PPTP を使用して TMG で VPN 接続した際の作業内容をメモとして。
Contents
■VPN クライアントのタスクの設定
TMG で VPN を使用するに際し、VPN クライアント アクセスを有効にする必要があります。
- TMG の管理コンソールを起動します。
- [アレイ] → [リモート アクセス ポリシー (VPN)] から [VPN クライアント アクセスの有効化] をクリックします。
TMG がドメインに参加している場合、ドメインの管理者で有効化を行わないと以下のダイアログが表示されるので、[OK] をクリックします。
ドメイン管理者以外で実行した場合でも機能は使用できるようですが。
# AD 上の情報登録でしょうか。 - [VPN クライアント アクセスの構成] をクリックします。
- [グループ] にリモート アクセスを許可するグループを設定します。
TMG のローカルグループと AD のドメイングループを選択することができます。
ここで設定したグループのユーザーが TMG で VPN を使用することができます。 - [プロトコル] から [PPTP を有効にする] を有効にします。
- [OK] をクリックします。
以上で、VPN クライアントのタスクの設定は終了です。
■全般的な VPN 構成の設定
次にクライアントに割り当てられる IP アドレス等の設定を行います。
- [アクセス ネットワークの選択] をクリックします。
- [アクセス ネットワーク] から VPN クライアントが TMG に接続を確立するためのネットワークを選択します。
今回はインターネット経由 (外部) とテスト用に内部ネットワーク経由 (検証セグメント) で VPN による接続を可能にするために、[外部] と [内部] を有効にしています。 - [アドレスの割り当て] から VPN クライアントに割り当てる IP アドレスの設定を行います。
私の検証環境は、TMG から見て [内部ネットワーク] に DHCP サーバーを構築していますので、[動的ホスト構成プロトコル (DHCP)] で [内部] を設定しています。
DHCP が無い場合は TMG で [静的アドレス プール] を設定することで、VPN クライアントに割り当てる IP アドレスを設定します。
DNS / WINS を静的に設定する場合は [詳細設定] から設定を行います。
# 静的アドレス プールを設定した場合は、詳細設定の DNS の設定は必要になるかと。 - [認証] から認証方法を設定します。
今回は [MS-CHAPv2] を使用しています。 - [OK] をクリックします。
以上で、全般的な VPN 構成の設定は完了です。
■VPN クライアントがアクセス可能なサーバー (リソース) 設定
ここまでの設定で VPN クライアント → TMG が VPN を使用して接続することが可能ですが、このままでは VPN で内部のネットワークにアクセスしてもサーバー等にアクセスすることができません。
TMG をゲートウェイとして使用する場合と同様に [ファイアウォール ポリシー] でどのサーバーにアクセスをして良いかを設定する必要があります。
VPN で接続されたクライアントは送信元が [VPN クライアント] として認識されます。
以下のような許可ルールを作成することで、VPN クライアントがすべての内部リソースにアクセスすることができるようになります。
こちらのルールではすべての送信トラフィックを許可しています。
特定のプロトコルだけ許可すればよい場合は絞るのが良いかと思います。
以上で、TMG の設定は終了です。
■ルーターの設定
通常、自宅で使っているルーターはポートフォワードしないと PPTP で使用しているポートの要求を TMG に転送することができません。
私は NEC の Aterm を使用しているので、基本的な設定は以下に記載されているものになります。
VPNパススルー機能
PPTP の場合は、[TCP : 1723] (PPTP) / [プロトコル : 47] (GRE) を TMG に転送します。
ポートフォワードの設定は、[詳細設定] → [ポートマッピング] から設定をすることができます。
Aterm は IPsec パススルー機能があるので、[詳細設定] → [その他の設定] から [IPsecパススルー機能] も有効にしておきます。
あとは VPN クライアントの設定をすれば接続することができます。
■VPN クライアントの設定
今回は VPN クライアントとして WIndows 8 CP を使用していますが、Windows 7 も同様の設定で接続できます。
- [コントロール パネル] から [ネットワークと共有センター] をクリックします。
- [新しい接続またはネットワークのセットアップ] をクリックします。
- [職場に接続します] を選択して、[次へ] をクリックします。
- [インターネット接続 (VPN) を使用します] をクリックします。
- [インターネット アドレス] にグローバル IP (ルーターに割り当てられている) またはグローバル IP のDNS 名を入力して [作成] をクリックします。
内部ネットワークからテストをしたい場合は TMG の IP アドレスを入力します。 - [アダプター設定] をクリックします。
- 先ほど作成した VPN 接続を右クリックして [プロパティ] をクリックします。
- [ネットワーク] の [TCP/IPv4] を選択して、[プロパティ] をクリックします。
- [詳細設定] をクリックします。
- [リモート ネットワークでデフォルト ゲートウェイを使う] を無効にします。
以上で設定は完了です。
認証周りでうまくいかない場合は以下の設定をするとよいかもしれないです。
作成した VPN 接続を右クリックして、[接続/切断] をクリックすると VPN 接続をすることができます。
Windows 8 CP の場合は接続をしようとするとチャームが表示されますので VPN 接続用の接続を選択して、[接続] をクリックします。
これらの設定をすることで TMG から PPTP を使用して VPN で接続をすることができました。
L2TP/IPSsec の場合は、[UDP : 500] (IKE) [UDP : 4500] (IKE) [プロトコル : 50] (ESP) [UDP : 1701] 辺りを許可すれば接続できそうですが、まだうまくいっていないので試行錯誤中です。
# 用途によっては、いくつかいらないポートあるかと思いますが。