テレワークの第一歩。WindowsにVPN環境を構築する。

先日、GCPにwindows Server 2019の仮想マシンを新規で立ち上げました。本日はVPN Serverをインストールしてネットワーク環境を整えます。コストを考えればLinuxにインストールして運用するほうが安く済みます。Linuxでの設定は以前記事にしましたので参照ください。またWindows10などでもインストール可能です。

VPN ServerはSoftEther VPNを使用します。
https://ja.softether.org/

その前にインストールしたばかりのWindows Serverはセキュリティの観点からIEでダウンロードができませんので設定を行います。サーバーマネージャーで「IEセキュリティ強化の構成」が有効になっているので無効にします。

これでダウンロードできます。ついでにブラウザをEdgeかChromeにしたいのでダウンロードしてインストールしました。次にsoftetherのホームページからコンポーネントをsoftether VPN Serverにして最新版をダウンロードします。

ダウンロードしたファイルを実行して進めていきます。
インストールソフトウエアの選択では「softether VPN Server」にして次に進みます。インストール先ディレクトリはこのままの設定で進みます。しばらくインストールが終わるまで待ちます。


インストールが終了し、初めて起動したときに接続をするとパスワードの設定が必要です。

パスワードの変更が終わるとVPN Server/Bridge簡易セットアップが始まりますので順に設定をおこなっていきます。
本日の目的はある程度の規模のネットワーク同士の設定ではなくて、個人が外出先からネットワークに参加することを想定しております。「リモートアクセスVPNサーバー」にチェックをして次に進みます。仮想HUB名は任意で決めます。

次はダイナミックDNS機能の画面になります。個人が自宅で動的なIPアドレスを使用してサーバーを立てる時などによく使用します。親切なことに現在の外部IPアドレスにsoftetherのドメインを割り当てることができるようになります。今回は自分で所有しているドメインを使用するのであとから無効にします。

IPsec/L2TP/EtherIP/L2TPv3サーバー機能の設定では「L2TPサーバー機能を有効にする」にチェックをしました。IPsec事前共有鍵も決めます。スマホなどにVPNの設定をする項目があり、そこにそれ関連の項目があることを確認することができます。今回はスマホでも接続を可能にします。


VPN Azureサービスの設定ではクラウド型VPNサービスを無料で使用することができるのですが、まだ調べておりませんので無効にしておきました。


次にこのVPN Serverに接続することができるユーザーを作成します。あとからでも変更や追加することができますが一人作成します。ユーザー名、パスワードを決めて入力後、認証方法を「パスワード認証」として作成します。


ユーザーを作成し確認したら「簡易セットアップの実行」になります。ローカルブリッジの設定においてなにかしら選択できるはずですので設定しておきます。

ここまででウィザードは完了しました。メイン画面のVPN Serverの管理では「ダイナミックDNS設定」をクリックして無効にしておきます。また、先ほど作成した仮想HUBが一覧にありますのでダブルクリックするか、選択している状態で「仮想HUBの管理」ボタンをクリックします。次の画面のVPNの管理では「仮想NATおよび仮想DHCPサーバー機能」をクリックして、さらに次の画面で「SecureNAT機能を有効にする」ボタンをクリックします。デフォルトでは無効になっています。詳細な設定を確認したい場合は「SecureNATの設定」をクリックします。


ここまででVPNサーバーの設定は完了しました。

次はクライアントの設定方法を紹介いたします。
Windowsパソコンとスマホの2つを見てみましょう。前者はsoftetherのホームページでSoftEther VPN Clientをダウンロードしてインストールしておきます。まずはクライアントを起動します。「新しい接続設定の作成」をダブルクリックします。

次のプロパティにおいて接続設定名、ホスト名を入力します。ホスト名はこの場合GCPの外部IPアドレスになりますが、ドメインの設定をしておけばこちらでもOKです。ポート番号は5555を選択しました。仮想HUB名も選択することができます。あとはServerで作成したユーザー名とパスワードを入力します。この設定を保存しておきます。GCP側でポート開放の設定を行うことはなく接続できるはずです。

せっかくなので接続完了後の例を紹介いたします。
接続が完了した時点で、前述のServer側で設定した「SecureNATの設定」にあるIPアドレスの1つがクライアントに割り当てられます。コマンドプロンプトでipconfigにて内部IPアドレスを確認できます。NATを介して同じネットワークにいるのでファイルを共有したりすることができます。Server側のDownloadsファルダを共有する設定をします。対象フォルダを右クリックしてプロパティを開きます。

共有タブにある「詳細な共有」をクリックして、「このフォルダを共有する」にチェックをいれます。「アクセス許可」をクリックしてこのフォルダを使用できるユーザーを決めます。簡単のため、ここではEveryoneにフルコントロールの権限を付与しておきました。


次はクライアントであるWindowsのスタートを右クリックして「ファイル名を指定して実行」を開き、下記の内容を入力します。

\\IPアドレス

IPアドレスはserver側の内部IPアドレスのことです。


Server側のダウンロードフォルダの内容を観覧し、削除や追加を行えるようになります。

最後にスマホの設定を見てみましょう。
Androidスマホの例となります。VPN項目があるのでそこから設定することになります。
ここでは私のスマホを例に紹介いたします。
タイプを「L2TP/IPSec PSK」に、サーバーアドレスにVPN Serverの外部IPアドレスまたはドメイン名を入力します。

IPSec事前共有鍵も入力します。転送ルートには「0.0.0.0/0」を入力しました。最後にユーザー名とパスワードも入力します。Windowsのクライアントでも同様ですが接続して自分の外部IPアドレスを確認してみましょう。仮想マシンに割り当てられた外部IPアドレスになっています。

コメント

タイトルとURLをコピーしました