SSL-VPN を使用した複数クライアント間のネットワーク通信の有効化
デフォルトでは、SSL-VPN を使用して複数のクライアントを VPC に接続する場合、同じ VPN ゲートウェイに接続されたクライアントは、VPC および互いに通信できます。
ユースケース
ある企業は、ビジネスの拡大に伴いサーバーリソースをスケールアップする必要があります。ハードウェアコストを削減するため、同社は Alibaba Cloud 上にサーバーをデプロイし、以下の接続要件を満たすソリューションを求めています。
オンプレミスサーバー(クライアント 2 およびクライアント 3)は、プライベートネットワーク経由で VPC 内のサーバーと通信する必要があります。
出張中の従業員(クライアント 1)は、すべての内部サーバーリソースにリモートアクセスする必要があります。
SSL-VPN はこれらの接続要件を満たすことができます。VPC 内に VPN ゲートウェイを作成し、クライアント 1、クライアント 2、およびクライアント 3 に VPN ソフトウェアをインストールすることで、各クライアントと VPC 間に SSL-VPN 接続を確立できます。この構成により、クライアント間および ECS インスタンスとの間で暗号化されたプライベート通信が可能になります。
前提条件
操作手順
手順 1: VPN ゲートウェイを作成する
- VPN ゲートウェイコンソールにログインします。
VPN Gateway ページで、VPN Gateway の作成 をクリックします。
VPN ゲートウェイ ページで、以下の設定を指定して VPN ゲートウェイを構成し、[今すぐ購入] をクリックして支払いを完了します。
リージョン:VPN ゲートウェイのリージョンを選択します。この例では 中国 (杭州) を使用します。
説明VPN ゲートウェイと VPC が同じリージョンにあることを確認してください。
ゲートウェイタイプ: 標準 を選択します。
ネットワークタイプ: インターネット を選択します。
VPC:VPC を選択します。
vSwitch 1:VPC から vSwitch を 1 つ選択します。
vSwitch 2:VPC から別の vSwitch を選択します。
リージョンに複数のゾーンがある場合は、異なるゾーンにそれぞれ 1 つの vSwitch を指定する必要があります。各 vSwitch には少なくとも 1 つの利用可能な IP アドレスが必要です。vSwitch が要件を満たしていない場合は、新しい vSwitch を作成してください。
IPsec-VPN: 無効化 を選択します。
SSL-VPN: 有効 を選択します。
SSL 接続::同時に接続できるクライアントの最大数を選択します。
上記の設定はこのチュートリアルに特有のものです。その他の設定については、デフォルト値のままにするか、空のままにしてください。詳細については、「VPN ゲートウェイの作成と管理」をご参照ください。
VPN Gateway ページに戻り、作成した VPN ゲートウェイを確認します。
新しく作成された VPN ゲートウェイのステータスは 準備中 です。約 1~5 分後にステータスが 正常 に変化します。正常 ステータスは、VPN ゲートウェイが初期化され、使用可能な状態であることを示します。
ステップ 2:SSL サーバーの作成
左側のナビゲーションウィンドウで、 を選択します。
上部のナビゲーションバーで、SSL サーバーのリージョンを選択します。
説明SSL サーバーが VPN ゲートウェイと同じリージョンにあることを確認してください。
SSL サーバー ページで、SSLサーバーの作成 をクリックします。
SSLサーバーの作成 パネルで、以下の設定を指定して SSL サーバーを構成し、[OK] をクリックします。
VPN Gateway:作成した VPN ゲートウェイを選択します。
ローカル CIDR ブロック:クライアントがアクセスする VPC の CIDR ブロックを入力します。この例では 192.168.0.0/16 を使用します。
クライアント CIDR ブロック:クライアントに割り当てる IP アドレスの CIDR ブロックを入力します。この例では 10.0.99.0/24 を使用します。
重要クライアント CIDR ブロックのプレフィックス長は 16~29 ビットである必要があります。
クライアント CIDR ブロックが ローカルネットワーク、VPC の CIDR ブロック、またはクライアントに関連付けられたルートの CIDR ブロックと重複しないことを確認してください。
10.0.0.0/8、172.16.0.0/12、192.168.0.0/16などのプライベート CIDR ブロック、またはそのサブネットを使用してください。パブリック IP アドレス範囲を使用する必要がある場合は、適切なルーティングを確保するために VPC のユーザ定義 CIDR ブロックとして構成する必要があります。詳細については、「VPC よくある質問」および「VPC よくある質問」をご参照ください。SSL サーバーを作成すると、システムが自動的にクライアント CIDR ブロックのルートを VPC のルートテーブルに追加します。このルートを手動で追加すると SSL-VPN トラフィックが中断される可能性があるため、追加しないでください。
上記の設定はこのチュートリアルに特有のものです。その他の設定については、デフォルト値のままにするか、空のままにしてください。詳細については、「SSL サーバーの作成と管理」をご参照ください。
ステップ 3:SSL クライアントの作成と証明書のダウンロード
以下の手順に従って、クライアント 1、クライアント 2、およびクライアント 3 のそれぞれについて SSL クライアントを作成し、その証明書をダウンロードします。
左側のナビゲーションウィンドウで、 を選択します。
SSL クライアント ページで、SSL クライアントの作成 をクリックします。
SSL クライアントの作成 パネルで、SSL クライアントの名前を入力し、作成した SSL サーバーを選択して、[OK] をクリックします。
SSL クライアント ページで、作成した SSL クライアントを見つけ、操作 列の 証明書のダウンロード をクリックします。
ダウンロードした SSL クライアント証明書をローカルに保存します。クライアントの構成時に必要になります。

ステップ 4:クライアントの構成
各クライアントに VPN ソフトウェアと SSL クライアント証明書をインストールし、VPC への SSL-VPN 接続を確立します。
このチュートリアルでは、クライアント 1 およびクライアント 2 に Windows Server 2025 Datacenter Edition 64 ビット、クライアント 3 に Ubuntu 24.04 64 ビットを使用します。クライアントが macOS または Android を使用している場合は、「クライアントの構成」をご参照ください。
クライアント 1 およびクライアント 2
ご使用の Windows バージョンに対応する OpenVPN クライアントをダウンロードし、画面の指示に従います。
Windows 64 ビットシステム (Intel/AMD): OpenVPN クライアント (Windows 64 ビット)。
Windows ARM64 システム: OpenVPN クライアント (Windows ARM64)。
ダウンロードリンクが開かない場合は、アカウントマネージャーまたは Alibaba Cloud エンジニアにお問い合わせください。
ダウンロードした SSL クライアント証明書パッケージを解凍し、展開されたファイルをすべて OpenVPN 構成ディレクトリにコピーします。
デフォルトパス:
C:\Program Files\OpenVPN\config注記:インストールパスを変更した場合は、実際のインストールディレクトリ内の
configフォルダにファイルをコピーしてください。

テキストエディターで
config.ovpnファイルを開き、ファイルの末尾に次の行を追加します:disable-dco。OpenVPN 2.6 で導入された Data Channel Offload (DCO) 機能は、Windows 10 や Windows 11 の特定バージョンなど、一部の Windows システムと互換性がありません。DCO を無効にすることで、これらのデバイスでの接続問題を解決できます。

デスクトップ右下のシステムトレイにある OpenVPN アイコンを右クリックし、[接続] をクリックします。

ステータスが「接続済み」となり、IP アドレスが割り当てられていれば、接続は成功しています。

クライアント 3
クライアントにログインし、コマンドラインウィンドウを開きます。
次のコマンドを実行して OpenVPN クライアントをインストールし、
confディレクトリを作成します。apt-get update apt-get install -y openvpn mkdir -p /etc/openvpn/confダウンロードした SSL クライアント証明書を展開し、ファイルを /etc/openvpn/conf/ ディレクトリにコピーします。
/etc/openvpn/conf/ ディレクトリに移動し、次のコマンドを実行して SSL-VPN 接続を確立します。
openvpn --config /etc/openvpn/conf/config.ovpn --daemon
これらの構成を完了したら、VPN ゲートウェイコンソールにログインします。SSL サーバーの詳細ページで、各クライアントに割り当てられた仮想 IP アドレスを確認できます。クライアントはこれらの仮想 IP アドレスを使用して VPC および互いに通信します。

ステップ 5:接続性のテスト
SSL-VPN 接続が正常に確立されると、セキュリティグループおよびローカルファイアウォールがトラフィックを許可している限り、クライアント 1、クライアント 2、クライアント 3、および ECS インスタンスの任意の 2 ノード間で通信できます。このチュートリアルでは、クライアント 1 とクライアント 2、クライアント 3、および ECS インスタンス間の接続性を検証する方法を例として示します。
接続性をテストする前に、クライアント 1、クライアント 2、およびクライアント 3 のアクセスの制御ルール、および ECS インスタンスの セキュリティグループルール が、クライアント CIDR ブロック 内のノードからの ICMP トラフィックを許可していることを確認してください。
クライアント 1 からクライアント 2、クライアント 3、および ECS インスタンスへのアクセスをテストします。
クライアント 1 にログインし、コマンドプロンプトウィンドウを開きます。
コマンドプロンプトウィンドウで、
ping <virtual_IP_of_client_or_IP_of_ECS> -S <virtual_IP_of_Client_1>コマンドを実行し、クライアント 1 の仮想 IP アドレスを送信元として、クライアント 2、クライアント 3、および ECS インスタンスに対して PING を実行します。次の図のようにクライアント 1 が応答パケットを受信すれば、クライアント 1 がクライアント 2、クライアント 3、および ECS インスタンスにアクセスできることを示します。

クライアント 2、クライアント 3、および ECS インスタンスにそれぞれログインし、クライアント 1 へのアクセスをテストするコマンドを実行します。応答パケットを受信すれば、ECS インスタンス、クライアント 2、およびクライアント 3 がクライアント 1 と通信できることを確認できます。
クライアント 2
ipconfig:クライアントの仮想 IP アドレスを表示します。
ping <virtual_IP_of_Client_1> -S <virtual_IP_of_Client_2>:クライアント 2 の仮想 IP アドレスを送信元として、クライアント 1 に対して PING を実行します。

クライアント 3
ifconfig:クライアントの仮想 IP アドレスを表示します。
ping <virtual_IP_of_Client_1> -I <virtual_IP_of_Client_3>:クライアント 3 の仮想 IP アドレスを送信元として、クライアント 1 に対して PING を実行します。

ECS インスタンス
ifconfig:クライアントの仮想 IP アドレスを表示します。
ping <virtual_IP_of_Client_1>

よくある質問
IPsec および SSL クライアント間の通信
はい。
IPsec-VPN 経由で接続されたオンプレミスデータセンターと SSL-VPN クライアント間の通信を許可するには、オンプレミスデータセンターに クライアント CIDR ブロック のルートを追加し、SSL サーバーの ローカル CIDR ブロック フィールドにデータセンターの CIDR ブロックを追加する必要があります。



