リモートアクセスVPNの設定
概要
ここでは、RADIUS認証を使用してUniFi Security GatewayモデルおよびUniFi Dream MachineモデルでL2TP-VPNサーバを設定する方法について解説します。
L2TP-VPNはUSGモデルの[WAN1]でのみ機能するように設計されていますが、UDM-Proでは[WAN1]と[WAN2]の両方で構成できます。
USG/UDMでRADIUSサーバを設定する方法は下記の記事を参照してください。
次の例は、ISP提供のインターネットモデムがブリッジモードで実行され、UDM-ProがWANインターフェイスでパブリックIPアドレスを使用している設定例を示しています。
USG/UDMで実行されているL2TP-VPNサーバに接続し、ビルトインRADIUSサーバで認証が成功すると、リモートVPNクライアントはLAN上のデバイスと通信できるようになります。
L2TPサーバの設定
VPN接続を構成するUSGまたはUDMにおいて、UniFi Network Controllerの[設定] > [ネットワーク] > [新しいネットワークを作成]し、[目的]を[リモートユーザーVPN]、[ゲートウェイ/サブネット]でリモートVPNクライアントにアクセスさせるサブネットを指定します。
次に、[RADIUSプロファイル]で設定済みのRADIUSサーバを指定し、[保存]します。
RADIUSサーバの設定
[設定] > [サービス] > [RADIUS] > [サーバー]で[RADIUSサーバーを有効化]します。
[シークレット]は、RADIUSサーバをRADIUSクライアントに対して認証させるために使用されます。
RADIUSユーザの登録
[設定] > [サービス] > [RADIUS] > [ユーザー]で[新しいユーザーを作成]します。
[名前]はユニークなユーザー名、[パスワード]はそのユーザー用のパスワードを設定します。
[トンネルタイプ]は"3"、[トンネルミディアムタイプ]は"1"を選択し[保存]します。
リモートVPNクライアントの設定 (Windows OS)
-
[設定] > [ネットワークとインターネット] > [VPN] > [VPN接続を追加する]を押します。
-
以下の内容を設定し[保存]します。
- [VPNプロバイダー]:"Windows(ビルトイン)"
- [接続名]:任意の文字列
- [サーバー名またはアドレス]:USG/UDMのWANインターフェイスのパブリックIPアドレスまたはドメイン名
- [VPNの種類]:"事前共有キーを使ったL2TP/IPsec"
- [サインイン情報の種類]:"ユーザー名とパスワード"
- [ユーザー名 (オプション)]:USG/UDMに登録済みのユーザー名
- [パスワード (オプション)]:USG/UDMに登録済みのユーザーのパスワード
-
[設定] > [ネットワークとインターネット] > [状態] > [アダプターのオプションを変更する] > [L2TP]を選択し、[この接続の設定を変更する]を押します。
-
[L2TPのプロパティ] > [セキュリティ] > [次のプロトコルを許可する] > [Microsoft CHAP Version 2 (MS-CHAP v2)]をチェックし[OK]を押します。
-
[状態]がL2TPで[接続済み]であることを確認します。
-
VPNに接続した後、次のコマンドを実行して、コマンドシェル (CMD) ウィンドウからルーティングテーブルを確認できます。
route print -4
リモートVPNクライアントの設定 (macOS)
-
[システム環境設定] > [ネットワーク] > [+]から[VPN]インターフェイスを作成します (任意の[サービス名]を入力し[VPNタイプ]は"L2TP over IPSec"を選択)。
[サーバアドレス]にUSG/UDMのWANインターフェイスのパブリックIPアドレス、[アカウント名]にUSG/UDMに登録済みのユーザー名を設定します。
-
[ユーザー認証]で[パスワード]を選択しUSG/UDMに登録済みのユーザーのパスワードを設定します。
[コンピュータ認証]で[共有シークレット]を選択しUSG/UDMに登録済みのRADIUSシークレットを設定します。
-
[接続]ボタンを押し[状況]が"接続済み"となることを確認します。
-
VPNに接続した後、次のコマンドを実行して、ターミナル (Terminal) ウィンドウからルーティングテーブルを確認できます。
netstat -nr -f inet