オンプレミス環境とクラウドを接続してみよう！～3.IPSec VPN接続の構築～

クラウドを使い始めたいけど、何から始めたらいいの？と困っている方は多いはず。
そんな方への情報収集のネタとして、アシスト社内にあるオンプレミス環境とOracle Cloudを接続するために実施した経験を共有します。
これからクラウドを利用したいという方のお役に立てれば幸いです。

はじめに

前回は、オンプレミス環境とOracle Cloudを接続するためのOracle Cloudの基本構成を用意しました。
今回は、Oracle CloudとVPN接続を構築します。

Oracle CloudにVPN接続を作成し、オンプレミス環境のルータの設定を行います。
そして、オンプレミス環境のノートパソコンとOracle Cloud側のコンピュート・インスタンスを使って疎通確認を行います。

環境構成図

目指すゴールの形は以下の図になります。

作業工程

作業工程を記載します。

1. 配線（オンプレミス側）
2. Oracle CloudにCPEを作成
3. Oracle CloudにVPN接続を作成
4. オンプレミス側のルータ設定
5. 疎通確認

1. 配線（オンプレミス側）

オンプレミス側のルータ周辺の配線をします。

今回は、YAMAHAのRTX830を使用します。

2. Oracle CloudにCPEを作成

Oracle CloudにCPEを作成します。
CPEとは、Customer Premises Equipmentの略で顧客構内機器を意味します。
つまり、オンプレミス側に設置しているルータのことを指します。
ルータに付与するパブリックIPアドレスの設定や、ベンダー（メーカー）やファームウェアバージョンなどを登録します。

動画内の設定値

項目	設定値	備考
名前	CPE_YAMAHA_RTX830
コンパートメント	Compartment_01
パブリックIPアドレス	X.X.X.X ※セキュリティの観点から、マスクしています。	ISPから割り当てられた固定のグローバルIPアドレス。今回の場合は、NUROを契約した際に発行されたものを使います。
CPEベンダー	YAMAHA
プラットフォームバージョン	RTX RTX830 Firmware Rev.15.02.03	実機のファームウェアと一致するものが選択肢にない場合は、近いバージョンのものを選択します。選択リストにあるものはOracle社が動作検証を行ったバージョンであり、一致していなくても動作に問題はありません。

3. Oracle CloudにVPN接続を作成

Oracle CloudにVPN接続を作成します。
上記で作成したCPEとの紐付けや、VPNトンネルに付与するIPアドレスなどを設定します。

動画内の設定値

項目	設定値
コンパートメント	Compartment_01
名前	VPN_01
顧客構内機器コンパートメント	Compartment_01
顧客構内機器	CPE_YAMAHA_RTX830
動的ルーティング・ゲートウェイ・コンパートメント	Compartment_01
動的ルーティング・ゲートウェイ	DRG_01

動画内の設定値（拡張オプション内のトンネル設定情報）

VPNトンネル	項目	設定値	備考
トンネル1	名前	Tunnel1
	共有シークレット (事前共有キーとも呼ばれる)	ZfF4Lj2lqTVPYS0P23Yphd22PN2zTGizjcrim16IsaMOAnSleO9QnnEA65qSDptd	Oracle Cloudで自動発行されます
	IKEバージョン	IKEv1
	ルーティングタイプ	BGP動的ルーティング
	BGP ASN	64512	プライベートAS番号を使用
	トンネルIPアドレス(CPE側)	10.0.0.16/31	マスク長が/30か/31の小さいネットワーク・アドレスを指定
	トンネルIPアドレス(Oracle Cloud側)	10.0.0.17/31	マスク長が/30か/31の小さいネットワーク・アドレスを指定
トンネル2	名前	Tunnel2
	共有シークレット (事前共有キーとも呼ばれる)	v8cppI6cv4x2BkzQDCgYWVLRknDlMOvylhIAbCef667SSXB4ITo0U9v9M0uQc0cJ	Oracle Cloudで自動発行されます
	IKEバージョン	IKEv1
	ルーティングタイプ	BGP動的ルーティング
	BGP ASN	64512	プライベートAS番号を使用
	トンネルIPアドレス(CPE側)	10.0.1.16/31	マスク長が/30か/31の小さいネットワーク・アドレスを指定
	トンネルIPアドレス(Oracle Cloud側)	10.0.1.17/31	マスク長が/30か/31の小さいネットワーク・アドレスを指定

4. オンプレミス側のルータ設定

オンプレミス側のルータ設定を行います。
ルータと作業用端末をシリアルケーブルで接続します。
端末ソフトウェアにTera Termを使用しています。

動画内の設定値

console columns 4096
console lines infinity
login timer clear
ip route default gateway x.x.x.x　　　※セキュリティの観点から、マスクしています。
ip route 172.35.0.0/16 gateway tunnel 1 hide gateway tunnel 2 hide
ip lan1 address 192.168.200.254/24
ip lan2 address x.x.x.x/24　　　　　　※セキュリティの観点から、マスクしています。
ip lan2 nat descriptor 1
tunnel select 1
description tunnel OCI-VPN1
ipsec tunnel 1
ipsec sa policy 1 1 esp aes256-cbc sha-hmac
ipsec ike duration ipsec-sa 1 3600
ipsec ike duration isakmp-sa 1 28800
ipsec ike encryption 1 aes256-cbc
ipsec ike group 1 modp1536
ipsec ike hash 1 sha256
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on dpd 5 4
ipsec ike local address 1 x.x.x.x　　　※セキュリティの観点から、マスクしています。
ipsec ike local id 1 0.0.0.0/0
ipsec ike nat-traversal 1 on
ipsec ike pfs 1 on
ipsec ike pre-shared-key 1 text ZfF4Lj2lqTVPYS0P23Yphd22PN2zTGizjcrim16IsaMOAnSleO9QnnEA65qSDptd
ipsec ike remote address 1 140.204.10.55
ipsec ike remote id 1 0.0.0.0/0
ip tunnel address 10.0.0.16/31
ip tunnel remote address 10.0.0.17
ip tunnel tcp mss limit auto
tunnel enable 1
tunnel select 2
description tunnel OCI-VPN2
ipsec tunnel 2
ipsec sa policy 2 2 esp aes256-cbc sha-hmac
ipsec ike duration ipsec-sa 2 3600
ipsec ike duration isakmp-sa 2 28800
ipsec ike encryption 2 aes256-cbc
ipsec ike group 2 modp1536
ipsec ike hash 2 sha256
ipsec ike keepalive log 2 off
ipsec ike keepalive use 2 on dpd 5 4
ipsec ike local address 2 x.x.x.x　　　※セキュリティの観点から、マスクしています。
ipsec ike local id 2 0.0.0.0/0
ipsec ike nat-traversal 2 on
ipsec ike pfs 2 on
ipsec ike pre-shared-key 2 text v8cppI6cv4x2BkzQDCgYWVLRknDlMOvylhIAbCef667SSXB4ITo0U9v9M0uQc0cJ
ipsec ike remote address 2 140.204.10.58
ipsec ike remote id 2 0.0.0.0/0
ip tunnel address 10.0.1.16/31
ip tunnel remote address 10.0.1.17
ip tunnel tcp mss limit auto
tunnel enable 2
bgp use on
bgp autonomous-system 64512
bgp log neighbor
bgp neighbor 1 31898 10.0.0.17 hold-time=180 local-address=10.0.0.16
bgp neighbor 2 31898 10.0.1.17 hold-time=180 local-address=10.0.1.16
bgp router id 10.0.0.16
bgp import filter 1 include 192.168.200.0/24
bgp import 31898 static filter 1
bgp export filter 1 include 0.0.0.0/0
bgp export 31898 filter 1
ipsec auto refresh on
telnetd service on
telnetd host lan
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.200.1-192.168.200.10/24
dns server 118.238.201.33 118.238.201.49
statistics traffic on

動画内の使用コマンド（YAMAHA RTX830のコマンド）

コマンド	意味
administrator	管理者ユーザに移行するコマンド
cold start	ルータの設定を工場出荷時状態に戻すコマンド
show config	全ての設定内容を表示するコマンド
save	設定した内容を保存するコマンド
restart	ルータを再起動するコマンド
show ipsec sa	IPSec SA（Security Association）を表示するコマンド
show status bgp neighbor	BGP状態を表示するコマンド
show ip route	経路情報テーブルを表示するコマンド

5. 疎通確認

オンプレミスにあるノートパソコンから、Oracle Cloud上のコンピュート・インスタンスとDBシステムへの疎通確認を行います。

コンピュート・インスタンスとDBシステムのIPアドレス確認手順

VPN接続の動作確認

動画内の使用コマンド（YAMAHA RTX830のコマンド）

コマンド	意味	備考
ping -sa XXX YYY	XXXのIPアドレスから、YYYのIPアドレスに対してpingコマンドを発行	ルータには2つのIPアドレス（オンプレミス側とインターネット側）があるため、XXXにIPアドレスを明示的に指定することで疎通確認が可能

動画内の使用コマンド（Oracle Linuxのコマンド）

コマンド	意味	備考
ifconfig	ネットワークインタフェースの情報を表示するコマンド	自ノードが持つIPアドレスを確認する目的で使用
ping	ICMP（Internet Control Message Protocol）のechoコマンドを利用して、指定した相手先とのネットワーク接続の確認をするコマンド

まとめ

VPN接続の作成は以上となります。
次回は、閉域網接続を作成します。

オンプレミス環境とクラウドを接続してみよう！～4.閉域網接続の構築～

「オンプレミス環境とクラウドを接続してみよう！」連載一覧
　1.オフィス環境準備
　 2.Oracle Cloud環境準備
　 3.IPSec VPN接続の構築
　 4.閉域網接続の構築

執筆者情報

倉岡洋義

学生時代に研究室のSunワークステーションの管理者になったのをきっかけにSIerに就職。
Linux系インフラエンジニアの道を歩みながら，Oracle RACのクラスタリング技術に衝撃を受けてアシストに転職。
Oracle、InfiniDB、Verticaを経て、現在はAWS、Oracle Cloudを担当。
趣味はピアノと筋トレ。...show more

坂本雄一

2017年アシスト入社後、主にVerticaのサポートエンジニアに従事。2020年よりAWS/OracleCloudのフィールドエンジニアとして活動している。...show more

■本記事の内容について
　本記事に示した定義及び条件は変更される場合があります。あらかじめご了承ください。

■商標に関して
　・Oracle®、Java、MySQL及びNetSuiteは、Oracle、その子会社及び関連会社の米国及びその他の国における登録商標です。
　・Amazon Web Services、AWS、Powered by AWS ロゴ、[およびかかる資料で使用されるその他の AWS 商標] は、Amazon.com, Inc. またはその関連会社の商標です。
　　文中の社名、商品名等は各社の商標または登録商標である場合があります。