リモートアクセス用「IPsec-VPN Server」がリリースされたので、早速試してみた。
はじめに
本記事では、Alibaba Cloudの新ネットワークプロダクトとしてリモートアクセス用の「IPsec-VPN Server」がローンチしたので、従来のVPN Gatewayとの違いも整理しつつ、検証してみた結果をご紹介します。
リモートアクセス用のIPsec-VPN
従来のVPN Gatewayが内包するIPsec-VPNは
主にルータなどのネットワーク機器とAlibaba CloudのVPN Gatewayをサイト間VPN接続するための機能でした。
一方で今回は、iOS等に標準搭載されているリモートアクセス用のクライアントとAlibaba CloudのVPN Gatewayをポイント対サイトVPN接続するためのプロダクトとなります。
イメージ的にはVPN GatewayのSSL-VPNに近いですね。
メリット
OS標準搭載のVPNクライアントが利用できるため、別途VPNクライアントソフトの導入が不要です。
ここがVPN Gateway SSL-VPNとの大きな違いとなります。
特に中国国内ではモバイルOS用OpenVPNクライアントソフト等の入手が困難であり、標準搭載のVPNクライアントが活用できる方式のため貴重かもしれません。
また、アプリストア用のID用意が不要だったり、MDM等によるプロファイル配布も他のVPNソリューションと比較するとケアが少なくて済む分
運用面でも嬉しいポイントですね。
IPsec-VPN Serverの作成
まずは購入です。
VPN Gatewayインスタンスの作成から始めましょう。
リージョン:上海
ピーク帯域:10MbpsIPsec-VPN:DisableSSL-VPN:EnableSSL接続数:5接続
重要なのはIPsec-VPNはDisableでいいですが、SSL-VPNはEnableにしないといけないところです。
もちろんリモートアクセス用のIPsec-VPN Server機能は技術的にはSSL-VPNではなくIPsecによる暗号化を行っていますが
課金モデルとしてはSSL-VPNと同じの接続数単位となるため、このような仕様となってます。
ややこしいですが重要なポイントです。
VPN Gatewayが作成完了したら、IPsec-VPN Serverの作成です。
左サイドから「IPsec-VPN Server」→「Create IPsec-VPN Server」ボタンをクリック
Name:任意のインスタンス名
VPN Gateway:先ほど作成したVPN Gatewayを選択Local Network: Alibaba Cloud側のローカルCIDRを入力 複数入力可能ですClient Subnet:IPsec-VPN Serverのクライアントサブネットになります。vSwitchでラップ可能なCIDRブロックを指定しますPre-Shared Key:任意のパスフレーズを入力Effective Immediately:Yes
ちなみにVPN GatewayでSSL-VPNをEnableにしていないと、VPN Gatewayの選択時にエラーが表示され進めることが出来ません。
この場合SSL-VPNを有効にするためのインスタンスUpgradeしましょう。
これで作成完了です。
iPhoneで接続テスト
今回はiPhone13を購入したので、早速これを使ってテストしてみたいと思います。
iOS 15.0の最新の環境です。
設定 > VPN > 「VPN構成を追加...」をタップで遷移します。
下記の通りに設定していきましょう。VPN GatewayのIPはAlibaba Cloudコンソールで確認しておきましょう。
シークレットは事前に定義済みのPre-Shared Keyを入力してあげます。
VPN設定が完了したら、VPNの一覧画面から作成したVPN設定をタップし
接続のトグルをタップしてオンにします。
VPN接続が出来たようですので、iPhoneからAlibaba Cloud上のWindows ECSにRDPしてみます。
何ら問題なく簡単に接続できました!
最後に
VPN Gateway SSL-VPNの場合はAlibaba CloudからOpenVPNプロファイルをダウンロードして端末に配布>インストールしないといけなかったり、別途クライアントソフトが必要だったり少し手間が発生しますが 、今回新たにローンチした「IPsec-VPN Server」を利用すれば非常に簡単にOS標準機能だけで接続できることを確認しました!
残念ながらフルトンネル接続には対応していないようなので、IPsecトンネルの先にインターネットブレークアウトさせたいような場合はプロキシサーバなどと組み合わせることになりそうです。
東京リージョンでも既に展開しているプロダクトなので皆さんも是非お試しくださいね!