サービスを管理する
「
VPN
」パネルを使用して、
VPN
リモート・アクセス・サービスを有効または無効にしたり、
VPN
シー
クレットを検査または変更したり、
VPN
ユーザ用の
IP
アドレスの範囲を設定したり、
Mac OS X
ユー
ザ用の
VPN
構成ファイルを保存したりします。
VPN
サービスについて
VPN
(
Virtual Private Network
)サービスを使用すると、ユーザは、自宅またはほかのリモートの
場所からインターネット経由でネットワークに接続できます。ユーザはセキュリティ保護された
VPN
接
続を確立して、ファイル共有、アドレスブック、メール、
iChat
、
iCal
、
Web
などのサービスにアクセ
スします。
機密性、認証、通信の整合性を保証するために、
VPN
サービスは共有シークレットを含む
L2TP
プロ
トコルを使用します。
145
第
9
章
サービスをカスタマイズする
セキュリティ保護された共有シークレットは、サーバの設定時に自動的に生成されます。共有シークレッ
トは、
VPN
接続のためのクライアント・コンピュータ・ユーザの認証には使用されません。その代わり
に、サーバは共有シークレットを持つクライアントコンピュータを信頼でき、クライアントコンピュータは
シークレットを持つサーバを信頼できます。
サーバとクライアントコンピュータの両方が共有シークレットを持っている必要があります。
Mac OS X
v10.6 Snow Leopard
を搭載したコンピュータでは、自動的に共有シークレットが取得されてサーバ
の
VPN
サービスに接続するように設定できます。
103
ページの「ユーザの
Mac
を自動的に設定する」
を参照してください。
ほかの
Mac
および
Windows
コンピュータを異なる方法で構成して、
VPN
サービスに接続させるこ
とができます。
113
ページの「
Mac
ユーザの
VPN
接続を設定する」および
115
ページの「ユーザの
VPN
接続を手動で設定する」を参照してください。
VPN
サービスとサーバのファイアウォールのどちらを使用しても、ローカルネットワーク外部からサービ
スにアクセスできます。両者の違いは、
VPN
サービスではアクセスのために認証が必要なのに対して、
ファイアウォール経由で許可されるアクセスには認証の必要がないという点です。
VPN
サービスが有効
になっている場合は、一部のサービスをファイアウォール経由でインターネットに公開する必要がない場
合があります。たとえば、自分の
Wiki
やカスタム
Web
サイトを一般の人が表示できるように、
Web
サービスのみをインターネットに公開するようにファイアウォールを設定する場合です(認証および設定
したアクセス制限で管理)。サーバのユーザは、
VPN
接続経由でファイル共有、アドレスブック、
iCal
、
iChat
、メールなどのサービスにアクセスできます。
インターネット上の
VPN
サービスへのアクセスを許可するときに、ケーブル・ルーター、
DSL
ルーターなど
のネットワークルーターがある場合:
ルーターに
VPN
サービス用のポート転送(ポートマッピング)が構成されている必要があります。
Â
詳しくは、
34
ページの「小規模なネットワークを保護する」を参照してください。
146
第
9
章
サービスをカスタマイズする
ルーターおよび
VPN
ユーザのルーターを構成するときは、競合する
IP
アドレスが割り当てられない
Â
ようにする必要があります。詳しくは、
149
ページの「インターネットルーター経由で
VPN
サービス
を提供する」を参照してください。
ローカルネットワーク外部にある
VPN
サービスにアクセスできるようにする場合で、ローカルネットワー
クに独立したファイアウォールがある場合は、ファイアウォールで
VPN
サービスが使用するポートを
開放するようにファイアウォール管理者に依頼してください。ポートのリストについては、
175
ページの
「サービスとポート」を参照してください。
VPN
共有シークレットを変更する
「サーバ環境設定」を使用して、サーバとクライアントコンピュータが
VPN
接続を行うときの認証に使
用する共有シークレットを変更できます。共有シークレットを定期的に変更すると、
VPN
のセキュリティ
が強化されますが、ユーザが
VPN
接続に使用するコンピュータの共有シークレットも変更する必要があ
るため、不便です。
VPN
共有シークレットを変更するには:
1
「サーバ環境設定」の「
VPN
」パネルで「編集」をクリックします。
2
シークレットを参照できるように「共有シークレットを表示」を選択してから、新しいシークレットを入力し、
「
OK
」をクリックします。
共有シークレットは、英字、数字、記号を含み、空白を含まない
8
文字以上(
12
文字以上を推奨)で
ある必要があります。初期状態の共有シークレットは
32
文字のランダムの文字です。
「パスワードアシスタント」を使用すると、新しい共有シークレットを作成しやすくなります。一時的に「ユー
ザ」パネルに切り替えて、
「アカウント」>「パスワードをリセット」とクリックします。「新しいパスワード」
フィールドの右の「キー」ボタンをクリックして、
「キャンセル」をクリックし、
「
VPN
」パネルに戻ります。「パ
スワードアシスタント」は開いたまま残るため、それを使用して、新しい共有シークレットを生成できます。
このシークレットは「候補」フィールドからコピーして、
「共有シークレット」フィールドにペーストできます。
147
第
9
章
サービスをカスタマイズする
ここでシークレットを変更した後は、すべての
VPN
ユーザが自分の
VPN
構成を同様に変更する必要
があります。この変更については、
115
ページの「ユーザの
VPN
接続を手動で設定する」を参照して
ください。
VPN
構成ファイルを作成する
「サーバ環境設定」を使用して、
Mac
ユーザが開くと
VPN
構成ファイルが自動的に作成されるファイ
ルを作成できます。
VPN
構成を作成した後は、ユーザが、サーバとそのネットワークへのインターネッ
ト経由の
VPN
接続を行うことができます。この構成ファイルは
Mac OS X v10.3
以降で機能します。
VPN
構成ファイルを作成するには:
1
「サーバ環境設定」の「
VPN
」パネルで「別名で保存」をクリックし、
VPN
構成ファイルの場所を選
択して「保存」をクリックします。
2
保存した構成ファイルを、
Mac
上での
VPN
構成の設定が必要なユーザに配布します。
ユーザは、管理者が生成した
VPN
構成ファイルを開くだけで、
Mac
を設定できます。このファイルを
開くと、「システム環境設定」の「ネットワーク」パネルまたは「インターネット接続」が(
Mac OS X
のバージョンに応じて)開かれ、
VPN
接続に必要なすべての情報と共に
VPN
構成が読み込まれます。
ただし、サーバのユーザアカウントの名前とパスワードは読み込まれません。「インターネット接続」から、
読み込んだ構成の置き場所を尋ねるメッセージが表示された場合は、「
VPN
(
L2TP
)」を選択する必
要があります。「
VPN
(
PPTP
)」またはほかのオプションを選択しないでください。
「ネットワーク」環境設定または「インターネット接続」による
VPN
構成の読み込みが終了したら、ユー
ザがアカウント名を入力する必要があります。また、パスワードも入力できます。その後、アプリケーショ
ンの終了時にそれらを
VPN
構成の一部として保存する必要があります。ユーザがアカウントの名前と
パスワードの両方を
VPN
構成の一部として保存した場合は、だれでもそのコンピュータを使用して自
動的にログインし、サーバへの
VPN
接続を行うことができます。
148
第
9
章
サービスをカスタマイズする
セキュリティのため、ユーザには、アカウント名を入力し、パスワードは空白のままでアプリケーション(「シ
ステム環境設定」または「インターネット接続」)を終了するよう指示してください。ユーザがコンピュー
タ上に、
VPN
構成の一部としてパスワードを保存していない場合は、サーバへの
VPN
接続を行うた
びに、ログインを要求する画面が表示されます。
ユーザに伝える
VPN
構成ファイルの使用方法については、
113
ページの「
Mac
ユーザの
VPN
接続
を設定する」を参照してください。
VPN
の
IP
アドレス範囲を変更する
「サーバ環境設定」を使用して、リモートコンピュータに割り当てるためにサーバで予約するアドレスの
範囲を変更できます。このアドレスは、リモートコンピュータがサーバに
VPN
接続を行うときに割り当
てられます。たとえば、より大きな範囲を指定すると、より多くの
IP
アドレスを
VPN
接続に使用できます。
重要:
サーバのネットワーク上にはアドレスがあり、それらは、ネットワーク上のほかのコンピュータや
装置が使用することはできません。このアドレス範囲には、ネットワーク上で使用中の静的な
IP
アドレ
スは含まれず、
DHCP
サーバが割り当てるアドレスの範囲とも重複しません。
VPN
サービスの
IP
アドレス範囲を変更するには:
1
「サーバ環境設定」の「
VPN
」パネルで、範囲内の最初または最後の
IP
アドレス、またはその両方
を変更します。
アドレスの範囲は、同時に
VPN
接続を行うリモートコンピュータの最大数に十分対応できる大きさであ
る必要があります。
VPN
サービスでは、
VPN
接続が行われている間だけリモートコンピュータに
IP
ア
ドレスが割り当てられ、リモートコンピュータの接続が切断されたときにそのアドレスが解放されます。
2
AirMac
ベースステーション、または
DHCP
サービスを提供するほかのインターネットルーター(ゲー
トウェイ)がある場合は、
DHCP
と
VPN
のアドレス範囲が重複しないよう、その
IP
アドレス範囲の調
整が必要となる場合があります。
149
第
9
章
サービスをカスタマイズする
AirMac
ベースステーションを構成するときは、
「
AirMac
ユーティリティ」
(「
/
アプリケーション
/
ユーティ
リティ
/
」にあります)を使用します。インターネットルーターの設定変更については、インターネットルー
ターのマニュアルを参照してください。
すでにインターネット接続用にリモートコンピュータで使用されている
IP
アドレスが、
VPN
サービスに
よって
VPN
接続用にリモートコンピュータに割り当てられた
IP
アドレスに置き換わるわけではありませ
ん。リモートコンピュータは、この
IP
アドレスと使用中のほかの
IP
アドレスを保持し、
VPN
用に割り
当てられた
IP
アドレスを追加します。
インターネットルーター経由で
VPN
サービスを提供する
インターネット接続を共有するように構成された
AirMac
ベースステーション、
Time Capsule
、また
はネットワークルーター経由でサーバが
VPN
サービスを提供しており、ユーザのコンピュータが自分の
ベースステーションまたはホームルーター経由で
VPN
接続を行う必要がある場合は、サーバが
VPN
ユーザのホームコンピュータとは別の
IP
サブネット上にある必要があります。このような問題を回避す
るには、サーバの
IP
アドレスの先頭の
3
組の数字(
10.0.1
、
192.168.1
など)が
VPN
ユーザのホームネッ
トワーク上の
IP
アドレスのものとは異なっていることを確認してください。
ネットワークアドレスを変更するようにユーザに依頼する:
ホームネットワークまたはほかのローカルネットワーク上の
IP
アドレスを、先頭の
3
組の数字がローカ
m
ルネットワーク上の
IP
アドレスのものとは異なるものに変更するよう
VPN
ユーザに依頼できます。
たとえば、ローカル
IP
アドレスが
192.168.1
で始まる場合は、ホームネットワークでは
192.168.2
で始まる
IP
アドレスを使用するように
VPN
ユーザに依頼します。プライベートネットワークでは、
192.168.0
∼
192.168.254
、
10.0.0
∼
10.254.254
、
172.16.0
∼
172.31.254
で始まる
IP
アドレスを
使用できます。これらのすべての場合に、
255.255.255.0
というサブネットマスクを使用します。
150
第
9
章
サービスをカスタマイズする
ローカルネットワークのアドレスを変更する:
ホームネットワークのアドレスを変更するように
VPN
ユーザに依頼するのではなく、サーバのローカ
ルネットワーク上にあるすべてのデバイスの
IP
アドレスを変更することもできます。この変更には、
AirMac
ベースステーションなどのルーター、サーバ、およびその他のコンピュータが含まれます。
IP
サブネットがベースステーションなどのルーターで最も一般的なデフォルト値(
10.0.1
、
192.168.0
、
m
192.168.1
)とは異なるものになるように、ローカル
IP
アドレスを変更します。
単に、ローカル
IP
アドレスの
3
組目の数字に
2
∼
254
の数字を選択するだけです。たとえば、ロー
カルネットワークの
IP
アドレスが
192.168.1
で始まる場合は、
192.168.58
や
192.168.177
で始まる
IP
アドレスに変更します。ローカル
IP
アドレスが
10.0.1
で始まる場合は、
10.0.29
や
10.0.103
で始まる
IP
アドレスに変更します。また、
172.16.0
∼
172.31.255
の数字も使用できます。これらのすべての場
合に、
255.255.255.0
というサブネットマスクを使用します。
AirMac
ベースステーション、ほかのインターネットルーター、または
DHCP
サーバによってネットワー
ク上のコンピュータに割り当てられる
IP
アドレスは、必ず変更してください。この変更は、
AirMac
ベー
スステーションで「
AirMac
ユーティリティ」(「
/
アプリケーション
/
ユーティリティ
/
」にあります)を
使用して行います。操作方法については、「
AirMac
ユーティリティ」を開いて「ヘルプ」メニューを
参照してください。ほかの種類のインターネットルーターまたはゲートウェイの構成については、それぞ
れのマニュアルを参照してください。
サーバの
IP
アドレスの変更については、
157
ページの「サーバの
IP
アドレスを変更する」を参照して
ください。
151
第
9
章
サービスをカスタマイズする