本文へジャンプします。

Windows Serverで「L2TP/IPsec」環境を実装してみる

こんにちは、ニフティクラウドテクニカルアカウントチームです。
今回はニフティクラウド上でリモートアクセスVPN環境を構築してみます。

はじめに

ニフティクラウド上でリモートアクセスVPN環境を構築してみて、性能測定を行った結果をブログに記載いたします。

ニフティクラウドのサービスでVPN環境を構築する場合、現在は拠点間アクセスVPNで実装する必要があります。サービスとしてはVPNゲートウェイや、インターネットVPN(H/W)があります。
しかし、商談の支援を行う中で、「外出先の端末からセキュアにアクセスする方法が欲しい」などの要望をいただくことが多くあります。本要望を実現する選択肢として、拠点間VPNではなくリモートアクセスのVPN環境を構築する方法があります。そのため、今回はリモートからVPNでクラウド環境にアクセスする方法のご紹介となります。
※ニフティの責任範囲外になるため、実施する場合にはお客様の判断にて実施をお願いします。

対象 OS サーバータイプ グローバルIP プライベートIP 備考
Windows Server(L2TP/IPsec) Windows Server 2012 R2 large8 ○○○.○○○.○○○.○○○ 192.168.1.11 VPNサーバーとしてWindowsの機能で構築
Netperf クライアント(Windows Server) Windows Server 2012 R2 large8 ×××.×××.×××.××× 記載不要 VPNクライアントとしてWindows Serverで構築
Netperf クライアント(Windows7) Windows7 △△△.△△△.△△△.△△△ 記載不要 VPNクライアントとしてWindows7の端末で構築
Netperf サーバー(Windows) Windows Server 2012 R2 large8 192.168.1.33 クライアントからVPN接続後疎通確認と性能測定用に構築

前提条件

本ブログの構成実現は、以下の前提知識がある方を想定しています。

  • ニフティクラウドの基本的なコントロールパネルの操作ができる方
    (サーバー作成、ネットワーク構築など)
  • 基本的なWindows Server OSの設定が出来る方
    (IPアドレスの設定、ファイアウォール設定など)

L2TP/IPsec環境の構築

実際にL2TP/IPsec環境を構築します。
上記図の構成でネットワークの構成、サーバーの作成などは完了している前提で記載します。
また、ニフティクラウドのファイアウォールは適切に設定しています。

Windows Server L2TP/IPsec サーバーの構築

まず、VPNのサーバー側の構築を行います。

  • サーバーマネージャーの「役割と機能の追加」から「リモートアクセス」の役割を追加します。基本的には画面に従って進んでいけばOKです。

リモートアクセスのインストールまで完了したので、実際にVPNサーバーとしての設定を実施します。

  • サーバーマネージャーを起動すると右上に表示される「!マーク」をクリックし、ポップアップにある「作業の開始ウィザードを表示する」をクリックします。

  • 「リモートアクセスの構築」画面で「VPNのみを展開します(V)」をクリックします。

  • 「ルーティングとリモートアクセス」の画面で対象のサーバーを右クリックし、「ルーティングとリモートアクセスの構築と有効化(C)」を選択します。
  • 「ルーティングとリモートアクセスサーバーのセットアップウィザード」の画面が表示されるので、「次へ(N)」をクリックします。

  • 「構成」の画面で、今回は「カスタム構成(C)」を選択し、「次へ(N)」をクリックします。
  • 「カスタム構成」画面が出力されるので、「VPNアクセス(V)」にチェックを入れて「次へ(N)」をクリックします。
  • 「ルーティングとリモートアクセスサーバーのセットアップウィザードの完了」と表示されるので、「完了」をクリックします。

その後、ルーティングとリモートアクセスのサービスを開始するポップアップが表示されるため「サービスの開始」をクリックします。

次にVPN接続で使用するユーザーの設定を行います。

  • ローカルユーザーとグループから対象のユーザーのプロパティを開きます。
  • 「ダイヤルイン」タブの「リモートアクセス許可」の設定で「アクセスを許可(W)」を選択し、「OK」をクリックします。

再度、「ルーティングとリモートアクセス」の画面を開いて設定の続きを行います。

  • 対象のサーバーを右クリックし「プロパティ(R)」を選択します。
  • 「セキュリティ」タブの「カスタム IPsecポリシーをL2TP/IKEv2接続で許可する(L)」にチェックを入れ、事前共有キー(K)を設定し「OK」をクリックします。

  • 「…ルーティングとリモートアクセスを再起動する必要があります」とポップアップが出力されるので、「OK」をクリックします。
  • 設定を反映させるため、対象のサーバーを右クリックし、「すべてのタスク(K)」内の「再起動(E)」をクリックしてサービスを再起動します。

次にVPNトンネルの設定を行います。
ルーティングとリモートアクセスの画面を開き、対象のサーバーを右クリックし、「プロパティ」を選択します。

  • 「IPv4」タブの「IPv4 アドレスの割り当て」で「静的ホスト構成プロトコル」を選択し、「追加」をクリックします。出力される画面上でIPアドレスの範囲を設定し、「OK」をクリックします。
    ※ここでニフティクラウド側で作成したプライベートLANで設定したCIDR内のIPアドレスで範囲を指定します。VPN接続したクライアントはここで指定した範囲のIPアドレスを利用することになります。

  • 設定を反映させるため、対象のサーバーを右クリックし、「すべてのタスク(K)」内の「再起動(E)」をクリックします。

ここまででVPNサーバーの基本的な構築が完了しました。
それなりに長いですが、比較的容易に設定が可能かと思います。

Windows Server L2TP/IPsec クライアントの構築

次にVPNクライアントの構築を行います。
まずはクライアントにWindows Serverを利用した場合の構築です。

※ここからはクライアント用のWindows Serverで実施する作業になります。

  • コントロールパネルから「ネットワークと共有センター」を選択します。
  • 「新しい接続またはネットワークのセットアップ」を選択します。
  • 「職場に接続します」を選択し、「次へ(N)」をクリックします。

  • 「インターネット接続(VPN)を使用します(I)」をクリックします。
  • 「インターネットアドレス(I)」と「接続先の名前(E)」を入力し、「作成(C)」をクリックします。インターネットアドレスは接続先VPNサーバーのグローバルIPアドレスを指定し、接続先の名前は任意で設定します。
  • 作成されたネットワークを右クリックし、「プロパティ(R)」を選択します。

  • 「セキュリティ」タブの「VPNの種類(T)」を「自動」から「IPsecを利用したレイヤー 2トンネリング プロトコル(L2TP/IPSec)」へ変更し、「詳細設定(S)」をクリックします。
  • 「詳細プロパティ」の画面でVPNサーバー構築で設定した「事前共有キー」を入力し、「OK」をクリックします(今回は「L2TPWindows」)。
  • 「ネットワーク」タブの「インターネット プロトコル バージョン4 (TCP/IPx4)」を選択し、「プロパティ(R)」をクリックします。

  • 「詳細設定(V)」をクリックします。
  • 「IP設定」タブの「リモートネットワークでデフォルトゲートウェイを使う(U)」のチェックを外します。

これでクライアントにWindows Serverを利用した場合の構築が完了です。

Windows7 L2TP/IPsec クライアントの構築

次にWindows7端末をクライアントとして利用した場合の構築についても記載します。
基本的な設定は前述したサーバーOSの設定方法と変わりなく構築が可能となります。
リモートアクセスという観点からサーバーOSをクライアントにするより、こちらのほうが利用する機会は多いかもしれません。

  • コントロールパネルの「ネットワークと共有センター」から「新しい接続またはネットワークのセットアップ」をクリックします。
  • 「接続またはインターネットのセットアップ」ウィザードが起動するので、「職場に接続します」を選択し、「次へ(N)」をクリックします。

  • 「既存の接続を使用しますか?」の画面が表示されるので、「いいえ、新しい環境を作成します(C)」を選択し、「次へ(N)」をクリックします。
  • 「インターネット接続(VPN)を使用します(I)」をクリックします。
  • 「インターネット アドレス(I)」と「接続先の名前(E)」を入力し、「今は接続しない。自分が後で接続できるようにセットアップのみを行う(D)」にチェックを入れ、「次へ(N)」をクリックします。接続先の名前は任意でOKです。

  • 「ユーザー名(U)」と「パスワード(P)」を入力し、「作成(C)」をクリックします。
  • 作成したネットワークを右クリックし、「プロパティ(R)」をクリックします。
  • 「セキュリティ」タブを開き、「VPNの種類(T)」を「自動」から「IPsecを利用したレイヤー2トンネリング プロトコル(L2TP/IPsec)」に変更し、「詳細設定(S)」をクリックします。

  • 事前認証キー(K)を入力し、「OK」をクリックします。VPNサーバー構築時に設定した事前共有キーを記入します(今回は「L2TPWindows」)。
  • 「インターネット プロトコル バージョン4(TCP/IPv4)」を選択し、「プロパティ(R)」をクリックします。
  • 「詳細設定(V)」をクリックします。
  • 「リモートネットワークでデフォルト ゲートウェイを使う(U)」のチェックを外し、「OK」をクリックします。

ここまででクライアントにWindows7端末を利用した場合の構築が完了です。

Windows Server L2TP/IPsec クライアント 接続確認~疎通テスト

ここから、Windows Server L2TP/IPsec クライアントから実際にVPN接続を行いNetparfサーバー(Windows)への疎通確認まで実施します。

  • Netperfクライアント(Windows Server)にログインし、コントロールパネル-ネットワークとインターネット-ネットワーク接続を開き、「VPN-L2TP」を右クリックし、「接続/切断(O)」をクリックします。
  • 「VPN-L2TP」を選択し、「接続(C)」をクリックします。
  • 「VPN-L2TP」が「接続済み」になったことを確認します。

  • コマンドプロンプトを起動し、「ipconfig /all」を入力します。VPN-L2TPのIPv4のアドレスが、サーバー構築時に設定した「192.168.1.101~105」の間である192.168.1.102となっていることがわかります。
  • コマンドプロンプトを起動し、NetperfServer(Windows Server)(192.168.1.33)に疎通できることをpingを使って確認します。

Windows Server(L2TP/IPsec)の画面からも192.168.1.102がNetperfクライアント(Windows Server)に付与していることを確認します。

  • ルーティングとリモートアクセスを開き「リモートアクセスクライアント」をクリックします。中央ペインの対象のクライアント名を右クリックし、「状態(S)」をクリックします。
  • ネットワーク登録のIPアドレスがNetperfクライアント(Windows Server)で確認したIPv4の内容と一致していることがわかります。

以上でWindows Server L2TP/IPsec クライアント 接続確認~疎通テストは完了です。

Windows7 L2TP/IPsec クライアント 接続確認~疎通テスト

Windows7 L2TP/IPsec クライアントからも実際にVPN接続を行いNetparfサーバー(Windows)への疎通確認まで実施します。

  • 端末のネットワークの接続を開き、「VPN-接続検証」を右クリックし、「接続(O)」をクリックします。
  • 「VPN-接続検証へ接続」の画面が出力されるので、「ユーザー名(U)」と「パスワード(P)」を入力し、「接続(C)」をクリックします。
  • 「VPN-接続検証」が「接続済み」になったことを確認します。

  • コマンドプロンプトを開き、「ipconfig /all」を入力しすると、端末で作成した「VPN-接続検証」のIPv4アドレスがサーバー構築時に設定した「192.168.1.101~105」の間の192.168.1.103で振られていることがわかります。
  • 端末でコマンドプロンプトを開き、Netperfサーバー(Windows Server)(192.168.1.33)に疎通できることをpingを使って確認します。

Windows Server(L2TP/IPsec)の画面からも192.168.1.103がNetperfクライアント(Windows7)に付与していることを確認します。

  • ルーティングとリモートアクセスを開き「リモートアクセスクライアント」をクリックします。中央ペインの対象のクライアント名を右クリックし、「状態(S)」をクリックします。
  • ネットワーク登録のIPアドレスがNetperfクライアント(Windows Server)で確認したIPv4の内容と一致していることがわかります。

以上でWindows7 L2TP/IPsec クライアント 接続確認~疎通テストまで完了です。

これでリモートアクセスでのVPN環境の構築が完了しました。
次に実際に性能の測定を行います。

性能測定

ここから、実際にVPNクライアントからVPN接続を行った際にどの程度性能が出るか測定を行います。
※Windows7端末からは端末側の通信環境の影響が大きいと考え、今回は掲載していません。

実際のベンチマーク試験は「Netperfクライアント(Windows Server)」と「Netperfサーバー(Windows Server)」間で測定しています。
「Netperf」を利用し、TCPでの転送性能と、UDPでの 64, 128, 256, 512, 1024, 1280, 1518 バイトでの転送性能を測定しています。


VPNゲートウェイに比べると若干性能は落ちますが、TCP性能で平均400Mbps程度なので十分実用可能な性能が出ているのではないでしょうか。
拠点間VPN接続のVPNゲートウェイの性能については、以下が参考になるかと思います。
> VPNゲートウェイの性能評価

※多重セッション時の性能測定などは今回行っておりません。
※性能については、ベストエフォートでのサービス提供となるため、保証するわけではありません。

まとめ

今回は「Windows ServerでリモートアクセスVPN環境を実装してみる」をお送りしました。
通常のWindows Serverの機能だけでリモートアクセスVPNの環境を実装することができました。
リモートからアクセスする際にセキュアに接続できる環境を作りたい場合の選択肢の一つになるのではないでしょうか。

注意事項
・OS以上の動作となるためお客様にて、責任をもって実装をお願いします。
・ニフティクラウドの禁止事項に抵触しないよう気をつけて実装をお願いします。

ニフティクラウド 導入相談窓口
ニフティクラウド 無料セミナー

閉じる

閉じる

クラウドブログ編集部

クラウドブログ編集部

ニフティクラウド ユーザーブログ編集部のアカウントです。 編集部からのお知らせや、レギュラーライター以外のゲストによる寄稿記事を掲載していきます。

浜中 慶

浜中 慶

1980年、神奈川県生まれ。2003年ニフティ入社。 ポータルサイト開発を中心に、音楽配信サービス、CGMサービスなど様々なプロジェクトに企画/デザイン/システム担当として参加。現在は@niftyのポータルサービス向けコンテンツ管理システムの企画/開発/運用を担当。

吉田 雄哉

吉田 雄哉

株式会社co-meetingの創業メンバー。「取締役&External- facing Technologist」と名乗り新しいIT技術を広く伝える活動とWebアプリケーション開発を行う毎日。パッケージベンダーでのSaaS立上げ・製造業の情報システム部門で企画やPM・受託開発と従事してきたため、ベンダーサイドとユーザサイド の両方の視点を持ち合わせる。

石田 健亮

石田 健亮

株式会社ドリーム・アーツで小売事業者向けSaaS「Shopらん」を企画、開発。メインの仕事はプログラマーだがサーバー管理や営業もこなすユーティリティプレイヤー。最近好きな事はパフォーマンスチューニング。特に並列化プログラミングがマイブーム。キライなことはデータセンターでの作業。騒音と乾燥が弱点。ニフティクラウドでデータセンターに行く必要が無くなったことが本当の利点だ と思っている。

五月女 雄一

五月女 雄一

ニフティでは「インフラを守る簡単な様で奥が深いお仕事」をしています。 夢はインフラの気持ちが読めるエンジニアになること。

わたなべ かずひろ

わたなべ かずひろ

専門学校卒業後、ソフトウェア開発会社で電力系統制御システムの開発に従事。その後、CD-ROM等マルチメディア系PCソフトの開発を経て、1998年フリーランスに。 2000年8月に株式会社イーツーの設立に参画。携帯を含む様々なWeb系のシステム開発に携わる。現在はiPhone/Androidアプリなどの開発も手がけている。

市角

市角

ニフティクラウドのコントロールパネル設計・開発をメインに、たまにインフラの運用やお手伝いもやっていたりします。コントロールパネルや新機能の活用方法、アイデアなどを中心に書いていく予定です。

仲山 昌宏

仲山 昌宏

歌って踊れるインフラエンジニア兼、PHPもRubyもJavaも書くPerl使い。 物理サーバの運用に飽きて、フルラックに格安サーバ詰めて自宅プライベートクラウドを構築中。 今年は個人的には分散処理を攻めていきます。

猪飼 賢広

猪飼 賢広

1984年、愛知県名古屋市生まれ。大学は福島県にある某大学。2008年ニフティに入社。 開発系部署に配属後、主に各種テーマサイト開発のシステム面調整、開発進行管理役などとして参加。 現在もPC・ガラケーサイトの開発まわりを担当。インフラまわりを触る案件にも携わっており、日々修行中。 好きな芸人はなかやまきんに君とレイザーラモンRG。

久江 裕之

久江 裕之

ニフティクラウドのインフラ運用、OS提供の仕事をしています。 新しいOSやイメージが出る時にこのブログでご紹介いたします。入社5年目。一流のインフラエンジニアを目指して日々勉強中。

竹内 豪

竹内 豪

ニフティクラウド エンジニア

山口

山口

ニフティクラウドの基盤設計、新サービス/アライアンス/インフラ企画、その他雑用全般を担当しています。 クラウドに欲しい機能や、こんなふうに使ってほしいという想いが共有できれば良いですね。

芳中 隆幸

芳中 隆幸

ニフティクラウドの開発、運用を担当しています。

酒井 浩平

酒井 浩平

ニフティクラウドの中にいます。 ネットワークまわりの運用・開発や自動化などに取り組んでいます。 すべてのエンジニアを幸せにすることを目指しています。

higebu

higebu

ニフティクラウド IaaSのエンジニアです。 ネットワーク、DRサービス with VMware vCloud® Air™ Technology辺りの担当をしています。

武田

武田

ニフティクラウドの開発・運用を担当しています。 各種機能の内容についてなどで執筆させていただく予定です。

福澤真

福澤真

ニフティクラウドのコンパネ開発、運用をしています。

森藤 大地

森藤 大地

データに関する仕事が好きです。

宮原徹

宮原徹

日本仮想化技術株式会社 代表取締役社長兼CEO。仮想化技術に関するコンサルタントとして長年活動しており、特にベンチマークテストによる性能評価を得意としている。

荒谷翔

荒谷翔

株式会社はてなでMackerelのセールスデベロッパーとして勤務しています

東條 望

東條 望

2014年にニフティへ中途入社。 入社後から現在まで、ニフティクラウドのサービス企画・開発を担当しています。 各サービスの紹介を執筆させていただく予定です。

世良迪夫

世良迪夫

ニフティクラウドのRDBなどを担当しています