10.4 一般的なリモートアクセス VPN の構築

    ここでは、一般的な「リモートアクセス VPN」の構築方法について解説します。

    10.4.1 遠隔地から LAN へのリモートアクセス

    企業における VPN の用途として、最も多いのが「リモートアクセス VPN」です。リモートアクセス VPN を使用すると、インターネットなどの非常に安価に利用できるネットワークを経由して、遠隔地のクライアントコンピュータから社内 LAN に接続できます。また、旧来の L2TP/IPSec プロトコルや PPTP プロトコルなどと異なり、IP ルーティングを使用することなく、直接接続先のレイヤ 2 セグメントに対して接続することができます。

    「社内」の LAN に対して「社外」(たとえば、社員の自宅や出張先のホテルなど) から VPN 接続し、あたかも社内の LAN を構成するスイッチング HUB の LAN ポートに、非常に長い LAN ケーブルで直接接続したようにネットワーク通信を行うことができます。

    10.4.2 ローカルブリッジ機能の使用

    リモートアクセス VPN 形態のネットワークを構築する場合は、VPN Server に仮想 HUB を作成し、その仮想 HUB とリモートアクセス先の既存の LAN との間をローカルブリッジ接続します。ローカルブリッジ機能に関する詳細は、「3.6 ローカルブリッジ」 を参照してください。
     

    10.4.3 ユーザー認証方法の検討

    リモートアクセス VPN 用の VPN Server を設置する場合は、以下のような基準を目安として、「ユーザー認証方法」を決定してください。
    • すでに社内に UNIX サーバーや Windows のドメインコントローラ (Active Directory を含む) が設置されており、そこに多数のユーザーアカウントが登録されていて、かつそれらのユーザーに対してリモートアクセス VPN 接続を許可したいような場合には、「Radius 認証」または「Active Directory 認証」を使用してユーザー認証を行います。これらの認証についての詳細は 「2.2.3 Radius 認証」 および 「2.2.4 NT ドメインおよび Active Directory 認証」 を参照してください。
    • すでに社内で CA (証明局) が稼動しており、社員に対して、ファイルまたはSoftEther VPN 3.0がサポートするスマートカードの形態で X.509 証明書および秘密鍵を配布している場合は、証明書認証を使用してユーザー認証を行います。詳しくは 「2.2.5 固有証明書認証」 および 「2.2.6 署名済み証明書認証」 を参照してください。
    • 上記のような既存の認証基盤を持たない場合は、仮想 HUB に対してアクセスすることができるユーザーの、「ユーザー名」と「パスワード」を個別に登録する方法も使用可能です。パスワード認証について詳しくは 「2.2.2 パスワード認証」 を参照してください。なお、特に認証基盤を持たない場合でも、セキュリティを向上させるために証明書認証を用いることは可能です。

    10.4.4 ネットワーク構成

    ここでは、例として以下のようなネットワーク構成について解説します。

    10-4-1.png

    ネットワーク構成

    上記のネットワーク例では、既存の社内 LAN にすでに IP ネットワークが構築されており、その社内 LAN に対してリモートから VPN Client が VPN 接続することを想定しています。社内にはすでに DHCP サーバーやルータなどの、インターネットへアクセスするための基本的な設備が設置されています。このようなネットワークにリモートアクセス VPN を導入する場合は、「社内」と「社外」(インターネット側のグローバル IP アドレスから見える場所) の両方に到達性のあるサーバーコンピュータを用意し、そこに VPN Server をインストールします。次に、VPN Server 内の仮想 HUB とリモートアクセスしたいネットワークとの間を「ローカルブリッジ機能」によって接続します。

    すると、インターネットを経由してその VPN Server の仮想 HUB に接続した仮想 LAN カードは、自動的にブリッジ先のネットワークにレイヤ 2 で接続した状態になります。

    10.4.5 拠点への VPN Server の設置

    VPN Server を設置する際の注意的について説明します。

    VPN Server をインストールするサーバーコンピュータは、リモートアクセス先の社内 LAN に「ローカルブリッジ接続」する必要があります。したがって、当然のことながらリモートアクセス先の LAN に対して物理的に近い場所にあり、直接 LAN ケーブルなどを用いてリモートアクセス先レイヤ 2 セグメントに接続しなければなりません。

    また、VPN Server に対して、インターネット側から VPN 接続する必要があるため、その VPN Server はグローバル IP アドレスを持っているか、またはプライベート IP アドレスを持っていても、「10.2.1 VPN Server の設置場所」 で解説されているように NAT、ファイアウォール、またはリバースプロキシを経由して、インターネット側からの TCP/IP 通信の到達性を持っている必要があります。これらのことについて不明な場合は、ネットワーク管理者に相談してください。

    10.4.6 ローカルブリッジの設定

    VPN Server を設置したら、仮想 HUB を作成し、その仮想 HUB とリモートアクセス先のレイヤ 2 セグメントをローカルブリッジ機能によって接続します。具体的な操作方法については、「3.6 ローカルブリッジ」 を参照してください。
    ローカルブリッジ接続を行う際の注意点は下記のとおりです。
    • 3.6.3 ローカルブリッジ用の LAN カードの準備」 で解説されているように、できる限りローカルブリッジ専用に LAN カードを新しく用意して、それを用いてローカルブリッジ接続を行ってください。また、ローカルブリッジ専用の LAN カードの設定としては、「ローカルブリッジ用の LAN カードではプロトコルスタックを使用しない 」で解説されているように、TCP/IP の IP アドレスを割り当てないことをお勧めします。
    • ローカルブリッジ接続に使用する LAN カードは、高性能で信頼できるメーカーのチップを使用しているものを選択することをお勧めします。詳しくは、「3.6.5 対応する LAN カードの種類」 および 「3.6.6 プロミスキャスモードに対応していない LAN カードの使用」 を参照してください。

    10.4.7 遠隔地からのリモートアクセス VPN 接続と通信のテスト

    リモートアクセス用の VPN Server の構築と設定が完了したら、実際に遠隔地から VPN Client を用いてその VPN Server の仮想 HUB に接続してみてください。リモート接続先の LAN に既存の DHCP サーバーがある場合は、VPN Client の仮想 LAN カードに、その DHCP サーバーによって自動的に IP アドレスが割り当てられるはずです。また、LAN が固定 IP アドレスで運用されているような場合には、仮想 LAN カードに対しても、固定の IP アドレスを割り当てる必要があります。

    リモートアクセス VPN の接続をテストするには、VPN クライアントコンピュータから LAN 内のコンピュータに対して「ping」コマンドによ る通信チェックを行ってみてください。また、その逆方向の通信テストも行ってください。その後、LAN 内のサーバー (ファイルサーバー、データベースサーバーなど) を、VPN クライアントコンピュータから使用することができるかどうか確認してみてください。