そんなわけで期待していたWindows Server 2012の評価版公開されたので、先日のつぶやき通りさくらVPSを1本解約して新規に契約したお名前.com VPS(KVM)に導入して評価することにした。
で、今回の導入環境は、お名前.com VPS(KVM) 2GBプラン。
お名前.com環境はWindows化は超容易で、さくらのVPSのように面倒なことをする必要はない。
1,MSのサイトからWindowsServer2012評価版のISOイメージをダウンロードしてくる
2,お名前のコントロールパネルでSSL鍵をダウンロード、サーバ設定画面でVirtioをOffに設定しておく
3,ダウンロードした鍵を認証に使ってSFTP接続してISOをアップロード(Filezillaとかで)
4,お名前のコンソール上にアップロードしたISOが登場するから選択して再起動
5,普通のPCと同じようにインストーラが立ち上がってくるから、普通にインストールしておしまい。
ネットワークは1000MTレミュレートだから標準ドライバだし、他のデバイスも何も気にすることはない。
IPアドレスなんかもDHCPで払い出されるから本当にデフォルトで良い。
完了後にお名前コンソールで管理用リモートデスクトップの設定を入れてやれば、後は普通にリモートデスクトップで快適操作。
とりあえず、先日導入したRTX1100とIPSecを設定する。
しかし、従来通りローカルセキュリティポリシーのIPセキュリティの設定からポリシーを設定して割り当てを行ったが全然始動しない・・・
2008(R2も)はいけたんだけど、何かGPOの構成とか必要なのかな・・・? とりあえず、2008以降推奨手段であるセキュリティが強化されたWindowsファイアウォール(WFAS)にある機能で設定した。
WFASのIPSecは殆ど触ったことがないのでつまずいたが、最終的には設定項目にPFSが無いけど、PFS必須だったと言う点だけだった。
RTX1100のIPSec周りの設定
tunnel select 10
tunnel name “WS2012Eval”
ipsec tunnel 10
ipsec sa policy 10 10 esp aes-cbc sha-hmac
ipsec ike always-on 10 on
ipsec ike encryption 10 aes-cbc
ipsec ike group 10 modp1024
ipsec ike hash 10 sha
ipsec ike keepalive use 10 off
ipsec ike local address 10 RTXの内側IP
ipsec ike payload type 10 3
ipsec ike pfs 10 on
ipsec ike pre-shared-key 10 text 事前共有鍵
ipsec ike remote address 10 VPSのグローバルIP
ipsec auto refresh 10 on
ip tunnel tcp mss limit auto
tunnel enable 10
ip routeとかフィルタは以前の記事と同じ
WFASでのIPSec設定
試験企画:GUI操作は動画説明してみるテスト(動画中では試験用にDES/MD5を選択している)
操作ステップ1
操作ステップ2
1,’コントロールパネル’から’Windowsファイアウォール’を開き、左リストにある’詳細設定’を開く
2,左リストの、’ローカルコンピューターのセキュリティが強化されたWindowsファイアウォール’を右クリックして、’プロパティ’を開く
3,’IPSecの設定’タブを開いて’IPSec既定’の’カスタマイズ’を開く
4,’キー交換(メインモード)’を’詳細設定’ラジオボタンを選択して、’カスタマイズ’を開く
5,’セキュリティメソッド’の’追加’を開いて、’整合性アルゴリズム’で’SHA-1’を選択、’暗号化アルゴリズム’で’AES-CBC 128’を選択、’キー交換アルゴリズム’で’Diffie-Hellman Group 2’を選択してOKで閉じる
6,追加された項目を選択して、右側にある上下矢印で追加したメソッドを一番上にしてOKで閉じる
7,4番の画面で’データ保護(クイックモード)’も’詳細設定’ラジオボタンを選択して、こちらの’カスタマイズ’を開く
8,’この設定を使用するすべての接続セキュリティ規則に暗号化を要求する’をチェック、’データの整合性と暗号化’の’追加’を開く
9,’プロトコル’で’ESP’ラジオボタンを選択、’アルゴリズム’の’暗号化アルゴリズム’で’AES-CBC 128’を選択、’整合性アルゴリズム’で’SHA-1’を選択してOKで閉じる
10,追加された項目を選択して、右側にある上下矢印で追加したメソッドを一番上にしてOKで閉じる
11,’認証方法’も’詳細設定’ラジオボタンを選択し、’カスタマイズ’を開く
12,’1番目の認証’の’追加’を開く
13,’事前共有キー’ラジオボタンを選択し、テキストボックスにRTXに設定した’事前共有鍵’を入力してOKで閉じる
14,追加された項目を選択して、右側にある上下矢印で追加したメソッドを一番上にしてOKで閉じる。
’IPSecの規定値のカスタマイズ’画面もOKで閉じる。
’ローカルコンピューターのセキュリティが強化されたWindow・・・’(切れてる・・・)の画面もOKで閉じる。
これで1の画面まで戻ってきたはず。
15,左リストの’接続セキュリティの規則’を右クリックして’新しい規則’を開く
16,ステップ’規則の種類’で’カスタム’を選択して次へ
17,ステップ’エンドポイント’で、’エンドポイント1にあるコンピュータを指定してください’は’任意のIPアドレス’を選択。
’エンドポイント2にあるコンピュータを指定してください’は’これらのIPアドレス’を選択し、’追加’を開く。
’このIPアドレスまたはサブネット’を選択し、テキストボックスにRTX内側ネットワークを入力(192.168.10.1/24とか)してOKで閉じて、次へ
19,ステップ’要件’で’受信接続と送信接続に対して認証を要求する’を選択して次へ
20,ステップ’認証方法’で’既定’を選択して次へ(詳細設定で12/13/14同様の設定をしても良い)
21,ステップ’プロトコルおよびポート’で、’プロトコルの種類’で’任意’を選択して次へ
22,ステップ’プロファイル’で、’ドメイン’・’プライベート’・’パブリック’をチェックして次へ
23.’名前’に適当な名前を設定(必須項目)して、’完了’
24,作成された規則を右クリックして、’プロパティ’を開く
25,’全般’タブの’有効’をチェック、’詳細設定’タブの’IPsecトンネリング’の’カスタマイズ’を開く
26,’IPsecトンネリングを使用する’をチェック、’リモートトンネルエンドポイント’の’編集’を開く
27,’特定のアドレス’を選択して、’IPv4’テキストボックスにRTXの外側固定IPを入力してOKで閉じて、OKで閉じて、OKで閉じる(接続名のプロパティまで閉じる)
長かったけど、コレで完了。
お名前.com VPS(KVM)からフレッツ光ネクスト回線+固定IPプロバイダで接続したRTX1100経由でLAN上のWindowsHomeServer2011なProliant ML110 G7との間でWindowsファイル共有のコピーで、4.5MB/s(36Mbps位)が実効レートだった。 このスピードならかなり快適に作業できるだろう(下手なUSBメモリ程度だ)
と言うわけで、LANのサブネットにWindowsファイル共有を開けて、インターネット上のファイルサーバに仕立ててみた。
外からでも使えるように、VPN(RRAS)も構成してL2TP/IPSecで入れるようにして、仮想ネットワークからもファイル共有を開けるようにした。
しかし、WFASのポリシーを何度かいじっているといきなり消えることがあるようだ。 やはり出たばかりでまだまだ安定に難があるかもしれない。
(400)