初心者でも安心! ゼロからはじめるネットワーク統合管理(2) VPNを構築し、社外にあるPCや他拠点との容易なファイルのやり取りを実現

IT管理者として徐々に活動の場を広げているA子に、ある日、一本の電話が掛かってきた。相手はA子と同期入社のDくん。Dくんは、入社以来ずっと支社に配属されており、建設現場の監督を務めている。

Dくん
「A子が本社のIT管理者になったって聞いて、ちょっと頼みがあるんだけど!」

A子
「え、なになに?」

Dくん
　「印刷した設計図面を現場に持ってきたんだけど、どうも改版されていたらしくて……。今持っている図面、少し古いものなんだよ。最新の設計図面は本社のファイルサーバーにアップされているらしいんだけど……」

A子
「最新版を印刷して持っていくのは無理よ?」

Dくん
「もちろんそれはわかってる……。いや、ファイルサーバーにある最新版って、ここにあるPCで見られないのかな?」

A子
「持ち出しているPCで?　それは無理なんじゃないかな」

Dくん
「VPNとかって聞いたことあるんだけど……」

A子
「VPN……?」

実は、VPNという言葉を初めて聞いたA子。そこでいまは別支社で働く、伝説のIT管理者と呼ばれていたBさんに、早速電話してみることとした。

VPNってどんなもの?

A子
「Bさん、VPNって、知っていますか?」

Bさん
　「もちろん知ってるよ。Virtual Private Networkの略で、インターネットを使ってイントラネットなどのプライベートネットワークを拡張する技術だな。VPNを使うと、プライベートネットワークがまるで専用線で接続されているかのように使うことができるんだ」

A子
「そんな技術があるんですか!」

Bさん
「外出先から会社のサーバーにアクセスしたり、本社と支社といった離れた場所に構築されているLANとLANを接続したりすることができるんだよ」

A子
「それは、まさにDくんが求めていたことです! でも、インターネットを使うということで、セキュリティ上の心配はないんでしょうか?」

Bさん
「もちろんインターネット上には、盗聴、改ざん、なりすましなどのさまざまな脅威が存在する。だけれどVPNはその通信経路を認証や暗号化の仕組みを使って保護するから、安全な通信を実現することができるんだ」

A子
「VPNをうちの会社にも導入することはできますか?」

Bさん
「本社のヤマハ製ルータRTX830であれば、WebGUIの『かんたん設定』から比較的簡単に設定できると思うよ。実は私が以前構築しようと準備を進めていたから、会社のセキュリティポリシーに問題はないはずだよ。そうだ、VPNを設定する前に『ネットボランチDNS』を登録したほうがいいだろう。本社のルータは固定のグローバルIPアドレスを取得していないからね」

VPNを設定する

早速、A子は、VPNについて調べてみた。VPNにはいくつかの種類があるが、とりわけ企業に関係があるのは、IPSecVPNとSSL-VPNの2つである。この2つは、実装されるプロトコル階層が違うことが大きな特徴で、外部から利用するアプリケーションがSSL対応されているか否かはSSL-VPNを導入するうえで重要なポイントとなる。さまざまなアプリケーションに対応することを考えると、今回はIPSecVPNを導入したほうがよいかもしれない。

IPSecVPNでは、認証アルゴリズムと暗号アルゴリズムという2種類のアルゴリズムを使用。また、認証鍵として使う文字列を決定する必要があり、VPNの接続先とは、これら3つの共有が必要だ。

(1)認証鍵の文字列には、半角英数字で128文字までの文字列を設定する。 (2)認証アルゴリズムと暗号アルゴリズムについて、どれを選択すべきかの判断は、状況によって異なる。ここでは、認証アルゴリズムに「HMAC-SHA」、暗号アルゴリズムに「AES-CBC」を使うものとする。

A子は、VPNについて一通り調べたところで、RTX830の管理画面であるWebGUIにアクセスした。

A子
「まずは、ネットボランチDNSね」

A子は「かんたん設定」から「ネットボランチDNS」を選択し、ネットボランチDNSの設定画面を開いた。

※クリックで拡大

ここで、ホスト名を入力しネットボランチDNS名を登録する。ホスト名は任意の文字列を設定可能。設定されたホスト名は、「xxxxx.aa0.netvolante.jp」のような完全に指定されたドメイン名(FQDN) となり、このFQDNに問い合わせると、ルータに割り当てられているグローバルのIPアドレスを逆引きできるのだ。

A子
「次は、いよいよVPNの設定ね。Dくんの希望であるリモートアクセスVPNを設定してみよう」

続いて、「かんたん設定」から「VPN」「リモートアクセス」と選択し、リモートアクセスVPNの設定画面を開くA子。「L2TP/IPsecを使用する」にチェックを入れ、すでに決めていた「認証鍵」「認証アルゴリズム」「暗号アルゴリズム」を選択。ユーザー認証方式は、接続元であるDくんのPCがWindowsPCであることにあわせ、「MSCHAP-V2」を選択した。さらに、接続ユーザーを登録。任意のユーザー名とパスワードを設定し、設定を確定した。

※クリックで拡大

設定が確定すると以下のような画面となる。VPN接続が確立していない状態では、接続状態はグレーの点線で表示される。

※クリックで拡大

A子
「設定できた! 早速、DくんにVPN接続を試してもらおう」

A子は、DくんにVPNクライアントソフトウェアである「YMS-VPN8」をインストールするよう依頼した。「YMS-VPN8」は、ヤマハのVPNルータやファイアウォールとWindows PCをL2TP/IPsecで安全な通信ができるようにするためのVPNクライアントソフトウェアだ。

※クリックで拡大

「YMS-VPN8」では、A子がRTX830に設定しているネットボランチDNS(ホスト名)、認証鍵（事前共有鍵）、ユーザー名、パスワードを入力し、設定を保存しておく。設定された接続情報を選んで、メイン画面にある「接続」ボタンをクリックすると、VPN接続が確立。VPN接続が確立すると、RTX830のWebGUIでは、接続状態がグリーンの矢印で表示される。

※クリックで拡大

これでリモートアクセスVPNの構築が完了。また、Dくんは、VPN接続が確立している状態で、本社のサーバー（192.168.100.4）のディレクトリにアクセスできることも確認した。

※クリックで拡大

拠点間VPNを構築する

A子がリモートアクセスVPNを構築したという噂は、瞬く間に広まりまった。すると早速A子の元に、別の営業所の社員から拠点間VPNを構築したいという相談が持ちかけられた。Z社の支店直轄の営業所は、本社のファイルサーバーにある設計図をファイル転送サービスで送信してもらうことにしているが非常に面倒なため、ファイルサーバーに直接アクセスしたいのだという。

拠点間VPNはその名の通り、拠点同士をVPNで接続するものだ。接続先がVPNルータであれば構築は容易。今回のケースでも、営業所のルータにはRTX830を使っていた。

拠点間VPNの設定も、リモートアクセスVPNと同じように、WebGUIにアクセス。「かんたん設定」「VPN」「拠点間接続」と進み設定をおこなう。事前に、ネットボランチDNS、認証鍵、認証アルゴリズム、暗号アルゴリズムを、接続先と共有しておくというのも同様だ。

ここで注意すべき点として、LAN側のアドレスを重複しないようにする、ということが挙げられる。たとえば、本社側のアドレスが「192.168.100.0/24」だとしたら、営業所側は「192.168.200.0/24」としておく必要があるのだ。

※クリックで拡大

本社側のルータに設定をおこない、営業所側のルータにも同じように設定をおこなうことで、拠点間VPN接続を確立させることができる。VPN接続が確立できれば、あとは、あたかも専用線で接続されているかのようにネットワークを使うことが可能。Z社では営業所から本社のファイルサーバーにアクセスできるようになり、業務効率が改善された。