移転作業中の新設の支社にISPの正式なネット環境&アプライアンスのVPNが整うまでの間にXiとwindows server2008R2を使って本社や各拠点と繋ぐVPN(PPTP)にトンネルするVPN環境を構築致しました。
本社にVPNトンネルサーバを設置して、新設した支社は本社にVPN接続することによって本社と各拠点の既設のアプライアンスVPN網が利用できるようになります。
では今回のVPNトンネル環境の構築の中でのポイントを書いていきます。
通常オンボードでNICはPC(PCIカード)に1枚刺さってますが
VPNサーバには外(WAN)と中LANを繋ぐルータと同じ役割をするため
NICが2枚必要です。
増設出来ました。
この筐体にWindows Server 2008R2をインストールします。
『コントロールパネル』 > 『ネットワークと共有センター』 > 『アダプターの設定』を参照します。
このままだとわかりにくいので
名前を変えてわかり易くします。
VPNのインストール設定の中で大切なのがVPN接続した際に
サーバがVPN用ローカルプライベートアドレスを振り分けする設定です。
開始と終わりの間のネットワークアドレスを指定する事で
VPN用アドレスを設定します。
※ arp -a コマンドの出力例
その前にコマンドプロンプトで
[bash] arp -a[/bash]
コマンドを行いネットワーク空間にあるプライベートIPアドレスを把握して
既にお客さんが使っているIPアドレスとダブッてバッティングしないように設定しましょう。
その際に最大必要なユーザの倍以上ネットワークアドレスを取ります。
最大10ユーザが接続する予定なら範囲は20以上とっておくと安心です。
ユーザ数と同じ程度にしてまうと、接続の切り替わりなどでサーバに古いIPのキャッシュが
一定時間残ってしまうようで、振るIPがなくなり枯渇してしまい接続が出来なくなるからです。
接続したいユーザが増えた場合など後から設定を変更する場合は
『ルーティングとリモートアクセス』 > サーバマシン > 右クリック(プロパティ) > 『IPv4』 > 『編集』 > でアドレスの範囲を指定します。
10,1,21,200から10.1.21.210
の11アドレス
に変更すると使用する部署の人数5人分のVPN接続が賄えました。
他の支店や他の支店のネットワークにもつなげる
これだけだと1つ(本社)のネットワークだけなので
「DOSプロンプトを使ってROUTEコマンドを用いて手動で記述する必要」
があります。
Dosプロンプトを表示して、以下のコマンドを入力することでLAN側NICを通して他の支社のネットワーク(セグメント)にも通信することができるようになります。
[bash] route add -p 10.1.0.0 mask 255.255.0.0 10.1.21.1 metric 1[/bash]
○コマンドの解説
route add ・・・ルート情報を追加します
-p ・・・再起動しても消去されないようにしっかりサーバに記録させます。
10.1.0.0 mask 255.255.0.0 ・・・10.1.x.xというアドレスが来た時際に
10.1.21.1 ・・・10.1.21.1のTCP/IPの通信信号を渡します(リレーします)
metric 1 ・・・ルート情報のプライオリティ(優先度)を1に指定します。
VPN接続するとLANは自由に接続できるが、yahooなど外のネットがみれなくなる
インターネット接続が切れているわけではなく、デフォルトゲートウェイがVPN側になってしまうためインターネットに繋がらない可能性が高いです。
・VPN接続のプロパティを表示します
・[ネットワーク]タブのTCP/IPv4のプロパティを表示します
・[詳細設定]ボタンをクリックします
・[IP設定]タブの、「リモートネットワークでデフォルトゲートウェイを使う」のチェックをオフ
に[OK]します
