ノート:

• このチュートリアルでは、Oracle Cloudへのアクセスが必要です。無料アカウントにサインアップするには、Oracle Cloud Infrastructure Free Tierの開始を参照してください。
• Oracle Cloud Infrastructureの資格証明、テナンシおよびコンパートメントの値の例を使用します。演習を完了するときに、これらの値をクラウド環境に固有の値に置き換えます。

Oracle Cloud Infrastructure上の単一リージョンでのリモート・アクセス用のOpenVPNの設定

イントロダクション

リモートワークとクラウドの導入が増加する中、企業リソースへの安全なアクセスはかつてないほど重要になっています。Remote Access VPNを使用すると、ユーザーはどこからでも組織のネットワークに接続でき、すべてのデータを暗号化して不正アクセスから保護できます。リモート・オフィス、自宅、外出先など、Virtual Private Network(VPN)は、接続がプライベートで安全であることを保証します。

このチュートリアル・シリーズでは、次の図に示すアーキテクチャを構築するプロセスを段階的に説明します。

Oracle Cloud Infrastructure (OCI)のVPN

VPNは、オンプレミス・データ・センター、組織が使用する別のクラウド環境、またはリモート・オフィスとOCIのセットアップ間のセキュアな通信を確立するために不可欠です。OCIには、必要なVPNのタイプが2つあり、それぞれが異なるユースケースに適しています。

• サイト間VPN:ネットワーク全体を接続し、複数のオフィスや支店をOCIと安全にリンクするのに最適です。サイト間VPNは、OCIで使用可能なネイティブ・サービスであり、業界標準のIPSecプロトコルを使用して、既存のインターネット接続を使用して、企業ネットワークおよびサイトからOCIへのプライベートでセキュアな接続を提供します。

• リモート・アクセスVPN (Point-to-Site VPN):ネットワーク全体を相互に接続するサイト間VPNとは異なり、Remote Access VPNは、VPNクライアント・アプリケーションを使用して単一のデバイス(ユーザー)と宛先ネットワーク間のセキュアな接続を確立します。現時点では、OCIはネイティブのリモート・アクセスVPNサービスを提供していません。ただし、コンピュート・インスタンスにデプロイできるOpenVPNなどのマーケットプレイス・イメージを使用することで実現できます。

ノート:このチュートリアルでは、OpenVPNを使用したリモート・アクセスVPNの設定のみに焦点を当てます。

OpenVPNの概要

OpenVPNは広く使用されているVPNソリューションで、様々なニーズに合わせて複数のフレーバーで使用できます。このチュートリアルでは、次のことに焦点を当てます。

• OpenVPN Access Server:ビジネス専用に設計されており、データ通信を保護し、Internet of Things (IoT)を保護し、オンプレミス、データ・センターまたはパブリック・クラウド・リソースへの安全なリモート・アクセスを提供します。Webベースの管理インタフェースを備えており、信頼性の高いエンタープライズ・グレードのVPNを求める企業に最適です。OpenVPNアクセス・サーバーは、2つの同時VPN接続に無料でインストールして使用できます。このチュートリアルでは、マーケットプレイスからOCI Computeインスタンスにデプロイします。

• OpenVPN接続: Windows、macOS、iOSおよびAndroid用の公式VPNクライアント。このチュートリアルを終えるまでには、OpenVPN Connectをインストールし、それを使用してOpenVPN Access Serverに接続し、クラウド内のターゲット・プライベート・リソースへの接続をテストします。

様々なOpenVPN製品の詳細は、どのOpenVPN製品が適していますかを参照してください。

目的

• OCIマーケットプレイスからOpenVPN Access Serverをプロビジョニングし、初期設定を実行します。

• リモート・アクセス用にOpenVPNアクセス・サーバーを構成します。

• OpenVPN (トロント)と同じリージョンでターゲット仮想マシン(VM)にアクセスするために必要なOCIルーティングおよびセキュリティを構成します。

• OpenVPNをPCにインストールし、ターゲットVMへのアクセスをテストします。

チュートリアルの最初の部分の最終アーキテクチャ

次の環境を最初から構築します。

前提条件

• OCIテナンシへのアクセスと、必要なネットワークおよびコンピュート・サービスを管理するための権限。

• VPNの基本的な理解

• OCIネットワークのルーティングとセキュリティとその機能(Virtual Cloud Network (VCN)、ルート表、Dynamic Routing Gateway (DRG)およびセキュリティ・リスト)の基本的な理解。

タスク1: Dynamic Routing Gatewayの作成

• OCIコンソールにログインし、左上隅のハンバーガー・メニュー(≡)をクリックします。

  

  1. 「ネットワーキング」をクリックします。
  2. 「Dynamic Routing Gateway」をクリックします。

  

• 「動的ルーティング・ゲートウェイの作成」をクリックします。

  

  1. DRGの名前を入力します。
  2. 「動的ルーティング・ゲートウェイの作成」をクリックします。

  

• DRGは正常に作成されました。

  

• 各タスクの最後にプロビジョニングするすべてのコンポーネントをアーキテクチャに追加します。今の私たちの環境がどうなっているのかがわかります。

  

タスク2: Spoke Virtual Cloud Networkの設定

タスク2.1: VCNの作成

• 左上隅のハンバーガー・メニュー(≡)をクリックします。

  

  1. 「ネットワーキング」をクリックします。
  2. 「仮想クラウド・ネットワーク」をクリックします。

  

• 「VCNの作成」をクリックします。

  

  1. VCNの名前を入力します。
  2. 10.1.0.0/24に「IPv4 CIDRブロック」と入力します。
  3. 「VCNの作成」をクリックします。

  

• Spoke-VCN-1 VCNは正常に作成されました。

  

タスク2.2: VCNのDRGへのアタッチ

• 「Virtual Cloud Networks Details」ページに移動します。

  1. 「Dynamic Routing Gatewaysアタッチメント」をクリックします。
  2. 「DRGアタッチメントの作成」をクリックします。

  

  1. 添付の「名前」を入力します
  2. 「DRGの場所」として「現在のテナンシ」を選択します。
  3. タスク1で作成したDRGを選択します。
  4. 「DRGアタッチメントの作成」をクリックします。

  

• VCNはDRGに正常にアタッチされました。

  

タスク2.3: プライベート・サブネットの作成

• 「Virtual Cloud Networks Details」ページで、「Create Subnet」をクリックします。

  

  1. サブネットの「名前」を入力します。
  2. 「リージョン」を選択します。
  3. 10.1.0.0/27に「IPv4 CIDRブロック」と入力します。

  

  1. 「ルート表」で「デフォルト・ルート表」を選択します。
  2. 「プライベート・サブネット」を選択します。

  

  1. 「セキュリティ・リスト」で「デフォルト・セキュリティ・リスト」を選択します。
  2. 「サブネットの作成」をクリックします。

  

• プライベート・サブネットは正常に作成されました。

  

タスク2.4: サブネットでのルーティングおよびセキュリティの構成

• 「Virtual Cloud Networks Details」ページで、プライベート・サブネットをクリックします。

  

• 割り当てられたルート表である「ルート表」をクリックします。

  

• 次のルールが追加されていることを確認します。

  • 192.168.0.0/24 - DRG: OpenVPNアクセス・サーバーをDRGに持つHub-Public-Subnet宛のトラフィックをルーティングします。

  

• Spoke-VCN-1サブネットのルーティング部分が終了しました。ここでセキュリティーを実行します。「サブネットの詳細」ページに移動し、割り当てられたセキュリティ・リストをクリックします。

  

• イングレス・トラフィックを許可してください。

  • Hub-Public-Subnet (ICMP、タイプ8)からのエコー要求(pingトラフィック)。これは結局テストのためです。

  

• すべてのエグレス・トラフィックを許可するようにしてください。

  

• 現在の環境はこんな感じです。

  

タスク3: テストVMのプロビジョニング(Target-Instance-1)

タスク3.1: PuTTYキー・ジェネレータを使用したSSHキー・ペアの生成(オプション)

ノート:

1. このチュートリアルでは、PuTTYを使用してSSHキーを生成し、VMにアクセスしていますが、選択した他の同様のツールを自由に使用してください。
2. これは、インスタンスに対してSSHアクセスが必要な場合にのみ必要です。このチュートリアルでは、インスタンスをpingするだけでテストします。

• PuTTYのダウンロードからPuTTYをインストールします。

• PuTTYキー・ジェネレータを開き、「生成」をクリックします。

  

• キーの生成が完了するまで、マウス・カーソルを空白領域の上に置きます。

  

• 「秘密キーの保存」をクリックします。これは、インスタンスにアクセスするときに使用されます。

  

  1. 秘密キー・ファイルの「名前」を入力します。
  2. 「保存」をクリックします。

  

• 公開キーをコピーしてテキスト・ファイルに貼り付けます。VMの作成時に必要です。

  

タスク3.2: Target-Instance-1コンピュート・インスタンスのプロビジョニング

• 左上隅のハンバーガー・メニュー(≡)をクリックします。

  

  1. 「計算」をクリックします。
  2. 「インスタンス」をクリックします。

  

• 「インスタンスの作成」をクリックします。

  

• インスタンスの名前を入力します。

  

• 「イメージとシェイプ」の設定をデフォルトのままにします。

  

• 「プライマリ・ネットワーク」に、次の情報を入力します。

  1. Spoke-VCN-1 VCNを選択します。
  2. プライベート・サブネットを選択します。

  

  1. 「プライベートIPv4アドレスの手動割当て」を選択します。
  2. インスタンス10.1.0.30のプライベートIPv4アドレスを入力します。

  

  1. タスク3.1で生成された公開キーを貼り付けます。
  2. 「作成」をクリックします。

  

ノート: インスタンスへのアクセスを計画していない場合は、前のステップで「SSHキーなし」オプションを選択します。

• Target-Instance-1コンピュート・インスタンスが正常に作成されました。

  

• 現在の環境はこんな感じです。

  

タスク4: ハブVirtual Cloudネットワークの設定

タスク4.1: VCNの作成

• 左上隅のハンバーガー・メニュー(≡)をクリックします。

  

  1. 「ネットワーキング」をクリックします。
  2. 「仮想クラウド・ネットワーク」をクリックします。

  

• 「VCNの作成」をクリックします。

  

  1. VCNの名前を入力します。
  2. 192.168.0.0/16に「IPv4 CIDRブロック」と入力します。
  3. 「VCNの作成」をクリックします。

  

• Hub-VCN VCNは正常に作成されました。

  

タスク4.2: VCNのDRGへのアタッチ

• 「Virtual Cloud Networks Details」ページに移動します。

  1. 「Dynamic Routing Gatewaysアタッチメント」をクリックします。
  2. 「DRGアタッチメントの作成」をクリックします。

  

  1. 添付の「名前」を入力します
  2. 「DRGの場所」として「現在のテナンシ」を選択します。
  3. タスク1で作成したDRGを選択します。
  4. 「DRGアタッチメントの作成」をクリックします。

  

• VCNはDRGに正常にアタッチされました。

  

タスク4.3: インターネット・ゲートウェイの作成

• 「Virtual Cloud Networks Details」ページに移動します。

  1. 「インターネット・ゲートウェイ」をクリックします。
  2. 「インターネット・ゲートウェイの作成」をクリックします。

  

  1. インターネット・ゲートウェイの「名前」を入力します。
  2. 「インターネット・ゲートウェイの作成」をクリックします。

  

• インターネット・ゲートウェイが正常に作成されました。

  

タスク4.4: パブリック・サブネットの作成

• 「Virtual Cloud Networks Details」ページで、「Create Subnet」をクリックします。

  

  1. サブネットの「名前」を入力します。
  2. 「リージョン」を選択します。
  3. 192.168.0.0/24に「IPv4 CIDRブロック」と入力します。

  

  1. 「ルート表」で「デフォルト・ルート表」を選択します。
  2. 「パブリック・サブネット」を選択します。

  

  1. 「セキュリティ・リスト」で「デフォルト・セキュリティ・リスト」を選択します。
  2. 「サブネットの作成」をクリックします。

  

• パブリック・サブネットは正常に作成されました。

  

タスク4.5: サブネットでのルーティングおよびセキュリティの構成

• 「Virtual Cloud Networks Details」ページで、パブリック・サブネットをクリックします。

  

• 割り当てられたルート表である「ルート表」をクリックします。

  

• 次のルールが追加されていることを確認します。

  • 0.0.0.0/0 - IGW:インターネットとの双方向アクセスを行うには、パブリックOpenVPNサーバーにアクセスするためにこれが必要です。

  • 10.1.0.0/27 - DRG:ターゲット・テスト・インスタンスがあるSpoke-Private-Subnet宛てのトラフィックをDRGにルーティングします。

  

• Hub-VCNサブネットのルーティング部分が完了したら、ここでセキュリティーを実行します。「サブネットの詳細」ページに移動し、割り当てられたセキュリティ・リストをクリックします。

  

• OpenVPNアクセス・サーバーに関連するイングレス・トラフィックを許可してください。

  • 任意の場所からのTCPトラフィック(ポート443およびポート943)。
  • 任意の場所からのUDPトラフィック(ポート1194)。

  

• すべてのエグレス・トラフィックを許可するようにしてください。

  

• 現在の環境はこんな感じです。

  

タスク5: OpenVPNアクセス・サーバーのプロビジョニングおよび構成

タスク5.1: マーケットプレイスからのOpenVPNのプロビジョニング

• 左上隅のハンバーガー・メニュー(≡)をクリックします。

  

  1. 「マーケットプレイス」をクリックします。
  2. 「All Applications」をクリックします。

  

  1. 検索バーにOpenVPNと入力します。
  2. OpenVPN Access Server BYOLを選択します。

  

  1. このイメージでは、FREEに対して2つの同時接続を取得することに注意してください。
  2. 「バージョン」を選択します。
  3. 「インスタンスの起動」をクリックします。

  

• インスタンスの名前を入力します。

  

• 「イメージとシェイプ」の設定をデフォルトのままにします。

  

• 「プライマリ・ネットワーク」に、次の情報を入力します。

  1. Hub-VCN VCNを選択します。
  2. パブリック・サブネットを選択します。

  

  1. 「プライベートIPv4アドレスの手動割当て」を選択します。
  2. インスタンスのプライベートIPv4アドレスとして192.168.0.2と入力します。
  3. 「パブリックIPv4アドレスの自動割当て」を選択します。

  

  1. タスク3.1で生成された公開キーを貼り付けます。
  2. 「作成」をクリックします。

  

• OpenVPNコンピュート・インスタンスが正常に作成されました。

  1. インスタンスのパブリックIPアドレスを書き留めます。
  2. デフォルトの「ユーザー名」はubuntuです。ただし、インスタンスにログインする際には使用しません。

  

タスク5.2: PuTTYからOpenVPN VMにアクセスし、初期設定を完了する

• PuTTY構成を開きます。

  1. 「資格証明」をクリックします。
  2. タスク3.1でダウンロードした秘密キーをアップロードします。

  

  1. 「セッション」をクリックします。
  2. 次の情報を入力します
     • ホスト名: OpenVPNインスタンスのパブリックIPアドレスを入力します。
     • 接続タイプ: 「SSH」を選択します。
     • ポート: 22を入力します。
  3. 「開く」をクリックします。

  

• 「承諾」をクリックします。

  

• 「ユーザー名」にopenvpnasと入力します。

  

  1. 条件に同意するには、「はい」を入力します。
  2. 複数のアクセス・サーバーを使用しない場合は、[Enter]を押します。
  3. [Enter]を押します。

  

  1. [Enter]を押してデフォルト・アルゴリズム(RSA)を選択します。
  2. [Enter]を押して、デフォルトのキー・サイズ(2048)を選択します。
  3. [Enter]を押してデフォルト・アルゴリズム(RSA)を選択します。

  

  1. [Enter]を押して、デフォルトのキー・サイズ(2048)を選択します。
  2. [Enter]を押して、デフォルトのポート番号(943)を選択します。
  3. [Enter]を押して、デフォルトのポート番号(443)を選択します。
  4. 確認するには、Enterを押します。
  5. 確認するには、Enterを押します。
  6. 確認するには、Enterを押します。

  

  1. [Enter]を押して、管理UIにログインするときにデフォルトのユーザー名としてopenvpnを使用します。
  2. 新しいパスワードを入力し、[Enter]を押します。
  3. パスワードを再度入力し、[Enter]を押します。
  4. [Enter]を押します。

  

  1. 構成が完了します。
  2. 管理UIのURL (https://192.168.0.2:943/admin)を書き留めます。
  3. クライアントUIのURL (https://192.168.0.2:943/)を書き留めます。

  ノート:次のスクリーンショットに示すプライベートのIPアドレスではなく、パブリックIPアドレスを使用して管理UIにアクセスします。

  

タスク5.3: リモート・アクセスの構成

• ブラウザ・タブを開きます。

  1. 次のURLにアクセスします: https://<publicip>/admin。<publicip>を、作成したOpenVPNインスタンスのパブリックIPアドレスに置き換えてください。
  2. 「詳細設定」をクリックします。
  3. 「続行」をクリックします。

  

  1. 「ユーザー名」にopenvpnと入力します。
  2. パスワードを入力します。
  3. 「サイン・イン」をクリックします。

  

• 「同意」をクリックします。

  

• 前述したように、2つの無料のVPN接続が同時に付与されます。

  

  1. 「構成」をクリックします。
  2. 「ネットワーク設定」をクリックします。
  3. OpenVPNインスタンスのパブリックIPアドレスを「ホスト名またはIPアドレス」に入力します。
  4. 「設定を保存」をクリックします。

  

• 「実行中のサーバーの更新」をクリックします。

  

  1. 「構成」をクリックします。
  2. 「VPN設定」をクリックします
  3. 「ルーティング」で、VPNを介してアクセスする予定のSpoke-VCN-1 (10.1.0.0/27)のプライベート・サブネットを追加します。
  4. 「設定を保存」をクリックします。

  

• 「実行中のサーバーの更新」をクリックします。

  

• デバイスのOpenVPNクライアントからVPNに接続する際に使用するユーザー名を設定します。

  1. 「ユーザー管理」をクリックします。
  2. 「ユーザー権限」をクリックします。
  3. 新しい「ユーザー名」を入力します。
  4. 「自動ログインの許可」を選択します。
  5. 「詳細設定」をクリックします。
  6. 「パスワード」を入力します。
  7. 「設定を保存」をクリックします。

  

• 「実行中のサーバーの更新」をクリックします。

  

• ユーザー名は正常に作成されました。

  

• これで、すべてのコンポーネントがアーキテクチャに示されているようにプロビジョニングされ、テストの準備が整いました。

  

タスク6: テストと検証

• 次の図は、完了するテスト・シナリオを示しています。

  

タスク6.1: OpenVPN接続のインストール

• OpenVPN Connect for Windowsから、ローカル・マシンでOpenVPN Connectをダウンロードします。

  

  1. ダウンロードした.msiファイルを実行します。
  2. 「次」をクリックします。

  

  1. 「I accept the terms in the License Agreement」を選択します。
  2. 「次」をクリックします。

  

• 「インストール」をクリックします

  

• 「終了」をクリックします。

  

タスク6.2: OpenVPN接続の設定

• 「同意」をクリックします。

  

  1. 「サーバー・アドレスまたはクラウドIDの入力」で、OpenVPNサーバーのパブリックIPアドレスをhttps://<publicip>として入力します。
  2. 「次」をクリックします。

  

• 「承諾」をクリックします。

  

• 「プロファイルのインポート」で、タスク5.3で指定したプロファイル情報を使用します。

  1. 「ユーザー名」を入力します。
  2. 「パスワード」を入力します。
  3. 「プロファイル名」は自動的に入力されます。
  4. 「自動ログイン・プロファイルのインポート」を選択します。
  5. 「インポート後に接続」を選択します。
  6. 「インポート」をクリックします。

  

  1. 現在CONNECTEDです。
  2. VPNを介して接続すると、インターネットから切断されることに注意してください。

  

タスク6.3: Ping Target-Instance-1インスタンス

• Ping Target-Instance-1 (10.1.0.30)。ご覧の通り、テストは成功です。

  

• テストが終了したらVPNをオフにします。

  

• 「確認」をクリックします。

  

• 現在 DISCONNECTEDです。

  

• pingを再試行すると、pingが失敗することに気付きます。

  

• スポーク・サブネット・ログをチェックすると、OpenVPN (192.168.0.2)からTarget-Instance-1 (10.1.0.30)までのトラフィックと、返されたレスポンスを確認できます。

  

次のステップ

チュートリアル「Oracle Cloud Infrastructure上の複数のリージョンにわたるリモート・アクセス用のOpenVPNの設定」の2番目の部分では、同じ設定を拡張して、リモート・ピアリング接続に接続する別のリージョンを含めます。必要なネットワーク構成を設定した後、同じOpenVPNアクセス・サーバーを使用して、新しいディザスタ・リカバリ・リージョンのリソースに接続します。

承認

• 作成者 - Anas abdallah (クラウド・ネットワーキング・スペシャリスト)

その他の学習リソース

docs.oracle.com/learnの他のラボを確認するか、Oracle Learning YouTubeチャネルで無料のラーニング・コンテンツにアクセスしてください。また、education.oracle.com/learning-explorerにアクセスしてOracle Learning Explorerになります。

製品ドキュメントについては、Oracle Help Centerを参照してください。

---

タイトルおよび著作権情報

Set up OpenVPN for Remote Access in a Single Region on Oracle Cloud Infrastructure

G27742-02

Copyright ©2025, Oracle and/or its affiliates.