概要
インターネット上に安全な作業環境をつくるため、これまでは VPCルータとスイッチを作成し 、 そのローカルネットワークにサーバを準備 しました。今回は、そのサーバにログインする方法として、リモートアクセス(VPN)用のユーザを作る方法と、PPTP または L2TP/IPsec での接続方法を紹介します。
説明
VPCルータのリモートアクセス機能
VPC ルータを作成済みであれば、インターネット側から VPC ルータ内のプライベートネットワークに、クライアント側の PC から VPN で直接接続ができます。VPCルータが対応している VPN のプロトコルは、PPTP か L2TP/IPsec とよばれるもので、いずれも Windows や macOS に標準で搭載されている機能です。
VPCルータでリモートアクセスを有効にするには、VPCルータの管理画面上で、接続用ユーザの設定を行います。リモートアクセス機能の詳細と、接続に関する仕様は 公式ドキュメント をご覧ください。
以下の手順では L2TP サーバの設定と、ユーザの作成を行います。L2TP に対応していない環境や、必要性によっては、PPTP 接続をご利用ください。
L2TP サーバの有効化(作成)
VPCルータの L2TP サーバ機能は、初期状態では無効状態であり使えないため、有効化します。
左メニュー「アプライアンス」→「VPCルータ」をクリックします。上のタブの「リモートアクセス」→「L2TP/IPsecサーバ」をクリックします。それから、画面右側にある「編集」をクリックします。
次の設定画面では「有効」をクリックします。
そうしますと、詳細設定画面が表示されますので、各項目を入力します。
- L2TP/IPsecサーバ … 「有効」が選択されたままにします。
- 動的割り当て範囲(開始) … 「192.168.0.200」と仮に設定します。
- 動的割り当て範囲(終了) … 「192.168.0.249」とします。開始および終了の範囲は、接続したクライアントに割り当てられる IP アドレスの範囲です。そのため、サーバが利用する IP アドレスやゲートウェイアドレスとは重複しないように設定する必要がありますので、事前に考慮する必要があります。
- Pre Shared Secret … 任意の文字を入力します。"事前共有キー"にあたるもので、共通の認証用パスワードのようなものです。ユーザ名とパスワードだけでなく、この文字列でも認証を行います。入力できる文字は、アルファベット(大文字・小文字)、数字、アンダースコアの組み合わせで、40文字までです。この共有キーはあとからも変更できます。
それらの各項目を入力し、確認の後、「更新」をクリックします。(この変更を押した時点では、設定はまだ反映前です)
それから、画面上の「反映」ボタンをクリックし、確認画面では「はい」をクリックします。この時点でようやく設定が反映されます。なお作業時に通信の途絶はありません。
以上で L2TP/IPsec サーバの設定が終わりました。
L2TP/IPsec 接続用の IP アドレスの確認
次に、クライアントからの接続時に必要な IP アドレスを確認します。VPCルータの詳細画面が開かれている中で「インターフェース」のタブをクリックします。そこに出てくる「グローバル」インターフェース(共有プランであれば、インターネット側の公開 IP アドレスです)の列にある「IPアドレス」に接続します。
具体例として、以下の図では「133.242.70.147」がグローバルインターフェースの IP アドレスであり、ここが L2TP/IPsec で接続するホスト(IPアドレス)にあたります。エディタ等に接続先として記録しておきます。
L2TP/IPsec 接続用のユーザ追加
クライアントから接続するアカウントを追加します。追加するには VPC ルータの詳細画面で「リモートアクセス」タブ→「アカウント管理」タブをクリックします。
この画面が、作成済みユーザの一覧や管理をする画面ですが、初期状態ではユーザがいませんので、何も表示されていません。表示をするには「追加」をクリックします。
それから L2TP/IPsec で接続する「ユーザ名」と「パスワード」を入力し、「追加」をクリックします。
そうしますと、一覧画面に作成したユーザが表示されます(この段階では、まだログインできません)。設定を反映するために「反映」をクリックします。
以上で L2TP/IPsec 用サーバ、接続用(クライアント側)ユーザの作成が完了しました。必要に応じて、ユーザを追加作成したり、削除したりできます。あとは、クライアント側からの接続設定と、接続テストです。
クライアント PC でリモートアクセスの設定
あとは、接続元のクライアント PC で L2TP/IPsec の設定を行います。
macOS や Windows 8 の環境であれば、 こちらのチュートリアル設定 をごらんください。
クライアントPC (Windows 10)の接続設定
Windows 10 の場合は「コントロールパネル」→「ネットワークとインターネット」→「VPN」を選びます。それから「VPN接続を追加する」をクリックします。
次の "VPN接続を追加" では、それぞれ各項目を選択・入力します。
- VPN プロバイダー … 「Windows (ビルドイン)」を選択します。
- 接続名 … 任意の名前(VPN接続一覧に表示される名前)を入力します。
- サーバ名またはアドレス … VPCルータの「グローバルインターフェース」の IP アドレスを入力します。
- VPNの種類 … 「事前共有キーを使った L2TP/IPsec」を選択します。
- 事前共有キー … 先ほど L2TP/IPsec サーバのタブで設定した 、「Pre Shared Secret」で指定した項目を入力します。
- サインイン情報の種類 … 「ユーザ名とパスワード」を選びます。
- ユーザ名(オプション) … 先ほど作成した「L2TP/IPsec 接続用のユーザ」のユーザ名を入力します。
- パスワード(オプション) … 同じくパスワードを入力します。
各項目を入力の後、「保存」をクリックします(ウインドウが小さい場合、下の方に隠れている場合もあります。その場合は、ウインドウを大きくするか、入力画面の中を下にスクロールします)。
保存が完了すると、VPN画面上に作成した「VPCルータへの接続」が表示されます。
さらに、VPN設定画面の右側、もしくは下側にある「関連設定」の項目の「アダプターのオプションを変更する」をクリックします。
「ネットワーク接続」ウインドウが開きます。作成した「VPCルータへの接続」アイコンをさがし、右クリック→「プロパティ」を選択します。
それから、「セキュリティ」のタブをクリックします。それから「次のプロトコルを許可する(P)」をクリックし、「チャレンジハンドシエイク認証プロトコル」と「Microsoft CHAP Version 2 (MS-CHAP v2)」がクリックされてチェックした状態にし、 OK をクリックします。
あとは、このネットワーク接続ウインドウは閉じて構いません。接続するには、再びコントロールパネルの「VPN」一覧に戻ります。
Windows 10 で VPN 接続をする手順
クライアント側の設定が終われば、VPN一覧上に作成した接続情報が表示されます。「VPCルータへの接続」をクリックした後、「接続」をクリックします。
接続に成功すると、「接続済み」に表示が切り替わります。
これで、クライアント PC から、VPCルータのローカルネットワークに対して、安全に接続できる状態になりました。当初の図の通りの構成が、これで完成です。
サーバへの接続を確認
クライアント PC で VPN 接続がされた状態であれば、VPC ルータ内のネットワークとも通信が可能な状態になっています。VPN 接続は、ユーザ認証と暗号化された状態での通信を行っていますので、安全な通信環境を確保しています。
あとは、このサーバとの疎通状況を確認しましょう。Windows 10 であれば「コマンドプロンプト」を起動し、 ping 192.168.0.100 (プライベートネットワーク内のサーバの IP アドレスに対して ping 応答の確認)を実行します。
正常に接続できれば、この図のように ping の応答が見えるでしょう。また、この状態でサーバへの SSH 接続や、このサーバ上でウェブサーバ等を起動すると表示が確認できます。色々お試しください。
振り返り
インターネット上でありながら安全な作業環境を作るため、VPCルータの作成とスイッチの接続、サーバの作成と疎通の確認、そして今回のリモートアクセス(VPN)用のユーザを作成する手順を学びました。今回までの作業は、VPC ルータを使う環境で行う典型的な手順になります。