PPTPによるリモートアクセスVPN(2)

今回は、WindowsサーバをVPNゲートウェイに仕立てるために必要な「RRAS(Routing and Remote Access Service)の構成手順」について解説する。具体的な作業手順に先立ち、想定している環境と注意点を紹介しよう。

本稿で想定している環境

前回も触れたように、WindowsサーバをVPNゲートウェイとして稼働させるには、「インターネット用」と「LAN用」と2種類のネットワーク接続手段を備えたサーバをLANとインターネットの境界に設置する。さらにRRASを組み込んだうえで有効にして、VPNとNATルータの機能を持たせればよい。

そこで問題になるのが、インターネット側でDNS(Domain Name System)サーバの機能を必要とするかどうかだが、DNSサーバの有無による設定の使い分けは以下のようになる。

DNSサーバを必要とする場合(1)

VPNゲートウェイとなるWindowsサーバにDNSサーバの役割も組み込む。その場合、RRASを構成する過程でファイアウォールを有効にするとVPN以外の通信をすべて阻止してしまってインターネット側のDNSが使えなくなってしまうので、RRASの構成時にファイアウォールを有効にしないように設定する。

DNSサーバを必要とする場合(2)

VPNゲートウェイとなるWindowsサーバとは別に、DNSサーバを用意する。この場合、RRASを構成する過程でファイアウォールを有効にする

DNSサーバを必要としない場合

RRASを構成する過程でファイアウォールを有効にする。

リモートアクセスVPN専用にインターネット接続回線を設置して、そこで固定グローバルIPアドレスを確保できるのであれば、必ずしもDNSサーバは必要としないだろう。接続先としてIPアドレスを直接指定するほうが確実性が高いという事情もある。

RRASをVPNゲートウェイとして構成する

では、準備ができたところで、RRASの構成に移ろう。

(1) [ネットワークポリシーとアクセス サービス]管理ツールを起動する。

(2) 管理ツール左側のツリー画面で[ルーティングとリモートアクセス]を選択して、[操作]-[ルーティングとリモートアクセスの構成と有効化]、あるいは右クリックして[ルーティングとリモートアクセスの構成と有効化]を選択する。

(3) [ルーティングとリモートアクセスサーバのセットアップウィザード]が起動する。初期画面に続くウィザード2画面目で、RRASが実現可能な機能の一覧を表示するので、その中から[リモートアクセス(ダイヤルアップまたはVPN)]を選択して続行する。

(4)次の画面で、[VPN]のチェックをオンにして続行する。

(5)次の画面で、着信受け付けに使用するネットワーク接続設定を選択する。ここで選択しなければならないのは、インターネット側の接続設定だ。イーサネットでは「ローカルエリア接続○」としか表示しない上に、これを間違えると接続不可能になってしまうので注意したい。事前に、接続設定の名前を分かりやすいものに変更しておくと良いだろう。

(6)VPNゲートウェイが、DNSなど、他のサーバを兼ねている場合は、同じ画面で[選択したインタフェースに静的パケットフィルタをセットアップしてセキュリティを有効にする]チェックボックスをオフにする。これをオンにしたままだと、VPN以外のサーバ機能に関わる着信をパケットフィルタが阻止してしまい、正しく機能しなくなる。VPNゲートウェイ専用のサーバとして運用する場合、このチェックボックスは既定値のオンのままでよい。

(7)次の画面で、リモートアクセスVPNのクライアントにIPアドレスを割り当てる方法を選択する。[自動]と[指定したアドレス範囲]から選択できるが、後者がお勧めだ。というのは、LAN内部でアクセス記録を調べた時に、VPN経由の接続かどうかを一目で識別できるからだ。

(8)[指定したアドレス範囲]を選択した場合、次の画面でアドレス範囲の指定を行う。最初は一覧が空白なので、[追加]をクリックすると表示するダイアログで、開始アドレスと終了アドレスを入力して[OK]をクリックすればよい。ここで割り当てるIPアドレス範囲はあらかじめ、DHCPサーバのスコープ設定によって、LAN向けの割り当て対象から外しておく必要がある。

(9)次の画面で、認証方法を選択する。RADIUSサーバはまだ取り上げていないので、ここではローカルアカウントで認証することにして、既定値の[いいえ]のままで続行する。

(10)ウィザード最終画面で[完了]をクリックすると、RRASの構成と有効化が開始される。管理ツールのツリー画面で、[ルーティングとリモートアクセス]に上向きの矢印を表示すれば、RRASは稼働を開始している。

着信ポート数の変更

RRASをVPNゲートウェイとして構成すると、既定値ではPPTP・L2TP・SSTPに対し着信ポートを128個ずつ用意される。もちろん、物理的にこれだけの数のインタフェースが出現するわけではなく、同時に着信可能な数が128ずつという意味だ。

しかし、むやみに多くの着信を許可するとサーバや回線の負荷が増えてパフォーマンスを下げる可能性があるため、着信ポートの数を必要最低限に絞り込みたいこともあるだろう。その場合、以下の手順で着信ポートの設定を変更する。

(1) [スタート]-[管理ツール]以下にある[ネットワークポリシーとアクセスサービス]管理ツールを起動する。

(2)左側のツリー画面で[ルーティングとリモートアクセス]以下の[ポート]を選択してから、[操作]-[プロパティ]、あるいは右クリックして[プロパティ]を選択する。

(3)続いて表示するダイアログで[WANミニポート(PPTP)]を選択して、[構成]をクリックする。

(4)続いて表示されるダイアログで、同時着信可能なポートの最大数などを設定する。[リモートアクセス接続(受信のみ)]はオンにしておかないと、リモートアクセスが機能しなくなるので注意が必要だ。一方、リモートアクセスの着信を受け付けるだけなら、こちらから発信することはないので、[デマンドダイヤルルーティング接続(受信および送信)]はオフにする。