第4回　PPTPクライアントの導入：VPN実践導入講座（3/3 ページ）

　PPPoEによる接続が完了すれば、次はそのインターフェイスを使って、実際に本社へのVPN接続（PPTP接続）を確立する。このためにはRRASのウィザードで、新たに「デマンド ダイヤル インターフェイス」を作成すればよい。

VPN接続の作成
いま作成したPPPoE接続を使って、今度はVPN接続（PPTPのクライアント接続）を作成する。
　（1）新しいVPN接続を作成するには、まず［ネットワーク インターフェイス］の一覧を作成する。
　（2）作成したPPPoE接続（DSL接続）。このインターフェイス上に、さらにVPN接続を作成する。
　（3）右側のウィンドウ・ペイン上でマウスを右クリックし、ポップアップ・メニューから［新しいデマンド ダイヤル インターフェイス］を選択する。

　RRASの管理画面において、左側のツリーで「ネットワーク インターフェイス」を選択すると、右側のペインに現在登録されているインターフェイスが一覧表示される。先ほど作成したPPPoE接続インターフェイスも表示されているはずである。右側のペインでマウスを右クリックし、ポップアップ・メニューから［新しいデマンド ダイヤル インターフェイス］を選択すると、VPN接続を作成するためのウィザードが起動される。

ウィザードの起動
ポップアップ・メニューから［新しいデマンド ダイヤル インターフェイス］を選択すると、VPN接続を作成するためのウィザードが起動される。
　（1）これをクリックして先へ進む。

　最初に作成するVPN接続の名称を入力する。本社側VPNサーバへの接続であることを表す、分かりやすい名称を付けておこう。

インターフェイス名の設定
VPNの設定ウィザードの最初では、このVPN接続の名称を指定する。
　（1）VPN接続に付ける名称。RRAS管理ツールのインターフェイス名の一覧に表示される。
　（2）これをクリックして先へ進む。

　次は作成するダイヤルアップ接続の種類を選択する。ここではVPN接続を選択し、本社側ネットワークへの仮想トンネルを作成する。

インターフェイスの選択
ここでは作成するダイヤルアップ接続の種類を選択する。
　（1）ここではVPN接続を選択し、本社側ネットワークへの仮想トンネルを作成する。
　（2）PPPoE接続の場合はこれを選択。
　（3）これをクリックして先へ進む。

　Windows Server 2003で利用できるVPNプロトコルとしては、PPTPとL2TP（＋IPSec）の2種類がある。「自動選択」を選ぶと、サーバ側のプロトコルに応じて自動的に適切なプロトコルが選択されるが、今回はPPTPを選択する。L2TP（＋IPSec）でも認証方法がやや異なる以外は、ほとんと同じ手順で利用することができる（ただし、サーバ側とクライアント側に証明書を用意するなどの準備が必要）。

VPNのプロトコルの選択
Windows Server 2003で利用できるVPNプロトコルとしては、PPTPとL2TPの2種類がある。デフォルトは「自動選択」となっており、サーバ側のプロトコルに応じて自動的に接続可能なプロトコルが選択される。
　（1）デフォルトではこれが選択されている。
　（2）今回はPPTPを選択する。
　（3）L2TP（＋IPSec）の場合はこちらを選択。
　（4）これをクリックして先へ進む。

　次の画面では、VPNサーバの接続先（IPアドレスもしくはFQDN名）を入力する。

VPNサーバの指定
ここでは、接続するVPNサーバのIPアドレスもしくはFQDN名を指定する。今回の例では、本社側のVPNサーバに付けられているグローバルIPアドレスを指定している。
　（1）接続先の指定。通常はVPNサーバのグローバルIPアドレスを指定する。
　（2）これをクリックして先へ進む。

　次は、ルーティングの設定を行う。VPN接続時に追加されるネットワーク・アドレスを指定することにより、特定のネットワークに対するアクセスをすべてVPN接続に振り分けることができる。今回の例では、本社側のネットワーク・アドレスを指定することにより、本社側に対するアクセス（IPパケット）をすべてVPN接続に向けてルーティングさせることができる。

ルーティング経路の追加の指定
VPN接続が有効になった場合は、そのトンネルの先にあるネットワーク・アドレスをローカルのルーティング・テーブルに追加させる。これにより、本社あてのパケットが自動的にVPNトンネルを通るようにルーティングされる。
　（1）VPN接続と同時に、ルーティング情報を追加するには、これを選択する。
　（2）これをクリックして先へ進む。

　次の画面では、実際のネットワーク・アドレス（IPアドレスとネットマスク、メトリック）を指定する。メトリックとは、ルーティング・テーブルの優先度を表す数値であり、もし同じルーティング・テーブルのエントリが存在すれば、数値の小さい方が優先される。以下の例では、本社側のネットワーク・アドレス（10.100.1.0/24）のみを定義しているが、実際には、ほかの支社へのルートやデフォルトのルートなども考慮しておく必要があるだろう。ある特定の2つの支社間でのトラフィックが多いようならば、それら2つの支社間で直接VPNトンネルを構築し、それらの間では直接トラフィックを交換するようにするとよい。さもないと、デフォルトではすべてのトラフィックはいったん本社のVPNサーバへと送られ、そこからまた別の支社へとルーティングされることになる。

　このようなルーティングを実現するためには、デフォルト・ルートはすべて本社側のVPNサーバとし、必要に応じて（別の支社にある）特定のVPNサーバへとルーティングするように設定すればよいだろう（新たにVPN接続を定義すること）。例えば、192.168.0.0/16、172.16.0.0/12、10.0.0.0/8といったプライベートIPアドレスに対してはメトリック2（もしくはそれ以上）で本社側のVPNサーバへ送るルートを設定し、それ以外のルートは必要に応じてメトリック1で追加するのである。ただしこのような例外的なルートを多く作成すると、後で管理などが大変になるので、その必要性や効果などについて、よく考えてから実行していただきたい。

追加するルーティング情報
今回の例では、VPN接続時に、本社側のネットワーク・アドレスをルーティング・テーブルに追加している。これ以外にも、プライベートIPアドレスに対するエントリをメトリック2とかそれ以上で追加しておけば、デフォルトでは（ほかの支社あてなどを含む）すべてのトラフィックがこのVPNトンネルにルーティングされる。
　（1）あて先のネットワーク・アドレス。
　（2）あて先ネットワークのネットマスク。
　（3）メトリックとは、ルーティング・テーブルの優先度を表す数値。この場合はデフォルトの1のままでよい。
　（4）新たなルートを追加するにはこれをクリックする。
　（5）これをクリックして先へ進む。

　次はVPN接続に使用するための認証情報（アカウント情報）を指定する。PPTPプロトコルによるVPN接続は、モデムやISDN TAを使ったダイヤルアップとほぼ同じであり、ユーザー名（アカウント名）とパスワードをクライアント側からサーバ側に送信してVPNサーバにログオンする。

VPN接続のアカウントの設定
ここではVPNサーバに接続するためのアカウント情報を指定する。VPNサーバは、このアカウント情報を元にどこから接続しているのかを判断し、ルーティング情報などを設定する。そのため拠点ごとに、あらかじめ決められたアカウント情報を使ってVPN接続を確立しなければならない。
　（1）VPN接続のアカウント名。
　（2）ドメイン名。本社側のActive Directory（example.co.jp）に登録されているアカウントなので、ここではEXAMPLEを指定。
　（3）VPN接続のパスワード。
　（4）これをクリックして先へ進む。

　以上でVPN接続のセットアップは終了である。

VPN接続作成ウィザードの終了
以上でVPN接続の設定は終了である。この後、さらに常時接続にするための設定を行う。
　（1）これをクリックして先へ進む。

　以上の手順で作成されたVPN接続の情報は、RRASの管理コンソールで確認することができる。管理コンソールの左側ペインで［ネットワーク インターフェイス］を選択し、右側ペインに作成したPPPoEとVPNインターフェイスが存在することを確認する。これらの接続は、デフォルトではオンデマンドになっているが、常時接続環境では、常にアクティブになるように設定しておくのが望ましいだろう。それぞれのインターフェイスを右クリックし、ポップアップ・メニューから［プロパティ］を選択する。そして［オプション］タブにある［接続の種類］を［固定接続］に設定する。

常時接続にするための設定
DSL接続やVPN接続は、オンデマンドではなく、常時接続されるように設定しておく。特に今回の例では、VPNは支社側から本社側へ呼び出すのみなので、オンデマンドが有効になっていると（常時接続が無効になっていると）、本社側から支社側への通信ができなくなる可能性がある。常時接続にするには、RRASの管理コンソールで［ネットワーク インターフェイス］を選ぶ。そして右側のペインに表示されているPPPoE接続とVPN接続のそれぞれのインターフェイス名を右クリックして、ポップアップ・メニューから［プロパティ］を選択し、［オプション］タブにある［接続の種類］を［固定接続］にする。
　（1）これを選択すると、システムが起動した直後から自動的にこの接続が有効になる。
　（2）リダイヤル回数。これは可能な限り大きくしておくとよい。
　（3）デフォルトでは1分となっている。ADSLの場合、プロバイダにもよるが、突然リンクが切れたりした場合は、再接続できるようになるまでに時間がかかることがあるので、そのあたりも考慮して、決めてほしい。

VPN接続の確認

　実際にVPN接続が確立しているかどうかやその動作状態は、RRASの管理コンソールやRRASのログ、イベント・ビューアなどで確認することができる。

VPNの動作状態の確認
VPN接続が実際に確立しているかどうかを調べるには、RRASの管理コンソールを使う。
　（1）これを選択すると、右側のペインに現在の接続状態が表示される。
　（2）これが現在アクティブな接続。ダブルクリックすると、さらに詳細な情報を見ることができる。

　現在の接続ユーザー名をダブルクリックすると、より詳細な統計情報を見ることができる。

詳細な接続状態の表示
この画面では、送受信バイト数や割り当てられているIPアドレス情報などを確認することができる。
　（1）送受信バイト数などの情報が表示されるので、ネットワーク・トラフィックなどを見積もることができる。
　（2）ネットワーク・プロトコル別の情報

　［統計情報］のフィールドには、接続がアクティブになってから現在までの送受信バイト数などの情報が表示されている。これを調べることにより、ネットワークのトラフィック量を調べたり、必要な通信帯域を見積もったりすることができる。

「検証」