さくらVPSにWindowsを入れている環境でVPNを利用する

 従来、自宅のメインルータがRTX1000でPPTPサーバになれるので、WindowsServer化したさくらVPSからルータにPPTPダイアルアップして、LAN上のホストとしてファイル共有などを利用していた。
 しかし、PPTPはスピードが伸びず、400KB/s程度しか出ないので、管理回線としては使えるが、大きなファイルの転送には不向きだった。
 RTX1000には、他のVPN手段としてIPSecがあるのでこちらに切り替えてみる。
 WindowsServer2003R2のIPSecサポートでは、メインモードにしか対応しないのだが、IPアドレスが変わる環境ではアグレッシブモードの対応が必要なので、VPSにVPNクライアントソフトを導入して、VPSからRTXに接続する形態で利用する。

 今回は無償利用できるShrew Soft VPN Client for Windowsと言うクライアントを利用した。
http://www.shrew.net/software

 WindowsVPS=ShrewSoftVPNClient(192.168.1.2)=>The net=>RTX1000(PPPoE,DHCP,192.168.0.1)=>LAN
netvolante-dnsでダイナミックDNSにアドレスを振っておく
RTXのIPSec関連設定
ip route 192.168.1.0/24 gateway tunnel 2 #192.168.1.0/24のIPへのルーティングはトンネル2を利用する
tunnel select 2 #トンネル2を設定する(1はPPTPに振ってあるので、今回は2)
tunnel name vps1-ipsec #トンネルに名前をつける
ipsec tunnel 1 #トンネル2だけど、IPSecトンネルとしては1番
ipsec sa policy 1 1 esp des-cbc md5-hmac #ESPプロトコルを使い、DES暗号MD5ハッシュを使う
ipsec ike encryption 1 des-cbc #IKE暗号化にDESを使う
ipsec ike keepalive use 1 on #IKEキープアライブを有効にする
ipsec ike local address 1 192.168.0.1 #IKEローカルアドレスを設定する
ipsec ike pfs 1 on #Phase2 PFSを有効にする
ipsec ike pre-shared-key 1 text 共有鍵 #暗号鍵に事前共有鍵を使用する
ipsec ike remote address 1 any #リモートアドレスを任意許可する
ipsec ike remote name 1 認証名 #リモートの識別に認証名をFQDNとして用いる
ipsec auto refresh 1 on #自動更新を有効にする
tunnel enable 2 #トンネル2を有効化する

nat descriptor masquerade static 1 1 192.168.0.1 udp 500 #IPSecで利用するUDP500を通す
nat descriptor masquerade static 1 2 192.168.0.1 esp #ESPプロトコルを通す
ipsec use on #IPSecを有効化する

個人利用でセキュリティはあまり重要ではないので負荷の軽い設定になっている。

ShrewSoft VPN Clientの設定
[General]
Host Name or IP Address:ホスト名.aa0.netvolante.jp(NetvolanteDDNSで指定した)
Port:500
Auto Configuration:Disabled
Address Method:Use a virtual adapter and assigned address
MTU:1380
Address:192.168.1.2
Netmask:255.255.255.0

[Client]
NAT Traversal:Disable
IKE Fragmentation:Disable
Enable Dead Peer Detection:オフ
Enable ISAKMP Failure Notifications:オフ

[Name Resolution]
Enable WINS:オフ
Enable DNS:オフ

[Authentication]
Authentication Method:Mutual PSK
Local Identity-Identification Type:Fully Qualified Domain Name
Local Identity-FQDN String:RTX設定の認証名
Remote Identity-Identification Type:Any
Credentials-Pre Shared Key:RTX設定の共有鍵

[Phase1]
Exchange Type:Aggressive
DH Exchange:group1
Cipher Algorithm:des
Hash Algorithm:md5
Key Life Time limit:86400
Key Lige Data limit:0
Enable Check Point Comaptible Vendor ID:オフ

[Phase2]
Transform Algorithm:esp-des
HMAC Algorithm:md5
PFS Exchange:auto
Compress Algorithm:Disabled
Key Life Time limit:3600
Key Lige Data limit:0

[Policy]
Policy Generation Level:auto
Maintain Persistent Security Associtations:オフ
Obtain Topology Automatically or Tunnel All:オフ(オンにするとデフォルトゲートウェイがこのアダプタになり通常のインターネットアクセスも低速になるので、RTXのLANをリモートネットワークリソースに設定してLANだけこのアダプタをゲートウェイにした)
Remote Network Resource>Add>Type:Include Addresss:192.168.0.0 Netmask:255.255.255.0

 設定してConnectすると、10MbpsのダイアルアップアダプタとしてVPN接続される。
 Windowsファイル共有したディスクでのベンチマークでは、シーケンシャルリード860KB/sで、シーケンシャルライト2.8MB/s出るようになった(遅延の影響でWindowsファイル共有はちょっと遅い)
 VPN接続していればインターネット上ではパケットがすべて暗号化されているので安心。

(1134)


カテゴリー: Windows VPS   タグ: ,   この投稿のパーマリンク

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です