トップ 製品・サービス 導入事例 パートナー ダウンロード サポート 報道発表 企業情報 お問い合わせ
トップページ PacketiX VPN 3.0 Web サイト IPsec 対応ベータ版 IPsec 機能の有効化方法Select Language:

 

VPN Server 側での IPsec 機能の有効化方法

PacketiX VPN の IPsec 機能が搭載されたベータ版をインストールした初期状態では、IPsec 機能は有効になっていません。以下の方法を参考にして、IPsec 機能を有効にしてください。

 

設定方法について

VPN Server の設定方法は以下を参考にしてください。

 

VPN サーバー管理マネージャでの操作

ベータ版の VPN サーバー管理マネージャ (Windows 上で動作する GUI アプリケーション) から IPsec 機能が搭載されたベータ版の VPN Server サービスにサーバー全体の管理者モードで接続すると、[IPsec / L2TP 設定] というボタンが新たに追加されていますので、これをクリックしてください。

 

すると、以下のような画面が表示されます。
IPsec サーバー機能は、いくつかのコンポーネントに分かれていますが、この画面で個別に有効化 / 無効化することができます。

 

上記の設定画面に関する補足説明を以下に記載いたします。

  • L2TP サーバー機能 (L2TP over IPsec) について
    iPhone、iPad、Android などのスマートフォンや Windows、Mac OS X などに標準搭載されている L2TP VPN クライアントから PacketiX VPN Server に接続できるようにするためには、この機能を有効にしてください。
  • L2TP サーバー機能 (暗号化されていない L2TP) について
    特殊なルータ製品などで、L2TP には対応しているものの IPsec には対応していない装置、ソフトウェアから PacketiX VPN Server に接続するためには、この機能を有効にしてください。
  • EtherIP over IPsec サーバー機能について
    NEC IX2015 などの EtherIP に対応したルータ製品から PacketiX VPN に対してレイヤ 2 VPN を構築する場合は、この機能を有効にしてください。
    また、[EtherIP 機能の詳細設定] ボタンをクリックし、接続元の EtherIP 対応装置の ISAKMP (IKE) Phase 1 ID と、VPN Server の仮想 HUB に接続する際の接続設定の対応表を定義する必要があります (後述)。
  • IPsec 事前共有鍵
    IPsec 事前共有鍵は、「PSK (Pre-Shared Key)」または「シークレット」と呼ばれる場合があります。この文字列は標準状態で「vpn」 (半角英字 3 文字) と設定されていますが、変更することをお勧めします。事前共有鍵を設定したら、IPsec VPN を利用するすべてのユーザーに事前共有鍵を知らせてください。

 

vpncmd での操作

VPN コマンドライン管理ユーティリティ (vpncmd) では、現在のベータ版では IPsec サーバー機能の設定はできません (今後対応予定)。

したがって、現状においては Linux、Solaris、FreeBSD、Mac OS X 上に VPN Server を設置する場合は必ず Windows 端末上で「VPN サーバー管理マネージャ」を立ち上げてリモート管理モードで VPN Server サービスに接続し IPsec 機能の設定を行う必要があります。

 

L2TP サーバー機能におけるユーザー名の指定方法について

L2TP サーバー機能を有効にした PacketiX VPN Server に L2TP に対応した VPN クライアントから VPN 接続する場合においては、クライアント側で指定するユーザー名に「仮想 HUB 名」を含めることを原則とします。

たとえば、PacketiX VPN Server 上に「HUB1」「HUB2」という 2 つの仮想 HUB があるとします。そして、HUB1 にはユーザー jiro が、HUB2 にはユーザー yas が登録されているとします。

この場合は、jiro@hub1 または yas@hub2 のように、「ユーザー名@仮想 HUB 名」の形で L2TP 接続を行う際のユーザー名を指定してください。(ユーザー名、仮想 HUB 名の文字列は大文字・小文字を区別しません。)

ただし、接続時のユーザー名で仮想 HUB が省略 ('@' 以降の文字列が指定されていない) された場合は、あらかじめ IPsec サーバー機能の設定画面で選択されているデフォルトの仮想 HUB が選択されます。

たとえば、デフォルトの仮想 HUB として「HUB2」を選択している場合は、ユーザー yas は「yas」という文字列だけでも仮想 HUB に接続することができます。

 

 

L2TP サーバー機能におけるパスワードの指定方法について

L2TP におけるユーザー認証手続きにおいて L2TP VPN クライアントから指定されたユーザー名とパスワードは、仮想 HUB のユーザー認証モジュールに渡されます。

従って、仮想 HUB には L2TP VPN クライアントに入力するユーザー名とパスワードがあらかじめ登録されている必要があります (または、アスタリスクのユーザー名のユーザー '*' において Radius 認証や Active Directory 認証などの外部ユーザー認証が有効になっている必要があります)。

そのため、「証明書認証」のユーザーとしては L2TP VPN クライアントからは接続することができません。

 

EtherIP / L2TPv3 機能の詳細設定について

EtherIP / L2TPv3 を使用する場合は、EtherIP / L2TPv3 設定項目中の [サーバー機能の詳細設定] ボタンをクリックして、EtherIP / L2TPv3 クライアント (ルータ等) が VPN Server に対して IPsec 接続を行おうとする際に提示される ISAKMP (IKE) Phase 1 の ID 文字列と、接続先の仮想 HUB や仮想 HUB 内のユーザーの設定との関連付けを事前に登録しておく必要があります。

なお、登録する ID 文字列として「*」 (アスタリスク) を指定して定義すると、その定義はすべての ID のルータからの接続に使用されます。

詳しくは以下のリンクもご参照ください。

 

ご注意

PacketiX VPN の IPsec 機能を有効にする場合は、オペレーティングシステムに標準で付属している IPsec / L2TP 通信機能や関連サービスがすでに稼働されている場合は、それらの機能やサービスを停止することを推奨します。また、オペレーティングシステムに標準付属でない、後から追加でインストールしたプログラム等 (市販の IPsec / L2TP プログラム等) についても同様です。

PacketiX VPN の IPsec / L2TP 機能と、その他の会社が開発した同様の機能とは、同一ポート (UDP 500, 4500, 1701) の使用について競合する場合があります。このような場合、通信動作を正常に行うことができなくなる場合があります。

たとえば、Windows の「ルーティングとリモートアクセス」サービスは停止させてください。

なお、PacketiX VPN の IPsec 機能を有効にする場合においては、Windows の IPsec の上記 UDP ポートを占有するサービスは自動的に一時停止されます。

 

 

L2TP サーバー機能を使用する場合の IP アドレスの自動割当について

L2TP では、通常は VPN クライアント側では VPN 内で使用する IP アドレスは手動 (固定) で設定せずに、VPN サーバー側から割当てられたものを使用します。
(Windows など一部の OS では L2TP クライアント側で IP アドレスの固定設定が可能ですが、iPhone や iPad などではそもそも固定 IP アドレスの設定がありません。)

L2TP VPN クライアントが仮想 HUB に接続しようとする際には、仮想 HUB の Ethernet セグメント上で DHCP サーバーが動作している必要があります。

DHCP サーバーにより、L2TP VPN クライアントに対して自動的に IP アドレスが割当てられます。また、サブネットマスク、DNS サーバーアドレス、デフォルトゲートウェイ等の VPN 内での通信に必要なパラメータも DHCP サーバーによって割当てられます。そのため、VPN 接続先の仮想 HUB の Ethernet セグメントに DHCP サーバーが存在しない場合は L2TP による VPN 接続ができません。

DHCP サーバーはローカルブリッジ先の LAN (社内 LAN など) に設置されているものを使用することもできますし、接続先の VPN セグメントにそのような DHCP サーバーがない場合は、SecureNAT 機能の仮想 DHCP サーバー (仮想 HUB ごとに稼働させることができます) を使用することもできます。

 

 

NAT が存在する場合の注意事項

VPN Server とクライアントとの間に NAT がある場合の注意事項は以下のとおりです。

 

VPN サーバー側に NAT がある場合

NAT (NAPT) の背後に IPsec 機能を有効にした VPN Server を設置する場合は、インターネットからグローバル IP アドレス宛に届いたパケットのうち、以下の種類のパケットを VPN Server に割り当てているプライベート IP アドレスに転送 (フォワーディング、マッピング) するように NAT を設定してください。

  • L2TP over IPsec、EtherIP over IPsec を使用する場合
    UDP ポート 500、4500
  • L2TP (IPsec なし) を使用する場合
    UDP ポート 1701

また、インターネットと VPN Server との間にファイアウォールやパケットフィルタが設置されている場合も、上記のポートを送信元 / 宛先とする UDP パケットを通過させるように設定してください。

 

 

VPN クライアント側に NAT がある場合

PacketiX VPN Server に搭載されている IPsec サーバー機能は、最新の「NAT トラバーサル」 (RFC 3947 Negotiation of NAT-Traversal in the IKE) に対応しています。

したがって、VPN クライアント側に NAT が存在していても、特に NAT における設定の必要はありません。

ただし、ホワイトリスト方式のファイアウォールやパケットフィルタが設定されている場合は、UDP ポート 500、4500 宛の UDP パケットを透過させる必要があります。

 

 

残念ながら、IPsec プロトコルは非常に複雑であり、また統一感がない難解なプロトコルであり、プロのネットワークエンジニアも相互接続の関係で頭を痛めるトラブルが発生することが多くあります。
VPN Server 上で有効にしたはずの IPsec / L2TP / EtherIP サーバー機能にクライアントやルータ装置から正常に接続することができない場合は、原因を究明するために VPN Server のサーバーログをよく確認してみてください。問題解決のためのヒントはサーバーログに記録される可能性が高いと思われます。また、VPN クライアント側やルータ側のログも参考にしてみてください。

 

「SoftEther / ソフトイーサ」 は、ソフトイーサ株式会社および三菱マテリアル株式会社の登録商標です。
  International Web Site:  現在 日本語 (Japanese) で表示中 | Read in English | Read in Chinese
Copyright © 2004-2012 SoftEther Corporation. All Rights Reserved.
 Web サイトについて | 障害・メンテナンス情報 | 個人情報の管理 | サイト内を検索 | 産学連携研究会 | お問い合わせ

HTTP 通信中