この記事では、Windows Server 2022 で VPN サーバーをインストールおよび設定する方法を説明します。セットアップをステップごとに説明します。
この記事は以下の記事を元に作成していますWindows Server 2019 (RAS) を使用した VPN サーバーWindows Server 2022 用に更新されました。
外出中に会社のネットワークにアクセスしたり、会社のリソースにアクセスしたりするには、VPN を回避する方法がほとんどありません。仮想プライベート ネットワークは、リモート アクセス サーバー (RAS) のダイヤルインおよび接続オプションの 1 つです。モデムと ISDN ダイヤルアップ接続は現在廃止されているため、これらのシステムはほとんど VPN ダイヤルインにのみ使用されています。現在、この目的には、Juniper、Cisco、Unfiy などのファイアウォール プロバイダーの統合ソリューションがよく使用されています。
インストールの基礎として、2 vCPU と 4 GB RAM を備えた VM を使用しています。これは、ここで必要ないくつかの VPN 接続には完全に十分です。
目次
別の安全上の警告があります
これは私のテスト環境を対象としているため、企業向けの RAS サーバーほどセキュリティ要件は高くありません。企業の場合は、ある程度のセキュリティも提供する Kemp Loadmaster など、DMZ 内の強化されたリバース プロキシをお勧めします。多要素認証も考慮する必要があります。
事前に構造についても考えておく必要があります。 RAS の実装は、非常に単純なものから非常に複雑なものまで多岐にわたります。自分に合ったものを見つけることが重要です。
オペレーティング システムのインストール
Windows Server 2022 をインストールした後、まずシステムに最新の更新プログラムを提供する必要があります。まず、「リモート アクセス」サーバーの役割をインストールします。これには、PPTP、DirectAccess、SSTP、L2TP/Ipsec などの VPN プロトコルを使用した RAS サービスだけでなく、Web アプリケーション用のリバース プロキシやルーティング サービスも含まれています。後者はインストールしないでください。
3 種類の機能のうち、役割サービスで使用する機能を選択する必要があります。ここでは「DirectAccess と VPN (RAS)」を選択します。
選択すると、必要な依存関係が表示されます。これを確認してください。
簡単にインストールするために追加の構成は必要ありません。
広告
インストールを開始し、必要に応じてサーバーを再起動します。実際には再起動は必要ありません。
役割をインストールした後、「はじめに」ウィザードを実行する必要があります。
ほとんどのシナリオでは、VPN 接続で完全に十分です。さらに、DirectAccess には IPv6 への依存関係もあります。したがって、ここでは VPN についてだけ考えてみましょう。
「ルーティングと RAS」コンソールが開きますが、Windows Server 2008 で変更されたようには感じられなくなりました。
サーバーを右クリックし、「ルーティングとリモート アクセスの構成と有効化」を選択します。
セットアップウィザードで「次へ」をクリックします
次のステップでは、どのシナリオを設定するかをより詳細に指定する必要があります。次に、「RAS (ダイヤルアップまたは VPN)」では必要のない特定の要件が想定されるため、「カスタム構成」を選択します。
次のステップで「VPN アクセス」を選択します。
広告
次のステップでは、構成の選択を完了します。
メッセージを確認してサービスを開始します。
その後、VPN プロトコルを構成できます。
広告
VPNプロトコルの構成
サポートされているプロトコル
- PPTP (Point-to-Point トンネリング プロトコル) は、Windows NT 4.0 に初めて実装されました。通信はポート 1723 TCP とプロトコル 47 GRE を介して行われます。 PPTP は広く使用されていますが、現在では十分な安全性がありません。以下も参照してください。マイクロソフト セキュリティ アドバイザリ 2743314。
- Microsoft で IPsec とともに使用されている L2TP (レイヤー 2 トンネリング プロトコル)。通信はポート 1701 TCP および 500 UDP を介して行われます。
- IKEv2 (実際には「Internet Key Exchange V 2」ですが、ここでは IPsec、IP セキュリティと同義です)。通信はポート 500 および 4500 UDP を介して行われます。
- SSTP (Secure Socket Tunneling Protocol)、ポート 443 TCP に基づく Microsoft 独自のプロトコル。これは、HTTPS トンネルが壊れない限り、実際にはすべてのファイアウォールを通過できることを意味します。プロトコルはこれをまったく好みません。欠点: Microsoft デバイスでのみ利用可能です。
プロトコルの選択
プロトコルの選択は、さまざまな要因によって決まります。各プロトコルには長所と短所があります。
私個人にとって、SSTP の最も優れている点は、ほぼどこでも機能することです。ホテルの無料 WLAN であっても、実際には有料 WiFi でのみ VPN が許可されます。欠点は、公開失効リストを備えた信頼できる CA からの有効な証明書が必要なことです。これは、ほとんどの内部認証機関が公的スピア リストを持たないために排除されることを意味します。あるいは、レジストリキーをクライアントに設定して、これが無視されるようにすることもできます。また、SSTP は Microsoft オペレーティング システムでのみサポートされています。
広告
PPTP はほとんどの人にとって安全ではありませんが、ほぼすべてのデバイスでサポートされています。
L2TP は、構成に応じてほとんどのデバイスと互換性があります。しかし、トリックはこの構成にあります。
同じことが IKEv2 / IPsec にも当てはまります。認証の種類によっては、ここで行うべき作業がたくさんあります。
プロトコルポートの基本設定
ウィザードは最初に、PPPoE を除き、プロトコルごとに 2 つのポートを作成しました。PPPoE には 1 つしかありません。プロトコルの選択と予想される接続に応じて、未使用のポートをオフにするか、新しいポートを追加します。 Windows Server 2022 では、標準ポートの数が大幅に削減され、以前のバージョンでは最大 128 個のポートが作成されていました。
これを行うには、「ポート」を右クリックし、「プロパティ」を選択します。
私の場合、不要なプロトコルをオフにしてポートを 1 に減らします。必要なプロトコルについては、ポートの数を 2 のままにします。これで十分です。
IPアドレス範囲の構成
リモート接続するクライアントにはプライベート IP アドレスが必要です。これにはネットワーク内の DHCP サーバーを使用するか、静的領域を割り当てることができます。これは RAS サーバーによって管理されます。
ファイアウォールの設定
私の RAS サーバーは DMZ 内になく、パブリック IP アドレスを持っていないため、選択したプロトコルのポートに対してファイアウォール上でポート転送を設定する必要があります。 RAS サーバーには静的 IP アドレスまたは DHCP 予約が必要であることが重要です。
ユーザーへの権限の割り当て
ユーザーがリモート アクセスに必要な権限を持っていることも重要です。
私たちの記事もお読みください:Let’s Encrypt 証明書を使用した SSTP VPN。