Microsoft Word - SL_[VPN]PPTPを利用したLAN間接続.doc

SoftLayer

PPTP を利⽤した LAN 間接続環境の設定

(Rev-1.0)

2014 年 2 ⽉ 株式会社シーホース 協栄テックス株式会社

1 【本資料における使⽤上のご注意事項】 １．本資料の内容は予告なく変更・更新することがあります。 ２．本資料に記載された内容は情報の提供のみを⽬的としたもので、正式に記載各社のテストやレビューを受けておりま せん。 ３．本資料の内容についてできる限り正確を期すよう努めておりますが、いかなる明⽰または暗黙の保証も責任も負いか ねます。本資料の情報は、ご使⽤先の責任において活⽤される情報であることを、あらかじめご了承ください。 ４．本資料の著作権は、株式会社シーホース及び協栄テックス株式会社が保有しています。 ５．本資料へのお問い合わせ、⼆次配布等につきましては、株式会社シーホースまたは協栄テックス株式会社までご連 絡ください。 ６．本⽂中にある製品名は各社の商標または登録商標です。 ７．また、「developerWorks ご利⽤条件」も併せてご参照ください。 https://www.ibm.com/developerworks/community/terms?lang=ja

2

⽬ 次

１．はじめに... 3 ２．導入ステップ概要... 4 ３．導入... 5 ３－１．PPTP 設定の有効化／接続確認... 5 ３－２．ＰＣの準備／Debian OS の導入... 8 ３－３．PPTP クライアントの設定 ... 10 ３－４．ルーター、DHCP サーバーの設定 ... 15 ４．終わりに... 17

3

１．はじめに

SoftLayer が提供する Private LAN 側への接続⽅法は、SSL／PPTP／IPSec の合計 3 種類で す。このうち、無償で利⽤できるのは SSL と PPTP の 1 セッション（2014 年 2 ⽉ 現在）ですが、いず れの場合も作業⽤ PC からの接続を想定しているのか、複数デバイス間でデータのやり取りをする場合に は少々不便です。

Public LAN 側から SSH 接続や VPN 接続をする⽅法ももちろんありますが、提供される IP アドレス数 の問題やインターネットにはそもそも接続したくないという要望もあるように思います。

そこで、今回は費⽤をかけずに「社内の作業⽤ネットワークと SoftLayer 側の Private LAN を PPTP で 接続する⽅法」をご紹介します。

PPTP は、IPSec と⽐較すると暗号強度は劣りますが、低価格の機器でも広く対応しており、社内 LAN などの NAT 環境化でも正常にセッションを張れることが多いのが強みです。

今回は、余った低スペックの PC などをソフトルーター化することを前提に、Linux ディストリビューションの Debian を利⽤しました。

4

２．導⼊ステップ概要

⼿順としては、はじめに、SoftLayer が提供する管理コンソールで PPTP を有効にし、Windows PC か ら PPTP 接続できることを確認します。 その後、接続確認を⾏った情報を組み込み、PC をソフトルーター化していくような流れとなります。 ① 〜 ④の導⼊ステップを進めていき、最終的に以下の環境を構築します。 ① PPTP 設定の有効化／接続確認 ② PC の準備／Debian ＯＳ導⼊ ③ PPTP クライアントの設定 192.168.50.0/24 PPTP Server - VPNゲートウェイ(PPTPクライアント) - DHCPサーバー (テスト用LANで利用) eth1 192.168.50.1 eth0 自動取得 SoftLayer 10.0.0.0/27 10.0.0.5 インターネット 接続先仮想サーバー 作業用PC 構築対象 ④ ルーター、DHCP サーバーの設定

5

３．導⼊

３－１．PPTP 設定の有効化／接続確認 PPTP については、初期の段階では接続が有効となっていません。このため、ポータル画⾯に接続し PPTP 接続に必要な設定を⾏います。 Ａ．SoftLayer ポータル https://manage.softlayer.com に接続します Ｂ．メニュー画⾯より [PrivateNetwork] – [VPN] を選択します

Ｃ．VPN 設定画⾯の PPTP Access 欄にチェックを⼊れ、Action 欄の[Update Password]を クリックします

6 Ｄ．パスワード⽂字列を⼊れて、画⾯下の[Update VPN Password]をクリックします ※ パスワードが所定の要件(⽂字列数や特殊⽂字の有無等)を満たすと、要件左側に チェックが⼊りパスワードが設定されます。 Ｅ．設定された内容が有効かどうか、ＰＣで接続し確認します。(以下は、Windows 7 の例です) [プログラムとファイルの検索]欄に「VPN」のキーワードを⼊⼒し、表⽰された「仮想プライベート ネットワーク(VPN)接続のセットアップ」を選択します インターネットアドレス欄に、接続先のデータセンターを⼊⼒し、任意の VPN 接続名を付けます。 (下記の例の接続先はサンノゼ) ⼊⼒したら、[次へ]をクリックします

7 ［参考］2014.2 ⽉現在の各 DC PPTP 接続ポイント (SoftLayer ポータルより) データセンター 接続先 Dallas, TX Seattle, WA San Jose, CA Washington, DC Amsterdam, NL Singapore, SG pptpvpn.dal01.softlayer.com pptpvpn.sea01.softlayer.com pptpvpn.sjc01.softlayer.com pptpvpn.wdc01.softlayer.com pptpvpn.ams01.softlayer.com pptpvpn.sng01.softlayer.com ポータル接続時の認証で利⽤したユーザー名と、３－１ ⼿順Ｄで設定したパスワードを⼊⼒し 接続します 正常に接続されると、下記のようなメッセージが表⽰されます。 うまく接続できない場合は、ユーザー名・パスワード・接続ポイントを確認してください。 また、インターネット接続にルーターを利⽤している場合は、ご利⽤のルーターが VPN(PPTP) パススルーに対応している必要がありますので、ご注意ください

8 ３－２．ＰＣの準備／Debian OS の導⼊ PPTP ルーターとして利⽤する、PC を⽤意します。 この項では、OS をインストールして基本的なネットワーク設定を⾏います。必要のない⽅は、読み⾶ばし てください。 Ａ．ＬＡＮの⼝が２つあるＰＣを⽤意します。 導⼊するのは、最低限のコンポーネントですので使わなくなった古いＰＣなどで充分です Ｂ．インストールする Debian OS を⽤意します。 インストールイメージは、http://www.debian.or.jp/ から⼊⼿で きます。本資料で は、 7.4(wheezy)を利⽤しました Ｃ．メディア作成後、PC にセットしインストーラを起動します。「Graphical Install」または「Install」を 選択し、[Enter]キーを押します。 (下記からは、Graphical Install を選択した例です)

Ｄ．⾔語、ロケーション、ネットワーク、ディスク設定などを⾏います。 OS 導⼊の詳細は割愛しますが、GUI インストールが選択できる場合は、設定項⽬もすべて ⽇本語で表⽰されるので、あまり迷うこともないかと思います 途中でインストールコンポーネントを選択する画⾯がありますが、今回はルーターとして利⽤するだけ ですので、最低限でＯＫです。ルーターとして必要なものは後で追加します。 デスクトップをご利⽤の場合は、KVM(キーボード／マウス／モニター)がなくても状態を確認できる ＳＳＨサーバーを組み込んでおくと良いかもしれません

9 Ｅ．インストールが終わったら、ネットワークの設定を⾏います。 ログインし、特権ユーザーでご⾃⾝の環境に合わせて以下のファイルを書き換えてください 設定例 ) アダプタ 1 eth0 (インターネット接続⽤) DHCP 接続 アダプタ 2 eth1 (作業⽤ PC 接続⽤) 固定 IP 192.168.50.1/24 ※ インターネット側を固定 IP とする場合は、IP アドレスの他にデフォルトゲートウェイと、 DNS の設定が必要です [ファイル内容] auto lo

iface lo inet loopback auto eth0

iface eth0 inet dhcp

#if you want to set default gateway, delete comment-out #gateway xxx.xxx.xxx.xxx

auto eth1

iface eth1 inet static address 192.168.50.1 netmask 255.255.255.0

10 ※ DNS の設定が必要な場合は、/etc/resolv.conf ファイルを作成します Ｆ．設定を反映させます ３－３．PPTP クライアントの設定 Ａ．続けて PPTP クライアント⽤のコンポーネントを追加インストールします 最後尾に以下の⾏を追加します 追加できたら、次のコマンドを実⾏します # vi /etc/apt/sources.list /etc/resolv.conf ファイルの内容 (xxx.xxx.xxx.xxx は、DNS サーバーの IP Address です) nameserver xxx.xxx.xxx.xxx # /etc/init.d/networking restart

deb http://ftp.jp.debian.org/debian/ wheezy main contrib non-free

#apt-get update # apt-get update

11 Update コマンド終了後、続けて実⾏します Ｂ．クライアントがインストールされたら、PPTP 接続の設定を⾏います。 ⼿順３－１Windows PC で⾏った PPTP パラメータを利⽤します ※コマンドは、改⾏せず⼊⼒してください VPN 名「VPN01」、接続先「サンノゼ」、ユーザー名「AB012345」、パスワード「xy@z0123」 での実⾏例

# apt-get install pptp-linux

パッケージリストを読み込んでいます... 完了 依存関係ツリーを作成しています 状態情報を読み取っています... 完了 以下のパッケージが新たにインストールされます: pptp-linux アップグレード: 0 個、新規インストール: 1 個、削除: 0 個、保留: 0 個。 48.3 kB 中 0 B のアーカイブを取得する必要があります。 この操作後に追加で 131 kB のディスク容量が消費されます。 以前に未選択のパッケージ pptp-linux を選択しています。 (データベースを読み込んでいます ... 現在 133241 個のファイルとディレクトリがインストールされています。) (.../pptp-linux_1.7.2-7_i386.deb から) pptp-linux を展開しています... man-db のトリガを処理しています ... pptp-linux (1.7.2-7) を設定しています ... #

# pptpsetup --create [VPN 名] --server [接続先] --username [ユーザー名] --password [パスワード] --encrypt

# pptpsetup --create VPN01 --server pptpvpn.sjc01.softlayer.com --username AB012345 --password xyz@0123 --encrypt

#

12 Ｃ．作成した PPTP 情報で接続できることを確認します ⼿順Ｂで作成した、VPN01 での接続例 Ｄ．SoftLayer 側のネットワークに対するルーティングを設定します 今回の接続例では、SolftLayer 側のネットワークが 10.0.0.0/27 ですので、この IP Address を ppp0 に向けてやります。 Ｅ．接続したいサーバーに ping を打って確認します。([CTRL]+[C]で強制終了させます) # pppd call [VPN 名] updetach # pppd call VPN01 updetach Using interface ppp0 Connect: ppp0 <--> /dev/pts/1 CHAP authentication succeeded

MPPE 128-bit stateless compression enabled local IP address 10.x.x.x

remote IP address 10.x.x.x #

# route add -net [接続先 IP アドレス] netmask [ネッマスク] ppp0

# route add -net 10.0.0.0 netmask 255.255.255.247 ppp0 #

# ping 10.0.0.5

PING 10.0.0.5 (10.0.0.5) 56(84) bytes of data.

64 bytes from 10.0.0.5: icmp_req=1 ttl=61 time=119 ms 64 bytes from 10.0.0.5: icmp_req=2 ttl=61 time=114 ms 64 bytes from 10.0.0.5: icmp_req=3 ttl=61 time=114 ms ^C

--- 10.0.0.5 ping statistics ---

3 packets transmitted, 3 received, 0% packet loss, time 2027ms rtt min/avg/max/mdev = 114.331/116.141/119.744/2.547 ms #

13 Ｆ．通信が確認できたら、⼀旦 pptp 接続を切断します Ｇ．PPTP が接続されたら、⾃動でルーティングが設定されるようにします routing_softlayer という名前でファイルを作成します routing_softlayer ファイルの中⾝ ファイルを保存したら、パーミッションを変更します Ｈ．毎回ログインして、接続／切断するのは⾯倒なので起動時に⾃動で接続するようにします。 pptp-sl という名前で起動／停⽌ファイルを作成します(※) pptp-sl の中⾝(2 ⾏にまたがっているものも、改⾏なしの 1 ⾏で⼊⼒してください) # pkill pppd # vi /etc/ppp/ip-up.d/routing_softlayer # chmod 755 /etc/ppp/ip-up.d/routing_softlayer #!/bin/sh # PPP リンク時のルーティング追加( to SoftLayer Network)

/sbin/route add –net 10.0.0.0 netmask 255.255.255.247 $PPP_IFACE

# vi /etc/init.d/pptp-sl

#!/bin/sh -e

# PPP セッションが複数ある場合などは、カスタマイズが必要です case "$1" in

start)

echo "Starting PPP Session..."

/usr/sbin/pppd call VPN01 updetach >/dev/null 2>&1

/sbin/iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE >/dev/null 2>&1

/sbin/iptables-save >/dev/null 2&1;; stop)

echo "stopping PPP Session”

/bin/cat /var/run/ppp0.pid | /usr/bin/awk {'print "kill -9 "$1}'|/bin/sh >/dev/null 2>&1;;

14 ファイルを保存したら、パーミッションを変更します Ｉ．Run レベル合わせた起動／停⽌のシンボリックリンクを作成します 警告が出ますが、問題ありません。 これで、OS が起動すると、SoftLayer に接続できるようになりました ※ ppp-sl ファイルには、eth1 側のネットワークから ppp0 インターフェースを介し SoftLayer 側 に向かう通信に対する、IP マスカレード設定も同時に⼊れてあります。 ファイルの内容は変更する必要がありませんので、そのままご利⽤ください # chmod 755 /etc/init.d/pptp-sl # update-rc.d pptp-sl defaults 99 1 # update-rc.d pptp-sl defaults 99 1

update-rc.d: using dependency based boot sequencing

insserv: warning: script 'pptp-sl' missing LSB tags and overrides #

15

３－４．ルーター、DHCP サーバーの設定

最後に、LAN 上から設定した PC を通じて SoftLayer 側と通信できるよう、IP ルーティングと DHCP サーバーの設定を⾏います。 Ａ．IP フォワードの設定 デフォルトでは、IP フォワーディングは「無効」となっているので、最終⾏に設定を追加します Ｂ．ＤＨＣＰサーバーのコンポーネントをインストールします # vi /etc/sysctl.conf net.ipv4.ip_forward=1

# apt-get install udhcpd # apt-get install udhcpd

パッケージリストを読み込んでいます... 完了 依存関係ツリーを作成しています 状態情報を読み取っています... 完了 以下のパッケージが新たにインストールされます: udhcpd アップグレード: 0 個、新規インストール: 1 個、削除: 0 個、保留: 0 個。 21.5 kB のアーカイブを取得する必要があります。 この操作後に追加で 24.6 kB のディスク容量が消費されます。

取 得 :1 http://ftp.jp.debian.org/debian/ wheezy/main udhcpd i386 1:1.20.0-7 [21.5 kB] 21.5 kB を 0 秒 で取得しました (42.2 kB/s) 以前に未選択のパッケージ udhcpd を選択しています。 (データベースを読み込んでいます ... 現在 133257 個のファイルとディレクトリがインストールさ れています。) (.../udhcpd_1%3a1.20.0-7_i386.deb から) udhcpd を展開しています... man-db のトリガを処理しています ... udhcpd (1:1.20.0-7) を設定しています ...

udhcpd: Disabled. Edit /etc/default/udhcpd to enable it. #

16 Ｃ．インストールされたら、IP アドレスの割り当て(リース範囲)などを設定します 下記のサンプルを参考に、必要な箇所を変更します。 Ｅ．DHCP サーバーが有効にとなるよう設定を変更します 下記の no を yes に書き換えます Ｆ．終わったら、保存してします。 DHCP デーモンを起動させればそのまま使えますが、念のため⼀度再起動してください。 これで作業は終了です。再起動後は、ネットワークに接続した作業⽤ PC から接続できることが 確認頂けると思います

# The start and end of the IP lease block

start 192.168.50.100 #リース開始 IP Address end 192.168.50.199 #リース終了 IP Address # The interface that udhcpd will use

interface eth1 # DHCP を有効にするネットワークカード # Options

opt dns 192.168.50.254 # DNS サーバー opt subnet 255.255.255.0 # サブネット

opt router 192.168.50.254 # デフォルトゲートウェイ

option lease 864000 # IP アドレスのリース時間(10 ⽇間/単位:sec) # vi /etc/udhcpd.conf

# vi /etc/default/udhcpd

# Comment the following line to enable DHCPD_ENABLED="no”

17

４．終わりに

いかがでしたでしょうか？ 今後も、SoftLayer サービスを便利に利⽤するためのネットワーク TIPS を中⼼に、皆さんにお役に⽴てそ うな情報を発信していきたいと考えています。最後までお読みいただき、ありがとうございました。 誤字脱字などなにかございましたらこちらまでお願いいたします。 株式会社シーホース 村北光明 [email protected] 協栄テックス株式会社 ⼯藤崇史 [email protected]