Windows Server 2003 - VistaでVPN接続

network windows

やりたいこと

  • 外出先からは、ダイヤルアップルータ経由でサーバー(Windows Server 2003 R2)にアクセスしたい。
  • 内部では、サーバーとクライアント機(Vista)だけ
  • とりあえず、固有ドメインではなくてDDNSで対応。

標準機能でPPTP接続ができるので、それを利用するのが一番早そう。

NICの設定

  1. サーバにNICを2枚用意
  2. 外部接続用NICの設定
    1. とりあえず名称を"External"に変更(任意)
    2. Externalをダイヤルアップルータと繋ぐ。
    3. ExternalのTCP/IP設定を固定にする。
      • 固定ならダイヤルアップルータのDHCPでも可。
  3. LAN接続用NICの設定
    1. とりあえず名称を"Internal"に変更(任意)
    2. Internalをスイッチ等と繋ぐ。
    3. InternalのTCP/IP設定を固定にする。

Active Directory ユーザーとグループの設定

  1. [Active Directory ユーザーとコンピュータ]を開く
  2. VPNアクセス用のグループを作成する。(e.g. Remote Access Group)
    1. スコープとグループの種類はデフォルト(グローバル&セキュリティ)でOK
  3. VPNアクセス用ユーザーの設定を変更する。
    1. VPNアクセスを許可するユーザーのプロパティを開く
    2. [ダイヤルイン]タブの[リモート アクセス許可]を[許可]にして[OK]を押下

RRASサーバーの設定

  1. [サーバーの役割管理]から[リモートアクセス / VPNサーバー]を追加
    1. [仮想プライベート ネットワーク(VPN)アクセスおよびNAT]を選択
    2. インターネットに接続するインターフェイスとしてExternalを指定
    3. VPNを割り当てるネットワークとしてInternalを指定
    4. リモート クライアントにDHCPを使ってアドレスを割り当てる場合は自動を選択
    5. インターネットへアクセスするネットワークのインターフェイスとしてInternalを指定
    6. 今回はRADIUSを使用しないので[いいえ]
  2. ポリシーの追加
    1. サーバーの[リモート アクセス ポリシー]を選択し、[新しいリモートアクセスポリシー]を選択
    2. [次へ]
    3. ポリシーの構成方法で、ウィザード使用のまま、適当な名前を付けて[次へ]
    4. アクセス方法で[VPN]を選択し[次へ]
    5. アクセス許可を[グループ]にし、上記で作成した"Remote Access Group"を追加。[次へ]
    6. 認証方法がMS-CHAPv2のみになっていることを確認し、[次へ]
    7. ポリシー暗号化で全部選択されてることを確認し、[次へ]
    8. [完了]

ダイヤルアップルータの設定

  1. ファイアウォールTCP:1723のポートを解放
  2. 静的IPマスカレードで、WAN側アドレス:1723 → Externalのアドレス:1723 になるように設定。
  3. VPNパススルーを有効にする。(必要なら)

DDNSの設定

  1. DDNSサービスで、WAN側アドレスにドメイン名を割り当てる

エラー 812 が出たら

認証は出来てるっぽい*1けど接続出来ない場合は、ポリシーの設定がミスっているので確認する。
認証方法を変更していない場合は、多分下記のどちらか?

  • [リモート アクセス許可]されたユーザーか?
  • VPNアクセスを許可したグループ(上記の例だとRemote Access Group)に所属するユーザーか?

参考文献

  1. 第2回 インターネットVPNの基礎知識 (1/3):VPN実践導入講座 - @IT
  2. (第4回)標準機能だけでVPN接続を提供する | 日経 xTECH(クロステック)
    • 直接の参考
  4. http://www.microsoft.com/japan/technet/archive/prodtechnol/winntas/plan/pptpudst.mspx?mfr=true
  5. http://www.microsoft.com/japan/windowsserver2003/technologies/networking/vpn/default.mspx
  6. リモート アクセス VPN のトラブルシューティング
    • エラーコード別対策。
  7. ITmedia エンタープライズ:How-To:特別企画:PPTPによるVPNの構築
    • あまりちゃんと読んでません。Linuxの場合?

*1:ユーザー and/or パスワード が間違っていると、再入力ダイアログが出る