零細IT企業経営&2児の父となった、あがたの個人ブログです。

[GCP] Google Cloud PlatformにOpenVPNサーバーを立ててみた

IT

※2017年7月19日追記:こちらの記事は内容をアップデートして会社の技術ブログに転載しました。今後は以下のURLを参照してください。
https://blog.interstellar.co.jp/2017/07/gcp-compute-engine-vpn/

Google Cloud PlatformのCompute Engineでサーバーを立てて、ローカルから操作や管理を行うためにVPNを設定したかったんだけど、Googleで提供されているVPNはIPsecで環境の問題で扱いづらかったため、OpenVPNのサーバーをCompute Engineの仮想マシンで立ててみた。
OpenVPNの設定は通常の設定でよかったんだけど、Google Compute Engine上での制約というか注意点としてメモ。

参考になるドキュメントは以下のオフィシャルのもの。
https://cloud.google.com/compute/docs/networking#settingupvpn

上記ドキュメントの中から、特に注意する点は以下のとおり。

  1. instanceの生成時に、必ず–can-ip-forwardのオプションを設定する。(コンソールの場合、canIpForwardあるいはIP転送をオンに設定)
    結構これは忘れがちな上、後から変更ができないため、やり直すにはinstanceを新たに作る必要があるのでちょっと面倒。
  2. インスタンス個別ではなく、GCP上のネットワークの設定でVPN側ネットワークへのルーティングを追加する。これにより、インスタンス個別でルーティングを設定する必要がない。
    なお上記ドキュメントではVPNゲートウェイをIPアドレスで指定するようにしているが、これはインスタンス名でも設定できたので、この方が柔軟性が高いと思う。
  3. ファイアウォールの設定でVPN側のネットワークからのアクセスを許可。まあこれは当たり前ですね。
    必要最低限の通信を許可するならそれぞれ個別設定、全て通すならtcp:1-65535;udp:1-65535;icmpで指定
  4. 同じくファイアウォールの設定でVPNサーバーへのOpenVPNの使用ポートの外部からのアクセスを許可。まあこれも当たり前。
  5. VPNサーバー上で、sysctlを使用しnet.ipv4.ip_forward=1に設定。まあこれも当たり前ですが、/etc/sysctl.confにnet.ipv4.ip_forward=1を記述しておいても再起動時に反映されないことがあって困ってます。まだ詳しく調べてないのでもしかしたら勘違いかもしれませんが…。
以上のような感じで、物理サーバー上でやるのと違ってちょっと独特なところがありました。特に注意なのはinstance生成時にcanIpForwardを設定することですね。
これに気が付かなくて結構時間使ってしまいました。分かってしまえばなんということはないんですが、気がつかないと無駄に時間使ってしまいますね。

2015.8.28追記

/etc/sysctl.confに書いた記述が反映されない問題ですが、実際には反映はされていて、それが/etc/sysctl.d/以下にある別の設定ファイルで上書きされているのがわかりました。
詳しくは以下の記事。

[GCP] /etc/sysctl.confの設定が反映されないというか、上書きされていた件

Google Compute Engine入門

posted with ヨメレバ
吉積礼敏 KADOKAWA/アスキー・メディアワークス 2014-07-30
Amazon
Kindle
楽天ブックス
honto
紀伊國屋書店
コメント (3)
  1. MS Azure Training in Hyderabad より:
    2019年5月3日 10:23 AM

    Good post..Keep on sharing….
    GCP Training
    Google Cloud Platform Training
    GCP Online Training
    Google Cloud Platform Training In Hyderabad

    返信
  2. Sowmiya R より:
    2020年7月10日 1:25 PM

    Thanks for posting such a good blog it is really useful for everyone.
    Please keep posting the updates.

    Oracle Training in Chennai | Certification | Online Training Course | Oracle Training in Bangalore | Certification | Online Training Course | Oracle Training in Hyderabad | Certification | Online Training Course | Oracle Training in Online | Oracle Certification Online Training Course | Hadoop Training in Chennai | Certification | Big Data Online Training Course

    返信
  3. keerthana より:
    2020年7月24日 3:22 AM

    I am really happy with your blog because your article is very unique and powerful for new reader.Prefer to study this kind of material. Nicely written information in this post,the quality of content is fine and the conclusion is lovely. Things are very open and intensely clear explanation of issues. PHP Training in Chennai | Certification | Online Training Course | Machine Learning Training in Chennai | Certification | Online Training Course | iOT Training in Chennai | Certification | Online Training Course | Blockchain Training in Chennai | Certification | Online Training Course | Open Stack Training in Chennai |
    Certification | Online Training Course

    返信

コメントを残す

メールアドレスが公開されることはありません。

CAPTCHA


関連記事