今回からいよいよ設定内容にはいる。基本的にSOHOな設定になってしまうが、これはあくまで自環境での運用を主眼としている手前、お許しいただきたい。
実際の構築となると、様々な状況がからむため、この例では最小環境で2つの例を想定しよう。ひとつはルータ(兼Fire Wall)の内側にあるVPN設定、もう一例としてお手軽なインターネット直づけVPNサーバである。今回は初歩編ということでリモートアクセスVPNを構築する。
通常のVPNサーバは外部からの攻撃を避け、他のリソースからアクセスしやすいようにDMZに配置する。通常はDMZもグローバルアドレスを割り当てWeb/mail等のサーバと並列する形で導入する。
まずVPNサーバはリモートアクセスとルーティングの機能を備えていなければならず、必ず2セグメントにアクセスできるインターフェイスを備えていなければならない。普通はNIC(Network Interface Card)を2枚備えたルータ形式となる。
VPNネットワークの場合、基本的にIPプロトコルで通信を行なう。TCP/IPプロトコルがない場合はIPXなど、ルーティング可能なプロトコルを代替でいれなければならない。なおNetBIOSはルーティング不可のプロトコルのため、利用はできない。
上記の要件を満たすリソースとしてNICを2枚導入したコンピュータにWindows 2000 Serverを導入する。
VPNサーバの作成方法は、Windows 2000 Serverならばセットアップウィザードから設定でき、とても簡単だ。以下の手順で行うだけでよい。
設定が完了したら、設定全体をきちんと確認することが必要だ。以下順にあげていく。
パケットフィルタリング(入力) | パケットフィルタリング(出力) | ||||||||
---|---|---|---|---|---|---|---|---|---|
以下のパケットのみ通過(DROP)とする | 以下のパケットのみ通過(DROP)とする | ||||||||
宛先アドレス | 発信アドレス | プロトコル | 宛先ポート | 発信ポート | 宛先アドレス | 発信アドレス | プロトコル | 宛先ポート | 発信ポート |
VPNサーバのWANアドレス | 任意 | TCP | 1723 | 任意 | 任意 | VPNサーバのWANアドレス | TCP | 任意 | 1723 |
VPNサーバのWANアドレス | 任意 | 47(番号) | 任意 | 任意 | 任意 | VPNサーバのWANアドレス | 47(番号) | 任意 | 任意 |
VPNサーバのWANアドレス | 任意 | 確立済み TCP | 任意 | 1723 | 任意 | VPNサーバのWANアドレス | 確立済み TCP | 1723 | 任意 |
VPNサーバのWANアドレス | 任意 | UDP | 500 | 任意 | 任意 | VPNサーバのWANアドレス | UDP | 任意 | 500 |
VPNサーバのWANアドレス | 任意 | UDP | 1701 | 任意 | 任意 | VPNサーバのWANアドレス | UDP | 任意 | 1701 |
Firewallパケットフィルタリング(入力) | Firewallパケットフィルタリング(出力) | ||||||||
---|---|---|---|---|---|---|---|---|---|
以下のパケットのみ通過(DROP)とする | 以下のパケットのみ通過(DROP)とする | ||||||||
宛先アドレス | 発信アドレス | プロトコル | 宛先ポート | 発信ポート | 宛先アドレス | 発信アドレス | プロトコル | 宛先ポート | 発信ポート |
VPNサーバのWANアドレス | 任意 | TCP | 1723 | 任意 | 任意 | VPNサーバのWANアドレス | TCP | 任意 | 1723 |
VPNサーバのWANアドレス | 任意 | 47(番号) | 任意 | 任意 | 任意 | VPNサーバのWANアドレス | 47(番号) | 任意 | 任意 |
VPNサーバのWANアドレス | 任意 | 確立済み TCP | 任意 | 1723 | 任意 | VPNサーバのWANアドレス | 確立済み TCP | 1723 | 任意 |
VPNサーバのWANアドレス | 任意 | UDP | 500 | 任意 | 任意 | VPNサーバのWANアドレス | UDP | 任意 | 500 |
VPNサーバのWANアドレス | 任意 | 50(番号) | 任意 | 任意 | 任意 | VPNサーバのWANアドレス | 50(番号) | 任意 | 任意 |
VPNサーバのWANアドレス | 任意 | 51(番号) | 任意 | 任意 | 任意 | VPNサーバのWANアドレス | 51(番号) | 任意 | 任意 |
上記の設定で、リモートアクセスVPNについては設定は完了だ。
もう一つの設定方法が、VPNサーバをインターネットに直づけで利用する方法だ。ごく小さいネットワークの場合はWindows 2000 Serverをルータ代わりに利用したり、ゲートウェイにあたるルータがVPNパススルー設定がない(VPNに対応していない)ことなどがあるだろう。この場合はインターネットに直づけの方法(Firewallより外側に配置)をとることもできる。ここではPPPoEを利用した"デマンドダイアル"設定を行うことで接続を確立する方法を紹介する。
Windows 2000ではPPPoEを利用する場合はプロトコルスタックをインストールしなければならない。今回はRAS PPPoEを使ってPPPoEを設定する。
VPNサーバのセットアップの方法は基本的には通常の設定方法と同じである。相違点は、インターネット接続のためのインターフェイスがこの段階では存在しないので、 WAN接続インターフェイス選択画面で "インターネット接続がありません" を選択するあたりだ。ただしセットアップウィザード完了後に、まずWAN側の接続として "デマンドダイアルインターフェイス" を追加で設定する必要がある。
デマンドダイアルの設定が完了したら、[ルーティングインターフェイス]内にあるデマンドダイアルインターフェイスを右クリック-[プロパティ(R)]から詳細設定を確認する必要がある。
基本的には、VPN サーバの詳細設定 (DMZ 型)と同様の事項を確認すればよい。ただし、この場合はFirewallを兼ねる部分があるため、主にパケットフィルタリング設定について、注意する必要がある。
パケットフィルタリング(入力) | パケットフィルタリング(出力) | ||||||||
---|---|---|---|---|---|---|---|---|---|
以下のパケットのみ通過(DROP)とする | 以下のパケットのみ通過(DROP)とする | ||||||||
宛先アドレス | 発信アドレス | プロトコル | 宛先ポート | 発信ポート | 宛先アドレス | 発信アドレス | プロトコル | 宛先ポート | 発信ポート |
VPNサーバのWANアドレス | 任意 | TCP | 1723 | 任意 | 任意 | VPNサーバのWANアドレス | TCP | 任意 | 1723 |
VPNサーバのWANアドレス | 任意 | 47(番号) | 任意 | 任意 | 任意 | VPNサーバのWANアドレス | 47(番号) | 任意 | 任意 |
VPNサーバのWANアドレス | 任意 | 確立済み TCP | 任意 | 1723 | 任意 | VPNサーバのWANアドレス | 確立済み TCP | 1723 | 任意 |
VPNサーバのWANアドレス | 任意 | UDP | 500 | 任意 | 任意 | VPNサーバのWANアドレス | UDP | 任意 | 500 |
VPNサーバのWANアドレス | 任意 | UDP | 1701 | 任意 | 任意 | VPNサーバのWANアドレス | UDP | 任意 | 1701 |
任意 | 任意 | UDP | 67 | 68 | 任意 | 任意 | UDP | 67 | 68 |
後の項目は上記のとおりの設定で問題はないはずだ。
オプションとしてその他の追加サーバの設定によって、管理が便利になったりセキュリティ上の設定が向上したりする。それはL2TP IPSecに関するものとRADIUSサーバに必要な設定である。
ご存じの方も多いと思うがL2TP認証時はユーザアカウントの他に"コンピュータ認証"が行なうことができるが、これを実現するにはサーバとクライアント間で証明書認証(X509)がサポートされていなければならない。Windows 2000 Serverであれば、これは"証明機関"コンポーネントをインストールすれば利用できる。ちなみにWindows 2000 Professionalにはこのサービスはないため、証明書による認証をProfessional同士の通信で行うことはできない。
証明書サービスをインストールしたら、各コンピュータが証明書を取得するように設定する必要がある。Active Directory環境ではグループポリシーを利用した証明書自動取得ポリシーを設定するといいだろう。
TCP/IPのIPSec設定については、TCP/IPのプロパティから設定できることはすでに説明したが、複数のコンピュータに同時に設定するにはポリシー設定が便利だ。クライアントに対しても設定可能だが、今回は複数のドメインコントローラに対して設定を行ってみる。
IPSecポリシー | 内容 |
---|---|
Client (Respond Only) | クライアント向け設定。単純にIPSecを要求するサーバとはIPSec通信をおこない、そうでない端末とは通常の通信を行う。 |
Secure Server (Require Security) | IPSecサーバ向け設定。高いセキュリティを確保するため、すべての通信にIPSecを要求する。結果IPSecが確立できない端末とは通信を遮断する。 |
Sever (Request Security) | IPSecサーバ向け設定。IPSec通信を要求するが、IPSec通信を行わない端末に対しても通信を許可する。IPSec混在環境やパブリックサービスを行っているサーバ向け。 |
RADUISとはRemote Authentication Dialin User Serviceの頭文字で、ダイアルインユーザの認証管理を行うためのサーバと理解すればよいだろう。ユーザ認証情報を別のサーバに置いてセキュリティを高めることや、他のアカウンティングシステムとの互換性をとることが主たる目的である。WindowsではVPNユーザも一種のダイアルインとして管理が可能だ。このサービスはWindows 2000 Server以上で "インターネット認証サービス"(Internet Authentication Service)という名称で標準装備されており、以下の要領で設定を行うことができる。通常はVPNサーバとは別のサーバにインストールして利用する。
IASの設定がすんだら、クライアント(VPNサーバ)側の設定を行う。この設定はVPNサーバの構築時に設定しなければならず、すでに構築済みの環境へ導入する場合は、一度VPNサーバを無効化しなければならないので注意すること。またIAS設定前にこの設定を有効にするとVPNサーバ自体が正常に稼働しないので、必ず先にIASの設定は済ませておかなければならない。
IASサーバのポリシー管理は、スナップインから、新規にポリシーを加える形で設定する。なお、既存のポリシーは初期設定(Active Directoryユーザオブジェクトプロパティの設定に従う)なので、削除はせずに一番下(最後の項目)に持っていく運用にした方がいいだろう。
まとめといっても難しいことはない。要はTCP/IPの話がある程度理解できていれば、問題はないと思うが...。
まだ、いうべき事はたくさんあるような気がしますが、とりあえず一段落ということで。次回はあえてアブナイ設定ありありな関連Tips集をやりましょうか...。
Modified on 2003/04/21