すでに作成していましたL2TP VPNサーバーWindows Server 2016 では、IOS デバイスでは問題なく動作しましたが、Windows 10 ではうまく動作しないことがわかりました。そのため、自宅のブロードバンド接続 (Sky Fibre) 経由でデバイスにアクセスするための SSTP VPN サーバーを作成しました。これは私のすべての Windows 10 マシンで完璧に動作することがわかりました。 L2TP と SSTP の主な違いは、SSTP では証明書を使用する必要があることです。これを起動して実行するために必要なすべてを以下で説明します。
まず、Windows 2016 サーバーを構築します。VM か物理かはあまり関係ありません。必要に応じてスピンアップ/スピンダウンし、スナップショットを作成できるため、VM を使用しました。 Windows 2016 Server のインストールに関する注意事項については、を参照してください。ここ。
次に、認証局を設定する必要があります (同じサーバー上に存在できます)。従ってくださいこのガイドSSTP VPN で使用する CA を設定する手順については、こちらをご覧ください。
次に、リモート アクセスの役割をインストールする必要があります。これを行うには、サーバー マネージャーを開き、役割と機能の追加ウィザードを開始します。リモート アクセス ロールを選択し、「次へ」をクリックします。
もう一度「次へ」をクリックします
もう一度「次へ」をクリックします
「機能の追加」をクリックし、「次へ」をクリックします
「次へ」をクリックします
Web サーバーの役割サービスの選択を受け入れ、「次へ」をクリックします
「インストール」をクリックします
インストールが完了するまで待ちます
役割がインストールされたら、サーバー マネージャーから [開始ウィザードを開く] オプションをクリックします。
「VPN のみを展開」を選択します
これで、ルーティングとリモート アクセス コンソールにアクセスできるようになりました。
サーバー名を右クリックし、「ルーティングとリモート アクセスの構成と有効化」を選択します。
「次へ」をクリックします
ネットワーク インターフェイスが 1 つしかない場合は、[カスタム構成] を選択し、[次へ] をクリックします。
「VPN アクセス」を選択し、「次へ」をクリックします
。
「完了」をクリックします
「サービスの開始」をクリックします
サービスが開始されるまで待ちます
サーバー名を右クリックし、「プロパティ」をクリックします。 「全般」タブはそのままにして「セキュリティ」をクリックします
EAP と MS-CHAP v2 のみが選択されていることを確認してください
次に、VPN サーバーに証明書を発行して、受信 SSTP 接続を信頼できるようにする必要があります。これを行うには (VPN サーバー上で) [スタート] > [certlm.msc] と入力して、ローカル マシン証明書 mmc を開きます。
[個人] の下の [証明書] を右クリックし、[すべてのタスク] > [高度な操作] > [カスタム リクエストの作成] をクリックします。
「次へ」をクリックし、もう一度「次へ」をクリックします
デフォルトを受け入れて「次へ」をクリックします
[詳細] を展開し、[プロパティ] をクリックし、VPN サーバーの外部 DNS 名としてフレンドリ名を入力します。お持ちでない場合はセットアップできますアヒルDNSこれは私と同じように無料のサービスです。次に、「件名」タブをクリックします
コモンネームと DNS 名の両方を VPN サーバーの外部 DNS 名として追加します。次に、「拡張機能」タブをクリックします
「拡張キー使用法」を展開し、「クライアント認証」と「サーバー認証」を追加し、「OK」をクリックして「次へ」をクリックします。
証明書リクエストを保存する場所を選択し、「完了」をクリックします。
認証局 mmc を開き、サーバー名を右クリックします。次に、[すべてのタスク] > [新しいリクエストの送信] に移動します。保存したリクエスト ファイルを開きます。
「保留中のリクエスト」をクリックすると、そこに証明書リクエストが表示されるはずです。それを右クリックし、「問題」をクリックします
これで、発行された証明書に移動し、発行された証明書をダブルクリックできるようになります。 「詳細」タブをクリックし、「ファイルにコピー」をクリックします。
デフォルトを受け入れて、「次へ」をクリックします。次に証明書を保存し、「完了」をクリックします。
certlm.msc スナップインを再度開き、個人の下にある証明書を右クリックします。 [インポート] をクリックし、認証局コンソールからエクスポートした証明書をインポートします。
次に、ルーティングとリモート アクセス コンソールのプロパティに戻り、[セキュリティ] タブをクリックします。 [SSL 証明書のバインド] で、作成したばかりの証明書を選択します
[IPv4] タブをクリックし、[静的アドレス プール] を選択します。 VPN 上で DHCP に使用するアドレスの範囲を入力します。
[ログ] タブを選択し、[追加のルーティングとリモート アクセス情報をログに記録する] ボックスをオンにします。
[OK] をクリックすると、ルーティングとリモート アクセス サービスを再起動するように求められます。今すぐ再起動してください。
次に、VPN にアクセスするための安全なユーザー アカウントを作成する必要があります。 [スタート] > [ファイル名を指定して実行] をクリックし、「compmgmt.msc」と入力してコンピューター管理にアクセスします。 「ユーザー」を右クリックし、「新規ユーザー」をクリックします。ユーザーに名前と強力なパスワードを与えます。
ユーザーアカウントを右クリックし、「プロパティ」をクリックします。 「ダイヤルイン」タブをクリックして「アクセスを許可」を選択し、「OK」をクリックします。この時点で NPS を使用してアクセスを制御する場合は、[NPS ネットワーク ポリシーによるアクセスの制御] を選択します。
このサーバーには固定の外部 IP アドレスがなく、NAT ファイアウォール (ブロードバンド サプライヤー Sky によって提供されるため、変更できません) の内側に座っているため、ルーターから RRAS VPN サーバーにポートを転送する必要があります。これを行うには、以下のような設定を行う必要があります。
すべてのポート 443 トラフィックをこのサーバーに転送する場合は、IIS へのアクセスを制限することができます。これを行うには、IIS マネージャーを開いてデフォルトの Web サイトを選択します。次に、「IP アドレスとドメインの制限」をクリックします。
その後、拒否ルールを追加できます。 IIS へのすべてのアクセスを制限したかったので、0.0.0.0 (0.0.0.0) を追加しました。
次に、CA コンソールを開き、サーバー名を右クリックして [プロパティ] に移動し、認証局からルート証明書をエクスポートします。 「全般」タブをクリックし、「証明書の表示」をクリックします。次に、詳細をクリックして証明書をファイルにエクスポートします。
これを certlm.msc スナップインで Windows 10 マシンにインポートしますが、信頼されたルート証明機関の下の証明書に追加します。
次に、Windows 10 マシンで証明書要求を作成する必要があります。
これを行うには (Windows 10 クライアント上で) [スタート] > [certlm.msc] と入力して、ローカル マシン証明書 mmc を開きます。
[個人] の下の [証明書] を右クリックし、[すべてのタスク] > [高度な操作] > [カスタム リクエストの作成] をクリックします。
「次へ」をクリックし、もう一度「次へ」をクリックします
デフォルトを受け入れて「次へ」をクリックします
[詳細] を展開し、[プロパティ] をクリックし、Windows 10 マシンの名前としてフレンドリ名を入力します。次に、「件名」タブをクリックします
コモンネームと DNS 名の両方を VPN サーバーの外部 DNS 名として追加します。次に、「拡張機能」タブをクリックします
「拡張キー使用法」を展開し、「クライアント認証」を追加し、「OK」をクリックして「次へ」をクリックします。
証明書リクエストを保存する場所を選択し、「完了」をクリックします。
認証局 mmc を開き、サーバー名を右クリックします。次に、[すべてのタスク] > [新しいリクエストの送信] に移動します。保存したリクエスト ファイルを開きます。
「保留中のリクエスト」をクリックすると、そこに証明書リクエストが表示されるはずです。それを右クリックし、「問題」をクリックします
これで、発行された証明書に移動し、発行された証明書をダブルクリックできるようになります。 「詳細」タブをクリックし、「ファイルにコピー」をクリックします。
デフォルトを受け入れて、「次へ」をクリックします。次に証明書を保存し、「完了」をクリックします。
Windows 10 クライアントで certlm.msc スナップインを再度開き、個人の下にある証明書を右クリックします。 [インポート] をクリックし、認証局コンソールからエクスポートした証明書をインポートします。
Windows 10 では、[設定] > [ネットワークとインターネット] > [VPN] をクリックし、[VPN 接続の追加] をクリックします。 VPN プロバイダーとして Windows (組み込み) を選択し、接続に選択した名前を付けます。 VPN サーバーの外部 DNS 名を入力し、VPN タイプとして SSTP を選択します。
次に、前に作成した VPN ユーザー アカウントの資格情報を入力し、接続を保存します。
次に、regedit を開き、以下のキーに移動します。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Sstpsvc\Parameters
NoCertRevocationCheck という DWORD を追加し、値 1 に設定します。
これで問題なく接続できるようになりました。
関連記事:
- Qualys の脆弱性 SSH サーバーの公開キーが小さすぎます…
- から保護するための Windows AppLocker の構成…
- Veeam SureBackup 自動復元テストの構成
- Microsoft SQL Always On データベースを構成する方法…
