IT管理者として徐々に活動の場を広げているA子に、ある日、一本の電話が掛かってきた。相手はA子と同期入社のDくん。Dくんは、入社以来ずっと支社に配属されており、建設現場の監督を務めている。
Dくん |
A子 |
Dくん |
A子 |
Dくん |
A子 |
Dくん |
A子 |
実は、VPNという言葉を初めて聞いたA子。そこでいまは別支社で働く、伝説のIT管理者と呼ばれていたBさんに、早速電話してみることとした。
VPNってどんなもの?
A子 |
Bさん |
A子 |
Bさん |
A子 |
Bさん |
A子 |
Bさん |
VPNを設定する
早速、A子は、VPNについて調べてみた。VPNにはいくつかの種類があるが、とりわけ企業に関係があるのは、IPSecVPNとSSL-VPNの2つである。この2つは、実装されるプロトコル階層が違うことが大きな特徴で、外部から利用するアプリケーションがSSL対応されているか否かはSSL-VPNを導入するうえで重要なポイントとなる。さまざまなアプリケーションに対応することを考えると、今回はIPSecVPNを導入したほうがよいかもしれない。
IPSecVPNでは、認証アルゴリズムと暗号アルゴリズムという2種類のアルゴリズムを使用。また、認証鍵として使う文字列を決定する必要があり、VPNの接続先とは、これら3つの共有が必要だ。
(1)認証鍵の文字列には、半角英数字で128文字までの文字列を設定する。 (2)認証アルゴリズムと暗号アルゴリズムについて、どれを選択すべきかの判断は、状況によって異なる。ここでは、認証アルゴリズムに「HMAC-SHA」、暗号アルゴリズムに「AES-CBC」を使うものとする。
A子は、VPNについて一通り調べたところで、RTX830の管理画面であるWebGUIにアクセスした。
A子 |
A子は「かんたん設定」から「ネットボランチDNS」を選択し、ネットボランチDNSの設定画面を開いた。
ここで、ホスト名を入力しネットボランチDNS名を登録する。ホスト名は任意の文字列を設定可能。設定されたホスト名は、「xxxxx.aa0.netvolante.jp」のような完全に指定されたドメイン名(FQDN) となり、このFQDNに問い合わせると、ルータに割り当てられているグローバルのIPアドレスを逆引きできるのだ。
A子 |
続いて、「かんたん設定」から「VPN」「リモートアクセス」と選択し、リモートアクセスVPNの設定画面を開くA子。「L2TP/IPsecを使用する」にチェックを入れ、すでに決めていた「認証鍵」「認証アルゴリズム」「暗号アルゴリズム」を選択。ユーザー認証方式は、接続元であるDくんのPCがWindowsPCであることにあわせ、「MSCHAP-V2」を選択した。さらに、接続ユーザーを登録。任意のユーザー名とパスワードを設定し、設定を確定した。
設定が確定すると以下のような画面となる。VPN接続が確立していない状態では、接続状態はグレーの点線で表示される。
A子 |
A子は、DくんにVPNクライアントソフトウェアである「YMS-VPN8」をインストールするよう依頼した。「YMS-VPN8」は、ヤマハのVPNルータやファイアウォールとWindows PCをL2TP/IPsecで安全な通信ができるようにするためのVPNクライアントソフトウェアだ。
「YMS-VPN8」では、A子がRTX830に設定しているネットボランチDNS(ホスト名)、認証鍵(事前共有鍵)、ユーザー名、パスワードを入力し、設定を保存しておく。設定された接続情報を選んで、メイン画面にある「接続」ボタンをクリックすると、VPN接続が確立。VPN接続が確立すると、RTX830のWebGUIでは、接続状態がグリーンの矢印で表示される。
これでリモートアクセスVPNの構築が完了。また、Dくんは、VPN接続が確立している状態で、本社のサーバー(192.168.100.4)のディレクトリにアクセスできることも確認した。
拠点間VPNを構築する
A子がリモートアクセスVPNを構築したという噂は、瞬く間に広まりまった。すると早速A子の元に、別の営業所の社員から拠点間VPNを構築したいという相談が持ちかけられた。Z社の支店直轄の営業所は、本社のファイルサーバーにある設計図をファイル転送サービスで送信してもらうことにしているが非常に面倒なため、ファイルサーバーに直接アクセスしたいのだという。
拠点間VPNはその名の通り、拠点同士をVPNで接続するものだ。接続先がVPNルータであれば構築は容易。今回のケースでも、営業所のルータにはRTX830を使っていた。
拠点間VPNの設定も、リモートアクセスVPNと同じように、WebGUIにアクセス。「かんたん設定」「VPN」「拠点間接続」と進み設定をおこなう。事前に、ネットボランチDNS、認証鍵、認証アルゴリズム、暗号アルゴリズムを、接続先と共有しておくというのも同様だ。
ここで注意すべき点として、LAN側のアドレスを重複しないようにする、ということが挙げられる。たとえば、本社側のアドレスが「192.168.100.0/24」だとしたら、営業所側は「192.168.200.0/24」としておく必要があるのだ。
本社側のルータに設定をおこない、営業所側のルータにも同じように設定をおこなうことで、拠点間VPN接続を確立させることができる。VPN接続が確立できれば、あとは、あたかも専用線で接続されているかのようにネットワークを使うことが可能。Z社では営業所から本社のファイルサーバーにアクセスできるようになり、業務効率が改善された。
Bさん |
A子 |
RTX830でのリモートアクセス設定は、拍子抜けするほど容易に設定できたが、社員からとても喜んでもらえたことで、A子はIT管理者として活動する喜びをひとつ知ったのだった。
[PR]提供:ヤマハ