SoftEther VPNで一部のクライアントに固定IPアドレスを割り振る

やりたいこと

• とある事業所A（1箇所）にある複数のPCを、遠隔地の社員からリモート操作できるようにしたい。
  • 接続先PCは限定されているので、IPアドレスを固定したい。
• 接続元となる「遠隔地」というのは複数の事業所がある。リソースに余裕のある会社でもないので物理ルータの煩雑な設定などは避けたい。ITスキルに自信ニキが必要な作業は総務だけで吸収したい。
  • なので接続元についてはDHCPで良い。
• Active Directoryなんてありません。
• 接続元も接続先も Windows 10。

構成

SoftEther VPNのL2TPとSecureNATを利用。遠隔操作にはリモートデスクトップを使うので割愛。

VPNサーバのセットアップ

SoftEtherのGUI管理ツールはWindowsでしか動かないので、EC2はWindowsインスタンスにする。
セキュリティグループの設定は、デフォルトで入っているRDPの他UDP/500, UDP/4500のみ開放する。

SoftEther Download Centerは、t2.microでは非力すぎるのかうまくダウンロードできなかった。が、Browse the list of all downloadable files (Archives)からダウンロードできる。*-rtm-*/Windows/SoftEther_VPN_Server_and_VPN_Bridge/以下のファイルをダウンロード、インストールする。

SoftEtherのConfigure Display Languageで表示言語を日本語に変えておく。（なおWindows側の言語設定は変えなくてもよい）

VPNサーバー管理で下記の設定を行う。

1. 簡易セットアップは「高度な機能を用いたVPN」とする。
2. 下のボタン群のうち「IPsec / L2TP 設定」を開く。
   1. 「L2TP サーバー機能を有効にする (L2TP over IPsec)」のみ有効にする。
   2. IPsec事前共有鍵に適当なパスワードを設定する。これは後でクライアントからの接続に必要なので配布する。
3. 「仮想HUBの管理」を開く。
   1. 右下の「仮想NAT及び仮想DHCPサーバー機能」を開く。
   2. 「SecureNAT機能を有効にする」
   3. デフォルトだと192.168.30.0/24がDHCP配布用に確保されているが、配布アドレス帯は.10～.200まで。そのままでも.201～.254あたりが固定IPアドレスとして使える。
4. 「ユーザーの管理」を開く。
   1. クライアント（リモートデスクトップ接続元・接続先ともに）のアカウントを作成する。パスワード認証が無難。

クライアントの設定

リモートデスクトップの接続元・接続先とも概ね同じ。

1. ネットワークとインターネットの設定を開く。
2. 左ペイン「VPN」を選択し、「VPN接続を追加する」。
   1. VPNプロバイダー「Windows（ビルトイン）」。
   2. 接続名はお好みで。
   3. サーバー名またはアドレスにパブリックIPを入力する。
   4. VPNの種類は「事前共有キーを使ったL2TP/IPsec」。
3. 「接続」ボタンを押し、ユーザー名とパスワードを入力して接続する。

IPアドレスの固定

1. 関連設定にある、「アダプターのオプションを変更する」。
2. 新しいL2TP接続設定を右クリックして「プロパティ」を開く。
3. 「ネットワーク」タブの「～TCP/IPv4」を選択し、その「プロパティ」を開く
4. 「次のIPアドレスを使う」に当該クライアントの固定IPアドレスを入力する。
   1. 前述のとおり、SoftEtherのデフォルトだと192.168.30.200～.254あたりが空いている。
5. 「優先DNSアドレス」にVPNサーバのVPN内でのプライベートIPアドレスを入力する。デフォルトのままなら192.168.30.1。
6. 一度VPNとの接続を切ってから再接続する。