こんにちは、技術2課の紅林です。カットマンです。
さて、今回はEC2上のWindows Server 2012 R2にSoftEther VPNをインストールしてL2TP/IPSecなVPNサーバを構築する手順をご紹介します。
はじめに
今回想定するケースとしては、複数のクライアント(エンド端末)からAWS環境とVPN接続するケースを想定しています。
Amazon VPCの機能にVPN接続機能がありますが、接続ごとにVPN接続をあらかじめ作成しておかなければならないことやカスタマゲートウェイとなるグローバルIPアドレスをあらかじめ設定しておかないといけないこと等から、拠点のゲートウェイとなるルートとの接続が主な用途として想定されます。また、VPN接続毎に料金が発生します。
今回のやり方であれば、1台のEC2インスタンスで複数のVPN接続クライアントを収容できます。また、SoftEther VPNの機能により、VPN接続用のユーザの管理(作成・削除)も非常に簡易に行えます。
環境条件
- Windows Server 2012 R2
- SoftEther VPN 4.0
構築するNW構成イメージ
今回構成するNW構成イメージ図を以下に示します。
インターネットに接続性のあるサブネットのインスタンスにSoftEther VPNをインストールしVPNサーバとして動作させます。
また、このサーバの仮想ルータ、仮想DHCP機能を使用(後述)し、AWS内の他のサーバと通信できます。
SoftEther VPNとは
SoftEther VPNは筑波大学で開発されているオープンソースのVPNソフトウェアです。ソフトイーサ株式会社の PacketiX VPN 4.0 に相当するフリーバージョンです。複数VPNプロトコルに対応しており、クライアントもマルチプラットフォームに対応しています。
弊社でも、使い勝手の良さと安定性から、社内のVPNサーバとして活用しています。
SoftEther VPN プロジェクト - SoftEther VPN プロジェクト https://ja.softether.org/
VPNサーバ構築手順
0.前提条件
- Windows Server 2012 R2のEC2インスタンスが作成されていること
- 上記のインスタンスへ、接続元の拠点からRDP、UDP500番、UDP4500番のアクセスが可能であること(セキュリティグループの設定等していること)
- 上記のインスタンスにSoftEther VPN 4.0がインストールされていること(※)。デフォルトインストールした後の状態であること。
※SoftEther VPN 4.0のインストールは以下のページに従い、インストールしてください。パッケージをダウンロードする際、ベータ版が多数表示されますが、運用で使用する場合は、RTM版をダウンロードする方がよいと思います。本検証では、「SoftEther VPN Server and VPN Bridge (Ver 4.08, Build 9449, rtm)」を使用しました。
7.2 Windows へのインストールと初期設定 - SoftEther VPN プロジェクト https://ja.softether.org/4-docs/1-manual/7/7.2
1.SoftEther VPN サーバ管理マネージャによるサーバへの接続
SoftEther VPN サーバ管理マネージャを立ち上げ、「接続」を押下します。
初回ログインの際、パスワードの設定を求められますので、パスワードを入力して「OK」を押下します。
簡易セットアップ画面が立ち上がりますが、今回は一旦「閉じる」を押下します。
2.L2TP/IPSecの設定
「SoftEther VPN サーバ管理マネージャ」上で「IPSec/L2TP設定」ボタンを押下します。
「IPSec/L2TP/EtherIP/L2TPv3設定」画面が表示されますので、「L2TPサーバ機能を有効にする(L2TP over IPSec)」にチェックします。「IP Sec事前共有鍵」に適切な鍵名を入力し(サンプル画像では「vpn」)、「OK」ボタンを押下します。
3.ユーザの管理
「SoftEther VPN サーバ管理マネージャ」画面に戻りますので、「仮想HUBの管理」ボタンを押下します。
「仮想HUBの管理」画面が表示されますので、「ユーザの管理」ボタンを押下します。
「ユーザの管理」画面が表示されますので、「新規作成」ボタンを押下します。
今回は単純なパスワード認証を使用しますので、下記のようにユーザ名とパスワード情報を入力し、「OK」を押下します。(画像はサンプル)
4.SecureNATの設定
AWS環境でSoftEtherを用いてVPNサーバを構築する場合、SoftEtherのSecureNAT機能を有効にする必要があります。
「仮想HUBの管理」画面に戻り、「仮想NATおよび仮想DHCPサーバ機能」ボタンを押下します。
「仮想NATおよび仮想DHCP機能(SecureNAT)の設定」画面が表示されますので、「SecureNAT機能を有効にする」を押下します。
確認画面が表示されますので「OK」を押下します。
以上でVPNサーバの構築手順は完了です。
この後、各OS標準のL2TP/IPSecの接続手順に従い、構築したVPNサーバに関する設定行えば、VPN接続が可能になります。
最後に
以下、宣伝です。AWS Cloud Roadshow 2015 大阪が12月2日に開催されます。是非ご参加頂けたらと思います!