Rimanirのメモ

気ままに

自宅LANとVPN

久しぶりの更新です。リマですー

今回は、自宅LANへ外出先の端末からVPN経由で接続します。
自宅PCにリモート接続できることで、持ち歩くPCの環境に依存せずにどこにいても、いつもと変わらない環境を手にできます!
※リモートアクセスVPNについての内容です。

ここから説明することは、SOHOユーザー・中小規模のユーザー・個人ユーザーの方がVPNについてネットワークの観点から理解をする手助けになると思います^^

■目的

単純ですw家にいると怠惰になるのでカフェでコーヒーでも飲みながら学習に集中したいため…(´・ω・`)

VPNとは、Virtual Private Network つまりインターネット網の中に自分だけの安全な通信網を確保する技術の総称です。
この言葉は公衆電話網の中に企業ユーザー等が交換機により通話できる仕組みを指していました。
現在は、TCP/IPネットワークを利用して構築する、データ通信用のネットワークを指します。

○使用する機器

◎中継に使用するIP網の違い

  • IP-VPN ※MPLS-VPN:通信事業者のプライベートIP網内で経路情報の探索にMPLSを採用したVPNのこと
  • インターネットVPN

SSL-VPNは、仮想NICを使用することでリモートアクセス通信を可能としています。
仮想NIC上では、自宅NWのセグメントと異なるため、NIC同士をブリッジしてリモートアクセスVPNを実現します。現在は国内で開発されている「SoftEther VPN」というOSSを利用することも選択肢になると思います。今回は割愛させていただきます。

◎接続形態の違い

VPNの種類 説明
拠点間接続VPN LAN同士を接続
リモートアクセスVPN 単一のクライアントPCが外部からLANに接続

※今回はリモートアクセスVPNを使用します。

  • 使用するVPNプロトコルの違い
    • IPsec:Layer3(IP) IPユニキャストのトンネリング 暗号化あり(カプセル化
      VPNルータ同士の認証機能のみ・IP以外のプロトコルを通せない
    • L2TP:Layer2(PPP) PPPの認証機能 暗号化なし
      ※ユーザーごとのアカウント情報を認証できる


◎上記の項目から、今回構築するVPNネットワークをまとめると…
インターネットVPNによる通信網を使用し、リモートアクセスVPNによりクライアントPCとVPNルーターを接続、通信プロトコルIPsecによる暗号化通信路を作った上で、その中をL2TPで接続認証する(トンネリング)流れです。つまりは、ユーザー認証の流れです。

また、端末同士の通信 IPsecパケット(カプセル化したIPパケット)のやりとりは、NAT/NAPTを使用しているNW環境ではポート変換が出来ないため通信の確立が出来ません。
そのためNATトラバーサルにより解決できるのですが、RTX810ではconfigの設定を行う必要があります。

[コンソール画面]
# ip filter 200083 pass * 192.168.x.x udp * 4500
# nat descriptor masquerade static 1000 4 192.168.x.x udp 4500

# pp select 1
pp1# ip pp secure filter in 設定されていたフィルタ番号 200083
pp1# no pp select 1

# tunnel select 1
tunnel1# ipsec ike local address 192.168.x.x
tunnel1# no tunnel select 1

# save

上記設定により、NAPTの問題を回避できます。
尚、動的グローバルIPアドレスについては、ネットボランチDNSを使用します。

以上により、快適なリモートVPNを利用できる環境が整います。

MerakiとAPNsとぼくのiPhone

自分の端末を一元管理してみようかな。。。

そんなことが実現します!

Meraki Systems Manager (SM)

このサービスは、MDM(Mobile Device Management)の略で、移動するデバイスをリモート管理することができる機能があります。

つまり、iPhoneから自宅のMacを操作できるし、その逆もできます。

セキュリティの観点から管理したいというニーズに応えるサービスです。

このサービスは無料で利用できますが、日本語に対応してません><。

また、Cisco Meraki 製品を使用することで、APやスイッチ、UTMまで管理化に置けるというスグレモノです。

ちなみに、このタイプの有料サービスを利用すると、1端末当たり数百円の基本料金になります。

■管理できることをまとめてみました(iPhone/iPad

 ・アプリケーションの配布

 ・リモートワイプ機能

 ・位置情報の取得

 ・パスコードの削除/ロック機能

 ・プロファイル/ポリシー配布

 ・その他機能など

 ■APNsについて

 これはアップルのプッシュサーバです。

 MerakiiPhone/iPad 間の管理操作は APNs を経由して通信をします。

Meraki を使ってみるには・・・

下記URLより登録が必要です。AppleIDも必要です。英語も少し読めるといいかも

Meraki Dashboard Login

Meraki Systems Managerのアカウント登録

Network Name 決定

APNs の証明書の登録

管理対象の端末登録

端末へ Systems Manager をインストール

管理画面にて確認、完了です!

 

機能はBeta版もあるので、もっと使いやすくなるようです^^

あと画像を貼るのがめんど…いえ、自分用のメモです。

 

以上!!