やりたいこと
- とある事業所A(1箇所)にある複数のPCを、遠隔地の社員からリモート操作できるようにしたい。
- 接続先PCは限定されているので、IPアドレスを固定したい。
- 接続元となる「遠隔地」というのは複数の事業所がある。リソースに余裕のある会社でもないので物理ルータの煩雑な設定などは避けたい。ITスキルに自信ニキが必要な作業は総務だけで吸収したい。
- なので接続元についてはDHCPで良い。
- Active Directoryなんてありません。
- 接続元も接続先も Windows 10。
構成
SoftEther VPNのL2TPとSecureNATを利用。遠隔操作にはリモートデスクトップを使うので割愛。
VPNサーバのセットアップ
SoftEtherのGUI管理ツールはWindowsでしか動かないので、EC2はWindowsインスタンスにする。
セキュリティグループの設定は、デフォルトで入っているRDPの他UDP/500
, UDP/4500
のみ開放する。
SoftEther Download Centerは、t2.microでは非力すぎるのかうまくダウンロードできなかった。が、Browse the list of all downloadable files (Archives)からダウンロードできる。*-rtm-*/Windows/SoftEther_VPN_Server_and_VPN_Bridge/
以下のファイルをダウンロード、インストールする。
SoftEtherのConfigure Display Languageで表示言語を日本語に変えておく。(なおWindows側の言語設定は変えなくてもよい)
VPNサーバー管理で下記の設定を行う。
- 簡易セットアップは「高度な機能を用いたVPN」とする。
- 下のボタン群のうち「IPsec / L2TP 設定」を開く。
- 「L2TP サーバー機能を有効にする (L2TP over IPsec)」のみ有効にする。
- IPsec事前共有鍵に適当なパスワードを設定する。これは後でクライアントからの接続に必要なので配布する。
- 「仮想HUBの管理」を開く。
- 右下の「仮想NAT及び仮想DHCPサーバー機能」を開く。
- 「SecureNAT機能を有効にする」
- デフォルトだと
192.168.30.0/24
がDHCP配布用に確保されているが、配布アドレス帯は.10
~.200
まで。そのままでも.201
~.254
あたりが固定IPアドレスとして使える。
- 「ユーザーの管理」を開く。
- クライアント(リモートデスクトップ接続元・接続先ともに)のアカウントを作成する。パスワード認証が無難。
クライアントの設定
リモートデスクトップの接続元・接続先とも概ね同じ。
- ネットワークとインターネットの設定を開く。
- 左ペイン「VPN」を選択し、「VPN接続を追加する」。
- VPNプロバイダー「Windows(ビルトイン)」。
- 接続名はお好みで。
- サーバー名またはアドレスにパブリックIPを入力する。
- VPNの種類は「事前共有キーを使ったL2TP/IPsec」。
- 「接続」ボタンを押し、ユーザー名とパスワードを入力して接続する。
IPアドレスの固定
- 関連設定にある、「アダプターのオプションを変更する」。
- 新しいL2TP接続設定を右クリックして「プロパティ」を開く。
- 「ネットワーク」タブの「~TCP/IPv4」を選択し、その「プロパティ」を開く
- 「次のIPアドレスを使う」に当該クライアントの固定IPアドレスを入力する。
- 前述のとおり、SoftEtherのデフォルトだと
192.168.30.200
~.254
あたりが空いている。
- 前述のとおり、SoftEtherのデフォルトだと
- 「優先DNSアドレス」にVPNサーバのVPN内でのプライベートIPアドレスを入力する。デフォルトのままなら
192.168.30.1
。 - 一度VPNとの接続を切ってから再接続する。