SBクラウド株式会社logo

リモートアクセス用「IPsec-VPN Server」がリリースされたので、早速試してみた。

f:id:sbc_saito:20210927165611p:plain (2021年9月27日掲載)
皆様こんにちは! プロダクト技術課の斎藤です。

先日Alibaba Cloudの新ネットワークプロダクトとしてリモートアクセス用の「IPsec-VPN Server」がローンチしたので
従来のVPN Gatewayとの違いも整理しつつ、触っていきたいと思います。

リモートアクセス用のIPsec-VPN?

従来のVPN Gatewayが内包するIPsec-VPNは
主にルータなどのネットワーク機器とAlibaba CloudのVPN Gatewayをサイト間VPN接続するための機能でした。
一方で今回は、iOS等に標準搭載されているリモートアクセス用のクライアントとAlibaba CloudのVPN Gatewayをポイント対サイトVPN接続するためのプロダクトとなります。
イメージ的にはVPN GatewayのSSL-VPNに近いですね。 f:id:sbc_saito:20210927132925p:plain

メリット

OS標準搭載のVPNクライアントが利用できるため、別途VPNクライアントソフトの導入が不要です。
ここがVPN Gateway SSL-VPNとの大きな違いとなります。 特に中国国内ではモバイルOS用OpenVPNクライアントソフト等の入手が困難であり、標準搭載のVPNクライアントが活用できる方式のため貴重かもしれません。
また、アプリストア用のID用意が不要だったり、MDM等によるプロファイル配布も他のVPNソリューションと比較するとケアが少なくて済む分
運用面でも嬉しいポイントですね。

IPsec-VPN Serverの作成

まずは購入です。
VPN Gatewayインスタンスの作成から始めましょう。


リージョン:上海
ピーク帯域:10Mbps
IPsec-VPN:Disable
SSL-VPN:Enable
SSL接続数:5接続

f:id:sbc_saito:20210927153417p:plain

重要なのはIPsec-VPNはDisableでいいですが、SSL-VPNはEnableにしないといけないところです。
もちろんリモートアクセス用のIPsec-VPN Server機能は技術的にはSSL-VPNではなくIPsecによる暗号化を行っていますが
課金モデルとしてはSSL-VPNと同じの接続数単位となるため、このような仕様となってます。
ややこしいですが重要なポイントです。



VPN Gatewayが作成完了したら、IPsec-VPN Serverの作成です。 左サイドから「IPsec-VPN Server」→「Create IPsec-VPN Server」ボタンをクリック
f:id:sbc_saito:20210927155842p:plain



Name:任意のインスタンス名
VPN Gateway:先ほど作成したVPN Gatewayを選択
Local Network: Alibaba Cloud側のローカルCIDRを入力 複数入力可能です
Client Subnet:IPsec-VPN Serverのクライアントサブネットになります。vSwitchでラップ可能なCIDRブロックを指定します
Pre-Shared Key:任意のパスフレーズを入力
Effective Immediately:Yes

f:id:sbc_saito:20210927153414p:plain

ちなみにVPN GatewayでSSL-VPNをEnableにしていないと、VPN Gatewayの選択時にエラーが表示され進めることが出来ません。
この場合SSL-VPNを有効にするためのインスタンスUpgradeしましょう。 f:id:sbc_saito:20210927153421p:plain

これで作成完了です。

iPhoneで接続テスト

今回はiPhone13を購入したので、早速これを使ってテストしてみたいと思います。
iOS 15.0の最新の環境です。

設定 > VPN > 「VPN構成を追加...」をタップで遷移します。
下記の通りに設定していきましょう。VPN GatewayのIPはAlibaba Cloudコンソールで確認しておきましょう。 シークレットは事前に定義済みのPre-Shared Keyを入力してあげます。
f:id:sbc_saito:20210927161940j:plain

VPN設定が完了したら、VPNの一覧画面から作成したVPN設定をタップし
接続のトグルをタップしてオンにします。 f:id:sbc_saito:20210927162952j:plain

VPN接続が出来たようですので、iPhoneからAlibaba Cloud上のWindows ECSにRDPしてみます。
f:id:sbc_saito:20210927163008p:plain 何ら問題なく簡単に接続できました!

あとがき

VPN Gateway SSL-VPNの場合はAlibaba CloudからOpenVPNプロファイルをダウンロードして端末に配布>インストールしないといけなかったり、別途クライアントソフトが必要だったり少し手間が発生しますが 、今回新たにローンチした「IPsec-VPN Server」を利用すれば非常に簡単にOS標準機能だけで接続できることを確認しました!

残念ながらフルトンネル接続には対応していないようなので、IPsecトンネルの先にインターネットブレークアウトさせたいような場合はプロキシサーバなどと組み合わせることになりそうです。

東京リージョンでも既に展開しているプロダクトなので皆さんも是非お試しくださいね!