ホーム
製品
Red Hat Enterprise Linux
9
ネットワークの設定および管理
7.12. RHEL システムロールを使用した IPsec VPN 接続の設定

7.12. RHEL システムロールを使用した IPsec VPN 接続の設定

IPsec VPN 接続を設定して、信頼できないネットワーク上に暗号化されたトンネルを確立し、転送中のデータの完全性を確保します。RHEL システムロールを使用すると、支社を本社に接続するなどのユースケースのセットアップを自動化できます。

注記

vpn RHEL システムロールで作成できるのは、事前共有鍵 (PSK) または証明書を使用してピアを相互に認証する VPN 設定だけです。

7.12.1. vpn RHEL システムロールを使用して PSK 認証による IPsec ホスト間 VPN を設定する
リンクのコピー

ホスト間 VPN は、2 つのデバイス間に暗号化された接続を確立し、アプリケーションがセキュアでないネットワーク経由でセキュアに通信できるようにします。vpn RHEL システムロールを使用すると、IPsec ホスト間接続を作成するプロセスを自動化できます。

認証には、事前共有鍵 (PSK) というシンプルな方式が使用されます。この方式では、2 つのピア間のみで共有される 1 つの秘密情報を使用します。この方式は設定が簡単で、デプロイの容易さが優先される基本的なセットアップに最適です。ただし、この鍵は厳重に保管する必要があります。攻撃者が鍵にアクセスすると、接続が侵害されるおそれがあります。

前提条件

コントロールノードと管理対象ノードの準備が完了している。
管理対象ノードで Playbook を実行できるユーザーとしてコントロールノードにログインしている。
管理対象ノードへの接続に使用するアカウントに、そのノードに対する sudo 権限がある。

手順

次の内容を含む Playbook ファイル (例: ~/playbook.yml) を作成します。
```
---
- name: Configuring VPN
  hosts: managed-node-01.example.com, managed-node-02.example.com
  tasks:
    - name: IPsec VPN with PSK authentication
      ansible.builtin.include_role:
        name: redhat.rhel_system_roles.vpn
      vars:
        vpn_connections:
          - hosts:
              managed-node-01.example.com:
              managed-node-02.example.com:
            auth_method: psk
            auto: start
        vpn_manage_firewall: true
        vpn_manage_selinux: true
```
サンプル Playbook で指定されている設定は次のとおりです。
hosts: <list>
VPN を設定するピアを含む YAML ディクショナリーを定義します。エントリーが Ansible 管理対象ノードでない場合は、hostname パラメーターに完全修飾ドメイン名 (FQDN) または IP アドレスを指定する必要があります。次に例を示します。
... - hosts: ... external-host.example.com: hostname: 192.0.2.1
このロールは、各管理対象ノード上の VPN 接続を設定します。接続の名前は <peer_A>-to-<peer_B> です (例: managed-node-01.example.com-to-managed-node-02.example.com)。このロールは外部 (管理対象外) ノード上で Libreswan を設定することはできないことに注意してください。そのようなピアでは手動で設定を作成する必要があります。
auth_method: psk
ピア間の PSK 認証を有効にします。ロールはコントロールノードで openssl を使用して PSK を作成します。
auto: <startup_method>
接続の起動方法を指定します。有効な値は add、ondemand、start、および ignore です。詳細は、Libreswan がインストールされているシステム上の ipsec.conf(5) man ページを参照してください。この変数のデフォルト値は null です。この値は自動起動操作を実行しないことを示します。
vpn_manage_firewall: true
ロールにより、管理対象ノード上の firewalld サービスで必要なポートを開くことを指定します。
vpn_manage_selinux: true
ロールにより、IPsec ポートに必要な SELinux ポートタイプを設定することを指定します。
Playbook で使用されるすべての変数の詳細は、コントロールノードの /usr/share/ansible/roles/rhel-system-roles.vpn/README.md ファイルを参照してください。
Playbook の構文を検証します。
```
$ ansible-playbook --syntax-check ~/playbook.yml
```
このコマンドは構文を検証するだけであり、有効だが不適切な設定から保護するものではないことに注意してください。
Playbook を実行します。
```
$ ansible-playbook ~/playbook.yml
```

検証

接続が正常に開始されたことを確認します。次に例を示します。
```
# ansible managed-node-01.example.com -m shell -a 'ipsec trafficstatus | grep "managed-node-01.example.com-to-managed-node-02.example.com"'
...
006 #3: "managed-node-01.example.com-to-managed-node-02.example.com", type=ESP, add_time=1741857153, inBytes=38622, outBytes=324626, maxBytes=2^63B, id='@managed-node-02.example.com'
```
このコマンドは、VPN 接続がアクティブでないと成功しないことに注意してください。Playbook 内の auto 変数を start 以外の値に設定する場合は、まず管理対象ノードで接続を手動でアクティブ化する必要がある場合があります。

7.12.2. vpn RHEL システムロールを使用して、個別のデータプレーンとコントロールプレーンおよび PSK 認証による IPsec ホスト間 VPN を設定する
リンクのコピー

IPsec ホスト間 VPN を作成するプロセスを自動化するには、vpn RHEL システムロールを使用します。制御メッセージの傍受や妨害のリスクを最小限に抑えてセキュリティーを強化するには、データトラフィックと制御トラフィックの両方に個別の接続を設定してください。

ホスト間 VPN は、2 つのデバイス間に直接的でセキュアな暗号化された接続を確立し、アプリケーションがインターネットなどのセキュアでないネットワーク経由でセキュアに通信できるようにします。

前提条件

コントロールノードと管理対象ノードの準備が完了している。
管理対象ノードで Playbook を実行できるユーザーとしてコントロールノードにログインしている。
管理対象ノードへの接続に使用するアカウントに、そのノードに対する sudo 権限がある。

手順

次の内容を含む Playbook ファイル (例: ~/playbook.yml) を作成します。
```
---
- name: Configuring VPN
  hosts: managed-node-01.example.com, managed-node-02.example.com
  tasks:
    - name: IPsec VPN with PSK authentication
      ansible.builtin.include_role:
        name: redhat.rhel_system_roles.vpn
      vars:
        vpn_connections:
          - name: control_plane_vpn
            hosts:
              managed-node-01.example.com:
                hostname: 203.0.113.1  # IP address for the control plane
              managed-node-02.example.com:
                hostname: 198.51.100.2 # IP address for the control plane
            auth_method: psk
            auto: start
          - name: data_plane_vpn
            hosts:
              managed-node-01.example.com:
                hostname: 10.0.0.1   # IP address for the data plane
              managed-node-02.example.com:
                hostname: 172.16.0.2 # IP address for the data plane
            auth_method: psk
            auto: start
        vpn_manage_firewall: true
        vpn_manage_selinux: true
```
サンプル Playbook で指定されている設定は次のとおりです。
hosts: <list>
VPN を設定するホストを含む YAML ディクショナリーを定義します。接続の名前は <name>-<IP_address_A>-to-<IP_address_B> です (例: control_plane_vpn-203.0.113.1-to-198.51.100.2)。
このロールは、各管理対象ノード上の VPN 接続を設定します。このロールは外部 (管理対象外) ノード上で Libreswan を設定することはできないことに注意してください。そのようなホストでは手動で設定を作成する必要があります。
auth_method: psk
ホスト間の PSK 認証を有効にします。ロールはコントロールノードで openssl を使用して事前共有鍵を作成します。
auto: <startup_method>
接続の起動方法を指定します。有効な値は add、ondemand、start、および ignore です。詳細は、Libreswan がインストールされているシステム上の ipsec.conf(5) man ページを参照してください。この変数のデフォルト値は null です。この値は自動起動操作を実行しないことを示します。
vpn_manage_firewall: true
ロールにより、管理対象ノード上の firewalld サービスで必要なポートを開くことを指定します。
vpn_manage_selinux: true
ロールにより、IPsec ポートに必要な SELinux ポートタイプを設定することを指定します。
Playbook で使用されるすべての変数の詳細は、コントロールノードの /usr/share/ansible/roles/rhel-system-roles.vpn/README.md ファイルを参照してください。
Playbook の構文を検証します。
```
$ ansible-playbook --syntax-check ~/playbook.yml
```
このコマンドは構文を検証するだけであり、有効だが不適切な設定から保護するものではないことに注意してください。
Playbook を実行します。
```
$ ansible-playbook ~/playbook.yml
```

検証

接続が正常に開始されたことを確認します。次に例を示します。
```
# ansible managed-node-01.example.com -m shell -a 'ipsec trafficstatus | grep "control_plane_vpn-203.0.113.1-to-198.51.100.2"'
...
006 #3: "control_plane_vpn-203.0.113.1-to-198.51.100.2", type=ESP, add_time=1741860073, inBytes=0, outBytes=0, maxBytes=2^63B, id='198.51.100.2'
```
このコマンドは、VPN 接続がアクティブでないと成功しないことに注意してください。Playbook 内の auto 変数を start 以外の値に設定する場合は、まず管理対象ノードで接続を手動でアクティブ化する必要がある場合があります。

7.12.3. vpn RHEL システムロールを使用して PSK 認証による IPsec サイト間 VPN を設定する
リンクのコピー

サイト間 VPN は、2 つの異なるネットワーク間に暗号化トンネルを確立し、セキュアでないパブリックネットワークを介してそれらをシームレスにリンクします。vpn RHEL システムロールを使用すると、IPsec サイト間 VPN 接続を作成するプロセスを自動化できます。

サイト間 VPN を使用すると、支社のデバイスがすべて同じローカルネットワークの一部であるかのように、企業本社のリソースにアクセスできるようになります。

前提条件

コントロールノードと管理対象ノードの準備が完了している。
管理対象ノードで Playbook を実行できるユーザーとしてコントロールノードにログインしている。
管理対象ノードへの接続に使用するアカウントに、そのノードに対する sudo 権限がある。

手順

次の内容を含む Playbook ファイル (例: ~/playbook.yml) を作成します。
```
---
- name: Configuring VPN
  hosts: managed-node-01.example.com, managed-node-02.example.com
  tasks:
    - name: IPsec VPN with PSK authentication
      ansible.builtin.include_role:
        name: redhat.rhel_system_roles.vpn
      vars:
        vpn_connections:
          - hosts:
              managed-node-01.example.com:
                subnets:
                  - 192.0.2.0/24
              managed-node-02.example.com:
                subnets:
                  - 198.51.100.0/24
                  - 203.0.113.0/24
            auth_method: psk
            auto: start
        vpn_manage_firewall: true
        vpn_manage_selinux: true
```
サンプル Playbook で指定されている設定は次のとおりです。
hosts: <list>
VPN を設定するゲートウェイを含む YAML ディクショナリーを定義します。エントリーが Ansible 管理対象ノードでない場合は、hostname パラメーターに完全修飾ドメイン名 (FQDN) または IP アドレスを指定する必要があります。次に例を示します。
... - hosts: ... external-host.example.com: hostname: 192.0.2.1
このロールは、各管理対象ノード上の VPN 接続を設定します。接続の名前は <gateway_A>-to-<gateway_B> です (例: managed-node-01.example.com-to-managed-node-02.example.com)。このロールは外部 (管理対象外) ノード上で Libreswan を設定することはできないことに注意してください。そのようなピアでは手動で設定を作成する必要があります。
subnets: <yaml_list_of_subnets>
トンネルを介して接続されるサブネットを Classless Inter-Domain Routing (CIDR) 形式で定義します。
auth_method: psk
ピア間の PSK 認証を有効にします。ロールはコントロールノードで openssl を使用して PSK を作成します。
auto: <startup_method>
接続の起動方法を指定します。有効な値は add、ondemand、start、および ignore です。詳細は、Libreswan がインストールされているシステム上の ipsec.conf(5) man ページを参照してください。この変数のデフォルト値は null です。この値は自動起動操作を実行しないことを示します。
vpn_manage_firewall: true
ロールにより、管理対象ノード上の firewalld サービスで必要なポートを開くことを指定します。
vpn_manage_selinux: true
ロールにより、IPsec ポートに必要な SELinux ポートタイプを設定することを指定します。
Playbook で使用されるすべての変数の詳細は、コントロールノードの /usr/share/ansible/roles/rhel-system-roles.vpn/README.md ファイルを参照してください。
Playbook の構文を検証します。
```
$ ansible-playbook --syntax-check ~/playbook.yml
```
このコマンドは構文を検証するだけであり、有効だが不適切な設定から保護するものではないことに注意してください。
Playbook を実行します。
```
$ ansible-playbook ~/playbook.yml
```

検証

接続が正常に開始されたことを確認します。次に例を示します。
```
# ansible managed-node-01.example.com -m shell -a 'ipsec trafficstatus | grep "managed-node-01.example.com-to-managed-node-02.example.com"'
...
006 #3: "managed-node-01.example.com-to-managed-node-02.example.com", type=ESP, add_time=1741857153, inBytes=38622, outBytes=324626, maxBytes=2^63B, id='@managed-node-02.example.com'
```
このコマンドは、VPN 接続がアクティブでないと成功しないことに注意してください。Playbook 内の auto 変数を start 以外の値に設定する場合は、まず管理対象ノードで接続を手動でアクティブ化する必要がある場合があります。

7.12.4. vpn RHEL システムロールを使用して証明書ベースの認証による IPsec メッシュ VPN を設定する
リンクのコピー

IPsec メッシュは、すべてのサーバーが他のすべてのサーバーとセキュアに直接通信できる、完全に相互接続されたネットワークを形成するものです。vpn RHEL システムロールを使用すると、証明書ベースの認証による管理対象ノード間の VPN メッシュの設定を自動化できます。

IPsec メッシュは、複数のデータセンターやクラウドプロバイダーにまたがる分散データベースクラスターや高可用性環境に最適です。各サーバーペア間に暗号化されたトンネルを直接確立することで、通信の集中によるボトルネックを避けつつ、セキュアな通信を実現できます。

認証のために、認証局 (CA) によって管理されるデジタル証明書を使用すると、非常にセキュアでスケーラブルなソリューションが実現します。メッシュ内のホストが、それぞれ信頼できる CA によって署名された証明書を提示します。この方法により、強力で検証可能な認証が実現し、ユーザー管理が簡素化されます。アクセス権の付与または失効は、CA で一元的に行うことができます。Libreswan は、各証明書を証明書失効リスト (CRL) と照合し、証明書がリストに掲載されていればアクセスを拒否することで、付与や失効を強制します。

前提条件

コントロールノードと管理対象ノードの準備が完了している。
管理対象ノードで Playbook を実行できるユーザーとしてコントロールノードにログインしている。
管理対象ノードへの接続に使用するアカウントに、そのノードに対する sudo 権限がある。
各管理対象ノード用に PKCS #12 ファイルを用意した。
- 各ファイルには次のものを含めます。
  - サーバーの秘密鍵
  - サーバー証明書
  - CA 証明書
  - 中間証明書 (必要な場合)
- ファイル名は <managed_node_name_as_in_the_inventory>.p12 とします。
- ファイルは Playbook と同じディレクトリーに保存します。
- サーバー証明書には次のフィールドを含めます。
  - Extended Key Usage (EKU) を TLS Web Server Authentication に設定します。
  - コモンネーム (CN) またはサブジェクト代替名 (SAN) を、ホストの完全修飾ドメイン名 (FQDN) に設定します。
  - X509v3 CRL 配布ポイントに、証明書失効リスト (CRL) への URL を含めます。

手順

~/inventory ファイルを編集し、cert_name 変数を追加します。
```
managed-node-01.example.com cert_name=managed-node-01.example.com
managed-node-02.example.com cert_name=managed-node-02.example.com
managed-node-03.example.com cert_name=managed-node-03.example.com
```
cert_name 変数は、各ホストの証明書で使用されるコモンネーム (CN) フィールドの値に設定します。通常、CN フィールドは完全修飾ドメイン名 (FQDN) に設定します。
機密性の高い変数を暗号化されたファイルに保存します。
1. vault を作成します。
  $ ansible-vault create ~/vault.yml New Vault password: <vault_password> Confirm New Vault password: <vault_password>
2. ansible-vault create コマンドでエディターが開いたら、機密データを <key>: <value> 形式で入力します。
  pkcs12_pwd: <password>
3. 変更を保存して、エディターを閉じます。Ansible は vault 内のデータを暗号化します。

次の内容を含む Playbook ファイル (例: ~/playbook.yml) を作成します。

- name: Configuring VPN
  hosts: managed-node-01.example.com, managed-node-02.example.com, managed-node-03.example.com
  vars_files:
    - ~/vault.yml
  tasks:
    - name: Install LibreSwan
      ansible.builtin.package:
        name: libreswan
        state: present

    - name: Identify the path to IPsec NSS database
      ansible.builtin.set_fact:
        nss_db_dir: "{{ '/etc/ipsec.d/' if
          ansible_distribution in ['CentOS', 'RedHat']
          and ansible_distribution_major_version is version('8', '=')
          else '/var/lib/ipsec/nss/' }}"

    - name: Locate IPsec NSS database files
      ansible.builtin.find:
        paths: "{{ nss_db_dir }}"
        patterns: "*.db"
      register: db_files

    - name: Initialize IPsec NSS database if not initialized
      ansible.builtin.command:
        cmd: ipsec initnss
      when: db_files.matched == 0

    - name: Copy PKCS #12 file to the managed node
      ansible.builtin.copy:
        src: "~/{{ inventory_hostname }}.p12"
        dest: "/etc/ipsec.d/{{ inventory_hostname }}.p12"
        mode: 0600

    - name: Import PKCS #12 file in IPsec NSS database
      ansible.builtin.shell:
        cmd: 'pk12util -d {{ nss_db_dir }} -i /etc/ipsec.d/{{ inventory_hostname }}.p12 -W "{{ pkcs12_pwd }}"'

    - name: Remove PKCS #12 file
      ansible.builtin.file:
        path: "/etc/ipsec.d/{{ inventory_hostname }}.p12"
        state: absent

    - name: Opportunistic mesh IPsec VPN with certificate-based authentication
      ansible.builtin.include_role:
        name: redhat.rhel_system_roles.vpn
      vars:
        vpn_connections:
          - opportunistic: true
            auth_method: cert
            policies:
              - policy: private
                cidr: default
              - policy: private
                cidr: 192.0.2.0/24
              - policy: clear
                cidr: 192.0.2.1/32
        vpn_manage_firewall: true
        vpn_manage_selinux: true

サンプル Playbook で指定されている設定は次のとおりです。

opportunistic: true

複数ホスト間のオポチュニスティックメッシュを有効にします。policies 変数は、どのサブネットとホストのトラフィックを暗号化する必要があるか、または暗号化できるか、またどのサブネットとホストでプレーンテキストでの接続の使用を継続するかを定義します。

auth_method: cert

証明書ベースの認証を有効にします。これを行うには、インベントリーで各管理対象ノードの証明書のニックネームを指定する必要があります。

policies: <list_of_policies>

Libreswan ポリシーを YAML リスト形式で定義します。

デフォルトのポリシーは private-or-clear です。これを private に変更するには、上記の Playbook に、デフォルトの cidr エントリーに応じた適切なポリシーを含めます。

Ansible コントロールノードが管理対象ノードと同じ IP サブネットにある場合は、Playbook の実行中に SSH 接続が失われるのを防ぐために、コントロールノードの IP アドレスに clear ポリシーを追加します。たとえば、メッシュを 192.0.2.0/24 サブネット用に設定する必要があり、コントロールノードが IP アドレス 192.0.2.1 を使用する場合、Playbook に示されているように、192.0.2.1/32 の clear ポリシーが必要です。

ポリシーの詳細は、Libreswan がインストールされているシステム上の ipsec.conf(5) man ページを参照してください。

vpn_manage_firewall: true

ロールにより、管理対象ノード上の firewalld サービスで必要なポートを開くことを指定します。

vpn_manage_selinux: true

ロールにより、IPsec ポートに必要な SELinux ポートタイプを設定することを指定します。

Playbook で使用されるすべての変数の詳細は、コントロールノードの /usr/share/ansible/roles/rhel-system-roles.vpn/README.md ファイルを参照してください。

Playbook の構文を検証します。
```
$ ansible-playbook --ask-vault-pass --syntax-check ~/playbook.yml
```
このコマンドは構文を検証するだけであり、有効だが不適切な設定から保護するものではないことに注意してください。

Playbook を実行します。

$ ansible-playbook --ask-vault-pass ~/playbook.yml

検証

メッシュ内のノードで、別のノードに ping を送信して接続をアクティブ化します。
```
[root@managed-node-01]# ping managed-node-02.example.com
```

接続がアクティブであることを確認します。

[root@managed-node-01]# ipsec trafficstatus
006 #2: "private#192.0.2.0/24"[1] ...192.0.2.2, type=ESP, add_time=1741938929, inBytes=372408, outBytes=545728, maxBytes=2^63B, id='CN=managed-node-02.example.com'

7.12. RHEL システムロールを使用した IPsec VPN 接続の設定

7.12.1. vpn RHEL システムロールを使用して PSK 認証による IPsec ホスト間 VPN を設定する
リンクのコピー

7.12.2. vpn RHEL システムロールを使用して、個別のデータプレーンとコントロールプレーンおよび PSK 認証による IPsec ホスト間 VPN を設定する
リンクのコピー

7.12.3. vpn RHEL システムロールを使用して PSK 認証による IPsec サイト間 VPN を設定する
リンクのコピー

7.12.4. vpn RHEL システムロールを使用して証明書ベースの認証による IPsec メッシュ VPN を設定する
リンクのコピー

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

7.12. RHEL システムロールを使用した IPsec VPN 接続の設定

7.12.1. vpn RHEL システムロールを使用して PSK 認証による IPsec ホスト間 VPN を設定するリンクのコピーリンクがクリップボードにコピーされました!

7.12.2. vpn RHEL システムロールを使用して、個別のデータプレーンとコントロールプレーンおよび PSK 認証による IPsec ホスト間 VPN を設定するリンクのコピーリンクがクリップボードにコピーされました!

7.12.3. vpn RHEL システムロールを使用して PSK 認証による IPsec サイト間 VPN を設定するリンクのコピーリンクがクリップボードにコピーされました!

7.12.4. vpn RHEL システムロールを使用して証明書ベースの認証による IPsec メッシュ VPN を設定するリンクのコピーリンクがクリップボードにコピーされました!

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

7.12.1. vpn RHEL システムロールを使用して PSK 認証による IPsec ホスト間 VPN を設定する
リンクのコピー

7.12.2. vpn RHEL システムロールを使用して、個別のデータプレーンとコントロールプレーンおよび PSK 認証による IPsec ホスト間 VPN を設定する
リンクのコピー

7.12.3. vpn RHEL システムロールを使用して PSK 認証による IPsec サイト間 VPN を設定する
リンクのコピー

7.12.4. vpn RHEL システムロールを使用して証明書ベースの認証による IPsec メッシュ VPN を設定する
リンクのコピー