10.12 VPN Azure クラウドサービスを用いたリモートアクセス

社内のパソコンを自分専用の VPN サーバーにしましょう。

これまでの VPN 技術では、たとえば会社のパソコンに VPN サーバーソフトウェアをインストールしたとしても、会社のネットワーク管理者によって NAT やファイアウォールのポートを開放してもらわなければ、インターネット側から会社内のパソコンに VPN 接続することができませんでした。また、会社側のネットワークにはグローバル IP アドレスが必要でした。

VPN Azure を利用すれば、ネットワーク管理者にこれらのポート開放を依頼しなくても、社内にあるあなたのパソコンにインストールした VPN サーバーに、自宅や外出先の Wi-Fi などから簡単に VPN 接続できるようになります。会社のパソコンから VPN Azure クラウドに対して外向きに HTTPS で通信が行われるため、ファイアウォールを貫通できます。いったん VPN 接続に成功すれば、社内のあなたのパソコンを経由して、会社の他のパソコンの共有フォルダやメールサーバー、グループウェアにアクセスでき、あたかも自宅のパソコンが直接会社に接続されているのと同様に通信できるようになります。

VPN サーバーのインストールは簡単、システム管理者権限は不要。

会社のパソコンには、SoftEther VPN Server 4.0 をインストールします。一般ユーザー権限でもインストールできますので、システム管理者の手を煩わせる必要はありません。VPN サーバープログラムは一般ユーザーモードで動作させることができるためとても安全です。

VPN クライアントは Windows に標準付属の機能を利用。ソフトウェアのインストール不要。

VPN Azure は Microsoft が開発した VPN プロトコルである SSTP (Secure Socket Tunneling Protocol) に対応しています。そのため、VPN のクライアント側となる自宅のパソコンにはソフトウェアのインストールは一切不要です。Windows Vista / 7 / 8 / 10 / RT に標準付属の VPN 機能を利用できます。そして、最新の Windows RT タブレットからも接続できます。

もちろん、Windows XP などの古いパソコンからでも、ソフトイーサが開発した SoftEther VPN Client 4.0 をインストールして接続できます。

セキュリティも万全

インターネット上を流れるすべての VPN 通信は SSL (TLS 1.0) で暗号化されます。そして、ユーザー認証は会社内で動作している VPN サーバーのプログラム本体が行います。VPN Azure クラウドは認証には一切関与しません。そのため、VPN サーバーであらかじめ作成したユーザー名とパスワードを知らない第三者は、VPN サーバーに勝手に接続することはできません。

会社のパソコン側

OSは 3.1 動作環境 を参照してください。ネットワーク接続はインターネットに接続されている必要があります。NAT やファイアウォールの内側でも、プライベート IP アドレスでも動作可能です。ユーザー権限は一般ユーザー権限でもインストール・動作が可能です。

会社のパソコンにインストールする場合、ソフトウェアのインストールはシステム管理者の承諾が必要であるといったルールがある場合は、必ずシステム管理者から承諾を得てからインストールしてください。システム管理者の同意を得ることができない場合は、より上席の経営者から承諾を得てください。

自宅のパソコン側

以下の OS であればVPNクライアントは不要です。

• Windows Vista, 7, 8, 10, 11
• Windows RT
• Windows Server 2008, 2012, 以降

以下のOSでは VPN Clientが必要

• Windows 98 SE, ME, 2000, XP
• Windows Server 2003
• Linux

ネットワーク接続はインターネットに接続されている必要があります。NAT やファイアウォールの内側でも、プライベート IP アドレスでも動作可能です。ユーザー権限は一般ユーザー権限でもインストール・動作が可能です。

好きなホスト名の指定

初期設定の途中で「ダイナミック DNS 機能」という画面が表示されます。ここで、あなたの好きなホスト名を VPN Server に指定します。ホスト名は 3 文字から 31 文字までの英数字で指定できます。

たとえば、ここで指定したホスト名が「test1」の場合、あなたの VPN Azure 上でのホスト名は「test1.vpnazure.net」となります。

「ダイナミック DNS 機能」の画面では指定したホスト名の末尾に「.softether.net」という文字列が付くという旨の説明があります。この「.softether.net」の部分が「.vpnazure.net」に置き換わったものが、VPN Azure 上で使用するホスト名となります。

ホスト名を入力したら、「上記の DNS ホスト名に変更する」ボタンをクリックしてください。ホスト名の変更が完了した旨のメッセージが表示されれば完了ですので「閉じる」をクリックしてください。

IPsec 関係の設定画面

「IPsec / L2TP / EtherIP / L2TPv3 サーバー機能の設定」という画面が表示されます。この画面は iPhone, iPad, Android などから VPN サーバーに接続するための IPsec VPN 機能を有効にするためのものですが、VPN Azure 経由では IPsec 通信を行うことはできませんので、この画面では何も設定せずに「OK」をクリックしてください。

VPN Azure を有効にする

「VPN Azure サービスの設定」画面が表示されます。この画面の左下に「VPN Azure を有効にする」というチェックボックスがあります。このチェックボックスをクリックして VPN Azure 機能を有効にしてください。(VPN Azure 機能はデフォルトで無効になっています。)

VPN Azure サービスの設定

VPN Azure 機能を有効にして数秒間経つと、「状態: クラウドに接続完了」と小さな文字で表示されます。この状態になっていれば、あなたのパソコンの VPN サーバーはインターネット上から VPN Azure 経由でアクセスできます。

もし表示で「状態: クラウドに未接続」のままの場合は、コンピュータがインターネットに正常に接続されていない可能性があります。Web サイトが見れるかどうか確認してください。また、インターネットの経路上に不正な動作を行う (通信内容を盗聴する) ファイアウォールなどが設置されている場合は VPN Azure クラウドに接続できない場合があります。このような場合は、ネットワーク管理者に依頼してそのような不正な動作を行う (通信内容を盗聴する) ファイアウォールなどを撤去してもらってください。

引き続きセットアップを行う

「簡易セットアップの実行」画面に従い、セットアップを行います。ユーザーの作成とローカルブリッジの作成が完了し、VPN サーバーのメイン管理画面の下のほうに「VPN Azure ホスト名:」と表示されていれば、VPN Server は VPN Azure クラウドに接続完了しています。早速、自宅に帰宅してこの Web サイトの右側の説明に従って VPN クライアントを設定してみましょう。

なお、初期設定時に行った設定内容は、すべて後から設定変更することができます。たとえば、メイン画面の「VPN Azure 設定」をクリックすると VPN Azure クラウドへの接続設定を行うことができます。また、仮想 HUB をダブルクリックしてユーザーの作成、削除を行うこともできます。

トラブルシューティング (不具合の原因究明)

もし上記のように正しく設定しても自宅のパソコンから会社のパソコンに正常に接続できない場合は、VPN Server のログを調査することをお勧めします。

VPN Server のログはすべて日本語で書き出されます。ログファイルは VPN Server をインストールしたディレクトリ上の「server_log」ディレクトリに保存されますので、メモ帳などのテキストエディタで開いて内容を確認してください。

Windows XP, 2000, ME, 98をお使いの場合

自宅のパソコンが上記に該当する場合はVPN Clientをインストールする必要があります。4. SoftEther VPN Client マニュアル に従ってインストールと設定を行ってください。

Windows Vista, 7, 8, 10, それ以降をお使いの場合

自宅のパソコンが上記に該当する場合は OS に標準付属の SSTP-VPN 機能を利用して VPN Azure 経由で会社の VPN サーバーに接続できます。Vista 以降の場合は VPN Client のインストールは不要です。