Windows2008R2とWindows7による、L2TP/IPSec接続環境の構築(概要編)

以前、SSTPによる外部接続環境を以下の通り、構築した。


ただ、最近のスマートフォンの普及に伴い、SSTPでの接続だけでは難しくなってきた。
そのため、SSTP以外の接続方式を構築することにした時のメモ。
SSTPと同様に、まずは概要から。

■検討内容

 スマートフォンで可能な、VPNの接続方式を調べてみた。

 1.iOS
  Apple - iOS:サポートしている VPN プロトコル
  L2TP/IPSecPPTPともに接続可能。


 2.Android
  IT Pro - 基礎編:スマホの接続はL2TP/IPsecで、機器やサービスの対応を要確認
  公式の情報が余り見当たらないので、IT Pro の記事で。PPTP、L2TPともに接続可能な模様。


 ただ、iOSAndroidともにPPTPでは接続できないケース、NAT越えの問題がある模様。
 businessnetwork.jp - AndroidのVPN接続阻む2つの壁――アライドテレシスが“普通のルーター”で解決策を提供


 また、L2TP/IPSecの方がPPTPよりもセキュリティ的に安全な模様。
 Kirie.net Blog - なぜPPTPよりもL2TP/IPsecなのか
 ぶぶぶろぐ - RRASとIPSecの考察
 

 よって、L2TP/IPSecで構築する。


  • L2TP/IPSecでのIKE認証プロセス方式

 事前共有キーと証明書認証の2つあり。
 Microsoftでは、事前共有キーは推奨していない模様。
 Microsoft KB281555 - Windows XP で L2TP 接続に事前共有キーを使用するための設定


 Android2.3系以降では、証明書認証も可能な模様。
 KLab DSAS開発者の部屋 - AndroidからL2TP/IPsec CRT VPNに接続する


 よって、証明書認証で構築する。


  • DMZに配置するVPNサーバーの所属

 証明書配布が容易なのは、ActiveDirectoryへの参加。
 ただ、セキュリティ的にActiveDirectoryのメンバを外部公開は望ましくない。
 Exchange Server フォーラム - Outlook Web Access(OWA)をDMZに配置したらよいか、それとも社内LANが良いのか、ご意見お伺いします
 フィールドSEあがりの安納です - 【IDM】Active Directory の DMZ への展開シナリオ その1 〜 4つの AD DS モデル
 Windows Server Forums - Whats better for AD in DMZ


 よって、VPNサーバーはスタンドアロンで構築する。


  • ユーザーの認証

 VPNサーバーをスタンドアロンで運用するため、RADIUSでの認証となる。

  • VPNサーバーはServerCoreにできるか?

 VPNをサポートしていないとのこと。そのため、普通にインストールする形を取る。
 -Microsoft Forum - What are my VPN options with Server Core hosted on Amazon EC2?

■用意した端末類

DMZを構築出できればよい。

項目 内容
名前 dc
OS Windows Server 2008 R2 ServicePack 1
所属 example.localドメイン
配置 イントラネット
役割 ADDC、ADCS、NPS(RADIUSサーバー)
  • VPNクライアント
項目 内容
名前 client
OS Windows7 x86 ServicePack 1
所属 example.localドメイン
配置 社外
証明書 コンピュータ証明書(自動配布)
  • VPNサーバー
項目 内容
名前 vpn
OS Windows Server 2008 R2 ServicePack 1
所属 WORKGROUP
配置 DMZ
証明書 adより配布された証明書
役割 ルーティングとリモートアクセス(RRAS)

■図

なお、図で使用しているアイコンは、OSAの OSA Icon Library 11.02 を利用しています。
ありがとうございます。