リモートアクセス(VPN)設定¶
[更新: 2021年10月21日]
VPCルータのリモートアクセス(VPN)設定の設定方法についての説明です。
リモートアクセス(VPN)機能の概要¶
リモートアクセス(VPN)は、VPCルータを介して外部ネットワークからプライベートネットワーク側(VPCネットワーク側)へ安全な経路で接続するための機能です。
現在VPCルータで対応しているVPNプロトコルは以下のとおりです。
- PPTP
- L2TP/IPsec
また、「アカウント管理」画面より、外部からプライベートネットワーク側(VPCネットワーク側)に接続する際に使用するアカウントを、スタンダードプランをご利用の場合は最大100個、プレミアムプランまたはハイスペックプランをご利用の場合は最大200個まで設定することができます。
注釈
各VPNプロトコルを使用した同時クライアント接続数に制限はありませんが、同一アカウントでの同時接続は非推奨のため、接続クライアントごとにアカウントを作成してご利用ください
PPTP仕様¶
リモートアクセスのPPTP機能の仕様は以下の通りです。対向側でこの仕様に対応した機器やソフトウェア(Windows, macOS, iOS, Androidなど)を使用することにより、PPTP機能を使用することができます。
| プロトコル(ポート) | GRE(47), TCP(1723) |
|---|---|
| PPP認証プロトコル | MS-CHAPv2 |
| PPP認証方法 | ユーザ名, パスワード |
注意
GREが透過できない環境では使用できません
L2TP/IPsec仕様¶
リモートアクセスのL2TP/IPsec機能の仕様は以下の通りです。対向側でこの仕様に対応した機器やソフトウェア(Windows, macOS, iOS, Androidなど)を使用することにより、L2TP/IPsec機能を使用することができます。
| プロトコル(ポート) | UDP(500), ESP(50) ※NAT-T利用時はUDP(500), UDP(4500) |
|---|---|
| PPP認証プロトコル | MS-CHAPv2 |
| PPP認証方法 | ユーザ名, パスワード |
| L2TPトンネル認証 | なし |
| L2TPキープアライブ | 有効 |
| L2TPキープアライブインターバル | 10秒 (リトライ3回) |
| L2TPトンネル切断タイマ | なし |
| IPsec認証方法 | Pre-Shared Key(事前共有鍵) |
| 暗号アルゴリズム | AES256, 3DES |
| 暗号利用モード | CBC |
| ハッシュアルゴリズム | SHA |
| メッセージ認証符号 | HMAC |
| PFS(Perfect Forward Secrecy) | 無効 |
| DH(Diffie-Hellman)グループ | MODP1024 (グループ2) |
| ISAKMP SAの寿命 | 28800秒 |
| IPsec SAの寿命 | 1800秒 |
| 交換モード(exchange mode) | アグレッシブ(Aggressive)モード |
| IKEフェーズ1 ID | VPCルータのグローバルIPアドレス |
| IKEフェーズ2 ID | なし |
| Vendor ID | 受け付けない / 送信しない |
| IKEキープアライブ(DPD) | 無効 |
注意
NAT環境下のWindowsからL2TP/IPsecでリモートアクセスを行う場合、同一NAT環境内から同時接続可能なWindowsクライアントは1台のみとなります。これはWindowsの仕様によりIPsecカプセリングされるパケットのソースポートが1701(=L2TP)となり、同じNAT環境内でソースポートが重複することでSAが個別に作成できなくなるためです。
2台以上接続の場合はPPTP接続や サイト間VPN接続 のご利用をご検討ください。
PPTPサーバ設定¶
設定したいVPCルータの設定画面より、「リモートアクセス」タブ→「PPTPサーバ」タブを選択します。PPTPサーバ機能の設定状況が表示されるので、変更する場合は「編集」ボタンをクリックします。
PPTPサーバ機能の設定画面が表示されるので、各項目を選択・入力します。
| PPTPサーバ | PPTPサーバ機能を「有効」または「無効」から選択 ※「有効」選択時に以下の2つの設定項目が表示されます |
|---|---|
| 動的割り当て範囲(開始) | PPTPクライアントに割り当てるIPアドレス範囲の開始IPアドレスを入力 |
| 動的割り当て範囲(終了) | PPTPクライアントに割り当てるIPアドレス範囲の終了IPアドレスを入力 |
※いずれも入力必須項目となります
※動的割り当て範囲は、いずれかのプライベートインターフェースに設定したIPアドレス帯に含まれている必要があります
「反映」ボタンをクリックします。
設定が完了すると、PPTPサーバの設定状況画面に反映されます。
注釈
PPTP設定の追加・変更・削除を行った場合、「反映」ボタンをクリックしVPCルータ側への設定反映が必要となります(VPCルータが起動状態の場合でも、電源をシャットダウンすることなく「反映」ボタンのクリックで設定が反映されます)。
また、反映ボタン押下時も接続中のPPTP接続には切断などの影響はありません。
※スタンダードプランではグローバルインターフェースに割り当てられたIPアドレスに、プレミアムプランではグローバルインターフェースに設定した仮想IPアドレスにPPTP接続を行ってください
L2TP/IPsecサーバ設定¶
設定したいVPCルータの設定画面より、「リモートアクセス」タブ→「L2TP/IPsecサーバ」タブを選択します。L2TP/IPsecサーバ機能の設定状況が表示されるので、変更する場合は「編集」ボタンをクリックします。
L2TP/IPsecサーバ機能の設定画面が表示されるので、各項目を選択・入力します。
| L2TP/IPsecサーバ | L2TP/IPsecサーバ機能を「有効」または「無効」から選択 ※「有効」選択時に以下の3つの設定項目が表示されます |
|---|---|
| 動的割り当て範囲(開始) | L2TP/IPsecクライアントに割り当てるIPアドレス範囲の開始IPアドレスを入力 |
| 動的割り当て範囲(終了) | L2TP/IPsecクライアントに割り当てるIPアドレス範囲の終了IPアドレスを入力 |
| Pre Shared Secret | Pre Shared Keyに設定したい文字列を入力 (※1) |
※1 使用可能な文字はアルファベット(大文字, 小文字)・数字・アンダースコア(_)の組み合わせとなります。文字数は1~40文字となります。
※いずれも入力必須項目となります ※動的割り当て範囲は、いずれかのプライベートインターフェースに設定したIPアドレス帯に含まれている必要があります
「反映」ボタンをクリックします。
設定が完了すると、L2TP/IPsecサーバの設定状況画面に反映されます。
※スタンダードプランではグローバルインターフェースに割り当てられたIPアドレスに、プレミアムプランではグローバルインターフェースに設定した仮想IPアドレスにL2TP/IPsec接続を行ってください
注釈
L2TP/IPsecサーバ設定の追加・変更・削除を行った場合、「反映」ボタンをクリックしVPCルータ側への設定反映が必要となります(VPCルータが起動状態の場合でも、電源をシャットダウンすることなく「反映」ボタンのクリックで設定が反映されます)。
また、反映ボタン押下時も接続中のL2TP/IPsec接続には切断などの影響はありません。
アカウント管理設定¶
設定したいVPCルータの設定画面より、「リモートアクセス」タブ→「アカウント管理」タブを選択します。設定されているリモートアクセス用アカウントのリストが表示されるので、新たに追加する場合は「追加」ボタンをクリックします。
リモートアクセスクライアント追加設定画面が表示されるので、各設定項目に情報を入力します。
| ユーザ名 | 接続に使用するユーザ名を入力 |
|---|---|
| パスワード | ユーザのパスワードを入力 |
※いずれも入力必須項目となります
「反映」ボタンをクリックします。
設定が完了するとリストに追加されます。作成済みのエントリはリスト右側の鉛筆アイコンで編集、削除アイコンで消去が行えます。
注釈
リモートアクセスクライアント設定の追加・変更・削除を行った場合、「反映」ボタンをクリックしVPCルータ側への設定反映が必要となります(VPCルータが起動状態の場合でも、電源をシャットダウンすることなく「反映」ボタンのクリックで設定が反映されます)。
また、反映ボタン押下時もリモートアクセス接続中のクライアントには切断などの影響はありません。
VPNの再接続¶
VPN接続にて、不具合が生じた場合、「VPN再接続」ボタンを押すことで、VPCルータを再起動せずにVPNのみ再接続することができます。
「VPN再接続」ボタンを押すと確認画面が表示されます。
※ WireGuard以外の全てのVPN接続が一度切断されます。
※ 再接続はVPNのログにて確認ができます。
