連載
» 2003年05月22日 00時00分 公開

VPN実践導入講座:第3回 PPTPサーバの導入 (4/5)

[デジタルアドバンテージ,著]

 以上でルート・ドメインのActive Directoryのドメイン・コントローラにおける準備は完了である。次は本社側のVPNサーバ(サーバ名は「SYS-SV02」)の設定を行う。今回はこのVPNサーバでは、支社側からのVPN呼び出しの受け付けのほかに、同時にLAN上のクライアントがインターネットへアクセスするためのNAT/NAPT機能も担当する。そのためサーバの設定に際しては、これらのサービスを同時に利用できるように設定しなければならない。

 VPNサーバの設定はRRASの管理ツールを使って行う。デフォルトでは、このサービス(「ルーティングとリモート アクセス」サービス)はインストールされてはいるが、サービスは開始されていない。VPNサービスやNAT/NAPT、ファイアウォールなどの機能は、このRRASの一部として組み込まれているため、RRASサービスの開始後に、さらにいくらかの設定が必要になる。といってもこの場合は、RRASに用意された初期設定ウィザードを使えば、ほとんどの初期設定作業を簡単にすませることができる。その後、いくらかの補助的な設定(ポリシーの設定によるセキュリティの強化など)を行えばよい。

RRASウィザードの起動

 RRASウィザードを起動するには、RRASの[スタート]メニューの[プログラム]−[管理ツール]から[ルーティングとリモート アクセス]管理ツールを起動し、サーバ名を右クリックして、ポップアップ・メニューから[ルーティングとリモート アクセスの構成と有効化]を選択する。すでにRRASサービスが起動されていると、このメニューは表示されず、ウィザードを起動することができない。だが、RRASの初期設定をウィザード以外で行うのは、あまり簡単ではないので勧められない。特に今回は、VPNのサーバ・サービスのほかに、NAT/NAPT機能や、ベーシック・ファイアウォール機能、さらにクライアント側では(DSL回線や光ファイバ回線の)PPPoEインターフェイスなどを使ったインターネット接続機能なども利用する予定である。そのため、それらの設定を個別に行うよりは、ウィザードを使って初期設定を済ませるのが簡単で、確実である。

 何らかの理由ですでにRRASサービスが起動されていたり、1回行ったRRASの設定をやり直したりしたければ、RRASサービスを1度無効化すればよい。先ほどのポップアップ・メニューから[ルーティングとリモート アクセスの無効化]を選択実行する。その後、再度[ルーティングとリモート アクセスの構成と有効化]を選択して実行すればよい。

RRASウィザードの起動
RRASサービスは、デフォルトでは無効化されている。
 (1)サーバ名の左側にはある赤い矢印は、RRASサービスが停止していることを表している。
 (2)RRASウィザードを起動するにはこれを選択する。
 (3)RRASサービスがすでに起動している場合は、これを選択してサービスをいったん無効化し、その後ウィザードを起動するとよい。

 RRASウィザードを使うと、ネットワークの使用目的に合わせて、簡単に初期設定を済ませることができる。サーバとして運用する場合の代表的なケースについて、あらかじめ用意されている選択肢を選ぶと、ルーティングやNAT、ファイアウォールの設定などが行われる。

 今回は支社側からのVPNの呼び出しを受け付けるほか、インターネットへアクセスするためのNAT/ファイアウォールとしても利用する。このために、あらかじめVPNサーバとなるマシンには2枚のネットワーク・インターフェイス・カードを装着しておき、それぞれプライベートIPアドレス(本社側の社内LAN用)と、グローバルIPアドレス(ISPから割り当てられた8つの固定IPアドレスのうちの1つ)を割り当てておく。この状態でウィザードを起動すると、NATやファイアウォールの設定が可能になる(ネットワーク・カードが2枚以上装着されていないと、ウィザードの途中で、VPN/ファイアウォールとして設定することはできない)。

RRASのセットアップ・ウィザード
RRASの初期設定を簡単にすませるには、このウィザードを利用するとよい。
 (1)これをクリックしてサーバの使用目的を選択する。

 ウィザードを起動すると、最初にサーバの使用目的を選択する画面が表示される。これはWindows Server 2003のウィザード画面であるが、Windows 2000 Serverのウィザード画面と比べると、ファイアウォール機能などが追加されている分だけ、構成が変更されている。

RRASの構成の選択
目的に応じて、デフォルトではいくつかのRRASの構成例が用意されている。ウィザードに従ってインターフェイスを選択したり、必要なパラメータをセットしたりすることにより、目的に合わせて構成を簡単に変更することができる。ウィザードの終了後、手動で細部をカスタマイズすることもできるので、初期設定はこのウィザードで済ませるのが便利である。
 (1)外部からこのマシンに対してダイヤルアップ接続もしくはVPN接続を行う。外部からのアクセスを受け付けるが、内部からのアクセスはそのまま外部へNATなしでルーティングされる。
 (2)内部LANから、外部(インターネット)に対して、NATを使ってアクセスする。支社側のネットワークのように、外部からのアクセスを受け付けない場合はこれを選択する。
 (3)VPNによる呼び出しを受け付け、さらに外部に対してはNAT/NAPT経由でアクセスする場合はこれを選択する。今回の例では、本社側のネットワークはこの構成になる。
 (4)VPNによる仮想的なトンネルだけを構築する場合に選択する。(2)(3)の構成と似ているが、NAT機能は含まれないので、トラフィックはすべてVPNのトンネルを経由して別のネットワークへ送られることになる(必要ならば後でNAT機能を追加することも可能)。
 (5)すべての設定を手動で行う場合に選択する。
 (6)必要な構成を選んでからこれをクリックして先へ進む。

 今回の例では、本社側サーバにおけるVPNサーバの構築とインターネットへのNATを使ったアクセスを実現するために、(3)のVPNサーバ+NATというオプションを選ぶ。以後では、クライアントに割り当てるIPアドレスの選択と、グローバル側とローカル側のネットワーク・インターフェイスの選択などを行って、ウィザードを終了する。

VPN用インターフェイスの選択
この画面では、VPNに使用するネットワーク・インターフェイスを選択する。一般的には、これはインターネット側のインターフェイスになるので(今回の例では、すでに固定的なIPアドレスを割り当てておくこと)、さらにWindows Server 2003のベーシック・ファイアウォール機能も有効にしておく。
 (1)インターネット側との接続に利用しているインターフェイス。あらかじめグローバルIPアドレスを割り当てておく。
 (2)ローカル側のネットワーク・インターフェイス。
 (3)ファイアウォール機能を有効にし、不要なアクセスをブロックする。
 (4)これをクリックして、次はVPNで使用するIPアドレスを設定する。

 この画面では、インターネット側とローカル側のネットワーク・インターフェイスをそれぞれ選択する。同時にWindows Server 2003が持っているベーシック・ファイアウォール機能を有効にし、VPNサービス以外の不要なアクセスをすべてブロックする。Windows 2000 Serverはこのようなファイアウォール機能は持っていないので、VPNサーバのセキュリティを確保するためには、RRASのパケット・フィルタ機能を有効にするか、別途ファイアウォール・ソフトウェアを導入する、インターネットとの接続に利用しているルータなどでファイアウォール(パケット・フィルタ)機能を実現するなどの対策が必要になる。RRASの持つパケット・フィルタの機能については、別記事の「常時接続時代のパーソナル・セキュリティ対策」などを参照していただきたい。

 インターフェイスを選択したら、次はVPNのクライアントの接続に利用するためのIPアドレスを割り当てる。VPN接続は形式的にはダイヤルアップ接続と同様であり、VPNのクライアントがVPNサーバに接続する場合は、VPN接続の両端にIPアドレスが必要となる。通常は、サーバ側のネットワーク・アドレスの一部(今回の場合ならば10.100.1.*/24の一部)を割り当てる。

VPN用のIPアドレスの割り当て
VPN接続を行うためには、VPNのトンネルの両端(サーバ側とクライアント側)にIPアドレスを割り当てる。通常はサーバ側のローカルのネットワーク・アドレスの一部(今回の場合ならば10.100.1.*/24の一部)を割り当てる。
 (1)VPNクライアントに割り当てるIPアドレスを、DHCPサーバを使って自動的に決めるためにはこれを使用する。
 (2)VPNクライアントからの接続であることを明らかにするために、VPN用に特別に予約したIPアドレスを使用するためには、こちらを選択する。
 (3)これをクリックして、次はVPNで使用するIPアドレス範囲を定義する。

 VPN接続で使用するIPアドレスは、DHCPを使って割り当てる方法と、固定的なアドレス範囲から割り当てる方法の2通りがある。ネットワークのトラブルシューティングなどを考えると、VPN接続で使用しているIPアドレスが限定されている方が便利である。そのため、VPN(やダイヤルアップ)接続で使用するIPアドレスは、固定的な範囲を割り当てるのがよい。割り当てるIPアドレスの範囲は、サーバ側のネットワーク・アドレスの一部とする。VPN(やダイヤルアップ)接続では、サーバ側で1 IPアドレスを使用し、さらに各VPNクライアントからの接続ごとに1つずつ使用する。同時に使用するVPNのコネクションの総数(今回のケースでは、支社側からVPN接続の総数)に加えて、招待のためにいくらかの余裕を持たせた分だけ割り当てておく。

IPアドレス範囲の指定
 (1)VPNクライアントに割り当てるためのIPアドレスの範囲。初期状態では空となっている。
 (2)これをクリックすると、新しくIPアドレスの範囲を割り当てることができる。
 (3)IPアドレスを割り当てると、この[次へ]ボタンが有効になる。

 (2)をクリックすると、IPアドレスの範囲を指定することができる。

新しいIPアドレス範囲の割り当て
 (1)範囲の開始IPアドレス。通常はサーバ側のローカルのネットワーク・アドレスの一部を割り当てる。
 (2)範囲の終了IPアドレス。
 (3)(2)を指定すると、自動的にIPアドレスの総数がここに表示される(この場合は10個分のIPアドレス)。もしくは直接ここに総数を入力すると、終了IPアドレスが自動的に計算され、表示される。

 以上の設定が完了すると、RRASのウィザードの設定は終了である。最後に設定情報の一覧が表示され、[OK]をクリックすると、実際にRRASの設定が行われ、さらに次のようにRRASサービスが自動的に起動する。

RRASサービスの起動
ウィザードによる設定がすべて終了すると、このように自動的にRRASサービスが起動する。

Copyright© Digital Advantage Corp. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。