[更新: 2017年06月22日]
VPCルータのリモートアクセス(VPN)設定の設定方法についての説明です。
1. リモートアクセス(VPN)機能の概要
リモートアクセス(VPN)は、VPCルータを介して外部ネットワークからプライベートネットワーク側(VPCネットワーク側)へ安全な経路で接続するための機能です。
現在VPCルータで対応しているVPNプロトコルは以下のとおりです。
・PPTP
・L2TP/IPsec
また、「アカウント管理」画面より、外部からプライベートネットワーク側(VPCネットワーク側)に接続する際に使用するアカウントを最大100個まで設定することができます。
PPTP仕様
リモートアクセスのPPTP機能の仕様は以下の通りです。対向側でこの仕様に対応した機器やソフトウェア(Windows, Mac OS X, iOS, Androidなど)を使用することにより、PPTP機能を使用することができます。
| プロトコル(ポート) | GRE(47), TCP(1723) |
|---|---|
| PPP認証プロトコル | MS-CHAPv2 |
| PPP認証方法 | ユーザ名, パスワード |
※GREが透過できない環境では使用できません
L2TP/IPsec仕様
リモートアクセスのL2TP/IPsec機能の仕様は以下の通りです。対向側でこの仕様に対応した機器やソフトウェア(Windows, Mac OS X, iOS, Androidなど)を使用することにより、L2TP/IPsec機能を使用することができます。
| プロトコル(ポート) | UDP(500), ESP(50) ※NAT-T利用時はUDP(500), UDP(4500) |
|---|---|
| PPP認証プロトコル | MS-CHAPv2 |
| PPP認証方法 | ユーザ名, パスワード |
| L2TPトンネル認証 | なし |
| L2TPキープアライブ | 有効 |
| L2TPキープアライブインターバル | 10秒 (リトライ3回) |
| L2TPトンネル切断タイマ | なし |
| IPsec認証方法 | Pre-Shared Key(事前共有鍵) |
| 暗号アルゴリズム | AES256, 3DES |
| 暗号利用モード | CBC |
| ハッシュアルゴリズム | SHA |
| メッセージ認証符号 | HMAC |
| PFS(Perfect Forward Secrecy) | 無効 |
| DH(Diffie-Hellman)グループ | MODP1024 (グループ2) |
| ISAKMP SAの寿命 | 28800秒 |
| IPsec SAの寿命 | 1800秒 |
| 交換モード(exchange mode) | アグレッシブ(Aggressive)モード |
| IKEフェーズ1 ID | VPCルータのグローバルIPアドレス |
| IKEフェーズ2 ID | なし |
| Vendor ID | 受け付けない / 送信しない |
| IKEキープアライブ(DPD) | 無効 |
2. PPTPサーバ設定
設定したいVPCルータの設定画面より、「リモートアクセス」タブ→「PPTPサーバ」タブを選択します。PPTPサーバ機能の設定状況が表示されるので、変更する場合は「編集」ボタンをクリックします。
PPTPサーバ機能の設定画面が表示されるので、各項目を選択・入力します。
| PPTPサーバ機能を「有効」または「無効」から選択 ※「有効」選択時に以下の2つの設定項目が表示されます |
|
| PPTPクライアントに割り当てるIPアドレス範囲の開始IPアドレスを入力 | |
| PPTPクライアントに割り当てるIPアドレス範囲の終了IPアドレスを入力 |
※いずれも入力必須項目となります
※動的割り当て範囲は、いずれかのプライベートインターフェースに設定したIPアドレス帯に含まれている必要があります
「反映」ボタンをクリックします。
設定が完了すると、PPTPサーバの設定状況画面に反映されます。
※PPTP設定の追加・変更・削除を行った場合、「反映」ボタンをクリックしVPCルータ側への設定反映が必要となります(VPCルータが起動状態の場合でも、電源をシャットダウンすることなく「反映」ボタンのクリックで設定が反映されます)。
※スタンダードプランではグローバルインターフェースに割り当てられたIPアドレスに、プレミアムプランではグローバルインターフェースに設定した仮想IPアドレスにPPTP接続を行ってください
3. L2TP/IPsecサーバ設定
設定したいVPCルータの設定画面より、「リモートアクセス」タブ→「L2TP/IPsecサーバ」タブを選択します。L2TP/IPsecサーバ機能の設定状況が表示されるので、変更する場合は「編集」ボタンをクリックします。
L2TP/IPsecサーバ機能の設定画面が表示されるので、各項目を選択・入力します。
| L2TP/IPsecサーバ機能を「有効」または「無効」から選択 ※「有効」選択時に以下の3つの設定項目が表示されます |
|
| L2TP/IPsecクライアントに割り当てるIPアドレス範囲の開始IPアドレスを入力 | |
| L2TP/IPsecクライアントに割り当てるIPアドレス範囲の終了IPアドレスを入力 | |
| Pre Shared Keyに設定したい文字列を入力 (*1) |
*1 使用可能な文字はアルファベット(大文字, 小文字)・数字・アンダースコア(_)の組み合わせとなります。文字数は1~40文字となります。
※いずれも入力必須項目となります
※動的割り当て範囲は、いずれかのプライベートインターフェースに設定したIPアドレス帯に含まれている必要があります
「反映」ボタンをクリックします。
設定が完了すると、L2TP/IPsecサーバの設定状況画面に反映されます。
※L2TP/IPsecサーバ設定の追加・変更・削除を行った場合、「反映」ボタンをクリックしVPCルータ側への設定反映が必要となります(VPCルータが起動状態の場合でも、電源をシャットダウンすることなく「反映」ボタンのクリックで設定が反映されます)。
※スタンダードプランではグローバルインターフェースに割り当てられたIPアドレスに、プレミアムプランではグローバルインターフェースに設定した仮想IPアドレスにL2TP/IPsec接続を行ってください
4. アカウント管理設定
設定したいVPCルータの設定画面より、「リモートアクセス」タブ→「アカウント管理」タブを選択します。設定されているリモートアクセス用アカウントのリストが表示されるので、新たに追加する場合は「追加」ボタンをクリックします。
リモートアクセスクライアント追加設定画面が表示されるので、各設定項目に情報を入力します。
| 接続に使用するユーザ名を入力 | |
| ユーザのパスワードを入力 |
※いずれも入力必須項目となります
「反映」ボタンをクリックします。
設定が完了するとリストに追加されます。作成済みのエントリはリスト右側の鉛筆アイコンで編集、削除アイコンで消去が行えます。
※リモートアクセスクライアント設定の追加・変更・削除を行った場合、「反映」ボタンをクリックしVPCルータ側への設定反映が必要となります(VPCルータが起動状態の場合でも、電源をシャットダウンすることなく「反映」ボタンのクリックで設定が反映されます)。
5. VPNのログ閲覧
VPCルータの詳細画面にて「ログ」タブをクリックし、「VPN」タブをクリックすると、ログが表示されます。
※記録されているログのうち最新の100件が表示されます。
※最新100件よりも過去のログをコントロールパネルにて表示する機能の実装予定はございません。syslog転送機能をご利用ください。
