システム奮闘記：その80

ヤマハYMS1-VPNで社外から社内へVPN接続

VPN通信導入の経緯

　社外から社内への接続。
　今までPN接続を使って何度か挑戦してきた。

　2004年、PPTP方式を使って自宅から勤務先へVPN接続を行えた。

　最初はLinuxでPPTPサーバーを構築した。
　詳しくは「システム奮闘記:その27」のをご覧下さい。
　LinuxでVPNサーバー構築(PPTP編)

LinuxをPPTPサーバーにして自宅と会社を結んだ様子
2004年にVPN通信をやっていた時のシステム構図だ。 DMZではなく、社内LAN内部にLinuxでPPTPサーバーを構築し 社内のシステムと自宅との接続を行っていた。

　その後、ヤマハのRTX1000でPPTPサーバーを構築。
　詳しくは「システム奮闘記:その37」をご覧ださい。
　ヤマハのルーターRTX1000の設定入門

ヤマハRTX1000を使ったPPTPサーバー
2005年にルーターをRTA55iからRTX1000に置き換えた際 RTX1000のルーターをPPTPサーバーにした。

　だが、PPTPには大きな問題があった。

　NAT越えを行うにはクライアントが固定IPが必須なのだ

PPTPの場合、クライアントが固定IPが必須
PPTP方式の場合、VPNクライアントは固定のグローバルIPが必須なのだ。 でないと、接続先のNAT越えができなくなる問題が発生する。

　自宅で加入しているプロバイダーが気前が良いのか固定IPで
8つIPアドレスが割り当てられていた。
　それに当時は同僚で、社外から社内へ接続しようとする人がいなかった。
　例えいても、それほど重要性を感じていなかった。


　ところで社内では営業マンに1人1台パソコンを持たせる話や
グループウェア導入の話が、何度となく出ている。
　いつも廃案になっているのだが (^^;;

　その中で問題の1つが社外から社内への接続だ。
　AS400の画面の表示やメールの読み書きなどがあげられる。

出先から社内への接続
無線LANのある場所や、モバイル通信で社外から接続した場合 どうしてもIPアドレスは、自動取得のプライベートIPになる。 これでは社外からの接続ができない問題がある。

　2005年、営業マン1人1台のノートパソコンの話が出た際
社外から社内への接続で、某社からの以下の提案があった。

某社からあった社内ネットワークの提案
IPSeC方式で、特殊なファイヤウォール機器と RADIUSサーバーを構築して社内へ接続する方式だ。

　しかし、この仕組みの価格と、営業マン1人1台のパソコンの費用が
メッチャ高い事から

　却下になったのらー (^^;;


　そして、翌年の2006年にグループウェア導入の話が出てきた。
　Webを使ってグループウェアのソフトに接続するため
以下の提案をされた。

リバースプロキシーの設置
リバースプロキシーを使って、社内へ接続する方法だ。 これだとクライアントのIPの問題は解消される。 でも、セキュリティーの問題があるため、認証の問題は残っている。 それさえ乗り越えたら、社内への接続は可能だ。

　だが、グループウェアの案件も・・・

　高いので却下なのらー (^^;;

　でも、リバースプロキシーの方法を知ったお陰で
水を得た魚になった私。

　自力でリバースプロキシーを設置するぞと意気込んだ。
　Squidの設定などを見ていったのだが・・・

　難しくて、わからへん (TT)

　だった。
　でも、切羽詰まっていないため、焦る事はないので
そのまま「わからん」で終わってしまった。


　ところが2008年に急展開が起こる。

　自宅のプロバイダーが変更になったのらー!!

　そのため固定IPではなくなった。
　勤務先への接続ができなくなった。

　これでは自宅から会社へ接続する事ができない。

DHCPでしかもプライベートIPの場合だと
プライベートIPを割り振るプロバイダーが大半なのだが そうなるとPPTP方式では会社へ接続できなくなった。 これでは自宅でメールが読めない問題が発生した。

　これでは不便だ！

　解消せねばならないのだ!!

　自分が不便だと感じると重い腰をあげる私。
　うーん、我ながら自己中心的な発想だと思うが、自宅から会社へ
接続できないと、休日にサーバーが停止した場合
どんな様子なのかも探る事ができないため、出勤する必要がある。

　だが、IPSec方式での接続方式で良い物が見つからない。
　このまま、ズルズルと過ごす事になった。

VPNクライアントソフト　YMS-VPN1の発見

　2008年の暮れ、ヤマハのホームページを見ていた。
　すると・・・

　このソフト、使えるかも

　ヤマハのVPNクライアントのサイト。
　YPNクライアントソフトウェア・YMS-VPN1

　IPSeC方式だ。お試し版がある。なので、善は急げで実験する事にした。
　やはり最初は自宅から会社への接続実験なのだ。

自宅からYMS-VPN1を使った接続実験
IPSeC方式のためPPTPと違って安全性は高い。 IPSeC方式について、詳しい事は「システム奮闘記:その35」の インターネットVPN導入をご覧ください。

　自宅のパソコンの設定の前に、会社にあるRTX1000のルーターの
設定ファイル「コンフィグ(config)」を記述する必要がある。

　わかりやすくするため、ネットワークの構成図と一緒にしてみた。

IPSeCで会社と自宅をVPN接続するためのルーターの設定
設定ファイル・コンフィグ(config)記述
(途中、省略) ip route 192.168.B.1 gateway tunnel 1 (途中、省略) tunnel select 1 tunnel encapsulation ipsec ipsec tunnel 1 ipsec sa policy 1 1 esp aes-cbc sha-hmac ipsec ike local address 1 192.168.A.Z ipsec ike pre-shared-key 1 text (事前共通鍵) ipsec ike remote address 1 any ipsec ike remote name 1 ABCDEFG tunnel enable 1 (途中、省略) ip filter 40 pass * 192.168.A.Z udp * 500 ip filter 41 pass * 192.168.A.Z esp (途中、省略) nat descriptor type 1 masquerade nat descriptor address outer 1 P.Q.R.S. nat descriptor address inner 1 192.168.0.0-192.168.255.255 nat descriptor masquerade static 1 1 192.168.A.Z udp 500 nat descriptor masquerade static 1 2 192.168.A.Z esp ipsec auto refresh on (以下、省略)
セキュリティーに関わるため、省略とボカしだらけになった。 1番上の記述はルーティングの設定だ。 クライアントへのパケットはtunnel1へ転送する意味だ。 2番目の設定は、IPSeCのトンネルに関する設定だ。 暗号の種類、事前共通鍵などを選択する。 3番目は、任意のアドレスからの接続で、ルーターのプライベート側の IPアドレス宛の接続に関しては、udpパケット(接続確立のパケット)と esp(暗号化データ)のパケットは通過させる意味だ。

　これでルーターの設定は完了だ。

YMS-VPN1のインストール

　自宅のパソコンにVPNクライアントのYMS-VPN1の
インストールを行う事にした。

YMS-VPN1のインストール開始
迷う事なく「次へ(N)」を選択する。

　そして使用許諾の同意の画面

使用許諾の同意の画面
「同意する」に印をつける。 というより同意しないと使えないのだ (^^;;

　ソフトのインストール先のフォルダーの選択画面だ。

インストール先のフォルダーの選択画面
普通に使う分には、初期設定のままで良いと思う。 私は、初期設定のままで「次へ(N)」を押した。

　インストール開始前の最終確認画面だ。

インストール開始前の最終確認画面
ここで躊躇する理由はないので「インストール(I)」を選ぶ。

　このままインストールが自動的に行われていくのだが
途中で以下の画面が出てくる。

注意のお知らせの画面
警告が出ても「続行」を続けなさいというお知らせだ。

　そのまま先に進む。

順調にインストールが進む様子

　すると以下の画面が出できた。

警告画面(1)
青く囲んだ「続行(C)」を押す。

　そして以下の警告画面が何回も出てくる。

警告画面(2)
警告が出ても無視して「続行(C)」を選ぶのみ

　そして以下の画面になる。

インストールが進んでいる様子(1)
インストールが進んでいる様子(2)

　ライセンスキーの入力画面が出てきた。

ライセンスキーの入力画面
お試し版の利用なのでユーザー名だけ入れて 他には何も入れずに「OK」を押す。

　すると以下の画面が出てくる。

評価版のインストールの確認
ライセンスキーを入力していないため 評価版の扱いになる。その確認だ。「OK」を押す。

 するとライセンスキーの取得を促す画面が出てくる。

ライセンスキーの取得を促す画面

　「OK」を押すとインストール終了の画面が出てくる。

インストール終了の画面
「完了(F)」の画面を押す。

　するとWindowsの再起動を促す画面が出てくる。

Windowsの再起動を促す画面

　Windowsを再起動すれば、いつでもYMS-VPN1が使える環境になる。


YMS-VPN1の設定

　YMS-VPN1のインストールを行った後、IPSeC接続を行うために
設定をする必要がある。

YMS-VPN1のボタンの位置
Windowsの右下の部分にYMS-VPN1のボタンがある。 ここを押せば良い。

　YMS-VPN1のボタンを押すと、以下の画面になる。

YMS-VPN1の選択
YMS-VPN1の設定を行う場合、「ポリシーエディタを実行(E)」を選択する。

　すると設定項目を入力する画面が出てくる。

YMS-VPN1の設定項目入力画面
VPN通信を行うための必要な設定項目に入力する。

　そこで必要な項目を入力していく。
　具体的に、ネットワーク機器のどの部分のIPやパスワードを
入力すれば良いのか、わかりやすく、ネットワーク図と並べて見る事にした。

ネットワーク構成図とYMS-VPN1の設定画面の対比
ネットワーク構成図と設定項目の画面を対比させました。

　これで設定完了だ (^^)


YMS-VPN1を使ってVPN通信開始

YMS-VPN1でVPN通信開始の方法
「VPNを選択(C)」で、該当の接続方法を選ぶ。 ここでは1種類のVPN接続の設定しかないので、それを選ぶ。

　すると以下の画面が出てくる。

VPN接続が確立されるまでの待ち画面

　この画面が消えると、VPN接続が確立される。
　このソフトのお陰で自宅から会社へのVPN接続が可能になった。

　自宅で会社のメールが読めるようになった。
　自宅でサーバー管理ができるようになった (^^)

営業マンが外部から社内へ接続

　YMS-VPN1だが有償なのだ。
　営業マンがノートパソコンを使って外部から社内に接続できれば
出張先や出先からでも社内システムへの接続ができる。

　メールや社内向けの各種サービスへの接続だけでなく
将来、グループウェアを導入した際も、外部から接続できれば便利だ。


　早速、パソコン好きな営業マンに実験台になってもらう事にした。
　もちろん、YMS-VPN1は有償なのだが、1ライセンスが約1万円なので

　簡単に稟議が降りたのら (^^)

　早速、発注をかける。
　ライセンス番号が届いたら、すぐに営業マンのノートパソコンに
YMS-VPN1のインストールと設定を行った。

　いよいよノートパソコンから社内への接続実験の開始だ。

外部から社内のシステムへVPN接続
営業マンが出先や出張先、出張中の宿泊先からYMS-VPN1を使って 会社のシステムに接続する。

　実験台になった営業マン曰く

　これ便利やん!

　だった。

　ヤマハのRTX1000をはじめとしたルーターを使えば
安価に社内へ接続が可能になる。それもIPSeC方式なので、安全性は高い。

　あとはIPSeCのトンネルを何本作成できるかだ。
　RTX1000の場合、30個の制限がある。
　外部から同時にVPN接続ができるのが30台が限度だ。

　それがRTX1200だと100個できる。
　100台接続できれば中小企業には十分だと思う。

最後に

　外部から社内への接続方法。
　認証の安全性、通信データ傍受を防止するにはVPN接続になります。
　PPTP方式ではNATの内へ接続するのが困難でした。

　だからといって、業者に依頼すると高い見積りがやってくるため
気軽に導入できる状態ではありませんでした。

　そんな中、ヤマハのYMS-VPN1のお陰で安価に導入する事ができました。
　1万円でしたら、予算的にも数人を実験台にできます。

　ヤマハの回し者ではありませんが、ヤマハのルーターは比較的、手頃な上
国産ルーターなので「がんばれニッポン！」という意味で、お勧めします♪ (^^)