Windows2012でVPN環境(L2TP)の構築 (1)

1.はじめに

　通常、SoftLayerでのLAN間VPN接続では、運用をしやすくするために、Vyattaで構築すると思います。
　今回、低価格でVPN環境を構築するために、Windows Server2012の標準提供のVPN機能(L2TP/IPSec)でリモートアクセスVPN環境を構築しました。

2.事前準備

(1) Windows2012サーバー
(2)Portable Private IPをオーダー
Portable Privateは無償です。L2TPの設定時に使用します。

3.サーバー側　機能の追加

「Remote Access」役割の追加

サーバーマネージャーを起動し、「Remote Access」役割を追加します。

「サーバーマネージャー」⇒「管理」⇒「機能と役割の追加」

「次へ」

「機能ベースまたは機能ベースのインストール」のチェック確認
「次へ」

「次へ」

役割の「Remote Access」をチェック
「次へ」

「機能の追加」

「次へ」

「次へ」

役割サービスの「Routing」をチェック
「次へ」

「インストール」

インストール中。しばらく待つ．．．。

インストール終了したら、再起動。
以上で「Remote Access」役割の追加は完了！

4.サーバー側　VPN(L2TP)の設定

今回、静的アドレスプールは Private Protable を使いますので、あらかじめ　SoftLayerの Private Protable を準備してください。

全体の流れとしては、

①クライアントPCがPublicネットワーク経由で、Windows2012 VPNサーバーへアクセス
②Windows2012 VPNサーバーが、Private Portableの静的アドレスプールより、Private IPを入手し、VPNトンネル完了
③あとは、Privateネットワークに接続しているサーバーにアクセス

それでは、VPNの設定を始めます。

サーバーマネージャーを起動

　マークをクリック

「作業開始ウィザードを表示する」

「VPNのみを展開します」

サーバー名のところを右クリック
(この例では、"WIN2012-64-VS"です。)

サーバー名 ⇒「ルーティングとリモートアクセスの構成と有効化」

「次へ」

「カスタム構成」選択
「次へ」

「VPNアクセス」チェック
「次へ」

「完了」

「サービスの開始」

サーバー名 ⇒「プロパティ」

「セキュリティ」タグを選択
サーバー名 ⇒「カスタムIPsecポリシーをL2TP/IKEv2接続で許可する」をチェック
「事前共有キー」を入力
(この例では、"MYWIN2012KEY"です。)

「IPv4」タグを選択
「静的アドレスプールを使う」をチェック
「追加」

事前にPrivate Portable IP の利用可能アドレスレンジを確認しておく

利用可能なPrivate Portable IPアドレスを、開始/終了IPアドレスに入力
「OK」

「アダプター」を "PrivateNetwork-A" 選択

「OK」

サーバー名⇒「すべてのタスク」⇒「再起動」

以上でVPN(L2TP/IPSec)の設定は完了！

5. Windowsファイアーウォールの設定

L2TP/IPsec用に、4500(UDP)と鍵交換用に500(UDP)のポートを開けます。
環境によっては、
•esp プロトコル（プロトコル番号 50）
•l2tp/UDP（ポート番号 1701）
も必要になる場合があります。
今回のケースでは、4500(UDP)と500(UDP)だけで大丈夫でした。

サーバーマネージャー⇒「ツール」⇒「セキュリティが強化されたWindowsファイアーウォール」

「受信の規則」
「新しい規則」

「ポート」を選択
「次へ」

「UDP」を選択
「特定のローカルポート」を選択、"4500"入力
「次へ」

「接続を許可する」を選択
「次へ」

今回の構成は、パブリックにのみ適用します。

「パブリック」のみにチェック
「次へ」

「名前」「説明」は、わかり易い名称であればいいです。
今回は、"L2TP/IPSec UDP4500" にしました。
「完了」

UDP 500も設定します。

「ポート」を選択
「次へ」

「UDP」を選択
「特定のローカルポート」を選択、"500"入力
「次へ」

「接続を許可する」を選択
「次へ」

「パブリック」のみにチェック
「次へ」

今回は、「名前」"L2TP/IPSec UDP500"、「説明オプション」"UDP 500 IKE鍵交換で必要" にしました。
「完了」

以上でファイアーウォールの設定は完了！

6.ユーザーの設定

ユーザーがリモートアクセスできるように設定します。
この例では、"Administrator"を使ってますがセキュリティ上良くないので、必ず別のユーザーを作成してから設定してください。

「管理ツール」⇒「コンピュータの管理」⇒「ローカルユーザとグループ」⇒ ユーザー

「ダイヤルイン」タグを選択
「リモートアクセス許可」「アクセルを許可」を選択
「適用」
「OK」

以上でユーザーの設定は完了！

7.クライアントPCの設定

Windowe7でWindows2012のL2TP/IPSecに接続しました。

「ネットワーク共有センター」⇒「新しい接続またはネットワークのセットアップ」

「職場に接続します」
「次へ」

「いいえ、新しい接続を作成します」を選択
「次へ」

「インターネット接続(VPN)を使用します」

設定前に、SoftLayer Windows2012 VPNサーバーの　Public IP を確認してください。

「インターネットアドレス」VPNサーバーのPublic IPを入力
「接続先の名称」わかり易い名称を入力
「今は接続しない。」にチェック
「次へ」

「6.ユーザーの設定」で設定したユーザー名とパスワードを使用します。

「インターネットアドレス」VPNサーバーのPublic IPを入力
「ユーザー名」ユーザー名を入力
「パスワード」パスワードを入力
「接続」

作成した「接続」に、値を設定します。

「プロパティ」

「全般」タグ
「宛先のホスト名またはIPアドレス」設定したWindows2012 VPNサーバーのPublic IPが表示されます。
「OK」

「セキュリティ」タグ
「VPNの種類」”IPsecを”利用したレイヤー2トンネリングプロトコル"を選択
「詳細設定」

「4.サーバー側　VPN(L2TP)の設定」で設定した”事前共有キー”を用意。

「認証に事前共有キを使う」を選択
「キー」サーバーで設定した”事前共有キー”を入力
「OK」

「ネットワーク」タグを選択
「インターネットプロトコルバージョン4(TCP/IPv4)」を選択
「プロパティ」

「詳細設定」

「リモートネットワークでディフォルトゲートウェイを使う」のチェックを外す
「OK」で完了

以上でクライアントPCの設定は完了！

8.接続

ネットワーク接続一覧より、作成した構成を選択。メニューより接続

9.おわりに

　Windows2012のL2TPでVPN設定しましたが、実際に運用する際はWindowsファイアーウォール設定をより詳細に行う必要があります。

ファイアーウォールの管理上、Windows2012標準設定ではPrivateインターフェースがPublicインターフェースと同じ管理になってしまいます。

次回は、Public/Privateインターフェースそれぞれ管理を分け、ファイアーウォールの設定を行いたいと思います。

次回へ「Windows2012でVPN環境(L2TP)の構築 (2)」