以前、SSTPによる外部接続環境を以下の通り、構築した。
ただ、最近のスマートフォンの普及に伴い、SSTPでの接続だけでは難しくなってきた。
そのため、SSTP以外の接続方式を構築することにした時のメモ。
SSTPと同様に、まずは概要から。
■検討内容
- VPN方式
1.iOS
Apple - iOS:サポートしている VPN プロトコル
L2TP/IPSec、PPTPともに接続可能。
2.Android
IT Pro - 基礎編:スマホの接続はL2TP/IPsecで、機器やサービスの対応を要確認
公式の情報が余り見当たらないので、IT Pro の記事で。PPTP、L2TPともに接続可能な模様。
ただ、iOS・AndroidともにPPTPでは接続できないケース、NAT越えの問題がある模様。
businessnetwork.jp - AndroidのVPN接続阻む2つの壁――アライドテレシスが“普通のルーター”で解決策を提供
また、L2TP/IPSecの方がPPTPよりもセキュリティ的に安全な模様。
Kirie.net Blog - なぜPPTPよりもL2TP/IPsecなのか
ぶぶぶろぐ - RRASとIPSecの考察
よって、L2TP/IPSecで構築する。
- L2TP/IPSecでのIKE認証プロセス方式
事前共有キーと証明書認証の2つあり。
Microsoftでは、事前共有キーは推奨していない模様。
Microsoft KB281555 - Windows XP で L2TP 接続に事前共有キーを使用するための設定
Android2.3系以降では、証明書認証も可能な模様。
KLab DSAS開発者の部屋 - AndroidからL2TP/IPsec CRT VPNに接続する
よって、証明書認証で構築する。
証明書配布が容易なのは、ActiveDirectoryへの参加。
ただ、セキュリティ的にActiveDirectoryのメンバを外部公開は望ましくない。
Exchange Server フォーラム - Outlook Web Access(OWA)をDMZに配置したらよいか、それとも社内LANが良いのか、ご意見お伺いします
フィールドSEあがりの安納です - 【IDM】Active Directory の DMZ への展開シナリオ その1 〜 4つの AD DS モデル
Windows Server Forums - Whats better for AD in DMZ
- ユーザーの認証
VPNサーバーをスタンドアロンで運用するため、RADIUSでの認証となる。
- VPNサーバーはServerCoreにできるか?
VPNをサポートしていないとのこと。そのため、普通にインストールする形を取る。
-Microsoft Forum - What are my VPN options with Server Core hosted on Amazon EC2?
■用意した端末類
DMZを構築出できればよい。
- ActiveDirectoryドメインコントローラー
項目 | 内容 |
名前 | dc |
OS | Windows Server 2008 R2 ServicePack 1 |
所属 | example.localドメイン |
配置 | イントラネット |
役割 | ADDC、ADCS、NPS(RADIUSサーバー) |
- VPNクライアント
項目 | 内容 |
名前 | client |
OS | Windows7 x86 ServicePack 1 |
所属 | example.localドメイン |
配置 | 社外 |
証明書 | コンピュータ証明書(自動配布) |
- VPNサーバー
項目 | 内容 |
名前 | vpn |
OS | Windows Server 2008 R2 ServicePack 1 |
所属 | WORKGROUP |
配置 | DMZ |
証明書 | adより配布された証明書 |
役割 | ルーティングとリモートアクセス(RRAS) |