Windows TIPS

VPN Azure サービス

会社に VPN が導入されていなくても、あなたの会社のパソコンを VPN サーバにして、社内 LAN に自宅から VPN 接続。

01.jpg

VPN Azure は SoftEther VPN や PacketiX VPN の開発元であるソフトイーサ株式会社が開発・公開している、無料のクラウド型 VPN サービスです。

VPN Azure クラウドが運営され続ける間は、以下の「基本機能」は現在および将来にわたって無償で利用可能です。

VPN Azure クラウドサービスとは

VPN Azure サービスは、社内のパソコンに VPN サーバーをインストールして自宅や外出先から社内 LAN にアクセスしたいと考える、一般社員の方々の強力な味方です。会社が VPN を導入していなくても、あなた個人の自力で社内 LAN へのリモートアクセス環境を構築できます。VPN Azure クラウドを経由して VPN 通信を行うため、システム管理者によるファイアウォールや NAT のポートの開放は不要です。社内パソコンへの VPN サーバーのインストールも一般権限で可能で、システム管理者の手を煩わせる必要がありません。そして VPN クライアント側のパソコンでは Windows に標準付属の VPN クライアントを利用でき、特殊なソフトウェアをインストールする必要がありません。VPN Azure サービスにより、会社全体で VPN を導入しなくても、社員 1 人 1 人が自分専用の VPN サーバーを自分のパソコンで立ち上げることができるのです。これからは社外から社内の共有サーバーやグループウェアに VPN アクセスし、楽しく安全に仕事をしましょう。

VPN Azure の概要

社内のパソコンを自分専用の VPN サーバーにしましょう。

これまでの VPN 技術では、たとえば会社のパソコンに VPN サーバーソフトウェアをインストールしたとしても、会社のネットワーク管理者によって NAT やファイアウォールのポートを開放してもらわなければ、インターネット側から会社内のパソコンに VPN 接続することができませんでした。また、会社側のネットワークにはグローバル IP アドレスが必要でした。

VPN Azure を利用すれば、ネットワーク管理者にこれらのポート開放を依頼しなくても、社内にあるあなたのパソコンにインストールした VPN サーバーに、自宅や外出先の Wi-Fi などから簡単に VPN 接続できるようになります。会社のパソコンから VPN Azure クラウドに対して外向きに HTTPS で通信が行われるため、ファイアウォールを貫通できます。いったん VPN 接続に成功すれば、社内のあなたのパソコンを経由して、会社の他のパソコンの共有フォルダやメールサーバー、グループウェアにアクセスでき、あたかも自宅のパソコンが直接会社に接続されているのと同様に通信できるようになります。

&ref(): File not found: "02.png" at page "VPN Azure サービス";

VPN サーバーのインストールは簡単、システム管理者権限は不要。

会社のパソコンには、SoftEther VPN Server 4.0 をインストールします。一般ユーザー権限でもインストールできますので、システム管理者の手を煩わせる必要はありません。VPN サーバープログラムは一般ユーザーモードで動作させることができるためとても安全です。 VPN クライアントは Windows に標準付属の機能を利用。ソフトウェアのインストール不要。

VPN Azure は Microsoft が開発した VPN プロトコルである SSTP (Secure Socket Tunneling Protocol) に対応しています。そのため、VPN のクライアント側となる自宅のパソコンにはソフトウェアのインストールは一切不要です。Windows Vista / 7 / 8 / RT に標準付属の VPN 機能を利用できます。そして、最新の Windows RT タブレットからも接続できます。

もちろん、Windows XP などの古いパソコンからでも、ソフトイーサが開発した SoftEther VPN Client 4.0 をインストールして接続できます。

&ref(): File not found: "03.png" at page "VPN Azure サービス";

セキュリティも万全

インターネット上を流れるすべての VPN 通信は SSL (TLS 1.0) で暗号化されます。そして、ユーザー認証は会社内で動作している VPN サーバーのプログラム本体が行います。VPN Azure クラウドは認証には一切関与しません。そのため、VPN サーバーであらかじめ作成したユーザー名とパスワードを知らない第三者は、VPN サーバーに勝手に接続することはできません。 Windows RT タブレット (ARM 版 Windows 8) にも対応

VPN Azure サービスは、現在話題の Microsoft 社の最新 OS 「Windows RT」 (ARM 版 Windows 8) にも対応しています。Windows RT タブレットから容易に社内 LAN にリモートアクセスするツールとしても有効活用できます。

必要なシステム

会社のパソコン側

04.jpg

OS: 以下のいずれか

ネットワーク接続:

ユーザー権限:

ご注意:


自宅のパソコン側

05.jpg

OS: 以下の OS であれば VPN クライアント不要

OS: 以下の OS では SoftEther VPN Client が必要

ネットワーク接続:

ユーザー権限:

サーバー側のインストール方法 (例: 会社のパソコン)

ここでは、例として会社のパソコンに VPN Server をインストールする方法を説明します。

VPN Server をダウンロード

以下のリンクをクリックして SoftEther VPN Server をダウンロードしてください。

SoftEther VPN Server のダウンロード

ソフトイーサ社によって配布されているファイルは、VeriSign 社によって発行された証明書でデジタル署名され、Symantec 社により副署名されています。

VPN Server をインストール

VPN Server をインストールします。ここでは Windows 上でのインストール方法について説明します。この他に Linux, FreeBSD, Solaris, Mac OS X にもインストールすることができます。

ダウンロードした VPN Server のインストーラを起動します。

06.jpg

インストーラでは、基本的に「次へ」をクリックして進んでいきます。もしあなたが Windows のシステム管理者権限 (Administrators 権限) をお持ちでない場合は、ユーザーモードでインストールするオプションが表示されますので、ユーザーモードでインストールしてください。この場合は、システム管理者の手を煩わせる必要がありません。

インストールするソフトウェアを選択する画面では、「SoftEther VPN Server」を選択してください。

07.jpg

VPN サーバーの初期設定

インストールが完了したら、「VPN サーバー管理マネージャ」を起動します。インストーラの最後の画面からも自動的に起動することができます。サーバー管理マネージャを起動したら、予め登録されている接続設定 「localhost (このサーバー)」をダブルクリックします。

08.jpg

初めて VPN サーバーに管理モードで接続するときは、パスワードを設定するように求められます。このパスワードはあなたの VPN サーバーの管理者パスワードですのでとても重要です。推測されにくいようなパスワードを指定してください。

09.jpg

初めて VPN サーバーに接続すると、以下の「簡易セットアップ」という画面が表示されます。ここでいったん説明書きを読んで簡単に理解されることをお勧めします。

この画面では、「リモートアクセス VPN サーバー」をチェックして「次へ」をクリックしてください。

10.jpg

好きなホスト名の指定

「ダイナミック DNS 機能」という画面が表示されます。ここで、あなたの好きなホスト名を VPN Server に指定します。ホスト名は 3 文字から 31 文字までの英数字で指定できます。

たとえば、ここで指定したホスト名が「test1」の場合、あなたの VPN Azure 上でのホスト名は「test1.vpnazure.net」となります。

「ダイナミック DNS 機能」の画面では指定したホスト名の末尾に「.softether.net」という文字列が付くという旨の説明があります。この「.softether.net」の部分が「.vpnazure.net」に置き換わったものが、VPN Azure 上で使用するホスト名となります。

ホスト名を入力したら、「上記の DNS ホスト名に変更する」ボタンをクリックしてください。ホスト名の変更が完了した旨のメッセージが表示されれば完了ですので「閉じる」をクリックしてください。

11.jpg

IPsec 関係の設定画面

「IPsec / L2TP / EtherIP / L2TPv3 サーバー機能の設定」という画面が表示されます。この画面は iPhone, iPad, Android などから VPN サーバーに接続するための IPsec VPN 機能を有効にするためのものですが、VPN Azure 経由では IPsec 通信を行うことはできませんので、この画面では何も設定せずに「OK」をクリックしてください。

12.jpg

VPN Azure を有効にする

「VPN Azure サービスの設定」画面が表示されます。この画面の左下に「VPN Azure を有効にする」というチェックボックスがあります。このチェックボックスをクリックして VPN Azure 機能を有効にしてください。(VPN Azure 機能はデフォルトで無効になっています。)

VPN Azure 機能を有効にして数秒間経つと、「状態: クラウドに接続完了」と小さな文字で表示されます。この状態になっていれば、あなたのパソコンの VPN サーバーはインターネット上から VPN Azure 経由でアクセスできます。

もし表示で「状態: クラウドに未接続」のままの場合は、コンピュータがインターネットに正常に接続されていない可能性があります。Web サイトが見れるかどうか確認してください。また、インターネットの経路上に不正な動作を行う (通信内容を盗聴する) ファイアウォールなどが設置されている場合は VPN Azure クラウドに接続できない場合があります。このような場合は、ネットワーク管理者に依頼してそのような不正な動作を行う (通信内容を盗聴する) ファイアウォールなどを撤去してもらってください。

13.jpg

ユーザーの作成

VPN Azure の画面で「OK」をクリックすると、次に「簡易セットアップの実行」画面が表示されます。ここでは、まず「ユーザーを作成する」ボタンをクリックして VPN サーバーにユーザーを作成します。

14.jpg

「ユーザーの新規作成」画面が表示されます。この画面では数多くの設定が可能ですが、ここではひとまず「ユーザー名」の欄にあなたの好きな名前を入力してから「認証方法」として「パスワード認証」を選択し、右側の「パスワード認証」の欄に好きなパスワードを 2 回入力します。ここで入力するパスワードは、あとで自宅の PC から VPN 接続する際に必要ですので覚えておいてください。

15.jpg

ローカルブリッジの設定

ユーザーの作成が完了すると、「簡易セットアップの実行」画面に戻ります。この画面の下のほうにある「3. ローカルブリッジの設定」にコンピュータ上で存在する LAN カードの一覧が表示されているかどうか確認してください。

コンピュータの LAN カードの一覧が表示されている場合は、社内 LAN に接続されている LAN カードを選択してブリッジ接続するように設定してください。この場合、無線 LAN カードは選択しないようにお勧めします。ほとんどの無線 LAN カードでは、ローカルブリッジを正しく行うことができません。社内 LAN には有線 LAN カードを経由してブリッジしてください。

もしパソコンに無線 LAN カードしかない場合は、ここではローカルブリッジは行わずに、代わりに仮想 HUB の設定画面から「仮想 NAT および仮想 DHCP サーバー機能」を有効にしてください。

また、VPN Server を一般ユーザー権限でインストールした場合は、この画面ではローカルブリッジを行うことができません。代わりに「仮想 NAT および仮想 DHCP サーバー機能」 (SecureNAT 機能) が自動で有効になっていますので、何も設定する必要はありません。

16.jpg

設定完了

おめでとうございます。VPN サーバーのメイン管理画面の下のほうに「VPN Azure ホスト名:」と表示されていれば、VPN Server は VPN Azure クラウドに接続完了しています。早速、自宅に帰宅してこの Web サイトの右側の説明に従って VPN クライアントを設定してみましょう。

なお、初期設定時に行った設定内容は、すべて後から設定変更することができます。たとえば、メイン画面の「VPN Azure 設定」をクリックすると VPN Azure クラウドへの接続設定を行うことができます。また、仮想 HUB をダブルクリックしてユーザーの作成、削除を行うこともできます。

17.jpg

トラブルシューティング (不具合の原因究明)

もし上記のように正しく設定しても自宅のパソコンから会社のパソコンに正常に接続できない場合は、VPN Server のログを調査することをお勧めします。

VPN Server のログはすべて日本語で書き出されます。ログファイルは VPN Server をインストールしたディレクトリ上の「server_log」ディレクトリに保存されますので、メモ帳などのテキストエディタで開いて内容を確認してください。

クライアント側のインストール方法 (例: 自宅のパソコン)

ここでは、例として自宅のパソコンから、すでに VPN Server をインストールした会社のパソコンに VPN Azure 経由で接続する方法を説明します。

Windows XP, 2000, ME, 98 をお使いの場合

自宅のパソコンが Windows XP またはそれ以前の OS の場合は、SoftEther VPN Client 4.0 (ベータ) をインストールする必要があります。こちらからダウンロードしてください。

Windows Vista, 7, 8, RT をお使いの場合は、OS に標準付属の SSTP-VPN 機能を利用して VPN Azure 経由で会社の VPN サーバーに接続できます。Vista 以降の場合は VPN Client のインストールは不要です。

Windows Vista, 7, 8 での設定方法

以下では Windows 8 での設定方法を例として説明しますが、Windows Vista / 7 でも設定方法はほとんど同じです。

まず、デスクトップの右下にあるタスクトレイのネットワークのアイコンを右クリックして、「ネットワークと共有センターを開く」をクリックしてください。

18.jpg

「ネットワークと共有センター」が開いたら、「新しい接続またはネットワークのセットアップ」リンクをクリックします。

19.jpg

「職場に接続します」を選択します。

20.jpg

「インターネット接続 (VPN) を使用します」を選択します。

21.jpg

「インターネットアドレス」の欄に「test1.vpnazure.net」のように、すでに会社のパソコンにインストールした VPN Server で設定したホスト名に「.vpnazure.net」という文字列を付加したアドレスを入力してください。

アドレスには「.vpnazure.net」というドメインのアドレスを入力する必要があります。「.softether.net」というドメインを入力しても、VPN Server がグローバル IP アドレスを持っている訳ではない限り、接続できませんのでご注意ください。

22.jpg

Windows Vista / 7 の場合は、上記の画面で「次へ」をクリックすると、さらにユーザー名とパスワードを入力する欄が表示されます。ここで、会社のパソコンの VPN Server にあらかじめ登録しておいたユーザー名とパスワードを入力します。

「このパスワードを記憶する」を選択しておくと便利です。

23.jpg

Windows Vista / 7 の場合は、ウィザードの最後のページで「接続」ボタンをクリックすると VPN 接続が開始されます。

初回接続の場合は、「PPTP」→「L2TP」→「SSTP」の順に接続を試行するため、30 秒程度時間がかかる場合があります。

24.jpg

Windows 8 / RT の場合は、ウィザードの最後のページで「接続」ボタンをクリックすると、下の画面のような「ネットワーク」というウインドウが画面の右側に表示されますので、「VPN 接続」をクリックしてください。

25.jpg

すると、以下のようにユーザー名とパスワードを入力する画面が表示されます。ここで、会社のパソコンの VPN Server にあらかじめ登録しておいたユーザー名とパスワードを入力します。

26.jpg

VPN 接続が完了すると、「接続済み」という状態に変わります。

27.jpg

VPN 接続が正常にできていることを確認する方法

上記の方法で VPN 接続に成功した場合は、本当に VPN 接続が機能しており、あなたの会社のパソコンを経由して社内の他のサーバーにアクセスできるか確認してみましょう。

VPN 接続の状態を表示すると、以下のような画面が表示されます。ここで「詳細」ボタンをクリックしてみます。

28.jpg

すると、「ネットワーク接続の詳細」という画面が表示されます。ここで「IPv4 アドレス」としてプライベート IP アドレスが割当てられているかどうか確認してください。また、会社のネットワークで DNS が運用されている場合は、「接続固有 DNS サフィックス」の欄に会社の社内 LAN 用のプライベートな DNS サフィックスが登録されているかどうか確認してください。

29.jpg

Windows の「コマンドプロンプト」を開き、「ping」コマンドを用いて、社内 LAN 上にあるはずのコンピュータの IP アドレスを指定して ping を送信してみることで、社内 LAN と正しく通信ができていることを確認できます。

30.jpg

VPN 接続中は、社内 LAN を経由してインターネットにアクセスすることもできます。たとえば、「tracert」コマンドを用いて「www.google.co.jp」などのインターネット上のサーバーとの間の経路を表示することができます。以下の例では、自宅のパソコンからであっても、会社の設備を経由してインターネットにアクセスできていることがわかります。

31.jpg

社内のファイルサーバーにアクセスしてみよう

VPN 経由で自宅のパソコンから会社のファイルサーバーにアクセスする方法は、直接パソコンを社内 LAN に接続している場合とほぼ同じです。

ただし、会社のパソコンの VPN Server がユーザーモード権限で動作している場合は、自宅のパソコンのネットワーク一覧を開いても、会社の他のパソコンが表示されない場合があります。この場合、すでにサーバー名が分かっている場合は、「Windows + R」キーを押して「ファイル名を指定して実行」画面を表示し、「\\サーバー名」のように「UNC パス」表記でサーバー名を指定してアクセスするとスムーズです。

32.jpg

ごくまれに、「\\サーバー名」という形式では正常にサーバーにアクセスできない場合があります。この場合は、サーバーの IP アドレスが分かっていれば「\\IPアドレス」という形式を指定してアクセスできます。サーバーの IP アドレスは、会社に出社している間に下調べしておくことをお勧めします。

33.jpg

会社のファイルサーバーや他の人のパソコンの共有フォルダにアクセスすることができれば、それ以降は社内で仕事をしているときと全く同様に、自宅のパソコンから作業できます。会社の共有フォルダのほか、プリンタや FAX、スキャナなどが共有されている場合は、これらのリソースにもアクセスできます。

34.jpg

社内のグループウェアにアクセスしてみよう

多くの会社では、セキュリティ上の問題により、グループウェア (サイボウズ、SharePoint、Exchange、ノーツなど) はインターネットに直接接続せずに、社内 LAN 上からしかアクセスできないようになっています。VPN 接続を行っている間はあなたの自宅のパソコンは会社の LAN の一員となっていますので、これらの社内限定の Web サイトにもアクセスできます。

社内専用のメールサーバーや Exchange サーバーなどにもアクセスできます。また、上級者であれば社内の Active Directory (Windows ドメイン) に自宅のパソコンを参加させることもできます。

35.jpg

社内の PC にリモートデスクトップ接続してみよう

社内の PC が Windows の企業向けバージョンであり、かつ Remote Desktop サービス (RDP) が有効になっている場合は、社内の PC にリモートデスクトップ接続して画面を操作することができます。

リモートデスクトップが無効になっている場合でも、VNC などのソフトウェアを事前に会社の自分のパソコンにインストールしておけば、自宅のパソコンから会社のパソコンを操作できて便利です。

36.jpg

次回以降の VPN 接続方法

いったん上記の方法で初期設定を行い VPN を接続した後は、次回から VPN 接続をしようとするときは Windows のタスクバーの右下のネットワークのアイコンをクリックし、「ダイヤルアップと VPN」に登場する一覧から、先ほど作成した「VPN 接続」を選択して「接続」ボタンをクリックするだけで VPN 接続を行うことができます。

37.jpg

VPN 接続のトラブルシューティング

正しく VPN 通信を行うことができなくなった場合は、Windows のネットワークアダプタ設定から VPN 接続のアイコンを右クリックし、「プロパティ」をクリックして詳細設定を表示することもできます。

たとえば、VPN 接続の種類が「SSTP (Secure Socket Tunneling Protocol)」になっているかどうか確認してください。

38.jpg

よくある質問と回答

通信速度をより高速化する方法はありますか?

VPN クライアント側のパソコン (自宅のパソコン) で、Windows に付属の SSTP クライアント機能を用いる代わりに、SoftEther VPN Client 4.0 (ベータ) をインストールしてこれを用いることにより、通信速度が飛躍的に向上する場合があります。

その理由は、SSTP クライアントを用いる場合はすべての通信は VPN Azure クラウドを経由することになりますが、SoftEther VPN Client 4.0 を用いる場合は可能な場合は会社のパソコンと自宅のパソコンとの間で NAT トラバーサル機能 (UDP ホールパンチング) を用いて直接 UDP リンクを確立し通信を行うためです。

なぜ会社側のパソコンに VPN Server をインストールする際にシステム管理者ではない一般ユーザーでもインストール、動作可能にしたのですか? また、なぜ社内 LAN のネットワーク管理者によってポート開放などの設定を行わなくても VPN Azure 経由で簡単に VPN 接続を受付けることができるようにしたのですか?

確かに、従来の伝統的な VPN システムは社員が自分のパソコンにインストールするものではなく、一般的に、システム管理者が全社的に 1 個の VPN サーバーを LAN とインターネットとの間の境界線上に設置するパターンが多くありました。

しかし、近年企業における IT 関係のコストの増大が課題となっています。社内のパソコンを使用する一般ユーザーがソフトウェアをインストールしたり、社内のパソコンで行いたい通信のために必要となる TCP ポートなどをファイアウォールや NAT などで開放したりする作業を毎回システム管理者が行う必要があるということになりますと、多くの社員を抱える企業ではシステム管理者の負担が増大し、TCO の増加を招いてしまいます。

ソフトイーサ社は、社内のパソコンを利用する一般的な社員の方々すべてが、ネットワークを利用する上でより高度な知識を身に付け、"自分自身の力で" VPN サーバーなどを簡単に構築して運用する経験を持つべきであると考えています。 つまり、IT を利用するすべての方々のリテラシーを、より高い意識に引き上げる必要があるのです。このような理想的状況が実現すれば、VPN サーバーの構築といった簡単な業務は各社員が自分のためにそれぞれ別々に行うことができるようになり、システム管理者は各社員の要求に各々対応する労力が不要になります。そして、システム管理者は次期システムのデザインや、より高度なトラブルシューティングなど、本来必要とされる業務に専念することができるようになるのです。

社員が社内のパソコンに VPN ソフトウェアをインストールし外部から接続することができるようにしたいと考える場合に、そのような VPN の構築をシステム管理者に労力をかけないようにするため、SoftEther VPN Server 4.0 はシステム管理者ではない一般ユーザーでもインストール、動作可能になっています。そして、社内の多くの社員がそれぞれ自分専用の VPN サーバーを 1 個ずつインストールしたいと考える場合でもネットワーク管理者に負担をかけないようにするため、ネットワーク上のファイアウォールや NAT でのポート開放は一切不要となっています。

社内のパソコンに VPN Server をインストールする場合は、システム管理者による許諾は必要ですか?

上記のとおり、技術的には許諾は必要ありません (一般ユーザー権限でインストール・動作します)。しかし、VPN Server を社内 LAN 上のパソコンにインストールする場合、ソフトウェアのインストールはシステム管理者の承諾が必要であるといったルールがある場合は、必ずシステム管理者から承諾を得てからインストールしてください。システム管理者の同意を得ることができない場合は、より上席の経営者から承諾を得てください。

Windows に標準付属の「SSTP VPN」クライアントを用いて「自宅」から「社内」にアクセスすることは Microsoft によって想定された利用方法ですか?

はい、これはまさに Microsoft が想定した利用方法であると考えられます。 これは、Windows Vista / 7 / 8 / RT の VPN 接続設定の画面では、「職場に接続します」という項目名で VPN 接続ウィザードが表示されてることからも明らかです。


トップ   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS