前回はLAN間接続について取り上げたので、今回はリモートアクセスについて取り上げる。前回と同様にPPTPとIPsecのそれぞれについて取り上げるが、IPsecでは注意が必要だ。
というのは、Windowsが標準装備するIPsecではなく、ヤマハがリリースしているIPsec対応のVPNクライアント「YMS-VPN7」を必要とするためだ。そこから着信を受け付けるヤマハルータは、IPsecをアグレッシブモードで、レスポンダ側(固定IPアドレスを使用する側)として設定すればよい。常に、「YMS-VPN7」が動作するクライアントPCがイニシエータとなる。
PPTPの場合
NetVolanteシリーズでPPTPを用いてリモートアクセスVPNを実現する場合、「pp接続」と「anonymous接続」の2種類を選択できる。しかし、リモートアクセスではクライアント側のIPアドレスを固定できない場合が大半を占めると思われるので、pp接続は現実的ではない。よって、anonymous接続を使用する前提で解説する。
前回と同様、NetVolanteにおける設定では「かんたん設定ページ」を使用する。
「かんたん設定ページ」のトップ画面で、[詳細設定と情報]をクリックする。続いて表示する「詳細設定と情報」画面で、上から2番目にある[VPN接続の設定]の横にある[設定]をクリックすると、ppインタフェースの一覧画面が現れる。その中から、空いているインタフェースを選択して[追加]をクリックする。
次の画面で、[PPTPを使用したパスワード認証のリモートアクセスVPNサーバ(Anonymous)]を選択してから[次へ]をクリックする。すると、PPTP接続に必要な項目を設定するための画面が現れる仕組みだ。設定する項目は以下の通りとなる。
・PPTP暗号鍵生成の認証方式 : 既定値の[MS-CHAPで認証する]を[MS-CHAP v2で認証する]に変更。
・ユーザID、接続パスワード : 接続してくるクライアントの認証に使用する、ユーザーIDとパスワードを指定する。
・割り当て方法 : VPNクライアントに、LAN側で使用するIPアドレスを割り当てる方法を指定するもの。NetVolanteが内蔵するDHCPサーバで割り当てる方法と、特定のIPアドレスを割り当てる[固定割り当て]がある。
・付与IPアドレス1~4 : [割り当て方法]で[固定割り当て]を選択した場合に必要な設定で、VPNクライアントに割り当てるLAN用のIPアドレスを最大4個まで指定する。DHCP使用時には設定しない。
クライアントに割り当てるIPアドレスを[固定割り当て]に変更することもできる。VPNクライアントを識別しやすい利点があるが、DHCPスコープで使用するアドレス範囲と重複しないように注意しなければならない |
最後に、画面下方にある[設定の確定]をクリックすると、設定を登録する。なお、anonymous接続では、ユーザーIDとパスワードの組み合わせを最大4件まで登録できるので、ユーザーが少なければ、ユーザーごとに使い分けることもできる。
この操作により、[詳細設定と情報]画面に[登録されているVPN設定の一覧]が現れる。そこで[設定]をクリックするとユーザIDとパスワードの変更が、[VPN Anonymous接続 共通設定]側の[設定]をクリックするとLAN側IPアドレスの割り当て方法と無通信切断タイマの設定が、それぞれ変更可能だ。また、[削除]をクリックすると設定削除が可能だ。
こうして設定したVPNの動作状況は、「かんたん設定ページ」のトップ画面で確認できる。
リモートアクセスVPNの場合、着信を受け付けるヤマハルータが常にPPTPサーバ、そこに接続するクライアントPCが常にPPTPクライアントとなる。そのため、ことさらにPPTPサーバ/PPTPクライアントの別を指定する必要はない。
IPsecの場合
前述のようにリモートアクセスVPNではクライアント側のIPアドレスを固定できない場合が大半を占めると思われるので、着信を受け付けるヤマハルータ側ではアグレッシブモードで設定を行う必要がある。
実は、「YMS-VPN7」を使用する場合、クライアントPC側で仮想的にLANをひとつ設定して、それとヤマハルータ側のLANを接続する形をとっている。やっていることはリモートアクセスだが、動作としてはLAN間接続と同じになるわけだ。そのため、「YMS-VPN7」を利用する際には、クライアント側に割り当てるネットワークアドレスとサブネットマスクを決めておかなければならない。これは、接続先のLANと重複しないようにする。
対して、そこから着信を受け付けるヤマハルータの側は、IPsecをアグレッシブモードで使用するときの、固定IPアドレス側と同じ設定を使用する。
まず、クライアントPCに「YMS-VPN7」をセットアップするが、その後の設定手順についてまとめておこう。
1. [スタート]メニューの[すべてのプログラム]-[YMS-VPN7]-[接続設定]を選択して、設定画面を呼び出す(通知領域のYMS-VPN7アイコンで右クリックして[接続設定]を選択する方法もある)。
2. こうして表示するYMS-VPN7の接続設定画面には、[接続制御][接続1][接続2][接続3][接続4]と、合計5枚のタブがあり、異なる4種類の接続設定を登録しておけるようになっている。いずれの設定画面も内容は同一で、内訳は以下の通りだ。
・設定名 : 既定値では「接続1」「接続2」となっているが、自由に変更できる。
・事前共有鍵 : ルータ側で、ipsec ike pre-shared-keyコマンドで指定したものと同じ事前共有鍵を指定。
・このクライアントの名前 : ルータ側で、ipsec ike remote nameコマンドで指定したものと同じ、クライアント識別用の名前を指定。
・接続先ゲートウェイ : 接続先となるヤマハルータのWAN側IPアドレスを指定。[IPアドレスで指定]を選択してから、IPアドレスを入力。
・認証アルゴリズム : ルータ側で、ipsec sa policyコマンドで指定したものと同じ認証アルゴリズム(一方向ハッシュ関数)を、リストボックスから選択。
・暗号アルゴリズム : ルータ側で、ipsec sa policyコマンドで指定したものと同じ暗号化アルゴリズムを、リストボックスから選択。
・接続先ネットワーク : 接続先となるヤマハルータのLAN側で使用しているものと同じ、ネットワークアドレスとサブネットマスクを指定。サブネットマスクはビット長で、リストボックスから選択する方法で指定する。
・このクライアントの内部IPアドレス : [手動で指定]を選択してから、YMS-VPN7側で使用する仮想ネットワークアドレス範囲を指定。
・DNSサーバ : VPN接続中に利用するDNSサーバを設定する。Active Directory利用時など、LAN側ホストに対してDNSによる名前解決を行うときに、この指定が必要。
・NATトラバーサル : NATトラバーサルを利用するときに[使用する]チェックボックスをオンにする。
・接続先を経由しない通信 : VPN接続中に、VPNとは別のネットワークとの間で暗号化を行わずに通信する際には、[許可する]チェックボックスをオンにする。
・インターネット接続 : リモートアクセスVPN接続中に、VPNトンネル経由で接続した先のLANからインターネットに出て行く場合には、[VPN経由]チェックボックスをオンにする。
3. すべての項目について設定を行ったら、[保存]をクリックして設定を保存する。保存を行う前にタブを切り替えると設定内容が失われる点に注意したい。 こうして設定を行うと、[接続制御]タブにある[接続]ボタンのクリックによって発信が可能になる。そのボタンが、接続中は[切断]ボタンに化けるので、それを使うと通信が終了する。
なお、ここで紹介した内容については、下記の書籍に記載されているので、詳細を知りたい方はそちらを参照いただきたい。
ヤマハルータでつくるインターネットVPN [第3版]
著者:井上孝司 協力:ヤマハ 価格:4,515円
本書は、ヤマハ社のVPNルータ NetVolante/RT/RTXシリーズを対象に、セキュリティの高いVPN環境を構築する手法を解説。VPN、IPsec利用環境の基礎知識から実構築・有効活用まで、「ヤマハルータ」の機能を活用した、さまざまなVPNの有効活用がこの1冊でできるようになる。また、QoS、バックアップ機能からルータの管理・メンテナンスもわかりやすく解説する。