4.4 VPN Server への接続方法
「PacketiX VPN Client」をインストールして「仮想 LAN カード」を作成したら、次に適切な接続設定を行うことによって、目的の
PacketiX VPN Server の「仮想 HUB」へ接続します。ここでは、新しい接続設定を作成する際に、入力が必要となる項目について解説します。
また、「3.4.11 カスケード接続機能」 において説明した、VPN Server または VPN Bridge の仮想 HUB による別のコンピュータ上の
VPN Server または VPN Bridge
への「カスケード接続」を行う際の設定項目の内容も、ほぼここで解説されている内容と同一です。カスケード接続の接続設定と VPN Client
の接続設定の編集画面はほぼ同一のものであり、それによって設定された結果の動作も同じです。カスケード接続を使用する場合も、ここで解説されている内容を参考にしてください。
4.4.1 適切な接続方法の選択
接続設定の作成
「PacketiX VPN Client」のインストール後の初期状態では、接続設定は 1 つも登録されていません。「PacketiX VPN
Server」へ接続して VPN 通信を行うためには、新しい接続設定を作成する必要があります。新しい接続設定を作成するには、「VPN
クライアント接続マネージャ」の [接続] メニューから [接続設定の新規作成]
を選択してください。以後、接続設定の作成または各項目の編集に関する説明は、この画面を開いていることを想定して行います。
図4-4-1 接続設定の作成・編集画面 |
PacketiX VPN Client をインストールしたコンピュータから、目的の PacketiX VPN Server の仮想 HUB
に接続するためには、まずクライアントコンピュータからサーバーコンピュータまでの間のネットワークの環境に応じて、適切な「接続方法」を選択する必要があります。接続方法は
[経由するプロキシサーバーの設定] 内の選択肢から選択します。また、プロキシサーバーを経由する場合は、[プロキシサーバーの接続設定]
ボタンをクリックしてパラメータを入力する必要があります。
選択することができる接続方法は、以下の 3 種類です。
- 直接 TCP/IP 接続
- HTTP プロキシサーバー経由接続
- SOCKS プロキシサーバー経由接続
接続先 VPN Server の指定
どの接続方法を使用する場合でも、その接続設定において接続する先の VPN Server の「ホスト名」「ポート番号」および「仮想 HUB
名」を正しく入力する必要があります。「ポート番号」は、デフォルトで「8888」が選択されていますが、接続先 VPN Server
で「リスナーポート」として待機している TCP/IP ポートなら、どれでも指定できます。特に、HTTP
プロキシサーバーを経由する場合や、ネットワーク上のファイアウォールの設定が厳しい場合は「443」(HTTPS 通信のためのポート)
の使用を検討してください。使用する「ポート番号」に関する設定については、VPN Server の管理者にお問い合わせください。
4.4.2 直接 TCP/IP 接続
「直接 TCP/IP 接続」は、VPN クライアントコンピュータと VPN サーバーコンピュータとの間の IP 通信を行う際に、直接「IP
ルーティングのみ」で接続することができる環境である場合に使用します。たとえば、VPN クライアントコンピュータと VPN
サーバーコンピュータの両方が、インターネットのグローバル IP アドレスに直接接続されている場合や、通常の NAT
や透過型ファイアウォールが間に存在する場合などは、直接 TCP/IP 接続を選択してください。
図4-4-2 直接 TCP/IP 接続 |
4.4.3 HTTP プロキシサーバー経由接続
直接 TCP/IP 接続を使用することができない場合でも、「HTTP プロキシサーバー」を経由することによって、VPN Server
に対して接続することができます。
図4-4-3 HTTP プロキシサーバー経由接続 |
HTTP プロキシサーバーを経由して VPN Server に接続する場合は、[HTTP プロキシサーバー経由接続]
を選択してから [プロキシサーバーの接続設定] ボタンをクリックし、必要項目を入力します。[プロキシサーバーの接続設定]
ダイアログで入力する項目について不明な点がある場合は、HTTP サーバーの管理者にお問い合わせください。
図4-4-4 プロキシサーバー経由のための設定項目画面 |
「CONNECT
メソッド」に対応している、標準的なプロキシサーバーを経由することができます。なお、プロキシサーバーによっては CONNECT
メソッドによる接続をポート番号 443 に対してのみ許可しているような場合があります。このような場合は、事前に接続先 PacketiX
VPN Server の 443 番ポートをリスナーポートとしておき、そのポートに対して接続を試行してください。デフォルトでは VPN Server は 443 番ポートを有効にしていますが、VPN Server
とは別のソフトウェアによって 443 番ポートが使用されている場合もありますのでご注意ください。詳しくは接続先 VPN
Server の管理者にお問い合わせください。 |
4.4.4 SOCKS プロキシサーバー経由接続
直接 TCP/IP 接続を使用することができない場合でも、「SOCKS プロキシサーバー」を経由することが出来れば、VPN Server
に対して接続することができる場合があります。
図4-4-5 SOCKS プロキシサーバー経由接続 |
SOCKS プロキシサーバーを経由して、VPN Server に対して接続する場合は、[SOCKS プロキシサーバー経由接続]
を選択してから [プロキシサーバーの接続設定] ボタンをクリックし、必要項目を入力します。[プロキシサーバーの接続設定]
ダイアログで入力する項目について不明な点がある場合は、SOCKS サーバーの管理者にお問い合わせください。
本マニュアル執筆時において、PacketiX VPN Client はSOCKS プロトコル
「バージョン 4」に対応しており、バージョン 5 には対応していません。 |
4.4.5 サーバー証明書の検証
サーバー証明書の検証の有効化
「2.3 サーバー認証」 で解説されているように、VPN 接続元コンピュータは、VPN 接続先の VPN Server
の「サーバー証明書」の正当性を検証することにより、接続先 VPN Server
が正しいコンピュータであり、間に中間攻撃者などが存在しないことが数学的計算によって保証されます。「サーバー証明書」の検証処理が必要となるような高セキュリティ用途においては、サーバー証明書を検証するオプションを使用してください。
[サーバー証明書を必ず検証する] チェックボックスを有効にすると、その接続設定を用いて VPN 接続を行う際に、サーバーの SSL
証明書を検証するようになります。このチェックボックスはデフォルトで無効ですので、必要な場合に有効にしてください。
[信頼する証明機関の証明書の管理] ボタンをクリックすると、VPN Client (カスケード接続にあたってはその仮想 HUB)
が管理する、信頼する証明機関の証明書一覧ウインドウが表示されるので、ここで信頼する証明書を追加、削除または確認することができます。VPN 接続時に
[サーバー証明書を必ず検証する] が有効になっている場合、VPN Client (または仮想 HUB) は、接続先の VPN Server
が提示した証明書が信頼する証明書一覧によって署名されているかどうかをチェックし、署名されている場合のみ接続を続行します。
図4-4-6 サーバー証明書検証オプション設定画面 |
[固有証明書の登録] ボタンをクリックすると、その接続設定で接続する VPN Server
のサーバー固有証明書を事前に関連付けておくことができます。これにより、接続先 VPN Server
のサーバー証明書をすでに持っている場合は、その証明書を登録しておくことによってサーバー認証を行うことができます。接続先 VPN Server
の規模が小さい場合は、この方法で簡単にサーバー認証を行うことができます。
証明書検証が有効な状態で接続した際に、接続先 VPN Server が信頼できないサーバー証明書を提示した場合に表示される画面について
(VPN Client の場合のみ)
[サーバー証明書を必ず検証する] チェックボックスが「有効」になっている場合に、VPN Server に接続した場合で、接続先 VPN
Server が提示した証明書が信頼できないと判定された場合は、[セキュリティの警告] 画面が表示されます。この画面では、VPN Server
が提示した証明書の詳細情報を表示させることができます。この表示内容を見て、接続先 VPN Server
が信頼できるかどうかを判断してください。たとえば、電話などの比較的安全な手段で、VPN Server
の管理者に、表示されたダイジェスト値が正しいかどうかを確認するなどの方法で、ある程度の安全性を確保することができます。ここで
[接続をキャンセル] ボタンをクリックすると、VPN Server への接続処理はキャンセルされます。
図4-4-7 サーバー証明書が信頼できない場合の警告画面 |
[接続を続ける] ボタンをクリックすると、この証明書を信頼するかどうかを、ユーザーが選択するメッセージボックスが表示されます。ここで
[はい] をクリックすると、この証明書を接続設定における [固有証明書] として登録し、次回から VPN Server
が提示する証明書に変化がない限り警告は表示されなくなります。[いいえ] をクリックすると登録されません。
図4-4-8 サーバー証明書を次回から信頼するかどうか選択する画面 |
もし、接続設定に登録されている固有証明書と、VPN Server
が提示した証明書が異なる場合は、下記のような画面が表示されます。このような場合は、すぐに接続を切断することが推奨されます。
図4-4-9 サーバー証明書が前回接続時と異なる場合の警告画面 |
ここで説明したような各種警告画面は、「PacketiX VPN Client」のみ
で表示されます。PacketiX VPN Server および PacketiX VPN Bridge
でカスケード接続を行う場合は、これらの警告画面は表示されず、自動的に接続エラーとなりますのでご注意ください。 |
4.4.6 使用する仮想 LAN カードの選択
VPN Client では、接続設定に対して仮想 LAN カードを選択する必要があります。仮想 LAN カードは、「4.3 仮想 LAN カード」
の説明にしたがって、事前に Windows に登録しておく必要があります。接続設定を作成する場合は、その接続設定で、VPN Server
に接続する際に使用する仮想 LAN カードを [使用する仮想 LAN カード] の一覧から選択します。
4.4.7 ユーザー認証の設定
使用するユーザー認証の選択
接続設定では、「ユーザー認証」に関する設定項目も入力する必要があります。[認証の種類] で使用するユーザー認証の方法を下記の中から 1
つ選択します。
- 匿名認証
- 標準パスワード認証
- Radius または NT ドメイン認証
- クライアント証明書認証
- スマートカード認証
(「VPN Client」の場合のみ。「カスケード接続」の際には使用できません)
また、どのユーザー認証方法を使用する場合でも、[ユーザー名]
は必ず入力する必要があります。その他の必要項目は、選択した認証方法によって異なります。
匿名認証を選択した場合の必要項目
「匿名認証」を使用する場合は、ユーザー名以外に入力が必要な項目はありません。匿名認証については、「2.2.1 匿名認証」 を参照してください。
標準パスワード認証、Radius または NT ドメイン認証を選択した場合の必要項目
「標準パスワード認証」、または「Radius または NT
ドメイン認証」を使用する場合は、ユーザー認証に使用する「パスワード」を入力してください。
ここで入力した「パスワード」は保存され、VPN
Client の接続情報としてディスクドライブに書き込まれます。
この動作がセキュリティー上好ましくない場合は、パスワードを入力せずに空欄のままにしておくことで、パスワードを接続設定の一部として保存せずに、VPN Server
に接続する際に毎回パスワードを入力する画面が表示されるようにすることが可能です。 |
パスワード認証については、「2.2.2 パスワード認証」、「2.2.3 Radius 認証」 および 「2.2.4 NT ドメインおよび Active Directory 認証」 を参照してください。
クライアント証明書認証を選択した場合の必要項目
「クライアント証明書認証」を使用する場合は、VPN Server に対してクライアント証明書として提示する証明書を指定する必要があります。証明書を指定するには、[クライアント証明書の指定] ボタンをクリックしてください。
証明書認証については、「2.2.5 固有証明書認証」 および 「2.2.6 署名済み証明書認証」 を参照してください。
なお、ここで指定した「クライアント証明書」および「秘密鍵」は、VPN Client の設定情報としてディスクドライブに書き込まれます。VPN
Client の設定情報が記録されたファイルは、通常は「Administrators 権限」を持つユーザーにしか読み出すことはできないので安全ですが、VPN
Client をインストールしたノート PC
が盗難に遭った場合などは、ハードディスクの中身が解析されて秘密鍵データが盗み出される可能性があります。このような危険性を排除したい場合は、「スマートカード認証」の使用を推奨します。
スマートカード認証を選択した場合の必要項目
「スマートカード認証」を使用する場合は、クライアント証明書として VPN Server
に対して提示する証明書が入った「スマートカード」と、スマートカード内の「オブジェクト名」を指定する必要があります。まず [使用スマートカード選択]
ボタンをクリックして、使用するスマートカードを選択してから、[証明書と秘密鍵の指定]
をクリックして認証に使用する「証明書オブジェクト」と「秘密鍵オブジェクト」を選択してください。なお、スマートカードについては 「4.6 スマートカードの使用と管理」
を参照してください。
4.4.8 スマートカード認証の使用
VPN Client では、「スマートカードによるユーザー認証」をサポートしています。VPN Client が VPN Server に対して
VPN 接続を行う場合のユーザー認証として「スマートカード認証」を使用する場合、VPN Server 側から見ると、VPN Client
は通常の証明書認証モードで接続してきたように見えますが、VPN Client
はその証明書をハードディスクではなくスマートカードから読み出し、また秘密鍵はスマートカード内から取り出すことなく、スマートカード内の RSA
演算チップによって PKI の認証処理を行うことになりますので、クライアント証明書認証と比較して安全な認証方法です。
スマートカードについて、詳しくは 「4.6 スマートカードの使用と管理」 を参照してください。
4.4.9 自動再接続機能
「2.1.3 通信効率および安定性」 の「VPN 接続に失敗したり VPN 通信中に接続が切断された場合の再接続設定
」で解説されている自動再接続に関する設定を行うことができます。「自動再接続機能」を使用する場合は、[VPN Server
との通信が切断された場合は再接続する] チェックボックスを「有効」にし、[再接続回数] と [再接続間隔]
を指定してください。[無限に再接続を試行する (常時接続)] チェックボックスを「有効」にすることにより、VPN Server
との接続がうまくいかない間は、常に再接続を試行するように設定することもできます。
なお、スマートカード認証を使用する場合は、再接続を行う際のユーザー認証で、常に「PIN
コード」の入力が求められるため、自動再接続機能は使用できません。
4.4.10 接続状況およびエラーの表示
[VPN Server への接続処理中に接続状況やエラー画面を表示しない] チェックボックスを「有効」にすると、VPN Server
への接続やエラー発生時の画面などが画面上に表示されなくなります。たとえば、下記のような画面は表示されず、バックグラウンドで自動的に接続処理が行われます。
図4-4-10 VPN Client による接続状況表示画面 |
4.4.11 高度な通信設定
[高度な通信設定] ボタンをクリックすると、「2.1 VPN 通信プロトコル」
で解説されているような高度な通信設定オプションを変更することができます。この設定項目は、ネットワーク・通信プロトコル・およびセキュリティに関する詳しい知識をお持ちの方とシステム管理者向けのオプションです。一般のエンドユーザーがこの項目を設定する場合は、VPN
Server の管理者やネットワーク管理者から変更を指示された場合のみにしてください。
図4-4-11 [高度な通信設定] 画面 |
4.4.12 VPN セッションの通信に使用する TCP/IP コネクション数
[高度な通信設定] 項目のうち、[VPN セッションの通信に使用する TCP/IP コネクション数]
の値を調整することができます。これは、「2.1.3 通信効率および安定性」 の「VPN 通信に使用する TCP/IP のコネクションの本数」で解説されている値です。
4.4.13 TCP コネクションの確立間隔および寿命
[高度な通信設定] 項目のうち、[TCP コネクションの確立間隔] および [寿命] の値を調整することができます。これは、「2.1.3 通信効率および安定性」
の「各 TCP/IP コネクションの確立間隔」および「各 TCP/IP コネクションの寿命」で解説されている値です。
4.4.14 半二重モードオプション
[高度な通信設定] 項目のうち、[半二重モードを使用する] オプションを有効化または無効化することができます。これは、「2.1.3 通信効率および安定性」 の「半二重モードの使用」で解説されている機能
です。
4.4.15 SSL 暗号化オプション
[高度な通信設定] 項目のうち、[VPN Server との間の通信を SSL で暗号化する]
オプションを「無効化」することができます。これは、「2.1.3 通信効率および安定性」 の「暗号化オプションの無効化」で解説されている機能です。なお、「localhost」(接続元と同じホスト) 上で動作している VPN Server
に対して接続する場合は、SSL 暗号化は不要ですので、このチェックボックスは自動的に解除されます。
4.4.16 データ圧縮オプション
[高度な通信設定] 項目のうち、[データ圧縮を使用する] オプションを有効化または無効化することができます。これは、「2.1.3 通信効率および安定性」 の「データ圧縮の使用」で解説されている機能
です。
4.4.17 接続モードの選択
[高度な通信設定] 項目のうち、[接続モードの選択] で、以下の「接続モード」を「有効」にすることができます。
これらの接続モードを有効にすると、VPN Server
への接続セッションについては、その接続モードが有効になります。これらの特殊な接続モードに関しては、「1.6.8 クライアントモードセッション」、「1.6.9 ブリッジ / ルータモードセッション」 および
「1.6.10 モニタリングモードセッション」 を参照してください。
4.4.18 ルーティングテーブルの書き換え処理
[高度な通信設定] 項目で [ルーティングテーブルの書き換え処理を行わない] は、デフォルトで「無効」です。
VPN Client は VPN Server に対して接続する際に、VPN 接続後の仮想 LAN
カード側をデフォルトゲートウェイとする場合でも、正しく VPN 通信が行われるように、自動的に Windows の「ルーティングテーブル
」を書き換えます。
特別な理由があり、ルーティングテーブルの書き換え処理を行わないようにしたい場合は、このチェックボックスをチェックしてください。
4.4.19 スタートアップ接続
「VPN クライアント接続マネージャ」で、接続設定を選択してから [接続] メニューの [スタートアップ接続に設定]
をクリックすると、その接続を「スタートアップ接続」にすることができます。「スタートアップ接続」に設定された接続設定は、Windows
が起動した際に、自動的に接続処理を開始します。
たとえば、コンピュータが起動している間は、常に特定の仮想 HUB
に接続した状態にしておきたい場合は、その接続設定をスタートアップ接続に設定し、「無限に再接続をする」設定にしておきます。これにより、たとえ
Windows にユーザーがログオンしていない状態でも、Windows 起動時に、自動的にその接続設定を使用して VPN Server
に接続を試みます。
なお、「VPN クライアント接続マネージャ」上では、スタートアップ接続として登録された接続設定のアイコンが下記のように変わります。
図4-4-12 スタートアップ接続時のアイコン |
4.4.20 接続設定のエクスポートとインポート
エクスポートとインポート
VPN Client
に登録されている接続設定は、「エクスポート」してファイルとして保存することができます。また、一度エクスポートした接続設定を、後からそのコンピュータまたは別のコンピュータで動作している
VPN Client に対して「インポート」することにより、接続設定をコピーすることができます。
接続設定を「エクスポート」する場合は、その接続設定を選択してから [接続] メニューの [接続設定のエクスポート]
をクリックしてください。次に、接続設定を保存する「ファイル名」を指定してください。
後から接続設定を「インポート」する場合は、その接続設定ファイルをエクスプローラやフォルダウインドウ上でダブルクリックだけで、簡単にインポートすることができます。
直接「VPN
クライアント接続マネージャ」から、インポート操作を行いたい場合は、[接続] メニューの [接続設定のインポート]
をクリックして、エクスポートされた「接続設定ファイル名」を指定してくたざい。
エクスポート機能およびインポート機能の利用方法
VPN Server または仮想 HUB
の管理者は、この機能を使用してユーザーに対して接続設定ファイルを「配布」することにより、ユーザーはその接続設定ファイルをダブルクリックするだけで簡単にコンピュータで動作している
VPN Client にその接続設定データを追加することができます。また、インポートされた接続設定をさらに「編集」して使用することもできます。
エクスポートされる接続設定ファイルの内容
外部ファイルとしてエクスポートされる接続設定ファイルは、拡張子が「.vpn」という特殊なテキストファイルです。この接続設定ファイルの内容は、下記のようになっています。
# VPN Client 接続設定ファイル
#
# このファイルは VPN クライアント接続マネージャによってエクスポートされたものです。
# このファイルの内容はテキストエディタで編集することができます。
#
# このファイルをクライアント接続マネージャにインポートすると、すぐに使用する
# ことができます。
declare root
{
bool CheckServerCert false
bool StartupAccount false
declare ClientAuth
{
uint AuthType 0
string Username testuser
}
declare ClientOption
{
string AccountName テスト接続
uint AdditionalConnectionInterval 1
uint ConnectionDisconnectSpan 0
string DeviceName TEST
bool HalfConnection false
bool HideStatusWindow false
string Hostname testserver.softether.com
string HubName TEST
uint MaxConnection 1
bool NoRoutingTracking false
uint NumRetry 4294967295
uint Port 8888
uint PortUDP 0
string ProxyName $
byte ProxyPassword $
uint ProxyPort 0
uint ProxyType 0
string ProxyUsername $
bool RequireBridgeRoutingMode false
bool RequireMonitorMode false
uint RetryInterval 15
bool UseCompress false
bool UseEncrypt true
}
}
|
上記の例のように、接続設定ファイルの内容は、すべてテキストで書かれています。もし、ひらがな・漢字などの多バイト文字がある場合は、「UTF-8」でエンコードされます。このテキストファイルの内容は通常は編集する必要はありませんが、手動で編集したり、上記のような接続設定ファイルを自動で作成するプログラムを書いたりすることもできます。
4.4.21 接続設定へのショートカットの作成
VPN Client
に登録されている接続設定に、「ショートカットファイル」を作成することができます。ここでいう「ショートカット」とは、Windows
において、ファイルやフォルダなどに対して作成することができるショートカットファイルと同様の意味です。
接続設定に対するショートカットファイルを作成するには、接続設定を選択してから [接続] メニューの [接続ショートカットの作成]
をクリックしてから、作成するショートカットファイルの「ファイル名」を指定してください。ショートカットファイルが作成されれば、そのショートカットファイルは
Windows
で通常のファイルを設定することができる場所であればどこにでも設置できます。たとえば、デスクトップやクイック起動ツールバーなどに設置することも可能です。
図4-4-13 接続設定へのショートカットファイル |
接続設定がオフライン状態のとき、その接続設定へのショートカットファイルをダブルクリックして起動すると、自動的に VPN
接続が開始されます。また、VPN 接続処理中、または VPN
接続が完了している接続設定へのショートカットファイルをダブルクリックして起動すると、その接続設定を切断するかどうかを問い合わせるメッセージボックスが表示され
ます。[はい]のボタンをクリックすることで接続設定を切断することができます。
図4-4-14 すでに接続されている接続設定へのショートカット起動時に表示される画面 |
4.4.22 VPN Server および VPN Bridge のカスケード接続設定
「3.4.11 カスケード接続機能」 で解説したように、VPN Server および VPN Bridge の仮想 HUB を、別の仮想 HUB
にカスケード接続するための設定を、「VPN サーバ管理マネージャ」を用いて編集する際にも、「VPN
クライアント接続マネージャ」で接続設定を作成または編集するためのものと同様のユーザーインターフェイスを用いて、接続設定項目の編集を行うことができます。
なお、カスケード接続設定の場合は下記の項目を入力する必要はありません。
- 使用する LAN カードの選択項目
- 再接続間隔および再接続回数
(常に 10 秒間隔で「無限回数」の再接続を試行します。)
- 接続モードの設定
(常に「ブリッジ / ルータモード」として接続します。)
- ルーティングテーブルの書き換え処理に関する項目
(カスケード接続では、ルーティングテーブルの書き換え処理は必要ありません。)
|