前回は、本連載で用いるギガアクセスVPNルータ「RTX830」の特徴や機能を紹介しました。今回は、RTX830を使って拠点間VPNを構築してみます。

IPSecVPNとSSL-VPN

VPN(Virtual Private Network)については、今さら説明するまでもないかもしれません。インターネットなどの共有回線を使って、イントラネットなどのプライベートネットワークを拡張する技術です。

例えば、外出先から事業所のサーバにアクセスしたり、事業所間のLANとLANを接続したり、プライベートネットワーク同士をVPNで接続したりすると、あたかも専用線で接続されているかのように使うことができます。インターネット上には、盗聴、改竄、なりすましなどのさまざまな脅威が存在しますが、VPNではその通信経路を認証や暗号化の仕組みを使って保護しますので、安全な通信を実現できます。

VPNにはいくつかの種類がありますが、とりわけ企業に関係があるのは、IPSec VPNとSSL-VPNの2つです。最近では、VPNと言えば、IPSec VPNを指すケースが一般的です。

IPSec VPNでは、通信経路を保護するため、認証アルゴリズムと暗号アルゴリズムという2種類のアルゴリズムを使用します。また、認証鍵として任意に設定する文字列を使います。IPSec VPNでは、これらの3つを接続する拠点同士で共有し、VPNを設定していきます。

管理はWebGUIで可能

RTX830においても、通常の管理ではWebGUIを使います。WebGUIへは、Webブラウザを起動して、アドレスバーに「http://192.168.100.1」と半角英数字で入力して、Enterキーを押すことでアクセスできます。

なお、RTX830の工場出荷時の状態では、「ユーザー名」「パスワード」ともに空白でアクセスできますが、セキュリティ面で問題ですので、早めに変更しておきましょう。

ネットボランチDNSの設定

さらに、VPNでは、接続拠点となるルータ同士をそれぞれ認識する必要があるため、ルータに固定のグローバルIPアドレスが割り振られている必要があります。そうは言っても、固定のグローバルIPアドレスを割り振れることは少ないので、ヤマハ製ルータにおいては「ネットボランチDNS」という仕組みを使うことができます。ネットボランチDNSを登録しておくと、ルータに割り当てられているグローバルのIPアドレスを逆引きできるようになります。

設定は、WebGUIのメニューから、「かんたん設定」-「ネットボランチDNS」と選択し、ネットボランチDNSの設定画面から行うことができます。

ホスト名には任意の文字列を設定できます。ホスト名を設定できると、「xxxxx.aa0.netvolante.jp」のようなFQDNとして使用でき、このFQDNに問い合わせることで、ルータに割り当てられているグローバルのIPアドレスを逆引きできる仕組みです。

拠点間VPNの設定

拠点間VPNは、その名の通り、拠点同士をVPNで接続するものです。それぞれの拠点に設置されているルータ同士を接続します。

まず、拠点間VPNを設定するにあたり、以下の3つを決め、拠点双方で共有しておく必要があります。

認証鍵

半角英数字で128文字までの文字列を設定できます。

認証アルゴリズム

暗号化方式として生成された鍵を、自分と相手とで共有する「共有鍵暗号方式」が使われます。つまり、認証方式は「HMAC」となり、また、認証と合わせて使用するハッシュ関数は「SHA」「SHA256」「MD5」から選択できます。ここでは、「HMAC-SHA」を指定します。

暗号アルゴリズム

「共有鍵暗号方式」を用いるので、データを暗号化するための暗号化方式は「AES」「AES256」「3DES」「DES」のいずれかとなります。また、暗号利用モードは「CBC」です。ここでは、「AES - CBC」を指定します。

まず、接続元のルータから設定を行っていきましょう。

WebGUIのメニューから、「かんたん設定」- 「VPN」-「拠点間接続」と選択し、拠点間接続の設定画面を開きます。そして、新規作成ボタンをクリックし、設定画面へと遷移します。

最初の設定画面である「接続種別の選択」では、「IPsec」をチェックして、次へをクリックします。次の画面では、「IPsecに関する設定」を行います。先ほど決めた、認証鍵、認証アルゴリズム、暗号アルゴリズムを設定します。また、接続先のホスト名には、接続先のネットボランチDNSを設定します。

入力できたら、続いて、「経路に関する設定」を行います。ここでは、接続先のLAN側のアドレスを入力します。LAN側のアドレスは、接続する拠点において重複できませんので注意が必要です。例えば、接続元のアドレスが「192.168.100.0/24」だとしたら、接続先は「192.168.200.0/24」のようになっている必要があります。あらかじめ、重複しないように配慮しておきましょう。

「入力内容の確認」で、設定内容を確認したら、「設定の確定」ボタンをクリックしましょう。これで接続元の設定は完了です。接続先のルータでも同様に設定を行いましょう。

設定が完了すると、以下のように、接続設定の一覧に表示されます。拠点双方の設定が正しい場合は、VPNが確立され、以下のように緑色の矢印が表示されます。

VPNが確立できると、異なるLAN間にもかかわらず、お互いのサーバを参照することができるようになります。通信経路は暗号化されるので、重要なファイルのやり取りにも使えます。

今回は、「RTX830」を使って、拠点間VPNの構築方法を紹介しました。拠点双方で、設定情報の共有ができていれば、拠点間VPNの構築は容易です。この機会にぜひ非、VPNの構築にチャレンジしてみてください。

次回は、VPNのもう1つの代表的な形態である、リモートアクセスVPNを構築してみましょう。