検索
特集

ノマド・ワーカーのためのVPNクライアント設定入門運用(3/5 ページ)

外出先から社内のネットワークに安全な形でアクセスする際に、インターネットVPNを利用することが一般的。そこでインターネットVPNを利用するためのクライアントのセットアップ手順などについて解説する。

[小林章彦,デジタルアドバンテージ] PC用表示 関連情報
Share
Tweet
LINE
Hatena
前のページへ | 次のページへ

■接続に失敗したら暗号化の設定を変えてみる

 また、[セキュリティ]タブの「データの暗号化」は、デフォルトでは「暗号化が必要(サーバーが拒否する場合は切断します)」となっている。VPN接続が確立できない場合、「暗号化は省略可能(暗号化なしでも接続します)」にすることで接続できるようになることもある。ただし、暗号化が省略され、平文による通信が行われる可能性もあり、セキュリティ上好ましくないことから、「暗号化が必要」で接続できるようにVPNゲートウェイ側の設定を変更してもらうなどした方がよい。

[D]

[<接続先の名前>のプロパティ]ダイアログの[セキュリティ]タブの画面
<接続先の名前>のプロパティ]ダイアログの[セキュリティ]タブの画面
「VPNの種類」を「自動」から「Point to Point トンネリング プロトコル (PPTP)」など、VPNゲートウェイに設定しているトンネリング・プロトコルに変更する。またVPN接続が確立できない場合、「データの暗号化」を「暗号化は省略可能(暗号化なしでも接続します)」にするとよい。
  (1)「自動」から「Point to Point トンネリング プロトコル (PPTP)」などに変更すると、VPNの接続確立までの時間を短くできる。
  (2)VPN接続が確立できない場合、「データの暗号化」を「暗号化は省略可能(暗号化なしでも接続します)」にしてみる。

 これでもVPN接続が確立できない場合、[<接続先の名前>のプロパティ]ダイアログ−[セキュリティ]タブの「認証」のチェックをいろいろと試してみるとよい。また、ホスト名が正しいIPアドレスに解決されていることや、VPNクライアントの資格情報(ユーザー名やパスワード、ドメイン名)が正しいことなども、再度、確認してみるとよいだろう。

■外部のWebサイトが閲覧できなくなったらTCP/IPの設定を変えてみる

 VPN接続後、VPN経由でインターネット(外部のWebサイト)が見えなくなるなどの不具合が発生することがある。このような場合は、[<接続先の名前>のプロパティ]ダイアログの[ネットワーク]タブを開き、「インターネット プロトコル バージョン 4(TCP/IPv4)」を選択し、[プロパティ]ボタンをクリックする。[インターネットプロトコルバージョン4(TCP/IPv4)のプロパティ]ダイアログが開くので、ここで[詳細設定]ボタンをクリック、開いた[TCP/IP詳細設定]ダイアログの「リモート ネットワークでデフォルト ゲートウェイを使う」のチェックを外すとよい。ここにチェックが入っていると、VPNで接続しているネットワークのゲートウェイ経由でインターネットに接続しようとするため、上述のような不具合が発生することがある。ここのチェックを外すと、VPN接続前のゲートウェイ経由でインターネットに接続するため、この不具合が解消される。

 このようにWindows 7/8では、トンネリング・プロトコルなどについて意識することなく、VPNクライアントの設定が行えるようになっている。一方、VPN接続が確立できない場合、なかなか原因がつかみにくいというデメリットもある。

VPN接続が確立できないときの対処例
――VPNゲートウェイでMS-CHAPv2認証の脆弱性が対策されている場合――

 ここではVPN接続に失敗する具体的な例を取り上げて、その対処方法を紹介しよう。

 PPTPで標準的に使われてきた認証プロトコル「MS-CHAPv2」には脆弱性があることが知られている。そのためVPNゲートウェイによっては、管理者がその脆弱性を回避するために設定を変更していることがある(簡単にいえば「Protected Extensible Authentication Protocol: PEAP」というプロトコルでMS-CHAPv2が保護されるように設定する)。その場合、WindowsのVPNクライアントはデフォルトで接続できない。次のように、VPN接続のプロパティの[セキュリティ]タブで明示的に認証の設定を変更する必要がある。

VPN接続の認証プロトコルを変更する(a)
VPN接続の認証プロトコルを変更する(a)
これは作成済みのVPN接続のプロパティを開いたところ。
  (1)このタブを選ぶ。
  (2)[拡張認証プロトコル (EAP) を使う]を選ぶ。デフォルトでは下の「次のプロトコルを許可する」が選択されているはずだ。
  (3)[Microsoft: 保護された EAP (PEAP) (暗号化は有効)]を選ぶ。
  (4)(3)の後にこれをクリックして、さらに詳細な設定を変更する

 上の画面で[プロパティ]ボタンをクリックしたら、以下のように設定を変更する。

VPN接続の認証プロトコルを変更する(b)
VPN接続の認証プロトコルを変更する(b)
  (1)チェックを外してオフにする。オンの方がセキュリティ面では安全だが、VPNゲートウェイ管理者に電子証明書の設定を確認して、適切に設定する手間が必要になる。
  (2)まずはデフォルトの[セキュリティで保護されたパスワード (EAP-MSCHAP v2)]を選んだまま、接続を試してみよう。もし失敗したら、[スマート カードまたはその他の証明書]を選び、[構成]ボタンをクリックしてさらに細かい設定をする必要がある。

 ところでMS-CHAPv2の脆弱性については、以下のマイクロソフト公式ブログの投稿が大変参考になる。VPNサーバ/クライアントの設定変更方法についても、参考ページへのリンクが記載されている。

 なお、後述するiOSやAndroidの標準VPNクライアントでは、どう設定を変えてもPEAPの設定をしたPPTP VPNゲートウェイには接続できなかった。どうやらPPTP VPNにおけるPEAPとMS-CHAPv2の組み合わせがサポートされていないようだ。


Copyright© Digital Advantage Corp. All Rights Reserved.

前のページへ | 次のページへ
ページトップに戻る