複数拠点をVPN接続するケースとは?
これまで、本社と支社間といった2拠点間をVPN接続するようなネットワーク構成について説明してきました。双方の拠点に設置しているルータをインターネットに接続し、さらにルータに適切な設定を行えば、拠点間にVPN接続を構築することは非常に簡単でした。
しかし、ビジネスが拡大して事業環境にも変化が出てくると、2拠点間のVPN接続とは違う、新たなニーズが出てきます。
例えば、外出先から社内LANに接続したいといった営業社員からの要求や、事業規模の拡大に伴う拠点増加により、複数拠点をVPN接続したいといった要望が出てくることでしょう。具体的には次のようなケースがあります。
営業や在宅勤務の社員が、出先や自宅から社内LANにアクセスしたい。具体的には、社外にあるPCやスマートフォンから、インターネット回線を経由して社内LANにアクセスし、社内サーバから電子ファイルを取り出したり、社内に構築されたシステムで事務処理を行ったりといったことが考えられます。このような場合は、「リモートアクセスVPN」という構成を作ればよいでしょう。
事業規模が拡大したため、新たな支店を加えた3拠点間でVPN接続を構築したい。このような場合は「3拠点間VPN(メッシュ型)」という構成を作ればよいでしょう。
フランチャイズ型のビジネスをしているので、本社と各フランチャイズ間をVPNで接続したい。ただし、各フランチャイズ同士をVPN接続する必要はなく、フランチャイズが増えるたびに、本社とフランチャイズのVPN接続を追加したい。このような場合は、「センター・拠点間VPN(スター型)」という構成を作ればよいでしょう。
2拠点間VPN接続以外の構成としては、上記の3つが代表的なものになります。VPNルータ「RTX1210」では、もちろん、いずれの構成も対応できます。
今回は、これらのうち、リモートアクセスVPNの設定方法を紹介します。
リモートアクセスVPNにおけるプロトコル
RTX1210を使ったリモートアクセスVPNでは、PPTPまたはL2TP/IPsecのプロトコルを使用します。外出先からの接続に使用するPCやスマートフォンには、PPTPまたはL2TP/IPsecに対応したVPNクライアントがインストールされている必要がありますが、現在ほとんどの機種には、それらに対応したVPNクライアントが標準搭載されていますので心配ないと思われます。
ちなみに、Macでは、macOS SierraからPPTPでのVPN接続が廃止されました。どうしてもMacでPPTP接続する必要がある場合は、サードパーティ製のVPNクライアントを用意する必要があります。
PPTPとL2TP/IPsecはプロトコルですが、2拠点間VPN接続では、IPsecというプロトコルが出てきました。少し整理しましょう。
IPsecは、認証鍵と認証アルゴリズム、暗号アルゴリズムを双方で取り決めて、IKEという手順を使って暗号化されたトンネルを構築し、通信を行うものでした。鍵交換用、送信用、受信用と、それぞれトンネルを使い分けていることは、SAを取り上げた際にも説明しました。接続先の決定の際に、相手のルータのIPアドレス、または、ホスト名を使うので、IPアドレスを特定できないリモートアクセスVPNには向いていないと言えます。
PPTPは、送信と受信を1つのトンネルで実現するようにしたものです。シンプルな構成のため、高速での通信が可能ですが、暗号アルゴリズムがRC4 128ビット固定なため、セキュリティレベルは低いと言えます。
L2TP/IPsecは、PPTPとL2Fというプロトコルを統合して標準化されたL2TPに、データを暗号化するIPsecを併用したものです。速度よりもセキュリティを重視したものと言えます。
RTX1210でリモートアクセスVPNを構築する場合、L2TP/IPsecを使ったほうが、速度やセキュリティ面で優れています。しかし、接続してくる端末がPPTPでしか接続できない場合も考慮して、PPTPによる接続も併用したほうがよいかもしれません。一方で、PPTPは、PPP認証方式の選択肢が限られてしまうという点もあります。
したがって、状況に応じて判断しましょう。ここでは、認証方式に、CHAPもしくはPAPを使用したいので、L2TP/IPsecのみ利用します。
RTX1210にリモートアクセスVPNの設定をする
それでは、ルータにリモートアクセスVPNの設定をします。設定は、RTX1210のWebGUIから行います。以下が、その手順です。
(1) Webブラウザを起動し「http://192.168.100.1/」にアクセスする。
(2)ユーザー名とパスワードを入力してログインする。
(3)「かんたん設定」タブから「VPN」-「リモートアクセス」ボタンの順でクリックすると、リモートアクセスVPNの設定画面が表示される。
(4)「新規」ボタンをクリックする。
(5)共通設定を入力。認証アルゴリズムは、より強固な「HMAC-SHA256」を使いたいところだが、iPhone (iOS)から接続できないので、「HMAC-SHA」とします。次のように情報を入力して、「次へ」をクリックする。
- L2TP/IPsecを用いる … チェックする
- 認証鍵 … test
- 認証アルゴリズム … HMAC-SHA
- 暗号アルゴリズム … AES256-CBC
- PPTPを用いる … チェックしない
- ユーザー認証方式 … CHAPもしくはPAP
(6)ユーザーの登録をする。任意のユーザー名とパスワードを入力して、「次へ」をクリックする。
(7) 「入力内容の確認」画面が表示されるので、確認したら「設定の確定」ボタンをクリックする。
これで、RTX1210へのリモートアクセスVPNの設定は完了です。
スマートフォンから接続してみる
それでは実際に、スマートフォン(iPhone)から接続してみることにしましょう。以下が手順になります。
(1)iPhoneで、VPN構成の追加画面を開きます。 (2)以下のように情報を入力して、VPN構成を追加します。
- タイプ … LT2S
- サーバ … shiolab.aa0.netvolante.jp(RTX1210に登録したネットボランチDNS名)
- アカウント … user1(RTX1210に登録したユーザー)
- RSA SecureID … オフ
- パスワード … (RTX1210に登録したパスワード)
- シークレット … test(RTX1210に登録した認証鍵)
- すべての信号を送信 … オン
(3)VPN構成を追加したら、VPNの接続をオンにします。
正常にVPN接続できた場合、RTX1210のWebGUIには、次のように接続状態が表示されます。
今回は、リモートアクセスVPNについて説明しました。次回は、「3拠点間VPN(メッシュ型)」と「センター・拠点間VPN(スター型)」の設定方法などを説明します。