Zelogx MSL Setup - Operation Guide

Zero-Trust Proxmox Multi-Project Secure Lab Setup — Powered by Pritunl VPN

VM Creation Requirements
VPN User Management
Additional Configuration
Important Security Note

1. VM Creation Requirements

Network Interface Configuration

When creating a VM, the network interface card (NIC) must be connected to the appropriate project-specific virtual network.

Required Steps:

In the Proxmox GUI, navigate to the VM creation wizard
Go to the Network tab
Select the appropriate Bridge: vnetpjXX (where XX is your project ID: 01, 02, etc.)
Other network settings can be configured as needed

Example:

For Project 01: Select vnetpj01
For Project 02: Select vnetpj02

2. VPN User Management

The following instructions assume that Organizations corresponding to each project (pj01, pj02, …, pj08) have already been created.

2.1. Adding VPN Users to Pritunl

Steps:

Navigate to Users → Add User
Fill in the user information:
- Name: User identifier (required)
- Select an organization: pjXX (specify the project number the user will access)
- Email: Optional (used as a memo in OSS Pritunl)
- Pin: Optional (additional security)

2.2. Distributing VPN Client Configuration

Method 1: Direct Download

Go to Users in the Pritunl interface
Click the download icon (↓) next to the user’s profile
Download the configuration file (username.tar)
Send the configuration file to the user via secure email

Method 2: Temporary Link (Recommended for external users)

If your Pritunl GUI is publicly accessible (e.g., via Cloudflare):

Click “Get temporary profile links”
Copy the temporary URL (expires after 24 hours)
Send only the URL to the user via email
The user can download the configuration themselves

2.3. Email Template for User Distribution

Subject: VPN Configuration for Project XX Development Environment

Dear [User Name],

Please find attached your OpenVPN client configuration file for accessing 
Project XX development environment.

Installation Instructions:
1. Download and install one of the following VPN clients:
   - OpenVPN Client: https://www.openvpn.jp/download/
   - Pritunl VPN Client: https://client.pritunl.com/#install

2. Import the attached configuration file into your VPN client

Note: Pritunl VPN client supports both OpenVPN and WireGuard protocols. 
WireGuard generally offers better performance than OpenVPN.

Best regards,
[Your Name]
Zelogx Team

3. Additional Configuration

3.1. Adding Multiple NICs to a VM

General Guidelines:

✅ Safe: Connecting additional NICs to Linux bridges (without routers) is generally safe
⚠️ Caution Required: Connecting to other vnetpjXX networks requires proper understanding
❌ Do Not Connect to:
- vmbr0 (main management network)
- vpndmzvn (VPN DMZ network)
- Other project networks (vnetpjXX with different project IDs)

Important Security Considerations:

When connecting to custom vnets, ensure proper firewall rules are configured to prevent unauthorized access to vnet gateways. Failure to do so may expose Proxmox GUI/CLI access to VPN users.

3.2. Firewall Configuration for Nested PVE

For VMs Running Nested Proxmox VE:

In the Proxmox GUI, navigate to:

Datacenter → <Host> → <VM ID> → Firewall

Change MAC Filter setting:
```
MAC filter: Yes → No
```

Why This is Required:

Leaving MAC filter enabled prevents:

Nested guest VMs from accessing the internet
Mainland network from accessing nested guest VMs

3.3. Pritunl Organization Best Practices

Important Design Principle:

⚠️ Do not use actual company names for Organizations

Reason:

Pritunl assigns Organizations to VPN Servers, not individual users. This means:

You cannot assign specific users within an Organization to specific servers
All users in an Organization have access to all servers that Organization is attached to

Recommended Approach:

Use Project IDs as Organization names for 1:1 mapping:

Organization	Purpose
pj01	Project 01 users
pj02	Project 02 users
pj03	Project 03 users
…	…

Architecture Overview:

Pritunl VPN Server → Development Network Mapping:
├── Server01 → vnetpj01
├── Server02 → vnetpj02
├── ...
└── Server08 → vnetpj08

Example Configuration:

Organization	User	Access
pj01	UserAA	Project 01 only
pj01	UserAB	Project 01 only
pj02	UserBA	Project 02 only
pj02	UserBB	Project 02 only
pj01, pj03	UserAC	Projects 01 and 03

Adding New Organizations:

If you need additional Organizations:

Navigate to Users → Add Organization
Enter the Organization name (use Project ID for clarity)
Assign the Organization to the appropriate VPN Server

4. Important security note: Always enable MFA for new users

In the 2025 ransomware incident at ASKUL, attackers reportedly used stolen VPN credentials from a contractor to access the corporate network, then disabled endpoint protection (EDR), moved laterally between servers, encrypted systems, and deleted backups. This shows that even if your servers are hardened, once a client PC is compromised and plain-text credentials are stolen, VPN and admin accounts can be abused to take over the entire environment.

To minimize the impact of this class of incident, we strongly recommend enabling multi-factor authentication for both the Proxmox GUI and the Pritunl VPN portal whenever you onboard a new user.

Proxmox has built-in support for multi-factor authentication (MFA). For example, if you want to use Google Authenticator, you can configure it as follows:

Go to: Proxmox → Datacenter → Permissions → Two Factor → [Add] → TOTP
Select the user you want to enable MFA for; a QR code and SECRET will be displayed.
On your smartphone, open Google Authenticator and scan the QR code or type the SECRET.
Enter the 6-digit code shown in Google Authenticator into the Proxmox dialog and click [Add].

Pritunl also has built-in support for multi-factor authentication (MFA):

Go to: Pritunl → Servers → [Select server] → [Stop]
Then: Pritunl → Servers → [Select server] → [Settings]
Check “Enable Google Authenticator” and click [Save].
Start the server again: Pritunl → Servers → [Select server] → [Start].
Go to: Pritunl → Users → [Select user], then click the QR-code icon.
Provide the client with the VPN profile and the QR code (or TOTP secret) securely.

With MFA enabled, stolen IDs and passwords alone are no longer enough to log in. When you onboard a new user, treat MFA as mandatory, not optional.

Note
The Proxmox and Pritunl MFA settings described here do not provide perfect protection against ransomware. If a client PC is fully compromised, even a combination of VDI, EDR, DLP, UTM and other layered defenses cannot realistically reduce the risk to zero.
However, enabling MFA as described above can help reduce the blast radius of an incident and make it significantly harder for attackers to perform unauthorized logins and lateral movement.

Support

For questions or issues regarding this setup, please contact:

📧 Email: [email protected]

Last Updated: December 2025 Document Version: 1.0

Zelogx MSL Setup - オペレーションガイド

Zero-Trust Proxmox マルチプロジェクトセキュアラボセットアップ — Pritunl VPN

1. VM作成時の必須事項

ネットワークインターフェース設定

VM作成時は、必ず適切なプロジェクト専用の仮想ネットワークにNICを接続してください。

必須手順:

Proxmox GUIでVM作成ウィザードを開く
Networkタブに移動
Bridge欄でvnetpjXXを選択（XXはプロジェクトID: 01, 02等）
その他のネットワーク設定は任意で構いません

設定例:

プロジェクト01の場合: vnetpj01を選択
プロジェクト02の場合: vnetpj02を選択

2. VPNユーザー管理

各プロジェクトに対応するOrganization（pj01, pj02, …, pj08）を作成されている前提で説明します。

2.1. PritunlへのVPNユーザー追加

手順:

Users → Add Userに移動
ユーザー情報を入力:
- Name: ユーザー識別名（必須）
- Select an organization: pjXX（ユーザーがアクセスするプロジェクト番号）
- Email: オプション（OSS版Pritunlではメモとして使用）
- Pin: オプション（追加セキュリティ）

2.2. VPNクライアント設定の配布

方法1: 直接ダウンロード

PritunlのUsers画面に移動
ユーザー横のダウンロードアイコン（↓）をクリック
設定ファイル（ユーザー名.tar）をダウンロード
セキュアなメールでユーザーに送信

方法2: 一時リンク（外部ユーザー推奨）

Pritunl GUIが外部公開されている場合（Cloudflare経由など）:

**“Get temporary profile links”**をクリック
一時URL（24時間有効）をコピー
URLのみをメールで送信
ユーザー自身で設定ファイルをダウンロード

2.3. ユーザーへの配布メールテンプレート

件名: プロジェクトXX開発環境用VPN設定

[ユーザー名] 様

プロジェクトXX開発環境へアクセスするためのOpenVPNクライアント設定ファイルを
添付いたしました。

【インストール手順】
1. 以下のいずれかのVPNクライアントをダウンロード・インストール:
   - OpenVPN Client: https://www.openvpn.jp/download/
   - Pritunl VPN Client: https://client.pritunl.com/#install

2. 添付の設定ファイルをVPNクライアントにインポート

【参考】
Pritunl VPNクライアントはOpenVPNとWireGuardの両方に対応しています。
WireGuardは一般的にOpenVPNより高速です。

よろしくお願いいたします。

[担当者名]
株式会社Zelogx

3. 追加設定

3.1. VMへの複数NIC追加

基本ガイドライン:

✅ 安全: Linux bridge（ルーターなし）への接続は一般的に安全
⚠️ 注意が必要: 他のvnetpjXXネットワークへの接続は十分な理解が必要
❌ 接続禁止:
- vmbr0（メイン管理ネットワーク）
- vpndmzvn（VPN DMZネットワーク）
- 他プロジェクトのネットワーク（異なるプロジェクトIDのvnetpjXX）

重要なセキュリティ考慮事項:

独自vnetに接続する場合、vnetゲートウェイへの不正アクセスを防ぐため、適切なファイアウォールルールを設定する必要があります。これを怠ると、VPNユーザーにProxmox GUI/CLIへのアクセスを許可してしまう可能性があります。

3.2. ネストされたPVE用のファイアウォール設定

ネストされたProxmox VEを実行しているVMの場合:

Proxmox GUIで以下に移動:

Datacenter → <Host> → <VM ID> → Firewall

MAC Filter設定を変更:
```
MAC filter: Yes → No
```

この設定が必要な理由:

MAC filterを有効のままにすると、以下の問題が発生します:

ネストされたゲストVMがインターネットにアクセスできない
メインランドネットワークからゲストVMにアクセスできない

3.3. Pritunl Organization のベストプラクティス

重要な設計原則:

⚠️ Organization名に実際の企業名を使用しないでください

理由:

PritunlはOrganizationをVPN Serverに割り当てますが、個別のユーザーを指定することはできません。つまり:

Organization内の特定ユーザーのみを特定のサーバーに割り当てることは不可能
あるOrganizationの全ユーザーが、そのOrganizationが割り当てられた全サーバーにアクセス可能

推奨アプローチ:

プロジェクトIDをOrganization名として使用し、1:1マッピングを実現:

Organization	用途
pj01	プロジェクト01ユーザー
pj02	プロジェクト02ユーザー
pj03	プロジェクト03ユーザー
…	…

アーキテクチャ概要:

Pritunl VPN Server → 開発ネットワーク マッピング:
├── Server01 → vnetpj01
├── Server02 → vnetpj02
├── ...
└── Server08 → vnetpj08

設定例:

Organization	ユーザー	アクセス範囲
pj01	UserAA	プロジェクト01のみ
pj01	UserAB	プロジェクト01のみ
pj02	UserBA	プロジェクト02のみ
pj02	UserBB	プロジェクト02のみ
pj01, pj03	UserAC	プロジェクト01と03

新しいOrganizationの追加:

追加のOrganizationが必要な場合:

Users → Add Organizationに移動
Organization名を入力（明確化のためプロジェクトIDを使用）
適切なVPN ServerにOrganizationを割り当て

4. 重要なセキュリティ注意事項：新規ユーザには必ず MFA を有効化してください

2025年に発生したアスクル社のランサムウェア被害では、業務委託先から盗まれた VPN 認証情報を攻撃者が悪用し、社内ネットワークに侵入した後、エンドポイント保護（EDR）を無効化し、サーバ間でのラテラルムーブメント（水平移動）、システム暗号化およびバックアップ削除まで行ったと報告されています。これは、たとえサーバ側を堅牢にしていても、クライアント PC が侵害されて平文の認証情報を盗まれてしまうと、VPN や管理用アカウントが悪用され、環境全体が乗っ取られ得ることを示しています。

この種のインシデント発生時の影響を最小化するため、Proxmox 管理GUIおよび Pritunl VPN ポータルについては、新規ユーザのオンボーディング時に多要素認証を有効化する運用を標準とすることを強くお勧めします。

Proxmox には多要素認証（MFA）が標準で備わっています。たとえば Google Authenticator を利用する場合、次の手順で設定できます。

Proxmox → Datacenter → Permissions → Two Factor → [Add] → TOTP を開きます。
MFA を有効にしたいユーザを選択すると、QR コードと SECRET（シークレット）が表示されます。
スマートフォンで Google Authenticator を開き、QR コードをスキャンするか、SECRET を手入力します。
Google Authenticator に表示された 6 桁のコードを Proxmox のダイアログに入力し、 [Add] をクリックします。

Pritunl にも多要素認証（MFA）の機能が標準で備わっています。

Pritunl → Servers → [対象サーバ] → [Stop] で一旦サーバを停止します。
続いて Pritunl → Servers → [対象サーバ] → [Settings] を開きます。
“Enable Google Authenticator” にチェックを入れ、[Save] をクリックします。
再度 Pritunl → Servers → [対象サーバ] → [Start] でサーバを起動します。
Pritunl → Users → [対象ユーザ] を開き、QR コードアイコン をクリックします。
そのユーザ用の VPN プロファイルと QR コード（または TOTP シークレット）を、安全な経路で利用者に配布します。

MFA を有効化しておけば、ID とパスワードが盗まれただけではログインできません。新しいユーザをオンボードする際は、MFA を「任意のオプション」ではなく、 必須の前提 として扱うことを強くお勧めします。

※注意
ここで説明した Proxmox や Pritunl の MFA 設定だけで、ランサムウェア被害を完全に防げるわけではありません。クライアント PC が乗っ取られた場合は、 VDI の活用や EDR・DLP・UTM などの多層防御を組み合わせても、リスクをゼロにすることは現実的には困難です。
ただし、少なくとも本設定により、インシデント発生時の影響範囲（障害範囲）を縮小し、不正ログインやラテラルムーブメントの難易度を高めることは可能です。

サポート

このセットアップに関するご質問や問題については、以下までご連絡ください:

📧 メール: [email protected]

最終更新: 2025年12月 文書バージョン: 1.0

Operation Guide