Welcome to TechNet Blogs Sign in | Join | Help

Shigeya Tanabe's blog

田辺茂也 (IT Pro エバンジェリスト)

News


  • コミュニティにおけるマイクロソフト社員による発言やコメントは、マイクロソフトの正式な見解またはコメントではありません。

    イベント

    ブックマーク

    * Click here to read in English *

    Clicky

SSTP VPN を試す

SSTP (Sercure Socket トンネリング プロトコル) とは、新しい VPN のプロトコルです。HTTPS を利用して接続するため、ファイアウォールとの親和性が高いという特徴があります。これまで Windows の VPN 機能では PPTP, L2TP のプロトコルがサポートされていましたが、Windows Server 2008 からは、これらに加えて SSTP がサポートされます。Windows Server 2008 RC0 を使って、実際に試してみました。

[はじめに]

  • SSTP について
    • Windows Server Beta 3 で追加されました。
    • 新しい VPN プロトコル。VPN トラフィックを HTTPS トンネル上でやりとりします。したがって
      • 経路上に NAT があっても越えることができる
      • Web Proxy のみで外部とつながっている場合でも、VPN 接続可能
        ホテルなどの公共のネットワークでも接続できる可能性が高くなる
      • ポート 443 のみで通信可能
    • 詳細は TechNet Magazine の The Cable Guy の記事をご参照ください。
    • 従来のプロトコルも引き続き利用可能です。したがって、PPTP, L2TP/IPSec, SSTP の三種の VPN プロトコルが利用できます
  • 参考情報

[検証環境]

  • Step-by-Step Guide に解説されている手順に沿って検証を行います
  • Virtual PC (または Virtual Server) を使用し、VPN サーバーと VPN クライアントの 2 台の仮想マシンを準備
  • VPN サーバー
    • Windows Server 2008 RC0
    • ネットワークインターフェイス2つ、1つは企業内ネットワークへ、もう1つはインターネットへの接続を想定
    • ドメインコントローラ兼用
  • VPN クライアント
    • Windows Vista SP1 ベータ版
    • ネットワークインターフェイス1つ、インターネットへの接続を想定
    • ドメインのメンバーである必要はありません
    • 実際に試す時には、Windows Server 2008 RC0 をクライアントとして使うことも可能です
  • ネットワーク
    • インターネット側として 192.168.100.0/24 を使用
    • 企業内ネットワークとして、10.0.0.0/24 を使用
  • ネットワーク構成図
     setup

[事前準備]

  • サーバー・基本設定
    • ネットワークインターフェイスに IP アドレスを設定
    • コンピュータ名を ws08rc0 に設定
    • ドメイン名を example01.jp として、Active Directory のドメインをセットアップ
    • VPN 接続を使用するユーザーを作成
      • ユーザーのプロパティの「ダイヤルイン」タブの「リモートアクセス許可」でアクセスを許可に設定。
        sshot-1
      • 実運用環境では、ネットワークポリシーサーバーを利用してアクセス制御する方が、より管理性が向上します。
    • 動作確認用に共有フォルダを作成しておく
  • サーバー・証明書サービス
    • サーバーマネージャの「役割の追加」から、「Active Directory 証明書サービス」を追加
      • 役割サービスから「証明機関 Web 登録」を追加しておくと、証明書の発行、ダウンロードが簡単にできる
      • ここでは、スタンドアロン CA、ルート CA を選択
    • HTTPS サーバー用の、サーバー証明書を作成しインストール
      • 詳細な手順は Step-by-Step ガイドを参照
      • IIS にセキュア Web サイトをセットアップするための、一般的な手順と同じ
      • ここでは Web インターフェイスを使用して証明書を作成。識別情報の「名前」に注意。クライアントから接続する時に、接続先として指定する名前と一致させる必要がある。
        sshot-22

[VPN サーバーの設定]

  • 役割の追加
    • サーバーマネージャの「役割の追加」から、「ネットワークポリシーとアクセスサービス」を追加
    • 役割サービスから「ルーティングとリモートアクセスサービス」を選択
      sshot-46
  • ルーティングとリモートアクセスの構成
    • サーバーマネージャの「役割」→「ネットワークポリシーとアクセスサービス」→「ルーティングとリモートアクセス」を右クリックし、「ルーティングとリモートアクセスの構成と有効化」を選択
      sshot-51
    • リモートアクセス (ダイヤルアップまたは VPN) を構成
      sshot-53
    • VPN のみを受信するように設定
    • VPN 接続を受け付けるネットワークインターフェイスを選択。ここでは 192.168.100.0/24 側のインターフェイスを選択
      sshot-55
    • リモートクライアントに割り当てる IP アドレスを手動で設定
      sshot-57
    • ここでは Radius 認証は使用しない

[VPN クライアントの設定]

  • VPN 接続の作成
    • コントロールパネルから、「ネットワークとインターネット」→「ネットワークと共有センター」→「接続またはネットワークのセットアップ」
    • 「職場に接続します」で VPN 接続のセットアップを開始
    • 「インターネット接続 (VPN) を使用します」「インターネット接続は後でセットアップします」を選択
    • インターネットアドレスに接続先のコンピュータ名を指定。先に作成したサーバー証明書に使用した名前と一致させる
      sshot-4
  • SSTP の使用を指定
    • 作成した接続のプロパティの、ネットワークから VPN の種類として SSTP を指定
       sshot-20
  • ルート証明書のインストール
    • 証明書サービスで作成したルート証明書をクライアントコンピュータにインストールする。Web インターフェイスからのダウンロードが簡単

[接続してみる ]

  • クライアント側で、「ネットワークに接続」から接続
  • 接続完了したことを確認
    sshot-22
    sshot-24 
    (実際にはインターネットに接続していないため、インターネット側は×と表示されている)
  • Web ブラウザで HTTPS サイトに接続する場合と同様、接続先のコンピュータ名と証明書内の名前が一致しないとエラーになる。
    • FQDN (ws08rc01.example01.jp) で作った証明書を使用した SSTP サーバーに、IP アドレス (192.168.100.1) でアクセスした例
  • ping や共有フォルダへのアクセスを確認
    • アクセス時、企業内ネットワーク側の IP アドレス 10.0.0.1 を使用 (10.0.0.0/24 には、外部からは VPN 経由でしかアクセスできない)
       sshot-25
    • ファイアウォールの設定によりアクセスがブロックされていることがある
    • クライアント側の VPN インターフェイスの IP アドレスは、VPN サーバーで設定されている範囲のアドレスから割り当てられている
      sshot-26
    • サーバー側では、SSTP のポートが1つ使用されている
      sshot-63
      sshot-64
    • VPN 接続には HTTPS のみが使用されている
      • サーバー側での netstat の該当行
        プロトコル  ローカル アドレス          外部アドレス        状態
        TCP    192.168.100.1:443      192.168.100.2:49277    ESTABLISHED
    • サーバー側のエンドポイントの確認
      • netsh http show urlacl の該当行
        予約済み URL            : https://+:443/sra_{xxx--xxxx}/
                ユーザー: NT SERVICE\SstpSvc
                    リッスン: Yes
                    委任: Yes
                ユーザー: BUILTIN\Administrators
                    リッスン: No
                    委任: No
                ユーザー: NT AUTHORITY\SYSTEM
                    リッスン: Yes
                    委任: Yes
                    SDDL: D:(A;;GA;;;S-1-5-xx--xxx)(A;;GR;;;BA)(A;;GA;;;SY)

[まとめ]

  • SSTP は、既存の VPN プロトコルと同様にセットアップ、共存できます
  • 新しい VPN プロトコルである、SSTP をぜひ評価してみてください
Posted: Tuesday, October 16, 2007 7:21 PM by Shigeya Tanabe
Anonymous comments are disabled
Page view tracker