OS X Server レッスン 1:VPN サービスを構成する
このレッスンでは、コンピュータを VPN サーバとして設定する方法を学びます。
「myserver.example.com」と名付けられたサーバを、Mac クライアントからの暗号化接続を受け入れるように構成し、それらのクライアントからローカルネットワークにアクセスできるようにします。
このレッスンで次の項目について学べます:
ドメイン名、ホスト名、完全修飾ドメイン名
DNS(Domain Name Service)、静的と動的の両方
パブリック IP アドレスとプライベート IP アドレス
IP アドレスのサブネット
IP トラフィックのポートフォワード
手順 1.静的パブリック IP アドレスを取得する
お使いのサーバには、社内 Web サーバの場所として公衆インターネットで使用できる IP アドレスが必要です。ISP からあなたに静的 IP アドレスが割り当てられます。
-
あなたが大規模な組織に属している場合は、社内ネットワークを ISP に接続するためのアドレス設定、ルーター、ゲートウェイ、ファイアウォールを制御している担当者に問い合わせてください。
この IP アドレスが DNS(Domain Name System)によって使用されて、ユーザ向けのドメイン名とマシンが使用する IP アドレス間のリンクが確立されます。
手順 2.ホスト名と完全修飾ドメイン名を取得する
以下は、把握しておく必要がある重要なインターネットネーミング用語です。
-
DNS(Domain Name System)は、マシンが使用する静的 IP アドレスをユーザ向けのドメイン名にリンクするインターネットの方法です。
ダイナミック DNS は、頻繁に変更され定期的に再割り当てがなされる IP アドレスに対してユーザ向けの名前付けを使用する方法です。静的パブリック IP アドレスを入手できなかった場合は、標準の DNS ではなくダイナミック DNS を使用する必要があります。
ホスト名は、ローカルネットワーク上であなたのサーバを特定する名前です。たとえば、「myserver」など、ネットワーク上で自分のサーバを一意に識別できる名前なら何でもかまいません。
ドメイン名は、個々のメンバーではなく大規模な組織を特定するための名前です。たとえば、Apple のドメイン名は「apple.com」です。インターネットサービスに関するマニュアルでは、ドメイン名として「example.com」を用いることがあります。ドメイン名は、ドメイン名登録業者(ドメイン名を追跡管理して、それらが重複しないことを保証する会社)からリースされます。
完全修飾ドメイン名には、ホスト名と完全なドメイン名が含まれます。
DNS プロバイダは、ドメイン名と完全修飾ドメイン名、およびそれらに関連付けられた静的 IP アドレスの記録を維持しています。
-
このレッスンをあなた一人で行っているなら、あなたにドメイン名とホスト名が必要になります。ホスト名は見つけ出すことができますが、ドメイン名はリースしてもらう必要があります。
あなたが既存の組織に属しているなら、ドメイン名(example.com など)、およびホスト名を取得するための何らかのシステムがすでに利用可能なはずです。また、静的 IP アドレスとドメイン名を互いにリンクする DNS ホストもあるはずです。
このレッスンでは、以下のプレースホルダ名を使用します:
設定
プレースホルダ名
ドメイン名
example.com
ホスト名
www
完全修飾ドメイン名
www.example.com
警告: このチュートリアルで使用しているプレースホルダ設定は、実際の場では使用しないでください。「example.com」という名前は、この種の書類で使用するために予約されており、実際のソフトウェア構成では動作しません。独自の設定を使用してください。
手順 3.VPN アドレス設定を構成する
-
Server アプリケーションを開き、OS X Server で利用可能なサービスのリストを表示します。「VPN」を選択します。
以下の設定を使用します:
設定
値
理由
VPN の構成
L2TP
Mac コンピュータは L2TP にネイティブで対応しています。
VPN ホスト名
myserver.example.com
静的パブリック IP アドレスにリンクされている完全修飾ドメイン名です。
共有シークレット
そのまま
VPN サービスへの「パスワード」として動作する文字列で、自動的に生成されます。
クライアントアドレス、ルート
そのまま
このレッスンでは、変更は不要です。
DNS 設定
そのまま
これを変更する必要があるのは、ISP または組織にあなた用の特別の設定がある場合だけです。
警告: ネットワークの競合を防ぐため、VPN サービスから提供されるアドレスが、DHCP 経由でネットワーク管理者から提供されるアドレスと重ならないようにします。組織のネットワーク管理者と協力するか、お使いのルーターが VPN サービスと同じアドレスを配布しようとしていないことを確認してください。
手順 4.ゲートウェイで必要なインターネットポートを開く
-
Server アプリケーションを使用して構成された AirMac ベースステーションを使用している場合は、ポートフォワードを自動的に実行できます。「Server」で VPN 向けのインターネットアクセスを提供する場合は、「許可」をクリックします。
あなたが組織に属しているなら、おそらく VPN 接続の通過のためにファイアウォールの調整が必要です。同様に、インターネットルーターまたは Wi-Fi アクセスポイントを使用して設定している場合は、ポートフォワードを設定する必要があります。
ファイアウォールと NAT ルーター(ゲートウェイ)は、外部からの不正な接続試行を遮断します。したがって、予期していない外部接続を許可するように明示的に指定する必要があるのです。これらの接続(「ポート」と呼ばれる)には番号が付されます。これらのポートを、サービスによって制御される、外側を内側の特定の場所に接続するための壁に空いたトンネルまたは穴として考えてください。
ルーターの構成ソフトウェアで、以下のポートを VPN 用に開くかフォワードします:
ポート
タイプ
用途
500
UDP
ISAKMP/IKE
1701
UDP
L2TP
4500
UDP
IPsec NAT Traversal
手順 5.VPN プロファイルを保存する
-
すべての設定を確認した後、VPN サービスを入にします。
「構成プロファイルを保存」をクリックしてから書類を保存します(保存場所を忘れないでください。後で設定のテストに使用します)。
プロファイルファイルは次のようになります:
手順 6.テスト用 Mac を準備する
-
構成プロファイルを外部 Mac にコピーしてから、ダブルクリックしてインストールします。インストール時にテストユーザのログイン名を入力します。
手順 7.構成をテストする
-
外部ネットワーク上のテスト用 Mac を使用して、アップルメニュー>「システム環境設定」と選択し、「ネットワーク」をクリックします。「VPN」を選択し、「接続」をクリックします。
接続に成功すると、環境設定パネルにそれが反映され、VPN 接続のためのアドレス範囲から割り当てられた IP アドレスが表示されます。
