リモート アクセス サーバーを VPN サーバーとして構成
Seattle リモート アクセスサーバー SEA-NA-RAS-01 を VPN サーバーとして構成し、RADIUS 認証を使用した PPTP ベースのリモート アクセス接続をサポートすることが必要です。
このシナリオでは、以下の手順を実行しました。
トピック
ルーティングとリモート アクセス サービスの構成
OSPF ルーティングの構成
PPTP ポートの構成
PPTP パケット フィルタの構成
ルーティングとリモート アクセス サービスの構成
RADIUS 認証および RADIUS アカウンティングを使用した PPTP ベースのリモート アクセス接続をサポートするように VPN サーバーを構成する必要があります。
VPN サーバー SEA-NA-RAS-01 上で以下の手順を実行します。
RADIUS 認証のためにルーティングとリモート アクセス サービスを構成して有効にするには
アカウント NOAM\Administrator を使用してログオンします。
[スタート] メニューから [プログラム] をポイントし、[管理ツール] をポイントして、[ルーティングとリモート アクセス] をクリックします。
コンソール ツリーで、[SEA-NA-RAS-01] を右クリックし、[ルーティングとリモート アクセスの構成と有効化] をクリックします。
ルーティングとリモート アクセス サーバーのセットアップ ウィザード で、[次へ] をクリックします。
[標準的な構成] ページで、[手動で構成したサーバー] をクリックし、[次へ] をクリックします。
[完了] をクリックします。
ルーティングとリモート アクセス サービスを開始するか尋ねるメッセージが表示されたら、[はい] をクリックします。
コンソール ツリーで、[SEA-NA-RAS-01] を右クリックして、[プロパティ] をクリックします。
[SEA-NA-RAS-01 のプロパティ] ダイアログ ボックスの [セキュリティ] タブで、[認証プロバイダ] から [RADIUS 認証] を選択し、[構成] をクリックします。
[RADIUS 認証] ダイアログ ボックスで、[追加] をクリックします。
[RADIUS サーバーの追加] ダイアログ ボックスで、[サーバー名] ボックスに SEA-NA-IAS-01 と入力します (図 1 を参照)。
図 1: RADIUS 認証用の RADIUS サーバーとして Seattle IAS サーバーを構成[変更] をクリックします。
[新しいシークレット] ボックスと [新しいシークレットの確認入力] ボックスに s(5%jkw#Q9d$mP4 と入力して、[OK] をクリックします。
[常にデジタル署名を使う] チェック ボックスをオンにして、[OK] をクリックします。
[RADIUS 認証] ダイアログ ボックスで、[OK] をクリックします。
新しい RADIUS パラメータを有効にするためにルーティングとリモート アクセス サービスを再開する必要があることを通知するメッセージが表示されたら、[はい] をクリックします。
[セキュリティ] タブで、[アカウンティング プロバイダ] ボックスから [RADIUS アカウンティング] を選択し、[構成] をクリックします。
[RADIUS アカウンティング] ダイアログ ボックスで、[追加] をクリックします。
[RADIUS サーバーの追加] ダイアログ ボックスで、[サーバー名] ボックスに SEA-NA-IAS-01 と入力します (図 2 を参照)。
図 2: RADIUS アカウンティング用の RADIUS サーバーとして Seattle IAS サーバーを構成[変更] をクリックします。
[新しいシークレット] ボックスと [新しいシークレットの確認入力] ボックスに s(5%jkw#Q9d$mP4 と入力して、[OK] をクリックします。
[RADIUS アカウンティングのオン/オフのメッセージを送信する] チェック ボックスをオンにして、[OK] をクリックします。
[RADIUS アカウンティング] ダイアログ ボックスで、[OK] をクリックします。
新しい RADIUS パラメータを有効にするためにルーティングとリモート アクセス サービスを再開する必要があることを通知するメッセージが表示されたら、[OK] をクリックします。
[IP] タブの [アダプタ] リストで、[SeattleSubnet] インターフェイス (Seattle イントラネットに接続するインターフェイス) を選択します。
[SEA-NA-RAS-01 (ローカル) のプロパティ] ダイアログ ボックスで、[OK] をクリックして変更箇所を保存します。
この変更を有効にするためには、新しい認証プロバイダを使用して、 ルーティングとリモート アクセス サービスを再開する必要があることを通知されたら、[はい] をクリックします。
[SEA-NA-RAS-01] を右クリックし、[すべてのタスク] をポイントし、[再起動] をクリックしてルーティングとリモート アクセス サービスを再開します。
OSPF ルーティングの構成
VPN サーバーでは、すべてのプライベート ネットワーク セグメントと通信する構成が必要です。ResKit.com イントラネットでは OSPF を使用して内部ルーティング情報を更新するので、VPN サーバーは OSPF を使用して内部ルーティング情報を認識する必要があります。
VPN サーバー SEA-NA-RAS-01 上で以下の手順を実行します。
VPN サーバーの OSPF を構成するには
アカウント NOAM\Administrator を使用してログオンします。
[スタート] メニューから [プログラム] をポイントし、[管理ツール] をポイントして、[ルーティングとリモート アクセス] をクリックします。
コンソール ツリーで、[SEA-NA-RAS-01] 、[IP ルーティング] を順に展開し、[IGMP] を右クリックし、[削除] をクリックします。
IGMP バージョン2、ルーターとプロキシを削除するか尋ねるメッセージが表示されたら、[はい] をクリックします。
コンソール ツリーで、[全般] を右クリックし、[新しいルーティング プロトコル] をクリックします。
[新しいルーティング プロトコル] ダイアログ ボックスで、[Open Shortest Path First (OSPF)] を選択し、[OK] をクリックします。
コンソール ツリーで、[OSPF] を右クリックし、[プロパティ] をクリックします。
[OSPF のプロパティ] ダイアログ ボックスの [領域] タブで、[0.0.0.0] を選択し、[編集] をクリックします。
[OSPF 領域の構成] ダイアログ ボックスの [全般] タブで、[普通のテキストのパスワードを有効にする] チェック ボックスをオンにします。
[OSPF 領域の構成] ダイアログ ボックスの [範囲] タブの [宛先] ボックスに 172.16.0.0 と入力し、[ネットワーク マスク] ボックスに 255.255.252.0 と入力します。
[追加] をクリックして、[OK] をクリックします。
[OSPF のプロパティ] ダイアログ ボックスで、[OK] をクリックします。
コンソール ツリーで、[OSPF] を右クリックし、[新しいインターフェイス] をクリックします。
[Open Shortest Path First (OSPF) の新しいインターフェイス] ダイアログ ボックスで、[SeattleSubnet] を選択し、[OK] をクリックします。
[OSPF プロパティ - SeattleSubnet のプロパティ] ダイアログ ボックスで、[OK] をクリックします。
[ルーティングとリモート アクセス] スナップインを閉じます。
PPTP ポートの構成
リモート アクセス ユーザーおよびデマンド ダイヤル ルーターからの同時 PPTP 接続数を最大で 300 までサポートするように VPN サーバーを構成する必要があります。
VPN サーバー SEA-NA-RAS-01 上で以下の手順を実行します。
最大で 300 までの接続数を許容するように PPTP ポートを構成するには
アカウント NOAM\Administrator を使用してログオンします。
[スタート] メニューから [プログラム] をポイントし、[管理ツール] をポイントして、[ルーティングとリモート アクセス] をクリックします。
コンソール ツリーで、[SEA-NA-RAS-01] を展開し、[ポート] を右クリックし、[プロパティ] をクリックします。
[ポートのプロパティ] ダイアログ ボックスで、[WAN ミニポート (PPTP)] を選択し、[構成] をクリックします。
[デバイスの構成 - WAN ミニポート (PPTP)] ダイアログ ボックスで (図 3 を参照)、[ポートの最大数] ボックスに 300 と入力し、[OK] をクリックします。
[ポートのプロパティ] ダイアログ ボックスで、[OK] をクリックします。
図 3: WAN ミニポート (PPTP) デバイスのポート数を 300 に構成
PPTP パケット フィルタの構成
SEA-NA-RAS-01 で未承認のインターネット トラフィックの送受信をすべて抑止するために、SEA-NA-RAS-01 のインターネット インターフェイスに対する IP 入出力フィルタを構成する必要があります。IP 入出力フィルタを使用しない場合、インターネット インターフェイスで受信したすべてのトラフィックが転送されます。
注意
このシナリオで使用した IP 入出力フィルタでは、L2TP トラフィックに対してのみ、SEA-NA-RAS-01 を経由する転送を許容します。それぞれの組織では、セキュリティ要件に応じて、その他の IP 入出力フィルタを構成する必要があります。
VPN サーバー SEA-NA-RAS-01 上で以下の手順を実行します。
PPTP パケット フィルタを構成するには
アカウント NOAM\Administrator を使用してログオンします。
[スタート] メニューから [プログラム] をポイントし、[管理ツール] をポイントして、[ルーティングとリモート アクセス] をクリックします。
コンソール ツリーで、[SEA-NA-RAS-01]、[IPルーティング] を順に展開し、[全般] をクリックします。
詳細ペインで、[DMZ] (Seattle サイトの中立ゾーンに接続する LAN 接続) を右クリックし、[プロパティ] をクリックします。
[DMZ のプロパティ] ダイアログ ボックスの [全般] タブで、[入力フィルタ] をクリックします。
[入力フィルタ] ダイアログ ボックス (図 4 を参照) で、[追加] をクリックします。
図 4: PPTP 入力フィルタの構成[IP フィルタの追加] ダイアログ ボックスで、[宛先ネットワーク] チェック ボックスをオンにします。
1. [IP アドレス] ボックスに 131.107.1.131 と入力します。
2. [サブネット マスク] ボックスに 255.255.255.255 と入力します。
3. [プロトコル] ボックスから [その他] を選択します。
4. [プロトコル番号] ボックスに 47 と入力します。
5. [OK] をクリックします。
[入力フィルタ] ダイアログ ボックスで、[追加] をクリックします。
[IP フィルタの追加] ダイアログ ボックスで、[宛先ネットワーク] チェック ボックスをオンにします。
1. [IP アドレス] ボックスに 131.107.1.131 と入力します。
2. [サブネット マスク] ボックスに 255.255.255.255 と入力します。
3. [プロトコル] ボックスから [TCP] を選択します。
4. [宛先ポート] ボックスに 1723 と入力します。
5. [OK] をクリックします。
[入力フィルタ] ダイアログ ボックスで、[追加] をクリックします。
[IP フィルタの追加] ダイアログ ボックスで、[宛先ネットワーク] チェック ボックスをオンにします。
1. [IP アドレス] ボックスに 131.107.1.131 と入力します。
2. [サブネット マスク] ボックスに 255.255.255.255 と入力します。
3. [プロトコル] ボックスから [TCP (確立済み)] を選択します。
4. [発信元ポート] ボックスに 1723 と入力します。
5. [OK] をクリックします。
[入力フィルタ] ダイアログ ボックスで、[下の条件に一致するパケットを除いたすべてのパケットを破棄する] をオンにして、[OK] をクリックします。
[DMZ のプロパティ] ダイアログ ボックスの [全般] タブで、[出力フィルタ] をクリックします。
[出力フィルタ] ダイアログ ボックス (図 5 を参照) で、[追加] をクリックします。
図 5: PPTP 出力フィルタの構成[IP フィルタの追加] ダイアログ ボックスで、[発信元ネットワーク] チェック ボックスをオンにします。
1. [IP アドレス] ボックスに 131.107.1.131 と入力します。
2. [サブネット マスク] ボックスに 255.255.255.255 と入力します。
3. [プロトコル] ボックスから [その他] を選択します。
4. [プロトコル番号] ボックスに 47 と入力します。
5. [OK] をクリックします。
[出力フィルタ] ダイアログ ボックスで、[追加] をクリックします。
[IP フィルタの追加] ダイアログ ボックスで、[発信元ネットワーク] チェック ボックスをオンにします。
1. [IP アドレス] ボックスに 131.107.1.131 と入力します。
2. [サブネット マスク] ボックスに 255.255.255.255 と入力します。
3. [プロトコル] ボックスから [TCP] を選択します。
4. [発信元ポート] ボックスに 1723 と入力します。
5. [OK] をクリックします。
[出力フィルタ] ダイアログ ボックスで、[追加] をクリックします。
[IP フィルタの追加] ダイアログ ボックスで、[発信元ネットワーク] チェック ボックスをオンにします。
1. [IP アドレス] ボックスに 131.107.1.131 と入力します。
2. [サブネット マスク] ボックスに 255.255.255.255 と入力します。
3. [プロトコル] ボックスから [TCP (確立済み)] を選択します。
4. [宛先ポート] ボックスに 1723 と入力します。
5. [OK] をクリックします。
[出力フィルタ] ダイアログ ボックスで、[下の条件に一致するパケットを除いたすべてのパケットを破棄する] をオンにして、[OK] をクリックします。
[DMZ のプロパティ] ダイアログ ボックスで、[OK] をクリックします。
[ルーティングとリモート アクセス] スナップインを閉じます。
関連するセットアップ手順
リモート アクセス サーバーを VPN サーバーとして構成
関連資料
Windows 2000 リソース キットの詳細については、こちらを参照してください。
注意
このシナリオにおいて、コンピュータおよびデバイスを構成するために使用した手続きは、サンプルとして紹介したものです。実際のネットワークでは、類似したコンピュータおよびデバイスを構成する場合でも、必要になる手順はそれぞれのケースで異なります。さらに各シナリオでは、目的とする機能を実現するために必要な手順だけを示しています。運用ネットワークにおいて必要になる、その他の手順については取り上げていません。すべてのシナリオは、特に表記しない限り Windows 2000 を使用してテストされています。また、ブラウザとして Microsoft Internet Explorer 5 以上を推奨します。