L2TP over IPSec なリモートアクセス VPN を最速で用意する (Windows Server 2012 R2)

2016.07.07

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは、ももんが大好きの小山です。

きょうは、Windows Server 2012 R2 でリモートアクセスを構成してVPC上のリソースを安全に利用できるようにする方法についてご紹介します。併せてNATも構成していますから、インスタンスのEIPでインターネットへ出ることもできますよ!

以下の通りに作業するだけで、15分未満必ずつながるリモートアクセスを構成することができます。ぜひやってみてください!

役割の追加

役割と機能の追加ウィザードを実行して、サーバーの役割「リモート アクセス」をインストールします。

サーバーの役割の選択ページではリモート アクセスを選択しましょう。

役割サービスの追加ページでは、DirectAccess および VPN (RAS)ルーティングを選択します。

役割の追加が完了したら、赤枠の「作業の開始ウィザードを表示する」を選択します。

作業の開始ウィザードでは、「VPN のみを展開します」。

ルーティングとリモートアクセス

ルーティングとリモートアクセスの画面が表示されたら、コンピューター名を右クリックしてルーティングとリモートアクセスの構成と有効化を選択します。

ルーティングとリモートアクセスサーバーのセットアップウィザードが表示されます。次へで進みましょう。

構成ページでは、カスタム構成を選択します。

カスタム構成ページではVPNアクセスNATLANルーティングを選択します。

セットアップウィザードを完了して...

サービスを開始します。

ルーティングとリモートアクセスの画面に戻ったら、もう一度コンピューター名を右クリックしましょう。続いてプロパティを選択します。

セキュリティタブから「カスタム IPsec ポリシーを L2TP/IKEv2 接続で許可する」を選択します。事前共有キーも設定しますが、以下の例を真似しないでください! かならず自分たちしか知らない共有キー (PSK) を設定します。

IPv4タブのIPv4 アドレスの割り当てでは静的アドレスプールを使うを選択します。追加ボタンからクライアント用のアドレスプールを追加しましょう。

「L2TP/IKEv2 接続のカスタム IPsec ポリシーを有効にするには、ルーティングとリモートアクセスを再起動する必要があります。」

コンピューター名を右クリックしてサービスを再起動しましょう。

以下の要領でNATインターフェイスを追加します。

インターフェイスとしてEthernetを選択しましょう。

インターネットに接続されるパブリック インターフェイスこのインターフェイスで NAT を有効にするを選択します。

念のためにサービスを再起動して完了です。お疲れ様でした!

つないでみる

さっそくつないでみましょう。あらかじめローカルユーザーとグループから接続に用いるユーザーアカウントのプロパティを開いて、ダイヤルインタブのリモートアクセス許可からアクセスを許可しておきます。

リモートアクセスで接続したいコンピューターが OS X の場合、以下の要領でビルトインVPNクライアントを設定できます。Windows PC は持ち合わせていないため確かめることができませんが、まず繋がるでしょう。

ルーティングとリモートアクセスサービスで設定した事前共有キーは、Shared Secretとして入力します。

つながりました!! この緑のバーが見えたときほど嬉しい瞬間はありません。

インスタンスへPINGしてみました。

ルーティングとリモートアクセスサービスでNATを構成しましたから、VPC上に存在しないホストであってもVPCのDNSサービスが使えます!

おわりに

いかがでしたか? Windows Server 2012 R2 のルーティングとリモートアクセスサービスを使うと、誰でも簡単にVPNを用意できることがわかりました。世界中のリージョンへ接続して、遠い国へ行った気分を味わいましょう!