用のためにファイアウォール、NACなどでsslvpn-kr-01.ncloud.comの443ポートへのアクセスが許可されているのかを確認してください。アクセスが許可されていないと、Agentのインストールおよびサービスの利用に制約がある可能性があります。
Step 1. Agentのダウンロード
① マニュアル(Windows Agent, Mac OS Agent)からSSL VPN Agentをダウンロードします。
Windowsユーザー用のAgentとMACユーザー用のAgentが区分されています。
Step 2. Agentのインストール
② ダウンロードしたAgentをインストールします。
インストールは次のイメージのような順番で行います。
SSL VPN Agentにアクセス
Step 1. Agentの実行
① インストールしたAgent(BIG-IP Edge Client)を実行します。
インストールの場合と同じように、他のVPNアクセスが有効になっている状態でのAgentの実行はお勧めではありません。 衝突の可能性があります。
Step 2. アクセス
② 接続をクリックしてアクセスします。
Step 2-1. オプション
③ サーバの変更: ユーザーがBig-IPを利用した他のSSL VPNサービスを使う場合、このボタンをクリックしてアクセスのパスを変更できます。
④ グラフを見る/隠す: トラフィックの使用量を確認できます。認証した後も閲覧可能です。
⑤ 詳細を見る: 該当のアクセスのパスの詳細情報を確認できます。認証した後も閲覧可能です。
Step 3. 認証
⑥ IDとパスワードを入力して認証を受けます。
Step 3-1. 二次認証
認証方式として二次認証を選択した場合に該当します。
IDとパスワードを入力すると、OTP入力のウィンドウが現れます。しばらく待ってから、携帯電話番号およびメールで転送されたOTPを入力します。
Step 4. 完了
⑦ 認証に成功すると、アクセスが完了します。
グラフを見る、 詳細を見るなどをクリックすれば、さらに詳しい内容を確認できます。
SSL VPN Agentへのアクセスの確認
ネットワークの確認
コンソールウィンドウを実行します。
- Windowsは実行ウィンドウで
cmd
を入力 - macOSはコンソールappを実行
① 現在のユーザーのIP情報を確認します。
- Windowsは
ipconfig
実行 - macOSは
ifconfig
実行
② ユーザーがSSL VPNを作成する際に送られたIP poolに含まれたIPが割り当てられれば、アクセスが正常に完了したのです。
ACGにSSL VPN ip poolに関するルールを登録した場合、ping
, ssh
などのコマンドを使って該当のVMとの通信を確認できます。
ご参考
① SSL VPNはすべてのグローバルリージョンサーバへのアクセスを提供します。
- 韓国リージョンでSSL VPN商品に登録した後、グローバルリージョンサーバにアクセス
② SSL VPN Agentのインストールおよびアクセスの際の注意事項
- SSL VPNはログインの際のみならず、Agentのインストールの際もネットワークへのアクセスが必要です。
- 円滑なAgentのインストールおよびログインのために、必ずファイアウォールあるいはNACなどで
sslvpn-kr-01.ncloud.com:443
アウトバウンドトラフィックが許可されているのかを確認してください。