VPN環境構築テスト（LAN間接続VPN編）

 

GWの連休を使ってPPTPによるLAN間接続VPNの設定をしてみました。

VPN構築のテストとして当家のLANと一番近いクライアント先のLANをVPNで接続しました。

VPNサーバー/クライアントにはヤマハNVR500とヤマハRT58iを使用しています。

双方のネットワーク環境の基本設定は以下の通りです。

●LAN1（クライアント先：PPTPサーバー）
WAN側IPアドレス：固定IP（ドメイン名：vpn1.com）
LAN側IPアドレス：192.168.10.1
ネットワークアドレス（サブネットマスク）：192.168.10.0/24（192.168.10.0,255.255.255.0）

●LAN2（当家：PPTPクライアント）
WAN側IPアドレス：固定IP（ドメイン名：vpn2.com）
LAN側IPアドレス：192.168.11.1
ネットワークアドレス（サブネットマスク）：192.168.11.0/24（192.168.11.0,255.255.255.0）

●共通
VPN接続ユーザーID：vpnuser
VPN接続パスワード：vpnpassword

※WAN側IPアドレスは双方とも固定IPでドメインを持っているのでドメイン名を使いますが、ドメインを持っていなければIPアドレスで指定します。
（ここに記載しているドメイン名は本稿用の偽名です）

※固定IPアドレス環境でない場合はヤマハのダイナミックDNSサービスに登録して、登録したドメインを指定します。

※LAN側IPアドレス・ネットワークアドレスはLAN1とLAN2で重複しないように設定します。

LAN1・LAN2双方で以上の設定をしてからルーターのかんたん設定ページでVPNの設定をします。
（下の画像はNVR500のものですが、RT58iもほとんど同じです）

 

※RT58iでVPN接続する際、上記設定の他に以下のファイアウォール設定が必要です。

ファイアウォールの設定→プロバイダ接続の設定→IPv4静的IPフィルタに下記2点を追加して適用の「入」にチェック
1.フィルタタイプ：pass(ログなし)
プロトコル：GRE
送信元IPアドレス：*
送信元ポート番号：*
受信先IPアドレス：(ルータのIPアドレス)
受信先ポート番号：*
2.フィルタタイプ：pass(ログなし)
プロトコル：TCP
送信元IPアドレス：*
送信元ポート番号：*
受信先IPアドレス：(ルータのIPアドレス)
受信先ポート番号：1723

 

●LAN1側のルーターの設定

1．ルーターのかんたん設定ページにアクセスし、「詳細設定と情報」ボタンをクリックします。
（下の画像ではすでにVPN接続が1件登録されています）

2．VPN接続の設定の「設定」ボタンをクリックします。

3．接続可能なVPN設定の中の一つの「追加」ボタンをクリックします。
（画面ではすでに一つ設定された状態になってますが、初めて設定するときは上の「登録されているVPN設定の一覧」は空欄になってます）

4．「PPTPを使用したネットワーク型LAN間接続VPN」を選択して「次へ」。

5．各設定項目を入力します。

・設定名：適当な名前で入力
・PPTPサーバー/クライアント：PPTPサーバーを選択
・ユーザIP：vpnuser
・接続パスワード：vpnpassword
・接続先のホスト名またはIPアドレス：vpn2.com（LAN2のWAN側IPアドレスまたはホスト名）
・キープアライブ機能：チェックオン
・経路のアドレス情報：192.168.11.0（LAN2のLAN側IPアドレス）
・サブネットマスク：255.255.255.0（LAN2のサブネットマスク）

6．（5．の下部画面）詳細事項で「タイマで自動切断しない」を選択して「設定の確定」ボタンをクリック。

7．登録完了

8．VPN接続の設定画面に戻ると「登録されているVPN設定の一覧」に登録したVPN接続が表示されています。
（画面ではすでに一つ登録されてあったので2つ表示されています）

※この画面から設定変更や設定の削除が出来ます。

以上でLAN1側のVPN接続設定は完了です。

続いてLAN2側の設定をします。

●LAN2側の設定

9．（1．～4．までは上と同じに進み、5．の「VPN接続設定の登録」で以下の通り入力します。

・設定名：適当な名前で入力
・PPTPサーバー/クライアント：PPTPクライアントを選択
・ユーザIP：vpnuser
・接続パスワード：vpnpassword
・接続先のホスト名またはIPアドレス：vpn1.com（LAN1のWAN側IPアドレスまたはホスト名）
・キープアライブ機能：チェックオン
・経路のアドレス情報：192.168.10.0（LAN1のLAN側IPアドレス）
・サブネットマスク：255.255.255.0（LAN1のサブネットマスク）

10．（9．の下部画面）詳細事項で「タイマで自動切断しない」を選択して「設定の確定」ボタンをクリック。

以上でLAN2側のVPN接続設定も完了です。

11．LAN1側・LAN2側とも、かんたん設定トップページに戻ると登録したLAN間接続の状態が表示されます。
（双方の設定・登録が完了して正常に接続されると下図のように「通信中」と表示されます）

※PPTPサーバー側が「切断」になっている場合は、もう一度PPTPサーバー側のVPN設定画面に行って一番下の「設定」ボタンを押せば接続されるはずです。
※PPTPクライアント側が「通信中」にならずにエラーが出ている場合はPPTPクライアント側のVPN接続設定がどこか間違ってます。
（エラー番号をクリックすればエラーの内容が解ります）

以上でVPN設定・登録は完了です。

ただし、VPN経由でWindows ServerやWindowsPCのファイル共有機能を利用するには、ルーターのファイアウォール設定、Windows Serverのユーザ設定、Windowsファイアウォール設定等、もう少し設定が必要になります。

Windowsファイル共有利用時の設定

●ルーターのファイアウォール設定
かんたん設定トップ画面→「詳細設定と情報」→「ファイアウォール設定」→「LANポート」→「IPv4静的IPフィルタの一覧」を確認します。

上図の0番～7番がWindowsファイル共有関係のフィルターです。
※この一覧に何も表示されていなければ設定は不要です。（NVR500では空欄でした）

ここにチェックが入っていると共有フォルダにアクセス出来ないのでチェックを外します。

●Windows Server 2003にVPN経由でログインする場合のユーザ設定
ユーザのプロパティ→「ダイヤルイン」タブのリモートアクセス許可で「アクセスを許可」を選択。

●Windows7の共有フォルダにVPN経由でアクセスする場合のファイアウォール設定
コントロールパネル→システムとセキュリティ→Windowsファイアウォールの左メニューにある「Windowsファイアウォールを介したプログラムまたは機能を許可する」で「Netlogonサービス」にチェック。

●WindowsXPの共有フォルダにVPN経由でアクセスする場合のファイアウォール設定
コントロールパネル→Windowsファイアウォール→例外タブで「ファイルとプリンタの共有」を選択して「編集」クリック→サービスの編集で「TCP445」を選択→スコープの変更→カスタムの一覧で
「自ネットワーク/サブネットマスク,相手側ネットワーク/サブネットマスク」を入力。

EX：192.168.10.0/255.255.255.0,192.168.11.0/255.255.255.0

※これでもアクセス出来ない場合は445以外のポート（137～139）のスコープも同様に変更します。

以上で大抵のWindowsファイル共有は出来るようになると思います。

今日のテストでは上記設定でLAN2→LAN1およびLAN1→LAN2のWindows Server2003・Win7・WinXPの共有フォルダへのアクセスが問題なく出来ました。

※ただし、VPN経由でサーバー・PCにアクセスする際、サーバー名・PC名でアクセスするにはDNS等名前解決の設定が必要になります。（今回は全てIPアドレスでアクセスしたので名前解決設定は行っていません）

…と、まぁサクッと出来たように書いてますが、、

VPNの接続は本とネットの情報で割と簡単に出来て、お互いのルーターやサーバーにpingも通ったんですが、当家のWin７にはpingが通らなかったり、pingは通ったものの上記ファイル共有設定を知らずにアクセス出来なかったりで、VPN経由でのファイル共有にはけっこう手間取りました。

最終的に上記ファイル共有設定をしたのに当家のメイン機からVPN経由でLAN1のサーバー・PCにアクセス出来ず、LAN1から当家のメインPCへのpingも通らずで相当悩みましたが、、

この原因はメイン機にインストしていたフリーのファイアウォールソフト、ZONE ALARMでした。（汗

コイツのTrustedゾーンにLAN1のLAN側IPアドレスを登録したところ一発でアクセス出来るようになりました。

…当家（LAN2）のメイン機からLAN1のファイルサーバー（\192.168.10.○○）にアクセスして共有フォルダが表示されたときはマジ飛びあがっちゃいました。ｗ

その後、クライアント先（LAN1）から当家（LAN2）へのアクセスも確認してテスト終了。PPTPを使ったLAN間接続VPN構築は無事完成しました。

この次はリモートアクセス型VPNをテストしてみます。