インターネット上で常に活動するマシンを置く目的でいくつかVPSを契約している。

お名前.comのVPS(KVM)も2つほど契約しているのだが、今回VPS環境を一新したそうだ。何回か通知メールが来てたけど何がどう変わるのかなどは詳しく調べていない。それがあだとなってVPS更新後にOpenVPNによるSSL-VPNがつながらなくなっていた。

自宅マシン→インターネット→お名前.comのVPS←インターネット←他の拠点のマシン

このような構成で自宅マシンと他の拠点のマシン間でVPNしていたのだがそれが途切れている。
お名前.comのVPSのファイアウォールを見直しても問題ない、OpenVPNをUDPからTCPに変えたりポート番号を変えたりしても改善しない。

何のことはない、新しくなったお名前.comのVPS(KVM)にはフロントにファイアーウォールが設置されているようだ。つながらなくなったのは明らかにお名前.comの更新後なのだから最初からお名前.comを見に行けば良かった。

お名前.comのフロントファイアウォールは設定にいくつか手順があるのでそれを説明していく。

ポートの設定(契約IDごと)→セキュリティグループ設定(契約IDごと)→VPSへのセキュリティグループ割り付け(VPSごと)の順に設定していく。操作はすべて「VPS(KVM)コントロールパネル」から行う。

まずはポートの設定。これはお名前.comではIPセキュリティというメニューの中で「インバウンドルール(ポート)」と表現されている。これを[+設定を追加]し、OpenVPNが待ち受けている内容によってTCPかUDP、ポート番号を入力する。標準ならUDPの1194番になる。ルール名はわかりやすくopenvpnとした。

つぎにセキュリティグループの設定。同じくIPセキュリティというメニューの中からセキュリティグループの[+設定を追加]し、グループ名はVPN関係の汎用ルールとするためvpnとした。インバウンドルール(ポート)一覧に先ほど作成したopenvpnを追加する。

最後にVPSごとにセキュリティグループvpnを割り付ける。サーバー一覧メニューから割り付けたいVPSの[詳細]を選びサーバー詳細タブでIPセキュリティ欄に[変更]を選んでvpnを追加する。デフォルトではICMP、Mail、SSH、Standardの4つのセキュリティグループが割り付けられているようだ。

この設定を行ったあと5分ほどでOpenVPNの通信が流れるようになった。即反映ではないようだ。