リモートアクセス“Smart Device VPN”
管理者マニュアル
[マネージドイントラネット Smart Device VPN システム管理者さま向け] 2012 年 7 月 2 日 Version 1.3b i t - d r i v e
1/27 2012.7.2 Version1.3 リモートアクセス”Smart Device VPN" 管理者マニュアル
目次
1 本マニュアルについて ... 3
1-1 概要 ... 3 1-2 サービスご利用前の注意点 ... 32 基本概念 ... 4
2-1 基本構成図 ... 43 設定手順 ... 5
3-1 マネージメントツールへのアクセス ... 64 Smart Device VPN のユーザ管理 ... 7
4-1 Smart Device VPN ユーザ管理の変更 ... 7 4-2 設定の保存 ... 8 4-3 設定完了を確認 ... 95 事前共有鍵管理 ... 10
5-1 『事前共有鍵』の設定 ... 10 5-2 『有効期限』の設定 ... 12 5-3 『メール通知』の設定 ... 12 5-4 メール通知の内容 ... 13 5-5 設定の保存 ... 14 5-6 設定完了を確認 ... 146 Smart Device VPN の基本設定 ... 15
6-1 『基本設定』の変更 ... 15 6-2 『インターネットアクセス』の設定 ... 16 6-3 『DNS』の設定 ... 16 6-4 『固定割当』の追加 ... 17 6-5 設定の保存 ... 18 6-6 設定完了を確認 ... 187 利用ユーザへの通知 ... 19
8 接続クライアント管理... 20
8-1 接続ユーザの確認 ... 20 8-2 接続ユーザの切断 ... 219 ログ管理 ... 23
9-1 ログの確認 ... 23 9-2 ログのダウンロード ... 24 9-3 ログの表示 ... 25 9-4 ログの説明 ... 26
1 本マニュアルについて
1-1 概要
このたびは、マネージドイントラネットサービスをご契約いただき、ありがとうございます。
本マニュアルでは、リモートアクセス”Smart Device VPN”(以下、Smart Device VPN という)のシステ ム管理者さま向けの各種設定について記載しています。 「Smart Device VPN」の運用を始める際、まず本マニュアルをお読みください。 1-2 サービスご利用前の注意点 設定の重要性 Smart Device VPN のご利用開始にあたり、本マニュアルに記載されている各種設定が必要となり ます。 未設定であった場合、Smart Device VPN をご利用できませんので、必ず実施してください。 3/27 2012.7.2 Version1.3 リモートアクセス”Smart Device VPN" 管理者マニュアル
2 基本概念
2-1 基本構成図 Smart Device VPN は、自宅や外出先のスマートデバイス(タブレット、スマートフォンなど)から、イン ターネット経由で、社内ネットワークのサーバ(Web サーバや、メールサーバなど)へアクセスする機能 であり、認証と暗号化により、インターネット経由でもセキュアな通信が可能です。 Smart Device VPN のサービスの基本構成は下図の通りです。 ① スマートデバイス リモートアクセスの設定をするスマートデバイスです。スマートデバイスに搭載されている VPN 機能を利用し、Smart Device VPN サーバ(以下、SDV サーバという)に接続します。 ② SDV サーバbit-drive データセンター内に設置されたお客さま専用の VPN 接続サーバです。Smart Device VPN の終端機能を提供します。
③ アクセス先サーバ
お客さまネットワーク内のサーバ(サービスサーバなどマネージドイントラネットのサーバ群も含 む)です。スマートデバイスからの通信のアクセス先になります。
3 設定手順
Smart Device VPN を利用開始にあたり、システム管理者さまにて以下のフローに沿って、各種設定 が必要となります。Smart Device VPN の各種設定は、マネージドイントラネットのマネージメントツー ルより設定します。 『利用ユーザの設定』については、『リモートアクセス”Smart Device VPN”ユーザマニュアル』に記載 しております。管理者さまからご利用になるユーザさまへご指示頂き、設定頂く流れとなっておりま すので、こちらのマニュアルをご覧下さい。 事前共有鍵の生成 Smart Device VPN ユーザの許可設定 利用ユーザへの通知 利用ユーザの設定 設定完了 基本設定 5/27 2012.7.2 Version1.3 リモートアクセス”Smart Device VPN" 管理者マニュアル3-1 マネージメントツールへのアクセス マネージメントツールは、以下の URL へ web ブラウザからアクセスしてください。
https://www.mi.bit-drive.ne.jp/
ログインする際に用いる「VPN ID」「ログイン ID」「パスワード」は、システム管理者さま宛に送付 しております「bit-drive マネージドイントラネットサービス 登録内容」をご覧ください。
4 Smart Device VPN のユーザ管理
SDV サーバにログインを許可するため、各ユーザに許可する設定をおこないます。 ユーザ登録は事前に「システム全体」の「ユーザ管理」にて登録する必要があります。 4-1 Smart Device VPN ユーザ管理の変更 【SDV サーバ>Smart Device VPN ユーザ管理】画面を開きます。 『設定変更』ボタンをクリックします。 7/27 2012.7.2 Version1.3 リモートアクセス”Smart Device VPN" 管理者マニュアル
許可したいユーザにて『Smart Device VPN の許可』を『する』に設定します。
4-2 設定の保存
4-3 設定完了を確認 『ユーザ設定を保存しました』のメッセージが表示されれば、設定は完了です。 9/27 2012.7.2 Version1.3 リモートアクセス”Smart Device VPN" 管理者マニュアル
5 事前共有鍵管理
スマートデバイスと SDV サーバとの事前共有鍵(Preshared Key)を生成します。事前共有鍵は有効期間 を決めることができ、有効期限を過ぎると事前共有鍵は自動でサーバから削除されます。 5-1 『事前共有鍵』の設定 【SDV サーバ>サーバ設定>Smart Device VPN>事前共有鍵管理】画面を開きます。 『設定変更』ボタンをクリックします『設定情報』>『事前共有鍵』に事前共通鍵を入力します。 『鍵生成』ボタンをクリックすることで自動的に鍵を生成することも可能です。 注意 事前共有鍵の文字は 8 文字~255 文字以内に設定してください。 スペース、全角文字は無効となります。 注意 事前共有鍵は全ユーザ共有の鍵となります。 事前共有鍵を変更すると接続する全ての端末の設定を変更する必要がございます。 11/27 2012.7.2 Version1.3 リモートアクセス”Smart Device VPN" 管理者マニュアル
5-2 『有効期限』の設定 事前共有鍵の有効期間を設定します。 注意 有効期限は『無制限』、『1 ヶ月』、『3 ヶ月』、『6 ヶ月』から選択します。 デフォルトでは『無制限』が設定されています。 5-3 『メール通知』の設定 有効期限を知らせるためのメール通知の有無を設定します。 注意 事前共有鍵の有効期限 2 週間前から毎日システム管理者宛に送信されます。
5-4 メール通知の内容 事前共有鍵のメール通知を『する』に設定した場合は、下記のメールが管理者宛に送付されます。 なお、事前共有鍵の有効期限 14 日前から期限切れまで毎日メールが送付されます。 (例)事前共有鍵の有効期限が 2012 年 2 月 27 日(月) ■事前共有鍵の有効期限 7 日前の場合 『件名』 【マネージドイントラネット】Smart Device VPN 事前共有鍵有効期限の警告 『本文』 このメールはマネージドイントラネット(VPN-ID:DGXXXXX)から自動送信されています。 現在ご利用の事前共有鍵の有効期限は、 【2012 年 2 月 20 日(月) (残り 7 日)】 です。 事前共有鍵の有効期間を過ぎますとスマートデバイスからの接続ができなくなります。 【サーバ設定 > Smart Device VPN > 事前共有鍵管理】画面で事前共有鍵を再作成し、 新しい事前共有鍵を各スマートデバイスに再登録してください。 ■事前共有鍵の有効期限が切れた場合 『件名』 【マネージドイントラネット】Smart Device VPN 事前共有鍵有効期限切れの通知 『本文』 このメールはマネージドイントラネット(VPN-ID:DGXXXXX)から自動送信されています。 現在ご利用の事前共有鍵の有効期限は、 【2012 年 2 月 27 日(月)】 に切れました。 現在スマートデバイスからの接続ができない状態になっています。 至急【サーバ設定 > Smart Device VPN > 事前共有鍵管理】画面で事前共有鍵を再作成し、 新しい事前共有鍵を各スマートデバイスに再登録してください。 13/27 2012.7.2 Version1.3 リモートアクセス”Smart Device VPN" 管理者マニュアル
5-5 設定の保存
設定を保存するために、『保存』ボタンを押します。
5-6 設定完了を確認
6 Smart Device VPN の基本設定
接続するスマートデバイスに割り当てる情報を設定します。 接続したスマートデバイスからインターネットへのアクセスの有無、DNS の割当 IP アドレスを設定 することでインターネットアクセスが可能となります。 6-1 『基本設定』の変更 【SDV サーバ>サーバ設定>Smart Device VPN>基本設定】画面を開きます。 『設定変更』をクリックし、『基本設定(編集)』画面を開きます。 15/27 2012.7.2 Version1.3 リモートアクセス”Smart Device VPN" 管理者マニュアル6-2 『インターネットアクセス』の設定 スマートデバイスから Smart Device VPN 経由でインターネットへアクセス可能と する場合、『インターネットアクセス』を『する』に変更します。 6-3 『DNS』の設定 スマートデバイスに設定させる DNS サーバの IP アドレスを入力します。 社内サーバにアクセスしたい場合は社内用 DNS サーバの IP アドレスを入力します。 マネージドイントラネットにて DNS サーバを管理されている場合は SUS(サービスユーザサーバ) の IP アドレスを入力します。
6-4 『固定割当』の追加 割り当てる IP アドレスを固定で割り振ることが可能です。 固定で割り振ることにより、IP アドレス単位でアクセスさせたいサーバを制限することも可能です。 【Edit Controller】の追加ボタンをクリックします。 ログイン ID、固定割当 IP アドレスを入力します。 注意 固定割当 IP アドレスは 10.255.224.1~10.255.224.253 の範囲で登録してください。 17/27 2012.7.2 Version1.3 リモートアクセス”Smart Device VPN" 管理者マニュアル
6-5 設定の保存
設定を保存するために、『保存』ボタンを押します。
6-6 設定完了を確認
7 利用ユーザへの通知
下記設定情報を利用ユーザへ通知します。 必要な情報 説明 SDV サーバ IP アドレス スマートデバイスが接続するセンターサーバのグローバル IP アドレ スです。マネージメントツール上 ID『000-RA1』で表示されるサーバ の、システムステータス内WAN 側 IP アドレス欄の IP アドレスです。 ログイン ID 及び パスワード ご利用ユーザがマネジーメントツールやメールサーバへログインす る際のログイン情報と共通です。 事前共有鍵 本マニュアル 6 項で設定した文字列です。 上記設定情報は、リモートアクセス”Smart Device VPN” ユーザマニュアル P.5 手順①設定情報の入手 に対応するものです。 19/27 2012.7.2 Version1.3 リモートアクセス”Smart Device VPN" 管理者マニュアル
8 接続クライアント管理
現在 Smart Device VPN で接続しているクライアントの情報を表示します。 8-1 接続ユーザの確認 【SDV サーバ>運用管理>Smart Device VPN ステータス>接続クライアント管理】画面を開きます。 現在 VPN 接続を行っているログイン ID が表示されます。8-2 接続ユーザの切断 『操作』ボタンをクリックします。 切断したいログイン ID にて『切断』ボタンをクリックします。 21/27 2012.7.2 Version1.3 リモートアクセス”Smart Device VPN" 管理者マニュアル
9 ログ管理
正常にログインできない場合など、ログから原因の切り分けなどが行えます。 9-1 ログの確認 【SDV サーバ>運用管理>ログ管理】画面を開きます。 『Smart Device VPN ログ』をクリックします 23/27 2012.7.2 Version1.3 リモートアクセス”Smart Device VPN" 管理者マニュアル
9-2 ログのダウンロード
『ログダウンロード』にてダウンロードしたい期間を設定し、『ダウンロード』をクリックします。
『保存』ボタンをクリックします。
9-3 ログの表示 『ログ表示』にて表示したい日時を指定し、『表示』ボタンをクリックします。 『ログ内容』項目に指定日のログが表示されます。 25/27 2012.7.2 Version1.3 リモートアクセス”Smart Device VPN" 管理者マニュアル
9-4 ログの説明
ログは以下の項目で出力されます。
『日時』 『VPN-ID』 『プロセス名[プロセス ID]』 『ログの詳細』
例):Feb 14 18:45:59 DGXXXXX-000-RA1 pppd[32413]: PAP peer authentication succeeded for userID
以下に一般的な動作時のログを記載します。
※下記例では、『ログの詳細』部分のみ表示しています。
■認証に成功した場合
PAP peer authentication succeeded for ログイン ID
rus_plugin: 10.255.224.1 is acquired by ログイン ID, from 接続元 IP アドレス
■クライアントの切断要求で終了した場合 LCP terminated by peer (User request)
rus_plugin: 10.255.224.1 is released by ログイン ID, from 接続元 IP アドレス Exit.
■マネージメントツールから強制切断した場合 START
terminating connection (login_id, ipv4_address, pid) = (ログイン ID, 10.255.224.1, 32223) rus_plugin: 10.255.224.1 is released by ログイン ID, from 接続元 IP アドレス
END (exit code: 00) Exit.
■クライアント接続時の認証エラーの場合(パスワード違いなど) PAP peer authentication failed for ログイン ID
Feb 14 18:45:59 DGXXXXX-000-RA1 pppd[32413]: Exit.
■回線切断で強制切断した場合
Maximum retries exceeded for tunnel トンネル ID. Closing.
rus_plugin: 10.255.224.1 is released by ログイン ID, from 接続元 IP アドレス Exit.
■割り振る IP アドレスが無くなった場合(固定登録 + 接続ユーザ数が合計で 253 に達している) PAP peer authentication succeeded for ログイン ID
LCP terminated by peer (No network protocols running) Exit.
■サーバ側の事前共有鍵がない
"l2tp-psk"[97] 接続元 IP アドレス #147: Can't authenticate: no preshared key found for `接続元 IP アドレス' and `%any'. Attribute OAKLEY_AUTHENTICATION_METHOD
■事前共有鍵のミスマッチの場合
"l2tp-psk"[116] 接続元 IP アドレス #116: probable authentication failure (mismatch of preshared secrets?): malformed payload in packet
■i-phone にて「全ての信号を送信する」にチェックが入っていない場合
pppd[5103]:Unsupported protocol 'Apple Client Server Protocol Control' (0x8235) received
27/27
2012.7.2 Version1.3
リモートアクセス”Smart Device VPN" 管理者マニュアル
