第3回 PPTPサーバの導入:VPN実践導入講座(4/5 ページ)
今回からは実際にVPN環境を構築してみる。まずはActive Directoryドメインの導入とPPTPによるVPNサーバの導入方法について解説する。
以上でルート・ドメインのActive Directoryのドメイン・コントローラにおける準備は完了である。次は本社側のVPNサーバ(サーバ名は「SYS-SV02」)の設定を行う。今回はこのVPNサーバでは、支社側からのVPN呼び出しの受け付けのほかに、同時にLAN上のクライアントがインターネットへアクセスするためのNAT/NAPT機能も担当する。そのためサーバの設定に際しては、これらのサービスを同時に利用できるように設定しなければならない。
VPNサーバの設定はRRASの管理ツールを使って行う。デフォルトでは、このサービス(「ルーティングとリモート アクセス」サービス)はインストールされてはいるが、サービスは開始されていない。VPNサービスやNAT/NAPT、ファイアウォールなどの機能は、このRRASの一部として組み込まれているため、RRASサービスの開始後に、さらにいくらかの設定が必要になる。といってもこの場合は、RRASに用意された初期設定ウィザードを使えば、ほとんどの初期設定作業を簡単にすませることができる。その後、いくらかの補助的な設定(ポリシーの設定によるセキュリティの強化など)を行えばよい。
RRASウィザードの起動
RRASウィザードを起動するには、RRASの[スタート]メニューの[プログラム]−[管理ツール]から[ルーティングとリモート アクセス]管理ツールを起動し、サーバ名を右クリックして、ポップアップ・メニューから[ルーティングとリモート アクセスの構成と有効化]を選択する。すでにRRASサービスが起動されていると、このメニューは表示されず、ウィザードを起動することができない。だが、RRASの初期設定をウィザード以外で行うのは、あまり簡単ではないので勧められない。特に今回は、VPNのサーバ・サービスのほかに、NAT/NAPT機能や、ベーシック・ファイアウォール機能、さらにクライアント側では(DSL回線や光ファイバ回線の)PPPoEインターフェイスなどを使ったインターネット接続機能なども利用する予定である。そのため、それらの設定を個別に行うよりは、ウィザードを使って初期設定を済ませるのが簡単で、確実である。
何らかの理由ですでにRRASサービスが起動されていたり、1回行ったRRASの設定をやり直したりしたければ、RRASサービスを1度無効化すればよい。先ほどのポップアップ・メニューから[ルーティングとリモート アクセスの無効化]を選択実行する。その後、再度[ルーティングとリモート アクセスの構成と有効化]を選択して実行すればよい。
RRASウィザードの起動
RRASサービスは、デフォルトでは無効化されている。
(1)サーバ名の左側にはある赤い矢印は、RRASサービスが停止していることを表している。
(2)RRASウィザードを起動するにはこれを選択する。
(3)RRASサービスがすでに起動している場合は、これを選択してサービスをいったん無効化し、その後ウィザードを起動するとよい。
RRASウィザードを使うと、ネットワークの使用目的に合わせて、簡単に初期設定を済ませることができる。サーバとして運用する場合の代表的なケースについて、あらかじめ用意されている選択肢を選ぶと、ルーティングやNAT、ファイアウォールの設定などが行われる。
今回は支社側からのVPNの呼び出しを受け付けるほか、インターネットへアクセスするためのNAT/ファイアウォールとしても利用する。このために、あらかじめVPNサーバとなるマシンには2枚のネットワーク・インターフェイス・カードを装着しておき、それぞれプライベートIPアドレス(本社側の社内LAN用)と、グローバルIPアドレス(ISPから割り当てられた8つの固定IPアドレスのうちの1つ)を割り当てておく。この状態でウィザードを起動すると、NATやファイアウォールの設定が可能になる(ネットワーク・カードが2枚以上装着されていないと、ウィザードの途中で、VPN/ファイアウォールとして設定することはできない)。
ウィザードを起動すると、最初にサーバの使用目的を選択する画面が表示される。これはWindows Server 2003のウィザード画面であるが、Windows 2000 Serverのウィザード画面と比べると、ファイアウォール機能などが追加されている分だけ、構成が変更されている。
RRASの構成の選択
目的に応じて、デフォルトではいくつかのRRASの構成例が用意されている。ウィザードに従ってインターフェイスを選択したり、必要なパラメータをセットしたりすることにより、目的に合わせて構成を簡単に変更することができる。ウィザードの終了後、手動で細部をカスタマイズすることもできるので、初期設定はこのウィザードで済ませるのが便利である。
(1)外部からこのマシンに対してダイヤルアップ接続もしくはVPN接続を行う。外部からのアクセスを受け付けるが、内部からのアクセスはそのまま外部へNATなしでルーティングされる。
(2)内部LANから、外部(インターネット)に対して、NATを使ってアクセスする。支社側のネットワークのように、外部からのアクセスを受け付けない場合はこれを選択する。
(3)VPNによる呼び出しを受け付け、さらに外部に対してはNAT/NAPT経由でアクセスする場合はこれを選択する。今回の例では、本社側のネットワークはこの構成になる。
(4)VPNによる仮想的なトンネルだけを構築する場合に選択する。(2)や(3)の構成と似ているが、NAT機能は含まれないので、トラフィックはすべてVPNのトンネルを経由して別のネットワークへ送られることになる(必要ならば後でNAT機能を追加することも可能)。
(5)すべての設定を手動で行う場合に選択する。
(6)必要な構成を選んでからこれをクリックして先へ進む。
今回の例では、本社側サーバにおけるVPNサーバの構築とインターネットへのNATを使ったアクセスを実現するために、(3)のVPNサーバ+NATというオプションを選ぶ。以後では、クライアントに割り当てるIPアドレスの選択と、グローバル側とローカル側のネットワーク・インターフェイスの選択などを行って、ウィザードを終了する。
VPN用インターフェイスの選択
この画面では、VPNに使用するネットワーク・インターフェイスを選択する。一般的には、これはインターネット側のインターフェイスになるので(今回の例では、すでに固定的なIPアドレスを割り当てておくこと)、さらにWindows Server 2003のベーシック・ファイアウォール機能も有効にしておく。
(1)インターネット側との接続に利用しているインターフェイス。あらかじめグローバルIPアドレスを割り当てておく。
(2)ローカル側のネットワーク・インターフェイス。
(3)ファイアウォール機能を有効にし、不要なアクセスをブロックする。
(4)これをクリックして、次はVPNで使用するIPアドレスを設定する。
この画面では、インターネット側とローカル側のネットワーク・インターフェイスをそれぞれ選択する。同時にWindows Server 2003が持っているベーシック・ファイアウォール機能を有効にし、VPNサービス以外の不要なアクセスをすべてブロックする。Windows 2000 Serverはこのようなファイアウォール機能は持っていないので、VPNサーバのセキュリティを確保するためには、RRASのパケット・フィルタ機能を有効にするか、別途ファイアウォール・ソフトウェアを導入する、インターネットとの接続に利用しているルータなどでファイアウォール(パケット・フィルタ)機能を実現するなどの対策が必要になる。RRASの持つパケット・フィルタの機能については、別記事の「常時接続時代のパーソナル・セキュリティ対策」などを参照していただきたい。
インターフェイスを選択したら、次はVPNのクライアントの接続に利用するためのIPアドレスを割り当てる。VPN接続は形式的にはダイヤルアップ接続と同様であり、VPNのクライアントがVPNサーバに接続する場合は、VPN接続の両端にIPアドレスが必要となる。通常は、サーバ側のネットワーク・アドレスの一部(今回の場合ならば10.100.1.*/24の一部)を割り当てる。
VPN用のIPアドレスの割り当て
VPN接続を行うためには、VPNのトンネルの両端(サーバ側とクライアント側)にIPアドレスを割り当てる。通常はサーバ側のローカルのネットワーク・アドレスの一部(今回の場合ならば10.100.1.*/24の一部)を割り当てる。
(1)VPNクライアントに割り当てるIPアドレスを、DHCPサーバを使って自動的に決めるためにはこれを使用する。
(2)VPNクライアントからの接続であることを明らかにするために、VPN用に特別に予約したIPアドレスを使用するためには、こちらを選択する。
(3)これをクリックして、次はVPNで使用するIPアドレス範囲を定義する。
VPN接続で使用するIPアドレスは、DHCPを使って割り当てる方法と、固定的なアドレス範囲から割り当てる方法の2通りがある。ネットワークのトラブルシューティングなどを考えると、VPN接続で使用しているIPアドレスが限定されている方が便利である。そのため、VPN(やダイヤルアップ)接続で使用するIPアドレスは、固定的な範囲を割り当てるのがよい。割り当てるIPアドレスの範囲は、サーバ側のネットワーク・アドレスの一部とする。VPN(やダイヤルアップ)接続では、サーバ側で1 IPアドレスを使用し、さらに各VPNクライアントからの接続ごとに1つずつ使用する。同時に使用するVPNのコネクションの総数(今回のケースでは、支社側からVPN接続の総数)に加えて、招待のためにいくらかの余裕を持たせた分だけ割り当てておく。
IPアドレス範囲の指定
(1)VPNクライアントに割り当てるためのIPアドレスの範囲。初期状態では空となっている。
(2)これをクリックすると、新しくIPアドレスの範囲を割り当てることができる。
(3)IPアドレスを割り当てると、この[次へ]ボタンが有効になる。
(2)をクリックすると、IPアドレスの範囲を指定することができる。
新しいIPアドレス範囲の割り当て
(1)範囲の開始IPアドレス。通常はサーバ側のローカルのネットワーク・アドレスの一部を割り当てる。
(2)範囲の終了IPアドレス。
(3)(2)を指定すると、自動的にIPアドレスの総数がここに表示される(この場合は10個分のIPアドレス)。もしくは直接ここに総数を入力すると、終了IPアドレスが自動的に計算され、表示される。
以上の設定が完了すると、RRASのウィザードの設定は終了である。最後に設定情報の一覧が表示され、[OK]をクリックすると、実際にRRASの設定が行われ、さらに次のようにRRASサービスが自動的に起動する。
Copyright© Digital Advantage Corp. All Rights Reserved.