VPN切替に伴う本番サーバー接続方法の変更について
5月上旬にインフラチームにてVPNの切替を行いましたが、切替前はVPN経由で本番サーバーへ接続出来ていましたが、切替後に接続出来なくなってしまいました。
今回はその経緯及び切替後の接続方法変更についてまとめてみました。
切替前後の構成
切替前はSSL-VPN経由で、本番サーバーに接続していました。
切替後はOpenVPN経由になりましたが、社内サーバーへの接続は可能でしたが、本番サーバーに接続出来なくなりました。
そこで、原因を調査した結果切替前とは別のローカルセグメントで接続している為、本番サーバーのF/Wで接続不可の状態となっていました。
本番サーバーへの接続要件
現状の本番サーバーへの接続要件として、下記条件を満たす必要がありました。
一部のシステム担当以外のPCからは本番サーバーへの接続を不可とする
一部のシステム担当PCからSSHによる本番サーバーへの接続を可能とする
一部のシステム担当PCからDBクライアントによる本番DBサーバーへの接続を可能とする
接続方法の変更
切替後の環境で、上記要件を満たす為に実現案の検討を行いました。
当初は本番サーバーに新たなローカルセグメントのF/Wを追加する案も上がりましたが、現状のセキュリティ強度を下げずに接続可能とする方法を検討した結果、変更後は踏み台サーバーを経由して本番サーバーに接続する事にしました。
DBサーバーへの接続について
各PCからのSSH接続は踏み台サーバー経由で本番サーバに接続可能となりましたが、DBサーバーへ接続するにはポートフォワードする必要があり検討した結果、各PCのSSHクライアント(Putty)でトンネリング設定を行いDBクライアント(PSqlEdit)から接続する事にしました。以下にPuttyのトンネリング設定及びPSqlEditの接続先設定について記載します。
Puttyセッション設定画面
Puttyトンネリング設定画面
PSqlEditの接続先設定画面
結果、SSH及びDBサーバーに無事接続することが出来ました。