ゼロから始める! ヤマハルータでつくるVPN(7) VPNルータ「RTX1210」でリモートアクセスVPNを設定する方法

複数拠点をVPN接続するケースとは?

これまで、本社と支社間といった2拠点間をVPN接続するようなネットワーク構成について説明してきました。双方の拠点に設置しているルータをインターネットに接続し、さらにルータに適切な設定を行えば、拠点間にVPN 接続を構築することは非常に簡単でした。

しかし、ビジネスが拡大して事業環境にも変化が出てくると、2拠点間のVPN接続とは違う、新たなニーズが出てきます。

例えば、外出先から社内LANに接続したいといった営業社員からの要求や、事業規模の拡大に伴う拠点増加により、複数拠点をVPN接続したいといった要望が出てくることでしょう。具体的には次のようなケースがあります。

営業や在宅勤務の社員が、出先や自宅から社内LANにアクセスしたい。具体的には、社外にあるPCやスマートフォンから、インターネット回線を経由して社内LANにアクセスし、社内サーバから電子ファイルを取り出したり、社内に構築されたシステムで事務処理を行ったりといったことが考えられます。このような場合は、「リモートアクセスVPN」という構成を作ればよいでしょう。
事業規模が拡大したため、新たな支店を加えた3拠点間でVPN接続を構築したい。このような場合は「3拠点間VPN(メッシュ型)」という構成を作ればよいでしょう。
フランチャイズ型のビジネスをしているので、本社と各フランチャイズ間をVPNで接続したい。ただし、各フランチャイズ同士をVPN接続する必要はなく、フランチャイズが増えるたびに、本社とフランチャイズのVPN接続を追加したい。このような場合は、「センター・拠点間VPN(スター型)」という構成を作ればよいでしょう。

2拠点間VPN接続以外の構成としては、上記の3つが代表的なものになります。VPNルータ「RTX1210」では、もちろん、いずれの構成も対応できます。

今回は、これらのうち、リモートアクセスVPNの設定方法を紹介します。

リモートアクセスVPNにおけるプロトコル

RTX1210を使ったリモートアクセスVPNでは、PPTPまたはL2TP/IPsecのプロトコルを使用します。外出先からの接続に使用するPCやスマートフォンには、PPTPまたはL2TP/IPsecに対応したVPNクライアントがインストールされている必要がありますが、現在ほとんどの機種には、それらに対応したVPNクライアントが標準搭載されていますので心配ないと思われます。

ちなみに、Macでは、macOS SierraからPPTPでのVPN接続が廃止されました。どうしてもMacでPPTP接続する必要がある場合は、サードパーティ製のVPNクライアントを用意する必要があります。

PPTPとL2TP/IPsecはプロトコルですが、2拠点間VPN接続では、IPsecというプロトコルが出てきました。少し整理しましょう。

IPsecは、認証鍵と認証アルゴリズム、暗号アルゴリズムを双方で取り決めて、IKEという手順を使って暗号化されたトンネルを構築し、通信を行うものでした。鍵交換用、送信用、受信用と、それぞれトンネルを使い分けていることは、SAを取り上げた際にも説明しました。接続先の決定の際に、相手のルータのIPアドレス、または、ホスト名を使うので、IPアドレスを特定できないリモートアクセスVPNには向いていないと言えます。

PPTPは、送信と受信を1つのトンネルで実現するようにしたものです。シンプルな構成のため、高速での通信が可能ですが、暗号アルゴリズムがRC4 128ビット固定なため、セキュリティレベルは低いと言えます。

L2TP/IPsecは、PPTPとL2Fというプロトコルを統合して標準化されたL2TPに、データを暗号化するIPsecを併用したものです。速度よりもセキュリティを重視したものと言えます。

RTX1210でリモートアクセスVPNを構築する場合、L2TP/IPsecを使ったほうが、速度やセキュリティ面で優れています。しかし、接続してくる端末がPPTPでしか接続できない場合も考慮して、PPTPによる接続も併用したほうがよいかもしれません。一方で、PPTPは、PPP認証方式の選択肢が限られてしまうという点もあります。

したがって、状況に応じて判断しましょう。ここでは、認証方式に、CHAPもしくはPAPを使用したいので、L2TP/IPsecのみ利用します。