第4回 PPTPクライアントの導入:VPN実践導入講座(1/3 ページ)
実地検証施設と2つのインターネット接続を利用し、VPN環境を実際に構築して分かったことは…… 今回はPPTPクライアントの設定法を解説する。
前回はVPN(PPTP)のサーバ側の設定を行った。今回は、これに対応する、クライアント側(支社側)の設定について解説する。
前回解説したVPNサーバは、外部からの接続要求を受け付ける立場にあるので、いくつかのポートをグローバルIPアドレスでリッスン(待ち受け)している。そのため、適切なセキュリティ設定を施していないと、外部からDoS(サービス拒否)攻撃などを受けたり、不正にVPN接続などを行われたりする可能性がある。前回の例では、VPN接続可能なアカウントとそのIPアドレスを限定することにより、あらかじめ登録されたコンピュータ以外からの接続を拒否していた。より安全性を高めるためには、VPNサーバのレベルだけではなく、パケット・フィルタリングなどを使って、許可されていないIPアドレスからの接続要求をすべて拒否するように設定すればよいだろう。ただしWindows 2000 ServerやWindows Server 2003の「ルーティングとリモート アクセス(RRAS)」が持っている静的パケット・フィルタはあまり機能が高くないので(RRASのパケット・フィルタの機能については「常時接続時代のパーソナル・セキュリティ対策(第2回)」などを参照)、必要ならばより高機能なファイアウォールやネットワーク機器などを利用するとよいだろう。
以上のようなサーバ側の設定と違って、VPNのクライアント側では外部からの要求を受け付けることはないので、セキュリティ設定などはサーバ側ほどシビアではない。Windows Server 2003やブロードバンド・ルータなどが持つNAT(NAPTやIPマスカレードを含む)機能だけでも十分であろう(だがログをしっかりと残したければ、やはり高機能なファイアウォールを導入するのが望ましい)。
VPN(PPTP)のクライアントを導入するには、サーバ側の導入と同様に、以下の2つの設定を行う必要がある。
- インターネット接続とNATの設定
- VPN接続の設定
最初の「インターネット接続」とは、PPTPの仮想トンネルを作るために必要な、インターネット・プロバイダへの接続のことである。今回の例ではADSLを使っているので、まずはPPPoEを使ってADSL接続を確立する必要がある。プロバイダや回線事業者によっては、PPPoEではなく、ルータ・タイプの接続が利用できる場合もあるので(この場合は単にローカルのLAN上でIPアドレスが割り当てられるのと同じ仕組みが使われる)、このあたりは環境に応じて適宜対応していただきたい。PPPoEの接続と同時に、NATやベーシック・ファイアウォール機能も有効にして、LAN上のクライアントがこのVPNクライアント用PCを経由して、自由にインターネットへアクセスできるようにもしておく。
2番目の「VPN接続」とは、1で構築したインターネット接続を使って、その上にPPTPのトンネルを作成するためのものである。
以下に、今回構築するクライアント側(支社側)のネットワーク構成について示しておく。サーバ側(本社側)と同じように、Windows 2000 ServerでActive Directoryのドメインを構築し(DNSやDHCP、必要ならばWINSサーバなども提供する)、Windows Server 2003でVPNやNATなどのネットワーク・サービスを提供する。インターネットへの接続に使うネットワークは、サーバ側と同じように、DSLや光ファイバ回線を利用する。ただしサーバ側と違って、割り当てられている固定IPアドレスは1つだけであり、外部(インターネット)に対してはサービスを公開しないものとする。PPPoE接続はWindows Server 2003に組み込まれている機能を利用する。
クライアント側のネットワーク構成
クライアント側(支社側)のネットワーク構成も、サーバ側(本社側)と同じように、Windows 2000 ServerでActive Directoryのドメインを構築し、Windows Server 2003でVPNやNATなどのネットワーク・サービスを提供する。インターネットへの接続に使うネットワークは、サーバ側と同じように、DSL(DSLモデムを使って接続する)や光ファイバ(メディア・コンバータを使って接続する)などを利用する。ただしサーバ側と違って、割り当てられている固定IPアドレスは1つだけであるとする。PPPoEの設定はWindows Server 2003に組み込まれているPPPoE接続機能を利用する。
今回の構築例では、図中のVPNサーバ(Windows Server 2003)の設定について解説する。本社側ネットワークと支社側ネットワークの間にいったんVPN接続が確立されてしまえば、あとは通常のLAN間接続と変わらない。本記事ではActive Directoryの設定などについては特に触れないので、必要ならば連載「管理者のためのActive Directory入門」などを参照していただきたい。
Copyright© Digital Advantage Corp. All Rights Reserved.