システム奮闘記:その80

ヤマハYMS1-VPNで社外から社内へVPN接続



Tweet
(2009年7月4日に掲載)
VPN通信導入の経緯

 社外から社内への接続。
 今までPN接続を使って何度か挑戦してきた。

 2004年、PPTP方式を使って自宅から勤務先へVPN接続を行えた。

 最初はLinuxでPPTPサーバーを構築した。
 詳しくは「システム奮闘記:その27」のをご覧下さい。
 LinuxでVPNサーバー構築(PPTP編)

LinuxをPPTPサーバーにして自宅と会社を結んだ様子
LinuxをPPTPサーバーにして自宅と会社を結んだ様子
2004年にVPN通信をやっていた時のシステム構図だ。
DMZではなく、社内LAN内部にLinuxでPPTPサーバーを構築し
社内のシステムと自宅との接続を行っていた。

 その後、ヤマハのRTX1000でPPTPサーバーを構築。
 詳しくは「システム奮闘記:その37」をご覧ださい。
 ヤマハのルーターRTX1000の設定入門

ヤマハRTX1000を使ったPPTPサーバー
ヤマハRTX1000を使ったPPTPサーバー
2005年にルーターをRTA55iからRTX1000に置き換えた際
RTX1000のルーターをPPTPサーバーにした。

 だが、PPTPには大きな問題があった。

 NAT越えを行うにはクライアントが固定IPが必須なのだ

PPTPの場合、クライアントが固定IPが必須
PPTPの場合、クライアントが固定IPが必須<
PPTP方式の場合、VPNクライアントは固定のグローバルIPが必須なのだ。
でないと、接続先のNAT越えができなくなる問題が発生する。

 自宅で加入しているプロバイダーが気前が良いのか固定IPで
8つIPアドレスが割り当てられていた。
 それに当時は同僚で、社外から社内へ接続しようとする人がいなかった。
 例えいても、それほど重要性を感じていなかった。


 ところで社内では営業マンに1人1台パソコンを持たせる話や
グループウェア導入の話が、何度となく出ている。
 いつも廃案になっているのだが (^^;;

 その中で問題の1つが社外から社内への接続だ。
 AS400の画面の表示やメールの読み書きなどがあげられる。

出先から社内への接続
社外(出先)から社内へ接続
無線LANのある場所や、モバイル通信で社外から接続した場合
どうしてもIPアドレスは、自動取得のプライベートIPになる。
これでは社外からの接続ができない問題がある。

 2005年、営業マン1人1台のノートパソコンの話が出た際
社外から社内への接続で、某社からの以下の提案があった。

某社からあった社内ネットワークの提案
某社のネットワーク設計の提案
IPSeC方式で、特殊なファイヤウォール機器と
RADIUSサーバーを構築して社内へ接続する方式だ。

 しかし、この仕組みの価格と、営業マン1人1台のパソコンの費用が
メッチャ高い事から

 却下になったのらー (^^;;


 そして、翌年の2006年にグループウェア導入の話が出てきた。
 Webを使ってグループウェアのソフトに接続するため
以下の提案をされた。

リバースプロキシーの設置
リバースプロキシーの設置
リバースプロキシーを使って、社内へ接続する方法だ。
これだとクライアントのIPの問題は解消される。
でも、セキュリティーの問題があるため、認証の問題は残っている。
それさえ乗り越えたら、社内への接続は可能だ。

 だが、グループウェアの案件も・・・

 高いので却下なのらー (^^;;

 でも、リバースプロキシーの方法を知ったお陰で
水を得た魚になった私。

 自力でリバースプロキシーを設置するぞと意気込んだ。
 Squidの設定などを見ていったのだが・・・

 難しくて、わからへん (TT)

 だった。
 でも、切羽詰まっていないため、焦る事はないので
そのまま「わからん」で終わってしまった。


 ところが2008年に急展開が起こる。

 自宅のプロバイダーが変更になったのらー!!

 そのため固定IPではなくなった。
 勤務先への接続ができなくなった。

 これでは自宅から会社へ接続する事ができない。

DHCPでしかもプライベートIPの場合だと
DHCPでしかもプライベートIPの場合だと
プライベートIPを割り振るプロバイダーが大半なのだが
そうなるとPPTP方式では会社へ接続できなくなった。
これでは自宅でメールが読めない問題が発生した。

 これでは不便だ!

 解消せねばならないのだ!!

 自分が不便だと感じると重い腰をあげる私。
 うーん、我ながら自己中心的な発想だと思うが、自宅から会社へ
接続できないと、休日にサーバーが停止した場合
どんな様子なのかも探る事ができないため、出勤する必要がある。

 だが、IPSec方式での接続方式で良い物が見つからない。
 このまま、ズルズルと過ごす事になった。

VPNクライアントソフト YMS-VPN1の発見

 2008年の暮れ、ヤマハのホームページを見ていた。  すると・・・  このソフト、使えるかも  ヤマハのVPNクライアントのサイト。  YPNクライアントソフトウェア・YMS-VPN1  IPSeC方式だ。お試し版がある。なので、善は急げで実験する事にした。  やはり最初は自宅から会社への接続実験なのだ。
自宅からYMS-VPN1を使った接続実験
自宅からYMS-VPN1を使った接続実験
IPSeC方式のためPPTPと違って安全性は高い。
IPSeC方式について、詳しい事は「システム奮闘記:その35」の
インターネットVPN導入をご覧ください。

 自宅のパソコンの設定の前に、会社にあるRTX1000のルーターの
設定ファイル「コンフィグ(config)」を記述する必要がある。

 わかりやすくするため、ネットワークの構成図と一緒にしてみた。

IPSeCで会社と自宅をVPN接続するためのルーターの設定
VPN通信のためのネットワーク構成図
設定ファイル・コンフィグ(config)記述
(途中、省略)

ip route 192.168.B.1 gateway tunnel 1

(途中、省略)

tunnel select 1
 tunnel encapsulation ipsec
 ipsec tunnel 1
  ipsec sa policy 1 1 esp aes-cbc sha-hmac
  ipsec ike local address 1 192.168.A.Z
  ipsec ike pre-shared-key 1 text (事前共通鍵)
  ipsec ike remote address 1 any
  ipsec ike remote name 1 ABCDEFG
 tunnel enable 1

(途中、省略)

ip filter 40 pass * 192.168.A.Z udp * 500
ip filter 41 pass * 192.168.A.Z esp

(途中、省略)

nat descriptor type 1 masquerade
nat descriptor address outer 1 P.Q.R.S.
nat descriptor address inner 1 192.168.0.0-192.168.255.255
nat descriptor masquerade static 1 1 192.168.A.Z udp 500
nat descriptor masquerade static 1 2 192.168.A.Z esp
ipsec auto refresh on

(以下、省略)
セキュリティーに関わるため、省略とボカしだらけになった。

1番上の記述はルーティングの設定だ。
クライアントへのパケットはtunnel1へ転送する意味だ。

2番目の設定は、IPSeCのトンネルに関する設定だ。
暗号の種類、事前共通鍵などを選択する。

3番目は、任意のアドレスからの接続で、ルーターのプライベート側の
IPアドレス宛の接続に関しては、udpパケット(接続確立のパケット)と
esp(暗号化データ)のパケットは通過させる意味だ。

 これでルーターの設定は完了だ。

YMS-VPN1のインストール

 自宅のパソコンにVPNクライアントのYMS-VPN1の インストールを行う事にした。
YMS-VPN1のインストール開始
YMS-VPN1のインストール開始
迷う事なく「次へ(N)」を選択する。

 そして使用許諾の同意の画面

使用許諾の同意の画面
YMS-VPN1の使用許諾の同意の画面
「同意する」に印をつける。
というより同意しないと使えないのだ (^^;;

 ソフトのインストール先のフォルダーの選択画面だ。

インストール先のフォルダーの選択画面
インストール先のフォルダーの選択画面
普通に使う分には、初期設定のままで良いと思う。
私は、初期設定のままで「次へ(N)」を押した。

 インストール開始前の最終確認画面だ。

インストール開始前の最終確認画面
インストール開始前の最終確認画面
ここで躊躇する理由はないので「インストール(I)」を選ぶ。

 このままインストールが自動的に行われていくのだが
途中で以下の画面が出てくる。

注意のお知らせの画面
注意のお知らせの画面
警告が出ても「続行」を続けなさいというお知らせだ。

 そのまま先に進む。

順調にインストールが進む様子
順調にインストールが進む様子

 すると以下の画面が出できた。

警告画面(1)
警告画面(1)
青く囲んだ「続行(C)」を押す。

 そして以下の警告画面が何回も出てくる。

警告画面(2)
警告画面(2)
警告が出ても無視して「続行(C)」を選ぶのみ

 そして以下の画面になる。

インストールが進んでいる様子(1)
YMS-VPN1のインストールが進んでいる様子(1)
インストールが進んでいる様子(2)
YMS-VPN1のインストールが進んでいる様子(2)

 ライセンスキーの入力画面が出てきた。

ライセンスキーの入力画面
YMS-VPN1のライセンスキーの入力画面
お試し版の利用なのでユーザー名だけ入れて
他には何も入れずに「OK」を押す。

 すると以下の画面が出てくる。

評価版のインストールの確認
評価版のインストールの確認
ライセンスキーを入力していないため
評価版の扱いになる。その確認だ。「OK」を押す。

 するとライセンスキーの取得を促す画面が出てくる。

ライセンスキーの取得を促す画面
ライセンスキーの取得を促す画面

 「OK」を押すとインストール終了の画面が出てくる。

インストール終了の画面
インストール終了の画面
「完了(F)」の画面を押す。

 するとWindowsの再起動を促す画面が出てくる。

Windowsの再起動を促す画面
再起動を促す画面

 Windowsを再起動すれば、いつでもYMS-VPN1が使える環境になる。


YMS-VPN1の設定

 YMS-VPN1のインストールを行った後、IPSeC接続を行うために 設定をする必要がある。
YMS-VPN1のボタンの位置
YMS-VPN1の起動ボタンの位置
Windowsの右下の部分にYMS-VPN1のボタンがある。
ここを押せば良い。

 YMS-VPN1のボタンを押すと、以下の画面になる。

YMS-VPN1の選択
YMS-VPN1の選択画面
YMS-VPN1の設定を行う場合、「ポリシーエディタを実行(E)」を選択する。

 すると設定項目を入力する画面が出てくる。

YMS-VPN1の設定項目入力画面
YMS-VPN1の設定項目入力画面
VPN通信を行うための必要な設定項目に入力する。

 そこで必要な項目を入力していく。
 具体的に、ネットワーク機器のどの部分のIPやパスワードを
入力すれば良いのか、わかりやすく、ネットワーク図と並べて見る事にした。

ネットワーク構成図とYMS-VPN1の設定画面の対比
VPN通信のためのネットワーク構成図
YMS-VPN1の設定
ネットワーク構成図と設定項目の画面を対比させました。

 これで設定完了だ (^^)


YMS-VPN1を使ってVPN通信開始

YMS-VPN1でVPN通信開始の方法
YMS-VPN1でVPN通信開始の方法
「VPNを選択(C)」で、該当の接続方法を選ぶ。
ここでは1種類のVPN接続の設定しかないので、それを選ぶ。

 すると以下の画面が出てくる。

VPN接続が確立されるまでの待ち画面
VPN接続が確立されるまでの待ち画面

 この画面が消えると、VPN接続が確立される。
 このソフトのお陰で自宅から会社へのVPN接続が可能になった。

 自宅で会社のメールが読めるようになった。
 自宅でサーバー管理ができるようになった (^^)

営業マンが外部から社内へ接続

 YMS-VPN1だが有償なのだ。  営業マンがノートパソコンを使って外部から社内に接続できれば 出張先や出先からでも社内システムへの接続ができる。  メールや社内向けの各種サービスへの接続だけでなく 将来、グループウェアを導入した際も、外部から接続できれば便利だ。  早速、パソコン好きな営業マンに実験台になってもらう事にした。  もちろん、YMS-VPN1は有償なのだが、1ライセンスが約1万円なので  簡単に稟議が降りたのら (^^)  早速、発注をかける。  ライセンス番号が届いたら、すぐに営業マンのノートパソコンに YMS-VPN1のインストールと設定を行った。  いよいよノートパソコンから社内への接続実験の開始だ。
外部から社内のシステムへVPN接続
外部から社内のシステムへVPN接続
営業マンが出先や出張先、出張中の宿泊先からYMS-VPN1を使って
会社のシステムに接続する。

 実験台になった営業マン曰く

 これ便利やん!

 だった。

 ヤマハのRTX1000をはじめとしたルーターを使えば
安価に社内へ接続が可能になる。それもIPSeC方式なので、安全性は高い。

 あとはIPSeCのトンネルを何本作成できるかだ。
 RTX1000の場合、30個の制限がある。
 外部から同時にVPN接続ができるのが30台が限度だ。

 それがRTX1200だと100個できる。
 100台接続できれば中小企業には十分だと思う。

最後に  外部から社内への接続方法。  認証の安全性、通信データ傍受を防止するにはVPN接続になります。  PPTP方式ではNATの内へ接続するのが困難でした。  だからといって、業者に依頼すると高い見積りがやってくるため 気軽に導入できる状態ではありませんでした。  そんな中、ヤマハのYMS-VPN1のお陰で安価に導入する事ができました。  1万円でしたら、予算的にも数人を実験台にできます。  ヤマハの回し者ではありませんが、ヤマハのルーターは比較的、手頃な上 国産ルーターなので「がんばれニッポン!」という意味で、お勧めします♪ (^^)

次章:「OpenOfficeのBaseを活用したPDF見積書発行」を読む
前章:「VMware ESXiの運用と仕組み」を読む
目次:システム奮闘記に戻る

Tweet