Professor Windows - 2001 年 2 月
Windows 2000 による VPN の配置
トピック
 | VPN の利用方法 |
| VPN のための Windows 2000 Server の構成 |
| クライアントの設定 |
| VPN でサポートされる暗号化のレベル |
| パケット構造の理解 |
| 人気のソリューション |
| 詳細情報 |
VPN の利用方法
VPN の利用方法はたくさんあります。最も一般的な方法は、リモート ユーザーが VPN トンネルを通って企業のネットワークにアクセスする場合でしょう。そのほかに、リモート オフィスが固定またはオンデマンド ダイヤルアップ VPN 接続で企業ネットワークに接続する場合があります。VPN はビジネスパートナと確実に通信するようにエクストラネットでも配置することが可能です。この文書では、最初に挙げたリモートユーザーが VPN トンネルを経由して企業のネットワークに接続する場合の VPN の配置を説明します。
VPN のための Windows 2000 Server の構成
VPN を構成するには、最低 2 つのインターフェイスがコンピュータに必要です。VPN を利用するために Windows 2000 を設定するには、次の手順を行ってください。
1. | [管理ツール] から [ルーティングとリモート アクセス] ウィンドウを開きます。 |
2. | サーバーを右クリックし、[ルーティングとリモート アクセスの構成と有効化] をクリックします。 |
3. | セットアップ ウィザードが開始したら、[次へ] をクリックします。 |
4. | 図 1 で示すように、[手動で構成したサーバー] を選択し、[次へ] をクリックします。 |
5. | [完了] をクリックして、セットアップ ウィザードを終了します。 |
図 1: サーバーで VPN を有効にする
[仮想プライベート ネットワーク サーバー] を選択しないでください。ルーティングとリモート アクセス ウィザードは、マイクロソフトサポート技術情報 243374(英語) で説明しているように、ルーティングを許可しません。このオプションを選択すると、受信 VPN 接続用のサーバーを設定し、サーバーの安全性を確保するため、PPTP または L2TP トラフィックだけを許可するフィルタを設定できます。そのため、PPTP または L2TP を使用する場合は、安全性について心配する必要はありません。ただし、このオプションを選択すると、ルーティングとリモート アクセスは PPTP または L2TP 以外のすべてのパケットをブロックするので注意してください。
ユーザーがサーバーに VPN 接続を行うには、手順がもう一つ必要です。ネットワークにアクセスする適切なダイヤルインのアクセス許可をユーザーに与える必要があります。これを行うには、図 2 で示すように、[リモートアクセス ポリシー] でユーザーにリモート アクセス許可を与えるか、Active Directory ユーザーとコンピュータでユーザーごとにダイヤルイン アクセス許可を設定します。
図 2: リモートアクセス許可を与える
既定では、VPN のポート数は選択するオプションに応じて変化します。最後のオプションの [手動で構成したサーバー] を選択した場合、5 つの PPTP と 5 つの L2TP ポートが作成されます。また、中央にある [仮想プライベート ネットワーク サーバー] を選択した場合、128 の PPTP と 128 の L2TP ポートが作成されます。[ポートのプロパティ] を選択することにより、[ルーティングとリモート アクセス] ウィンドウのポート数をいつでも変更できます。
メモ VPN クライアントがルーターまたはファイアウォールを通過する場合、PPTP の使用時は、TCP ポート 1723 と IP Protocol ID 47 (GRE : Generic Routing Encapsulation) がルーターまたはファイアウォールを通過可能であることを確認してください。L2TP を使用している場合は UDP ポート 500 (IKE)、Protocol ID 50 (IPSec ESP)、Protocol ID 51 (IPSec AH) を開く必要があります。
クライアントの設定
企業の VPN サーバーに接続するとき、インターネットにダイアルする必要のない常時接続 (DSL など) で接続していない場合は、インターネット サービス プロバイダ (ISP) へのダイアルインによってインターネットに接続していることをまず確認する必要があります。インターネットに接続すると、企業の VPN サーバーが接続されている全世界的なインターネット バックボーンにつながります。それから、VPN トンネルを構成する 2 つ目の接続を確立します。
企業のサーバーにつながるこの 2 つ目の接続を確立するには、次に示す手順に従ってください。
1. | [スタート] から [設定]、[コントロール パネル] で [ネットワークとダイヤル接続] を選択して、[新しい接続の作成] から [ネットワークの接続ウィザード] を開始します。 |
2. | 図 3 で示すように [ネットワーク接続の種類] ウィンドウから [インターネット経由でプライベート ネットワークに接続する] を選択します。 |
3. | [パブリック ネットワーク] ウィンドウで、最初の接続を自分の ISP に自動的にダイヤルするように設定してから、接続先の企業の VPN サーバーに 2 つ目を接続するように設定できます。インターネット接続にモデムまたは ISDN を使用して ISP にダイヤルしている場合のみ、このオプションを使うことができます。 |
4. | 画面の指示に従ってウィザードを終了します。 |
図 3: ネットワーク接続の種類
この接続は既定では、ユーザー名とパスワードのみを入力することができます。ドメインを指定するオプションを追加するには、[プロパティ] をクリックし、図 4 に示すように [オプション] タブで [Windows ログオン ドメインを含める] チェック ボックスをオンにします。
図 4: Windows ログオンドメインを含める
VPN でサポートされる暗号化のレベル
VPN サーバーへの接続方法に応じて、MPPE 暗号化か IPSec 暗号化のどちらかを使用します。PPTP サーバーに接続する場合は MPPE を使用し、L2TP サーバーに接続する場合は IPSec を使用します。既定では、VPN は [自動] に設定されます。これは、MPPE 暗号化の PPTP を試行する前に、まず IPSec 暗号化の L2TP が試行されるということです。MPPE の動作は IPSec と異なります。パケットが順不同で到着するため、MPPE はヘッダーに順序番号を使用し、パケットを追跡します。MPPE は順序番号に基づいて各パケットに対する暗号化キーを変更します。L2TP 接続を使用すると、IPSec 証明書が必要です。VPN 接続を確立する際に問題が発生した場合は、既定の [自動] ではなく接続タイプを PPTP を選択して試してください。 [自動] を選択し、IPSec 接続がネゴシエートされない場合は、PPTP を試行するまで長く (最長 2 分間) 待つことがあります。
暗号のオプションは 4 つあり、リモート アクセス ポリシーの [プロパティ] の [プロファイルの編集] を選択することによって設定できます。[暗号化] タブで、[暗号化なし]、[基本]、[強力]、[最強] を選択できます。最強の暗号化 (128-bit) は Windows 2000 高度暗号化パック (Windows 2000 サービスパック 2 のインストールを推奨) がインストールされている場合にのみ利用可能です。
次の表では、ダイヤルアップと PPTP VPN 接続および L2TP over IPSec VPN 接続を使用する暗号化のタイプを比較しています。
| ダイヤルアップ と PPTP | L2TP over IPSec | |
基本 | 40-bit MPPE | 56-bit DES |
強力 | 56-bit MPPE | 56-bit DES |
最強 | 128-bit MPPE | 3DES (3 つの 56-bit キー) |
パケット構造の理解
PPTP のパケット構造
図 5 (下) はトンネルを通過するときの PPTP データ パケットの構造を示しています。最初に PPP フレームが PPP ヘッダーを持つ暗号化された PPP データをカプセル化することによって作成されます。それから PPP フレームが GRE ヘッダーを付けてカプセル化されます。そして、そのペイロードが送信元と送信先の情報を含む IP ヘッダーを付けてカプセル化されます。最後に、この IP データグラムはデータリンク層のヘッダーとトレイラを付けてカプセル化されます。使用する技術により、データリンク層のヘッダーとトレイラは変更されます。たとえば、Ethernet ネットワーク上で IP データグラムを送信する場合、IP データグラムは Ethernet のヘッダーとトレイラを付けてカプセル化され、また、アナログ電話回線で送信する場合、、PPP のヘッダーとトレイラを付けてカプセル化されます。パケットが送信先に到達するとヘッダーが 1 つずつ逆の順番で除去されます。最初にデータリンク層のヘッダーとトレイラが除去され、IP ヘッダー、GRE ヘッダー、PPP ヘッダーの順に除去されます。最後に、PPP データが復号化されます。
データリンク ヘッダー | IP ヘッダー | GRE ヘッダー | PPP ヘッダー | 暗号化された PPP データ | データリンク トレイラ |
図 5: PPTP のパケット構造
L2TP のパケット構造
L2TP のパケット構造はヘッダーが PPP データに付け加えられるという点で PPTP に似ています。図 6 は L2TP の構造を示しています。UDP ヘッダーと IPSec トレイラの間のすべてのデータが暗号化されていることに注意してください。
図 6: L2TP のパケット構造
人気のソリューション
VPN は在宅勤務者が安全に企業のネットワークにアクセスできる便利な方法です。また、LAN をパブリック ネットワークに安全に拡張できるので、リモートのブランチ オフィスやエクストラネットでの使用においても有益な方法となります。VPN は、従来のダイヤルアップ ソリューションと比較して、管理しやすく、総費用が低いという理由で最近人気が出てきました。
詳細情報
より詳細な設定をする場合は、 VPN に関連する文書を参照してください。
| • | Chapter 9 - Virtual Private Networking (Windows 2000 リソースキット : 日本語の情報は書籍、もしくは TechNet CD でご覧いただけます)。 |
| • | |
| • | |
| • | |
| • | |
| • |
Professor Windows の全コラムの一覧と概要をご覧になるには、ここをクリックしてください。