※ 本記事は、Cody Brinkmanによる”OpenVPN DNS settings with OCI“を翻訳したものです。

2023年3月13日

Oracle Cloud Infrastructure(OCI)は、仮想クラウド・ネットワーク(VCN)と呼ばれるOCIネットワークに無償のサイト間IPSec VPNを提供します。ただし、多くの場合、企業には複数のリモート・ユーザーがあるか、企業ネットワークがまったくなく、SCNへのクライアントとサイト間の接続が必要です。ネットワークを接続するときに、すべてのデバイス間で適切な解決ができるように、DNSを正しく構成することをお勧めします。

VCNと他のプライベート・ネットワーク間のDNSの構成には多くのドキュメントが存在しますが、このブログでは、Oracle Cloud Marketplaceで提供されている人気のクライアントからサイトへのVPNソリューションであるOpenVPNを使用してDNS解決の実現方法を説明します。

サイト間VPN対クライアントとサイト間VPN

VPN接続には次の主なカテゴリがあります。:

  • Site-to-Site: Gateway-to-gatewayとも呼ばれ、site-to-siteはネットワーク間の接続です。通常、両側にネットワークがある1-to-1構成が使用されます。

  • Client-to-site: リモート・アクセスとも呼ばれ、client-to-siteはネットワークへの単一のユーザー接続です。通常、N-to-1構成を使用し、Nクライアントが1つのサーバーに接続します。クライアントは通常、背後にあるネットワークのない単一のノートパソコンです。

多くのclient-to-site VPNアプライアンスを使用できますが、このブログではOpenVPNの使用に重点を置いています。OCIのOpenVPNは、アクティブVPN接続に基づくシンプルで使いやすいライセンス・モデルを備えた、強力で使いやすいエンタープライズVPNです。何よりも、OpenVPN Access Serverは、2つの同時VPN接続を無料でインストールして使用できます。

前提条件

このブログでは、OpenVPNの設定については説明していませんが、詳細は、このブログの最後にあるリンクを参照してください。OCIのプライベートDNSの出発点として、一般的なプライベートDNSシナリオでこのブログを読むことをお薦めします。次の主な定義について説明します。:

  • プライベートDNSゾーン: プライベートIPアドレスにはインターネットDNSゾーンと同じ機能がありますが、VCNに到達できるクライアントにのみレスポンスを提供するなど、VCN内からのみアクセス可能なDNSデータが含まれます

  • プライベートDNSリゾルバ・エンドポイント: 2つのオプションがあります。リスニング・エンドポイントを使用すると、リゾルバはVCNの外部からDNS問合せに応答できます。転送エンドポイントを使用すると、リゾルバは転送ルールで定義されたリモートDNSを問い合せることができます。

設定アーキテクチャ

A graphic depicting the architecture for this basic solution.

初期動作

デフォルトのオプション「クライアントのDNSサーバー設定を変更しない」では、インターネット・トラフィックはVPNを介してルーティングされず、アクセス・サーバーはDNSサーバーをクライアントにプッシュしません。したがって、DNS側では何も変更されません。そのため、デフォルトの予期される動作には次の詳細があります。:

  • Access VM’s private IP directly: Yes

  • Resolve public DNS: Yes

  • Resolve VCN’s private DNS: No

A screenshot of the default OpenVPN setup.

A screenshot of the initial behavior results.

OpenVPN DNS設定の変更

DNS設定を「クライアントに特定のDNSサーバーを使用」に変更すると、VPNクライアントが使用するDNSサーバーを指定できます。この理想的な設定では、ゾーン用に作成されたDNSリスナー・エンドポイントをプライマリDNSサーバーとして、パブリックDNSサーバーをセカンダリとして指定できるようになりました。予期される動作が次のオプションに変わります。:

  • Access VM’s private IP directly: Yes

  • Resolve public DNS: Yes

  • Resolve VCN’s private DNS: Yes

この例では、216.146.35.35はOracleのパブリックDNSサーバーの1つですが、パブリックDNSサーバーでは十分です。

A screenshot of the DNS settings for configuring OpenVPN with the DNS listener endpoint and public DNS service outlined in red.

A screenshot of the results after configuring OpenVPN with red arrows pointing to the lines of code showing that you're able to resolve the public and private DNS zones.

パブリックDNSを解決しながら、OCIプライベート・ゾーンを解決できます。

まとめ

パブリックDNSはパブリック・サイトへのアクセスに不可欠であるため、会社の内部サイトにアクセスするにはプライベートDNSが不可欠です。プライベート・ネットワークおよび接続されているすべてのネットワーク内でDNSを適切に設定することは重要です。IPアドレスではなく人間が読める名前を使用でき、サーバーの追加と削除をシームレスに行えるためです。このブログは、Oracle Cloud Infrastructureネットワークで実行されているOpenVPNアクセス・サーバーを使用して、クライアント間VPNのDNSを構成するための1つのソリューションを提供しました。

このラボを自分で試してみたい場合は、30日間の無料トライアルで300ドルのクレジットが付いたOracle CloudのFree Tierを確認してください。Free Tierには、クレジットの有効期限が切れた後でも、無制限に使用できる複数のAlways Freeサービスも含まれています。

詳細は、次のリソースを参照してください。: