リモートアクセス(VPN)設定

[更新: 2024年8月29日]

VPCルータのリモートアクセス(VPN)設定の設定方法についての説明です。

リモートアクセス(VPN)機能の概要

リモートアクセス(VPN)は、VPCルータを介して外部ネットワークからプライベートネットワーク側(VPCネットワーク側)へ安全な経路で接続するための機能です。

現在VPCルータで対応しているVPNプロトコルは以下のとおりです。

  • PPTP

  • L2TP/IPsec

また、「アカウント管理」画面より、外部からプライベートネットワーク側(VPCネットワーク側)に接続する際に使用するアカウントを、スタンダードプランをご利用の場合は最大100個、プレミアムプランまたはハイスペックプランをご利用の場合は最大200個まで設定することができます。

注釈

各VPNプロトコルを使用した同時クライアント接続数に制限はありませんが、同一アカウントでの同時接続は非推奨のため、接続クライアントごとにアカウントを作成してご利用ください

PPTP仕様

リモートアクセスのPPTP機能の仕様は以下の通りです。対向側でこの仕様に対応した機器やソフトウェア(Windows, macOS, iOS, Androidなど)を使用することにより、PPTP機能を使用することができます。

プロトコル(ポート)

GRE(47), TCP(1723)

PPP認証プロトコル

MS-CHAPv2

PPP認証方法

ユーザ名, パスワード

注意

GREが透過できない環境では使用できません

L2TP/IPsec仕様

リモートアクセスのL2TP/IPsec機能の仕様は以下の通りです。対向側でこの仕様に対応した機器やソフトウェア(Windows, macOS, iOS, Androidなど)を使用することにより、L2TP/IPsec機能を使用することができます。

プロトコル(ポート)

UDP(500), ESP(50)
※NAT-T利用時はUDP(500), UDP(4500)

PPP認証プロトコル

MS-CHAPv2

PPP認証方法

ユーザ名, パスワード

L2TPトンネル認証

なし

L2TPキープアライブ

有効

L2TPキープアライブインターバル

10秒 (リトライ3回)

L2TPトンネル切断タイマ

なし

IPsec認証方法

Pre-Shared Key(事前共有鍵)

暗号アルゴリズム

AES256, 3DES

暗号利用モード

CBC

ハッシュアルゴリズム

SHA

メッセージ認証符号

HMAC

PFS(Perfect Forward Secrecy)

無効

DH(Diffie-Hellman)グループ

MODP1024 (グループ2)

ISAKMP SAの寿命

28800秒

IPsec SAの寿命

1800秒

交換モード(exchange mode)

アグレッシブ(Aggressive)モード

IKEフェーズ1 ID

VPCルータのグローバルIPアドレス

IKEフェーズ2 ID

なし

Vendor ID

受け付けない / 送信しない

IKEキープアライブ(DPD)

無効

注意

NAT環境下のWindowsからL2TP/IPsecでリモートアクセスを行う場合、同一NAT環境内から同時接続可能なWindowsクライアントは1台のみとなります。これはWindowsの仕様によりIPsecカプセリングされるパケットのソースポートが1701(=L2TP)となり、同じNAT環境内でソースポートが重複することでSAが個別に作成できなくなるためです。
2台以上接続の場合はPPTP接続や サイト間VPN接続 のご利用をご検討ください。

PPTPサーバ設定

設定したいVPCルータの設定画面より、「リモートアクセス」タブ→「PPTPサーバ」タブを選択します。PPTPサーバ機能の設定状況が表示されるので、変更する場合は「編集」ボタンをクリックします。

PPTPサーバタブから編集ボタンをクリックする

PPTPサーバ機能の設定画面が表示されるので、各項目を選択・入力します。

各項目を選択または入力する

PPTPサーバ

PPTPサーバ機能を「有効」または「無効」から選択
※「有効」選択時に以下の2つの設定項目が表示されます

動的割り当て範囲(開始)

PPTPクライアントに割り当てるIPアドレス範囲の開始IPアドレスを入力

動的割り当て範囲(終了)

PPTPクライアントに割り当てるIPアドレス範囲の終了IPアドレスを入力

※いずれも入力必須項目となります
※動的割り当て範囲は、いずれかのプライベートインターフェースに設定したIPアドレス帯に含まれている必要があります

「反映」ボタンをクリックします。

反映ボタンをクリックする

設定が完了すると、PPTPサーバの設定状況画面に反映されます。

PPTPサーバの設定状況画面に反映される

注釈

PPTP設定の追加・変更・削除を行った場合、「反映」ボタンをクリックしVPCルータ側への設定反映が必要となります(VPCルータが起動状態の場合でも、電源をシャットダウンすることなく「反映」ボタンのクリックで設定が反映されます)。
また、反映ボタン押下時も接続中のPPTP接続には切断などの影響はありません。

※スタンダードプランではグローバルインターフェースに割り当てられたIPアドレスに、プレミアムプランではグローバルインターフェースに設定した仮想IPアドレスにPPTP接続を行ってください

L2TP/IPsecサーバ設定

設定したいVPCルータの設定画面より、「リモートアクセス」タブ→「L2TP/IPsecサーバ」タブを選択します。L2TP/IPsecサーバ機能の設定状況が表示されるので、変更する場合は「編集」ボタンをクリックします。

L2TP/IPsecサーバタブの編集ボタンをクリックする

L2TP/IPsecサーバ機能の設定画面が表示されるので、各項目を選択・入力します。

各項目を選択または入力する

L2TP/IPsecサーバ

L2TP/IPsecサーバ機能を「有効」または「無効」から選択
※「有効」選択時に以下の3つの設定項目が表示されます

動的割り当て範囲(開始)

L2TP/IPsecクライアントに割り当てるIPアドレス範囲の開始IPアドレスを入力

動的割り当て範囲(終了)

L2TP/IPsecクライアントに割り当てるIPアドレス範囲の終了IPアドレスを入力

Pre Shared Secret

Pre Shared Keyに設定したい文字列を入力 (※1)

※1 使用可能な文字はアルファベット(大文字, 小文字)・数字・アンダースコア(_)の組み合わせとなります。文字数は1~40文字となります。

※いずれも入力必須項目となります ※動的割り当て範囲は、いずれかのプライベートインターフェースに設定したIPアドレス帯に含まれている必要があります

「反映」ボタンをクリックします。

反映ボタンをクリックする

設定が完了すると、L2TP/IPsecサーバの設定状況画面に反映されます。

L2TP/IPsecサーバの設定状況画面に反映される

※スタンダードプランではグローバルインターフェースに割り当てられたIPアドレスに、プレミアムプランではグローバルインターフェースに設定した仮想IPアドレスにL2TP/IPsec接続を行ってください

注釈

L2TP/IPsecサーバ設定の追加・変更・削除を行った場合、「反映」ボタンをクリックしVPCルータ側への設定反映が必要となります(VPCルータが起動状態の場合でも、電源をシャットダウンすることなく「反映」ボタンのクリックで設定が反映されます)。
また、反映ボタン押下時も接続中のL2TP/IPsec接続には切断などの影響はありません。

アカウント管理設定

設定したいVPCルータの設定画面より、「リモートアクセス」タブ→「アカウント管理」タブを選択します。設定されているリモートアクセス用アカウントのリストが表示されるので、新たに追加する場合は「追加」ボタンをクリックします。

アカウント管理タブから追加ボタンをクリックする

リモートアクセスクライアント追加設定画面が表示されるので、各設定項目に情報を入力します。

各設定項目に情報を入力する

ユーザ名

接続に使用するユーザ名を入力

パスワード

ユーザのパスワードを入力

※いずれも入力必須項目となります

「反映」ボタンをクリックします。

反映ボタンをクリックする

設定が完了するとリストに追加されます。作成済みのエントリはリスト右側の鉛筆アイコンで編集、削除アイコンで消去が行えます。

鉛筆アイコンで編集、削除アイコンで消去が可能

注釈

リモートアクセスクライアント設定の追加・変更・削除を行った場合、「反映」ボタンをクリックしVPCルータ側への設定反映が必要となります(VPCルータが起動状態の場合でも、電源をシャットダウンすることなく「反映」ボタンのクリックで設定が反映されます)。
また、反映ボタン押下時もリモートアクセス接続中のクライアントには切断などの影響はありません。

VPNの再接続

VPN接続にて、不具合が生じた場合、「VPN再接続」ボタンを押すことで、VPCルータを再起動せずにVPNのみ再接続することができます。

VPN再接続ボタンでVPCルータを再起動せずにVPNのみ再接続することが可能

「VPN再接続」ボタンを押すと確認画面が表示されます。

確認画面が表示される

※ WireGuard以外の全てのVPN接続が一度切断されます。
※ 再接続はVPNのログにて確認ができます。

VPNログの閲覧

VPCルータの詳細画面にて「ログ」タブをクリックし、「VPN」タブをクリックすると、ログが表示されます。

VPNタブでログを表示

※記録されているログのうち最新の100件が表示されます。
※最新100件よりも過去のデータを確認したい場合は、「ログファイルのダウンロード」より過去7日間(最大10MB)のログが取得できます。継続的なログ記録が必要な場合はsyslog転送機能をご利用ください。

注意事項

  • リモートアクセス(L2TP/IPSec)におけるNAT配下のWindowsクライアントからの接続で、ある程度の通信時間・通信量が発生すると切断され、VPCルータの再起動による復旧が必要となってしまう場合があります。対策としてPPTPによる接続のほか、セキュリティを考慮する場合は拠点側ルータとVPCルータ間をサイト間VPNで接続する、macOSの端末を利用するなどをお試しください。