はじめに
こんにちは、技術3課の紅林です。最近日本の若手の卓球選手の活躍が素晴らしく、いつも楽しく応援させて頂いております。個人的には自分がカットマンであるため、カットマンの選手をひいきして応援していたりします。
さて、今回、Cradlepoint NetCloud(旧Pertino)を構成する時のポイントをまとめてみました。
Cradlepoint NetCloudとは
Cradlepoint社が提供しているクラウド型のVPNサービスです。VPNサーバの設置が不要で、デバイス同士はNetCloudのクライアントアプリケーションをインストールするだけでVPN経由での通信が可能です。
構成のポイント
ルーティングについて
NetCloudをインストールしたデバイスにはVPN接続用の仮想NICが生成され、その仮想NICには172.86.160.0/20からIPアドレスが割り当てられます。このアドレス帯はCradlepoint社が確保しているグローバルIPアドレスであるため、オンプレミスの拠点等のアドレス帯との重複を気にする必要がありません。
さて、VPN接続後のルーティングですが、デフォルトルートは元々接続されていたNWのゲートウェイのままで、NetCloudのセグメント向けのアドレス帯にのみNetCloudのルーティングが向くようになっています。したがって、通常のインターネットアクセスは通常のルート、NetCloudのアドレスへの通信のみVPN経由になります。
セキュリティグループについて
VPC上のインスタンスにNetCloudをインストールした場合、そのインスタンスにNetCloud経由でアクセスするのに最低限必要なセキュリティグループは
- アウトバウンド
— TCP 443
— UDP 12201(システムログ用)
— UDP & TCP 53
のみです。すなわち、外からNetCloudのアドレス経由でインスタンスにアクセスするには、インバウンドのセキュリティグループは不要となります(ただし、最低限上述のポートのインターネットへの接続性は必要です)。実際の運用ではNetCloudの経路とは別に通常のインターネット経由でメンテナンス用にRDP,SSH等のポートは開けておくことになるとは思いますが。
参考: http://knowledgebase.cradlepoint.com/articles/Support/NCE-What-outbound-ports-are-used-by-NCE
アカウントについて
クライアントがVPN接続する場合、認証には大きく以下の2つの方法があります。
- APIキーを用いた方法
— NetCloudアカウント全体で1つしか払い出し出来ない - ユーザアカウントを払い出す方法
— アカウント毎にメールアドレスが必要
— 払い出し時にメール認証が必須
したがって、APIキーの場合はメールアドレスが不要ですが、複数払い出し等が出来ないため、ユーザ管理が出来ません。したがって、
- サーバをNetCloudに接続する場合はAPIキー
- 各ユーザがNetCloudに接続する場合はユーザアカウントの払い出し
を行うのが基本となるかと思います。
おわりに
今回、NetCloudを構成する時のポイントをまとめてみました。
VPNサーバの設置が不要で、アドレス帯のバッティングをほとんど気にしなくていいのはNetCloudの便利なところですね。試してみたい方はぜひサーバーワークスにお問い合わせください。