実践! リモートアクセスVPN

前回、自宅に設置したヤマハルータでリモートアクセスVPN用の設定を行っておき、外出先から自宅のLANにアクセスする話をした。そこで、今回は、具体的に筆者が自宅で構築しているリモートアクセスVPNの話をしてみようと思う。

もっとも、いったんつながってしまうと、自宅でLANに接続しているのと変わらない操作になってしまう。それこそがリモートアクセスVPNのメリットなのだが、画面のイメージだけで、「これがVPNでござい」と見せるのは難しく、そこがもどかしい。

自宅側での準備とルータの設定

筆者の自宅には100Mbpsの光ファイバー回線が来ているので、そこにヤマハNetVolanteシリーズの「RT58i」を接続している。そのRT58iに対して、インターネット接続に必要な設定に加えて、anonymous接続によるリモートアクセスVPNの設定を行ってある。

もっとも、RT58iは今となっては少々旧型機種なので、これから購入するのであれば最新型のNVR500の方がお勧めだ。ルータ自体のスループットが向上しているだけでなく、LANインタフェースがギガビット・イーサネット化されている点が大きい(RT58iは100BASE-TX)。

リモートアクセスVPNでユーザー認証を行う際に必要なユーザーIDとパスワードの情報は、ルータの設定を行う際に登録しておく。この情報は最大4組まで登録できるので、ユーザーが5名以上いる場合には、複数のユーザーでユーザーIDとパスワードを共用しなければならないだろう。家庭内LANならあまり問題にならないが、業務用では気に留めておきたいポイントだ。

インターネット側のグローバルIPアドレスは動的割り当てなので一定していないが、ヤマハが提供しているダイナミックDNSサービス「ネットボランチDNSサービス」を利用して、固有のホスト名を割り当てている。そのため、リモートアクセスVPNクライアントから接続先を指定する際には、そのホスト名を指定すればよい。

IPアドレスの割り当てが変わると、RT58iが内蔵するネットボランチDNSクライアント機能によって自動的に情報を更新するので、特に手間はかからない。割り当てられるホスト名は「<任意の名前>.<サービスが割り当てるサブドメイン名>.netvolante.jp」となる。たとえば、「sample-01.aa0.netvolante.jp」といった具合だ。

クライアント側での操作

クライアントPCでは、ダイヤルアップ接続と同じ要領でVPN用の接続設定を登録する。そして、インターネットに接続した状態でVPN用の接続設定を使って接続を指示すると、自宅に設置したRT58iに接続してPPTPによるトンネルを構築する仕組みになっている。PPTPクライアントの機能はWindowsが標準装備しているので、ソフトウェアの追加セットアップは必要ない。

接続設定を登録する際の手順は、以下のようになっている。

(1) [ネットワークと共有センター]の[ネットワーク設定の変更]以下にある[新しい接続またはネットワークのセットアップ]をクリックする。
(2) すると、接続オプションの選択画面を表示するので、[職場に接続します]を選択して続行する。
(3) すでに何か接続設定が存在する場合には、次の画面で[既存の接続を使用しますか?]と訊ねてくるが、これは[いいえ、新しい接続を作成します]を選択して続行する。
(4) [インターネット接続(VPN)を使用します]を選択して続行する。[直接ダイヤルします]は、一般的なダイヤルアップ接続で用いる選択肢で、VPN用ではない。
(5) 接続先を指定する。ここでは前述した理由により、ネットボランチDNSサービスで確保しておいたホスト名を指定する。このほか、スマートカード使用の有無、接続設定を他のユーザーと共用するか、接続設定の作成だけを行う(接続テストを行わない)か、といった設定項目もある。もっとも、ヤマハルータへのPPTP接続ではスマートカードは使えないので、この項目は無視だ。
(6) 認証に使用するユーザーIDとパスワードを指定する。これも、先にRT58iでリモートアクセスVPNの設定を行った際に登録しておいたものを指定する。Active Directoryを用いるわけではないので、ドメイン名の指定は行わず、空白のままだ。
(7) この状態で[接続]をクリックすると、接続設定の作成と接続操作を開始するようになっている。選択内容によっては[接続]の代わりに[作成]ボタンを表示するが、このときには接続設定を作成するだけで、接続操作は行わない。

こうしてリモートアクセスVPN用の接続設定を作成し、[ネットワークと共有センター]左側のタスク画面で[アダプターの設定の変更]をクリックすると、表示するウィンドウに、接続設定に対応するアイコンが現れる。

いちいちこの画面を呼び出して接続を指示するのは煩雑なので、右クリックメニューでショートカットの作成を指示しておくのも一案だ。ダイヤルアップ接続と同様、接続設定のショートカットは自動的にデスクトップに作られる。

こうしてリモートアクセス用の接続設定を作成したら、インターネットに接続した状態であればリモートアクセスVPNの利用が可能だ。Windows 7の場合、接続操作を開始するには以下の3種類の方法がある。

・ [ネットワークと共有センター]左側のタスク画面で、[アダプターの設定の変更]をクリックすると表示するウィンドウを開き、VPN接続設定のアイコンをダブルクリックする
・ 前述したようにデスクトップにショートカットを作成しておき、それをダブルクリックする
・ 通知領域にあるネットワーク接続アイコンをクリックすると現れるジャンプリストから接続設定を選択して、接続を指示する

どの方法でも、表示するダイアログは同じだ。ここでユーザー名とパスワードを指定して[接続]をクリックすればよい。Windows 7の場合、その接続設定を現在ログオン中のユーザーだけが使用するか、それとも、そのコンピュータにアカウントを持つユーザー全員が利用できるようにするかを選択できるようになっているが、個人で占有しているコンピュータならどちらでも同じことになる。

接続操作を開始した後で、[ユーザー名とパスワードを検証中...]→[ネットワークにコンピュータを登録中...]→[ネットワークにコンピュータを登録中]といった具合に、画面中央に現れるダイアログの表示が変化していく。

もしも[ユーザー名とパスワードを検証中...]で止まってしまった場合、ユーザー名やパスワードに誤りがあるか、あるいはPPTPによる通信が行えていない。PPTPによる通信が行えない理由については、追って本連載で取り上げる。

ともあれ、接続に成功すると通知領域にアイコンやバルーン表示が出現して、接続中であることを示すようになっている。この状態でLAN接続用にプライベートIPアドレスの割り当てを受けており、LAN側にあるサーバへのアクセスも可能だ。

VPN接続を切断する方法もダイヤルアップ接続と同じだ。接続時と同じ要領で接続設定アイコンをダブルクリックすると、接続状況を示すダイアログを表示する。そこで[切断]をクリックすればよい。また、Windows 7では接続時と同様にジャンプリストを使って切断を指示する方法も使える。

ちなみに、接続設定アイコンをダブルクリックすると表示するダイアログでは、隣の[詳細]タブに移動すると、TCP/IP設定や暗号化に関する情報を確認できる。そこでも、LAN用のプライベートIPアドレスを割り当てられている様子を確認できる。

次回から、このようにVPNを実現するために用いられているキーテクノロジーと、具体的な設定についての話を順次、取り上げていくことにしよう。

ヤマハルータでつくるインターネットVPN ［第3版］

著者:井上孝司　協力:ヤマハ　価格:4,515円

本書は、ヤマハのVPNルータ NetVolante/RT/RTXシリーズを対象に、セキュリティの高いVPN環境を構築する手法を解説。VPN、IPsec利用環境の基礎知識から実構築・有効活用まで、「ヤマハルータ」の機能を活用した、さまざまなVPNの有効活用がこの1冊でできるようになる。また、QoS、バックアップ機能からルータの管理・メンテナンスもわかりやすく解説する。