VPN接続サービス

提供: 東京大学理学系研究科wiki
2013年3月21日 (木) 19:32時点におけるShitami.junichiro (トーク)による版
移動先: 案内検索

情報システムチーム > VPN接続サービス

English

1 概要

外部のネットワークから専攻や研究室のネットワークに安全に接続するためのVPN接続のサービスです。(個別のサーバに対して外部からアクセスを許可することはセキュリティ上好ましくありません。)

本サービスでは、パソコンに専用のクライアントソフトをインストールし設定を行うことで利用可能となり、接続中は専攻内や研究室内のネットワークに直接接続している場合と同様のネットワーク環境となります。

理学系研究科として提供するのは接続の部分のみです。本サービスでVPN接続を行うとユーザはそれぞれ自身の所属する専攻や研究室のネットワークに接続されますが、各組織でのネットワークの利用について(端末の管理方法やIPアドレスの設定など)はそれぞれの組織の方針に従ってください。これは有線LANや無線LANを利用する場合と同様です。

SSL-VPN接続サービスとの違いについては、VPN接続サービスでは各専攻や研究室内に直接接続したのと同じ環境を実現できますが、一方でPacketiXのソフトウェアのインストールが必要であるのとそのためにWindowsおよびLinuxでしか利用できないのに対して、SSL-VPN接続サービスでは内部向けウェブサイトを見るなどの用途に限定されますがブラウザのみで利用可能です。 両サービスの比較についてはVPN接続サービスとSSL-VPN接続サービスの比較のページも参照してください。


2 利用例

外部のネットワークから学内や専攻内などアクセス元が制限されているサーバにアクセスしたいときに、本VPN接続サービスを利用することでアクセスが可能になります。

外部のネットワークから専攻や研究室で設置しているサーバ・パソコンにsshやリモートデスクトップなどで接続したいときに、本VPN接続サービスを利用することで安全に接続することが可能になります。


3 対象となるユーザ

理学系研究科のネットワークに接続することのできる全教職員・学生が対象となります。


4 対象となる環境

WindowsおよびLinuxを搭載したパソコンとなります。

本サービスでは各専攻・研究室のネットワークにそれぞれ接続可能なVPNを提供するためにPacketiXを使用しています。このように一括して接続可能なVPNを実現するには選択肢があまりないのが現状です。

PacketiXではMac版のクライアントソフトも開発は行われているようです。オープンソース版のクライアントソフトもありますのでそちらの開発が進めばそれを使用することも可能かと思います。


5 利用手順

接続の際の認証には無線LANの認証にも使用しているユーザ証明書を使用します。VPN接続サービスに関して特別な手続きは必要ありません。

ユーザ証明書については無線LAN接続のユーザ証明書の項目を参照してください。無線LANのゲスト証明書はVPN接続サービスには使用できませんので注意してください。(ゲスト証明書は無線LANの場合でも理学系内のネットワークに接続できるものではありません。)


6 設定方法

6.1 クライアントソフトの入手

本VPN接続サービスではPacketiXを使用しています。以下のページから接続用のクライアントソフトをダウンロードしてインストールしてください。「最新版のダウンロードはこちらから」のリンクが最新版へのリンクとなっております。

Windows版の場合はそこから「VPN」「Japanese」「Windows」「PacketiX VPN Client 3.0」とフォルダをたどり、お使いのWindowsのバージョンに応じて「32bit - Intel x86」または「64bit - Intel x64 or AMD64」のフォルダの下からクライアントソフトをダウンロードしてください。

Linux版の場合も同様に「Windows」のかわりに「Linux」のフォルダをたどり、お使いのLinuxのバージョンに応じたフォルダの下からクライアントソフトをダウンロードしてください。(Linux版は複数のプラットフォームに対応しています。)

設定方法も含めマニュアルは以下の場所で参照できます。

6.2 設定項目

  • ホスト名: svpn.s.u-tokyo.ac.jp
  • ポート番号: 443 (デフォルト)
  • 仮想HUB名: sos (リストから選択(他に選択肢はありません))
  • 認証の種類: クライアント証明書認証 (リストから選択)
  • ユーザ名: 共通 ID (10桁の数字です)
  • クライアント証明書の指定: 理学系の認証システムよりダウンロードしたユーザ証明書を選択してください


6.3 Windowsでの設定のポイント

ダウンロードしたファイルを実行するとインストーラが起動します。指示にしたがってインストールを行ってください。ライセンスには同意する必要がありますが、それ以外の部分は特に変更の必要はありません。

初めてインストールした場合は仮想LANカードの作成が必要です。「PacketiX VPN クライアント接続マネージャ」を起動して、メニューの「仮想LAN」から「新規仮想LANカードの作成」を選択してください。仮想LANカードの名前は任意のもので問題ありません。作成中にドライバのインストールに関する警告が出た場合は許可してください。(インストール後にも正しくインストールできたかの確認が出る場合があります。)

作成した仮想LANカードは既存の有線LANや無線LANとは別のMACアドレスとなります。所属する専攻施設内での接続にMACアドレスの登録が必要な場合は、仮想LANカードのMACアドレスを管理者に通知してください。

その後に接続設定を作成してください。新しい接続設定をクリックするとプロパティの画面が表示されます。接続設定名は任意のもので問題ありません。必要な項目を入力してOKを押すと設定が作成できます。

  • 下の画像で○のついている「クライアント証明書の削除」のボタンがクライアント証明書の設定に使うボタンです。(設定後の画像のため表示が削除に変更されています。)

Packetix.png

設定の作成後は設定をダブルクリックすることで接続が可能です。


6.4 Linuxでの設定のポイント

Linux版のクライアントソフトはコマンドラインで動作する接続ツールのみでGUIはありません。また、証明書の読み込みやネットワークの設定も自身で行う必要があります。(PacketiX のマニュアル中にも「Linux 版 VPN Client は、Linux オペレーティングシステムやネットワークについて、非常に詳しい知識をお持ちの方のみが使用してください。」という注意があります。)

インストールには make や gcc、binutils などのユーティリティと、libc (glibc)、zlib、openssl、readline および ncurses の各開発用ライブラリバージョン (devel と呼ばれる場合もあります) が必要です。

ダウンロードしたファイルを目的の場所に解凍した後に make を行うことでインストールを行うことができます。そこで作成された vpnclient コマンドを起動した後に、vpncmd コマンドを使用して制御が可能です。(起動後に 2 を選ぶと vpnclient の制御です。)

初回インストール時には Windows の時と同様仮想LANカードの作成が必要になります。vpncmd から以下のコマンドを実行します。(名前は任意のもので問題ありません。)

NicCreate packetix

ユーザ証明書はあらかじめ必要な内容を取り出しておく必要があります。以下の例で XXXX.p12 の部分は実際には利用者の証明書のファイル名となります。出力ファイル名の部分は任意のもので問題ありません。

openssl pkcs12 -in XXXX.p12 -nocerts -nodes -out XXXX.key
openssl pkcs12 -in XXXX.p12 -clcerts -nokeys -out XXXX.crt

以下のコマンドで設定を作成します。以下の例で設定の名前を svpn としていますが任意のもので問題ありません。XXXX の部分は実際には共通 ID、NICNAME は上で作成した仮想 LAN カードの名前となります。

AccountCreate svpn /SERVER:svpn.s.u-tokyo.ac.jp:443 /HUB:sos /USERNAME:XXXX /NICNAME:packetix
AccountCertSet svpn /LOADCERT:XXXX.crt /LOADKEY:XXXX.key

以下のコマンドで接続できます。

AccountConnect

接続後は上で作成した vpn_packetix というインターフェイスが VPN で接続されています。アドレスやルーティングの設定は他の eth0 などと同様に行えます。

切断は以下のコマンドです。

AccountDisconnect


7 運用について

毎日3:00にアカウント情報の更新を行います。新規にユーザ証明書のアカウントが作成された場合には翌日の3:00よりVPN接続サービスを使用可能です。また、更新の際には、接続中のユーザは一旦切断されますのでご了承ください。

本サービスで利用している認証システムは理学系研究科の基幹ネットワーク設備の一部です。基幹ネットワーク設備は2013年3月に更新となりますので、それ以降は本サービスの運用形態も変更となる可能性があります。