リモートアクセス(VPN)設定

[更新: 2024年8月29日]

VPCルータのリモートアクセス(VPN)設定の設定方法についての説明です。

NAT環境下のWindowsからL2TP/IPsecでリモートアクセスを行う場合、同一NAT環境内から同時接続可能なWindowsクライアントは1台のみとなります。これはWindowsの仕様によりIPsecカプセリングされるパケットのソースポートが1701(=L2TP)となり、同じNAT環境内でソースポートが重複することでSAが個別に作成できなくなるためです。
2台以上接続の場合はPPTP接続やサイト間VPN接続のご利用をご検討ください。

PPTPサーバ設定 

設定したいVPCルータの設定画面より、「リモートアクセス」タブ→「PPTPサーバ」タブを選択します。PPTPサーバ機能の設定状況が表示されるので、変更する場合は「編集」ボタンをクリックします。

PPTPサーバ機能の設定画面が表示されるので、各項目を選択・入力します。

PPTPサーバ	PPTPサーバ機能を「有効」または「無効」から選択 ※「有効」選択時に以下の2つの設定項目が表示されます
動的割り当て範囲(開始)	PPTPクライアントに割り当てるIPアドレス範囲の開始IPアドレスを入力
動的割り当て範囲(終了)	PPTPクライアントに割り当てるIPアドレス範囲の終了IPアドレスを入力

※いずれも入力必須項目となります
※動的割り当て範囲は、いずれかのプライベートインターフェースに設定したIPアドレス帯に含まれている必要があります

「反映」ボタンをクリックします。

設定が完了すると、PPTPサーバの設定状況画面に反映されます。

注釈

PPTP設定の追加・変更・削除を行った場合、「反映」ボタンをクリックしVPCルータ側への設定反映が必要となります(VPCルータが起動状態の場合でも、電源をシャットダウンすることなく「反映」ボタンのクリックで設定が反映されます)。
また、反映ボタン押下時も接続中のPPTP接続には切断などの影響はありません。

※スタンダードプランではグローバルインターフェースに割り当てられたIPアドレスに、プレミアムプランではグローバルインターフェースに設定した仮想IPアドレスにPPTP接続を行ってください

L2TP/IPsecサーバ設定 

設定したいVPCルータの設定画面より、「リモートアクセス」タブ→「L2TP/IPsecサーバ」タブを選択します。L2TP/IPsecサーバ機能の設定状況が表示されるので、変更する場合は「編集」ボタンをクリックします。

L2TP/IPsecサーバ機能の設定画面が表示されるので、各項目を選択・入力します。

L2TP/IPsecサーバ	L2TP/IPsecサーバ機能を「有効」または「無効」から選択 ※「有効」選択時に以下の3つの設定項目が表示されます
動的割り当て範囲(開始)	L2TP/IPsecクライアントに割り当てるIPアドレス範囲の開始IPアドレスを入力
動的割り当て範囲(終了)	L2TP/IPsecクライアントに割り当てるIPアドレス範囲の終了IPアドレスを入力
Pre Shared Secret	Pre Shared Keyに設定したい文字列を入力 (※1)

※1 使用可能な文字はアルファベット(大文字, 小文字)・数字・アンダースコア(_)の組み合わせとなります。文字数は1～40文字となります。

※いずれも入力必須項目となります ※動的割り当て範囲は、いずれかのプライベートインターフェースに設定したIPアドレス帯に含まれている必要があります

「反映」ボタンをクリックします。

設定が完了すると、L2TP/IPsecサーバの設定状況画面に反映されます。

※スタンダードプランではグローバルインターフェースに割り当てられたIPアドレスに、プレミアムプランではグローバルインターフェースに設定した仮想IPアドレスにL2TP/IPsec接続を行ってください

注釈

L2TP/IPsecサーバ設定の追加・変更・削除を行った場合、「反映」ボタンをクリックしVPCルータ側への設定反映が必要となります(VPCルータが起動状態の場合でも、電源をシャットダウンすることなく「反映」ボタンのクリックで設定が反映されます)。
また、反映ボタン押下時も接続中のL2TP/IPsec接続には切断などの影響はありません。

アカウント管理設定 

設定したいVPCルータの設定画面より、「リモートアクセス」タブ→「アカウント管理」タブを選択します。設定されているリモートアクセス用アカウントのリストが表示されるので、新たに追加する場合は「追加」ボタンをクリックします。

リモートアクセスクライアント追加設定画面が表示されるので、各設定項目に情報を入力します。

ユーザ名	接続に使用するユーザ名を入力
パスワード	ユーザのパスワードを入力

※いずれも入力必須項目となります

「反映」ボタンをクリックします。

設定が完了するとリストに追加されます。作成済みのエントリはリスト右側の鉛筆アイコンで編集、削除アイコンで消去が行えます。

注釈

リモートアクセスクライアント設定の追加・変更・削除を行った場合、「反映」ボタンをクリックしVPCルータ側への設定反映が必要となります(VPCルータが起動状態の場合でも、電源をシャットダウンすることなく「反映」ボタンのクリックで設定が反映されます)。
また、反映ボタン押下時もリモートアクセス接続中のクライアントには切断などの影響はありません。

VPNの再接続 

VPN接続にて、不具合が生じた場合、「VPN再接続」ボタンを押すことで、VPCルータを再起動せずにVPNのみ再接続することができます。

「VPN再接続」ボタンを押すと確認画面が表示されます。

※ WireGuard以外の全てのVPN接続が一度切断されます。
※ 再接続はVPNのログにて確認ができます。

VPNログの閲覧 

VPCルータの詳細画面にて「ログ」タブをクリックし、「VPN」タブをクリックすると、ログが表示されます。

※記録されているログのうち最新の100件が表示されます。
※最新100件よりも過去のデータを確認したい場合は、「ログファイルのダウンロード」より過去7日間(最大10MB)のログが取得できます。継続的なログ記録が必要な場合はsyslog転送機能をご利用ください。

注意事項 

リモートアクセス(L2TP/IPSec)におけるNAT配下のWindowsクライアントからの接続で、ある程度の通信時間・通信量が発生すると切断され、VPCルータの再起動による復旧が必要となってしまう場合があります。対策としてPPTPによる接続のほか、セキュリティを考慮する場合は拠点側ルータとVPCルータ間をサイト間VPNで接続する、macOSの端末を利用するなどをお試しください。

プロトコル(ポート)	GRE(47),　TCP(1723)
PPP認証プロトコル	MS-CHAPv2
PPP認証方法	ユーザ名,　パスワード

プロトコル(ポート)	UDP(500),　ESP(50) ※NAT-T利用時はUDP(500), UDP(4500)
PPP認証プロトコル	MS-CHAPv2
PPP認証方法	ユーザ名,　パスワード
L2TPトンネル認証	なし
L2TPキープアライブ	有効
L2TPキープアライブインターバル	10秒 (リトライ3回)
L2TPトンネル切断タイマ	なし
IPsec認証方法	Pre-Shared Key(事前共有鍵)
暗号アルゴリズム	AES256, 3DES
暗号利用モード	CBC
ハッシュアルゴリズム	SHA
メッセージ認証符号	HMAC
PFS(Perfect Forward Secrecy)	無効
DH(Diffie-Hellman)グループ	MODP1024 (グループ2)
ISAKMP SAの寿命	28800秒
IPsec SAの寿命	1800秒
交換モード(exchange mode)	アグレッシブ(Aggressive)モード
IKEフェーズ1 ID	VPCルータのグローバルIPアドレス
IKEフェーズ2 ID	なし
Vendor ID	受け付けない / 送信しない
IKEキープアライブ(DPD)	無効

リモートアクセス(VPN)設定

リモートアクセス(VPN)機能の概要 

PPTP仕様 

L2TP/IPsec仕様 

PPTPサーバ設定 

L2TP/IPsecサーバ設定 

アカウント管理設定 

VPNの再接続 

VPNログの閲覧 

注意事項 