テレワークに最適! VPNサーバーを導入して外出先や自宅から会社のネットワークにリモートアクセスできるようにしました!

VPNサーバーを導入して外出先や自宅から会社のネットワークにリモートアクセスできるようにしました!

ビジネスの次世代PC運用をご提供するパーペチュアです。

VPNサーバーを導入して外出先や自宅から社内ネットワークに接続できるようにする

テレワークや出先での仕事のため、自宅や外出先から社内ネットワークに接続できるようにしたいという会社様は多いのではないでしょうか?

社外の端末から社内ネットワークに接続できるようになれば、ファイルの共有はもちろんのこと、ネットワークライセンスのソフトウェアを共用したり、テレワークを管理するのも容易になります。

• 現在の社内ネットワーク環境を変えずにリモートアクセスできるようにしたい。
• できるだけ少ないコストでリモートアクセスできる環境を整えたい。

そういったご要望にたいしてパーペチュアでは配線などを含めた導入の容易さから、VPNサーバーの導入をご提案いたします!

今回はPacketiX VPNというソフトウェアをインストールしたVPNサーバーを導入し、自宅や外出先から社内ネットワークに接続できるようにしたので、その行程をご紹介します。

VPNサーバー導入事例

目的
リモートワークのため、社員の自宅や外出先から既存の社内ネットワークに接続できるようにする。

方法
PacketiX VPNをインストールしたVPNサーバー機を導入し、リモートアクセスVPNをつかってインターネット経由で社内ネットワークに接続できる環境を整える。

導入機器、使用ソフトウェア

• VPNサーバーとして使う小型パソコン(スペックは後述)
  
• PacketiX VPN 4.0

VPNサーバーのスペック

OS	Windows 10 Pro
M/B	BIOSTAR J3160NH
CPU	Celeron J3160[1.60 GHz 最大2.24 GHz]
メモリ	DDR4 PC4-21300 8GB [Corsair CMK8GX4M2A2666C16 ×2]
ストレージ	SSD 500GB [Samsung 860 EVO MZ-76E500B/IT]
ネットワークカード(増設)	TP-Link TG-3468

ネットワークカードを増設する理由

ネットワークカードを増設せずにリモートアクセスVPNを構築した場合、ローカルブリッジ機能の仮想HUBへの接続処理と、既存ネットワークへの接続処理が同じ機器でおこなわれてしまうため、パケットを分離する処理が必要になり通信速度が下がってしまいます。

これを避けるためにネットワークカードを増設し、そのネットワークカードに仮想HUBとの通信処理を任せることで、余分な処理が発生しないようにしています。

PacketiX VPNについて

ソフトイーサ株式会社が提供している、企業や法人向けのVPN構築ソフトウェア。

VPN対応ルーターなどの通信機器を導入することなくパソコンのみでVPNを構築できるため、既存のネットワーク環境にほぼ変化を加えることなく拠点間VPNやリモートアクセスVPNの導入が可能です。

今回の事例では、こちらのソフトウェアが入ったVPNサーバーを導入しています。

PacketiX VPNの動作環境

• 空きメモリ
  最小: 32Mbytes + 0.5Mbytes * (VPN セッション数)
  推奨: 128Mbytes + 0.5 Mbytes * (VPN セッション数)
• 空きディスク容量
• 最小: 100Mbytes
  推奨: 2Gbytes (ログなどの記録のため)

その他、詳細はコチラを参照ください。

VPNの構築と設定、導入手順

今回はWindows版を利用したため、Windows版での手順を記載しています。

参考:SoftEther VPN マニュアル

事前準備

PacketiX VPNの設定をする前に、事前にポート解放などの準備をしておきます。

VPNサーバーをルーターに接続し、IPアドレスを固定する

既存ネットワークと接続する有線LANケーブルを、オンボード側のLANポートに接続します。

「コントロールパネル」→「ネットワークと共有センター」→「アダプターの設定変更」からオンボードデバイスのプロパティを開きます。

インターネットプロトコルバージョン4(TCP/IPv4)を選択してプロパティをクリックします。

「次のIPアドレスを使う」にチェックを入れたあと、各項目を入力して「OK」をクリックします。
これでVPN serverのプライベートIPアドレスが固定できました。

増設したネットワークカードのサービスとプロトコルをすべて無効化

パフォーマンスを上げるために、増設したネットワークカードの余分なサービスやプロトコルを無効化します。

「コントロールパネル」→「ネットワークと共有センター」→「アダプターの設定変更」から増設したネットワークカードのプロパティを開きます

「この接続は次の項目を使用します」内の「SoftEther lightweight Network Protocol(PacketiX VPN Serverをインストールするまでは表示されません〉」以外のすべてのサービスとプロトコルのチェックをはずして「OK」をクリックします。
これで増設したネットワークカードはローカルブリッジ接続にのみ使用されます。

LinuxなどをVPN serverとして利用する場合はIPアドレスに0.0.0.0など、無意味な数値を指定しておきましょう。

ポートフォワーディング(ポート解放)

VPNサーバーに向けて任意のポート番号の通信を転送する設定(静的IPマスカレード)をします。

• TCP 443
• TCP 992
• TCP 1194
• TCP 8888

上記ポートのうち、使用するいずれかのポートのポートフォワーディングを設定します。(ポート開放、静的IPマスカレード)

なお、今回は「IPsec/L2TP」を利用するため、TCPポート以外に

• UDP 500
• UDP 4500

のポートフォワーディングも設定します。(静的IPマスカレード、ポート開放)

設定方法については、ご利用中のルーター等のマニュアルをご覧ください。

ダウンロード～インストールまで

PacketiX VPN 公式ダウンロードサイトから「PacketiX VPN Server」をダウンロードします

ダウンロードしたVPN Server インストーラを起動し、指示に従ってPacketiX VPN nServerをインストールします。

起動～接続設定まで

PacketiX VPN サーバー管理(vpnsmgr_x64.exe)を起動します。

「新しい接続設定」をクリックし、VPN Serverの接続設定をおこないます。

「接続設定名」任意の設定名を入力。
「接続先VPN Serverの指定」では「このコンピューター(localhost)に接続」にチェックを入れ、任意のポート番号を入力。
「経由するプロキシサーバーの設定」では、今回はプロキシを使用しないため、「直接TCP/IP接続(プロキシを使わない)にチェック。
「管理モード」はサーバー管理モードを選択し、下部に任意の管理パスワードを入力してOKをクリックします。
これで接続設定は完了です。

リモートアクセスVPNの構築と設定

初回接続時には「簡易セットアップ」が表示されますが、本記事ではこちらを使用せずに設定する方法を記載しています。

簡易セットアップの内容については、当該設定画面の説明文をご覧ください。

仮想HUBの作成

接続設定を作成したら、管理マネージャーから先ほど作成した接続設定を選択して接続します。

 

上記の画面から、リモートアクセスVPNを構築するための設定をおこなっていきます。

まず最初に「仮想HUBの作成」をクリックして、リモートアクセス時に接続することになる仮想HUBを作成します。

「仮想HUB名」には任意のHUB名を入力。
「管理用パスワード」を入力して「OK」をクリックし、仮想HUBを作成します。

次に仮想HUBと通信するための「ローカルブリッジ設定」をおこないます。

サーバー管理画面の下部にある「ローカルブリッジ設定」をクリックし、設定画面を表示しましょう。

下部の「新しいローカルブリッジの定義」内
仮想HUBの項目に、さきほど作成した仮想HUBを選択。
LANカードの項目に増設したネットワークカード(TP-Link TG-3468)を選択し、「ローカルブリッジを追加」をクリックしてローカルブリッジ設定を追加します。

L2TPと暗号化の設定

サーバー管理画面から「IPsec/L2TP設定」をクリックします。

「L2TPサーバー機能を有効にする」にチェックを入れ、設定画面下部の「IPsec 事前共有鍵」に任意の暗号鍵を入力します。
この暗号鍵は端末からの接続時にユーザー名やパスワードとともに必要になります。

ダイナミックDNSを利用する場合

PacketiX VPNには無料で使えるダイナミックDNS機能が搭載されており、固定IPがなくてもVPNの構築が可能です。

このダイナミックDNS機能を利用する場合は、管理画面から「ダイミナックDNS設定」をクリック。

画面右部の「設定の変更」欄、「ダイナミックDNSホスト名の変更」に、任意のホスト名を入力し、「上記DNSホスト名に変更する」をクリックでダイナミックDNSを使用します。

ユーザーアカウントを追加する

最後に外部端末からの接続に使用するユーザーアカウントを追加します。

サーバー管理画面から、作成した仮想HUBを選択した状態で「仮想HUBの管理」をクリックします。

「ユーザーの管理」をクリックし、ユーザー管理画面をだしたら左下にある「新規作成」をクリックします

「ユーザー名」に任意のユーザー名を入力。
今回はパスワードを使用してVPNに接続するため、「認証方法」として「パスワード認証」を選択し、画面右部にあるパスワード認証の項目に任意のパスワードを入力して「OK」をクリックすると、ユーザーアカウントが作成されます。

その他の設定項目については省略可能です。

接続テスト

上記でリモートアクセスVPNの構築設定は完了です。
最後に外部端末から構築したVPNに接続できるかをテストし、問題がなければ作業完了です。

Windows10やiOSといった外部端末から、構築したリモートアクセスVPNに接続するための設定方法については、後記の接続設定をご確認ください。

外部端末からVPNに接続するための設定方法

Windows10

「スタートメニュー」を右クリックして、「ネットワーク接続」を選択して「ネットワークとインターネット」画面を表示します。

設定画面の左部にある「VPN」を選択し、「VPN接続を追加する」をクリックします。

VPNプロバイダー:「Windows(ビルトイン)」を選択。
接続名:任意の接続名を入力。
サーバー名またはアドレス:VPNサーバーの固定IPアドレス、またはダイナミックDNSサービスで設定したホスト名を入力。
VPNの種類:「事前共有キーを使ったL2TP/IPsec」を選択。
事前共有キー:IPsec事前共有鍵で設定した暗号鍵を入力。
サインイン情報の種類:「ユーザー名とパスワード」を選択

上記を入力後「保存」をクリックして設定を保存し、作成したVPN接続設定に接続します。

ユーザー名(オプション)、パスワード(オプション)の項目が未入力だと、接続時にユーザー名とパスワードを求められるので、ここで作成したユーザーアカウントにもとづいて、ユーザー名とパスワードを入力するとVPNに接続できます。

iOS

過去にVPNに接続したことがあれば、「設定」→「VPN」でVPN設定画面を表示します。
設定に「VPN」の表示がない場合は、「設定」→「一般」→「VPN」と選択することで、VPNの設定画面を表示します。

画面下部の「VPN構成を追加…」をタップし、VPN接続の設定をおこないます。

タイプ:「L2TP」を選択。
説明:任意の接続名を入力。
サーバ:VPNサーバーの固定IPアドレス、またはダイナミックDNS設定で設定したホスト名を入力。
アカウント:ユーザーアカウントのユーザー名を入力。
パスワード:ユーザーアカウントのパスワードを入力。
シークレット:IPsec事前共有鍵で設定した暗号鍵を入力

上記を入力後、画面右上の「完了」をタップしてVPN接続設定を保存し、作成したVPN接続設定で接続します。

VPNサーバーを導入した結果

リモートアクセスVPNを設定したVPNサーバーを導入した結果、既存の社内ネットワークに外部の端末から接続できるようになり、自宅や社外でソフトウェアやファイルの共有ができるようになりました!

今回導入したサーバーは小型パソコンなので場所も取らず、配線や設置作業も短時間で終わりました。

パーペチュアでは、このようなパソコンの運用や環境構築に関するご提案やご提供をしています。
サービス内容やお見積もりなど、気になることがございましたらお気軽にお問い合わせください。