Windows2008R2とWindows7による、L2TP/IPSec環境からPPTP接続環境への変更

L2TP/IPSecが望ましいが、PPTPに変更する必要がある場合、
どこを変更すればよいかのメモ。


なお、変更元はL2TP/IPSecの事前共有キー形式からとする。


---2012/8/24 追記---
Microsoftのセキュリティチームのブログ記事「セキュリティ アドバイザリ 2743314 カプセル化されていない MS-CHAP v2 認証により、情報漏えいが起こる を公開」によると、PEAPでないMS CHAP v2 を使ったPPTPはセキュリティ的に問題があるとのこと。
よって、以下の記事の方法だけでは、認証方式は単なる「MS-CHAPv2」であるため、当然問題あり。
L2TPの追記(■RADIUSサーバーのセットアップ (dc)、■VPNクライアントの設定 (client)の2箇所)のようにすれば良いとは思うものの、検証環境が手元にないため、どのように変更すればOKなのかは確証が持てず・・・。
Windows2008R2とWindows7による、L2TP/IPSec接続環境の構築(構築 - 証明書編)
---2012/8/24 追記ここまで---

VPNサーバー

1.事前共有キーの削除
    1. ルーティングとリモートアクセス > プロパティ > セキュリティタブ
    2. 「カスタムIPSecポリシーをL2TP接続に許可する」のチェックをOff
2.ポートの変更

 L2TPとPPTPではルーティングとリモートアクセスのポートが異なるため、変更する。
 ルーティングとリモートアクセス > ポート > プロパティ を選択。
 以下の内容にて変更後に再起動。

デバイスの名前 リモートアクセス接続 デマンドダイヤルルーティング
WAN Miniport(PPTP) ■チェック □チェックしない
WAN Miniport(L2TP) □チェックしない □チェックしない

VPNクライアント

L2TP(事前共有キー)用の接続をコピーし、プロパティより以下を変更。

  • セキュリティタブの「VPNの種類」を「PPTP」へと変更

ルーター

社外→社内のファイアウォールのうち、ポートを開け閉め設定。

処理 プロトコル ポート
Open TCP 1723
Open 47 (GRE)
Close 50 (ESP)
Close UDP 500
Close UDP 4500

以上により、L2TPからPPTPへ変更し、接続することが可能に。


■所感

PPTPがあまりに簡単に接続できてしまうので、L2TP/IPSecの証明書認証の場合は、PPTPのポートを閉じておくことが重要と感じた。