【Windows】Windows Server 2022 VPNサーバ構築手順

今回は、Windows Server 2022の標準機能を使用して、L2TP/IPsecを使用したVPNサーバを構築する手順を記事にしました。

期待 する 目標

本手順で期待 する 目標は以下の通りです。

• Windows Server 2022でVPNサーバを構築できる
• クライアントからVPN接続できる

前提条件

今回VPNサーバを構築するサーバは以下の通りです。

• CPU : 2vCPU
• MEM : 4GB
• DISK : 60GB
• IP : 192.168.100.177
• Hostname : dev-vpn01
• ドメイン : 参加 済み

VPNサーバインストール

サーバ マネージャー

[ サーバ マネージャ ] – [ 管理 ] より 、 [ 役割 と 機能 の 追加 ] を 選択 し ます 。

開始する前に

[開始する前に]より、[次へ]を選択します。

インストールの種類の選択

[ インストール の 種類 ] より 、 [ 役割 ベース また は 機能 ベース の インストール ] が 選択 さ れ て いる こと を 確認 し 、 [ 次 へ ] を 選択 し ます 。

対象サーバの選択

[サーバの選択]より、[サーバプール]からサーバを選択にチェックが入っていることを確認し、[サーバプール]より、インストールするサーバが選択されていることを確認し、[次へ]を選択します。

サーバの役割の選択

[サーバの役割]より、[リモートアクセス]を選択します。

リモートアクセスの選択

[リモートアクセス]にチェックが入っていることを確認し、[次へ]を選択します。

機能

[機能]では今回機能を追加しないため、何も選択せず[次へ]を選択します。

リモートアクセス

[リモートアクセス]より、[次へ]を選択します。

役割サービス1

[ 役割 サービス ] より 、 [ directaccess および VPN ( RAS ) ] を 選択 し ます 。

directaccess および VPN ( RAS ) に 必要 な 機能 を 追加 し ます か ?

[ directaccess および VPN ( RAS ) に 必要 な 機能 を 追加 し ます か ? ] より 、 [ 管理 ツール を 含める ] に チェック が 入る て いる こと を 確認 し 、 [ 機能 の 追加 ] を 選択 し ます 。

役割 サービス 2

[ 役割 サービス ] より 、 [ ルーティング ] に も チェック を 入れる ます 。
[DirectAccessおよびVPN (RAS)]と[ルーティング]の両方にチェックが入っていることを確認し、[次へ]を選択します。

Webサーバの役割(IIS)

[Webサーバの役割(IIS)]より、[次へ]を選択します。

役割 サービス

[役割サービス]より、[次へ]を選択します。

確認

[インストールオプションの確認]より、インストール内容を確認し、[インストール]を選択します。

結果

[インストールの進行状況]より、インストールが正常に完了したら、[閉じる]を選択します。
以上 で VPN サーバ の インストール is 完了 は 完了 です 。

VPNサーバのセットアップ

VPNサーバのインストールが完了したら、セットアップを行っていきます。
なお、Windows Server 2022でL2TP/IPsecを使用するには、500/tcp、4500/tcpが必要らしいです。
Windows Server 2022でのL2TPで必要なポート要件については、各自調べてください。

作業の開始ウィザード

[サーバマネージャ]より、右上のフラグを選択し、[作業の展開ウィザードを表示する]を選択します。

リモートアクセスの構成

[リモートアクセスの構成]より、[VPNのみを展開します]を選択します。

ルーティング と リモート アクセス

[ルーティングとリモートアクセス]が表示されていることを確認します。

ルーティング と リモート アクセス の 構成 と 有効 化

[ルーティングとリモートアクセス]より、[サーバ]を右クリックし、[ルーティングとリモートアクセスの構成と有効化]を選択します。

ルーティング と リモート アクセス サーバ の セットアップ ウィザード の 開始

[ルーティングとリモートアクセスサーバのセットアップウィザードの開始]より、[次へ]を選択します。

構成

[ 構成 ] より 、 [ カスタム 構成 ] を 選択 し 、 [ 次 へ ] を 押下 し ます 。

カスタム構成

[カスタム構成]より、以下のサービスにチェックを入れ、[次へ]を選択します。

ルーティング と リモート アクセス サーバ の セットアップ ウィザード の 完了

[ルーティングとリモートアクセスサーバのセットアップウィザードの完了]より、[完了]を選択します。

サービス の 開始

[サービスの開始]より、[サービスの開始]を選択します。

ルーティング と リモート アクセス

[ルーティングとリモートアクセス]より、サーバがオンラインになっていることを確認します。

ルーティングとリモートアクセスのプロパティ

[ルーティングとリモートアクセス]より、サーバを右クリックし、[プロパティ]を選択します。

サーバのプロパティ1

[ 全般 ] タブ より 、 以下 の 設定 が 入る て いる こと を 確認 し ます 。

• IPv4ルータ : ■
• LANおよびデマンドダイヤルのルーティング : ●
• IPv6ルータ : □(IPv6でのVPNを想定していないため、チェックを外しています。)
• IPv4リモートアクセスサーバ : ■

サーバのプロパティ2

[ セキュリティ ] タブ より 、 以下 の 設定 を 行う ます 。

• 認証プロバイダー : Windows認証
• アカウンティングプロバイダー : Windowsアカウンティング
• カスタムIPsecポリシーをL2TP/IKEv2接続で許可する : ■
• 事前共有キー : 任意の事前共有キー

事前共有キーについては、共有鍵暗号で暗号化通信を開始する際に必要になるため、必要以外に漏らさないようにしましょう。

サーバ の プロパティ 3

[IPv4]タブより、以下の設定を行います。

• IPv4転送を有効にする : ■
• 静的アドレスプールを使う : ●

設定完了後、[追加]を選択します。

新しいIPv4アドレスの範囲

[ 新しい IPv 4 アドレス の 範囲 ] より 、 VPN で 使用 する IP アドレス の レンジ を 選択 し ます 。

ルーティング と リモート アクセス

[ルーティングとリモートアクセス]-[IPv4]より、[NAT]の設定を行います。

新しいインターフェース

[ルーティングとリモートアクセス]-[IPv4]より、[NAT]を右クリックし、[新しいインターフェース]を選択します。

network address translation ( NAT ) の 新しい インターフェース

[Network Address Translation (NAT)の新しいインターフェース]より、[イーサネット]を選択し、[OK]を押下します。

ネットワークアドレス変換のプロパティ

[ネットワークアドレス変換のプロパティ]-[NAT]タブより、以下の設定を行い、[OK]を押下します。

• インターネットに接続されるパブリックインターフェィス : ●
• このインターフェイスでNATを有効にする : ■

NAT

[ ルーティング と リモート アクセス ] – [ IPV 4 ] – [ NAT ] より 、 NAT の インターフェイス が 追加 さ れ て いる こと を 確認 し ます 。

ユーザのプロパティ

最後 に 、 リモート アクセス を 許可 する ユーザ の プロパティ を 選択 し 、 ダイヤルイン より [ リモート アクセス 許可 ] – [ アクセス を 許可 ] を 選択 し て おく ます 。
ドメイン環境の場合は、ドメインコントローラより、Active Directoryユーザとコンピュータより設定が可能です。
以上でVPNサーバの設定は完了です。
必要に応じて、VPNサーバのセキュリティが強化されたファイアウォールより、500/tpcと4500/tcpの着信を許可しておきます。

クライアント接続

VPNサーバの設定が完了したらクライアントからVPNの設定を行っていきます。
今回 は 検証 環境 の ため 、 外部 から アクセス は 行う ず 、 内部 から の VPN 接続 を 行う ます 。
クライアントで接続するOSはWindows10となります。

VPN 設定

[ Windows スタート メニュー ] より 、 [ 設定 ] – [ ネットワーク と インターネット ] – [ VPN ] より 、 [ VPN 接続 追加 する ] を 選択 し ます 。

VPN 設定

[ VPN 接続 を 追加 ] より 、 以下 の 設定 を 行う ます 。

• VPNプロバイダー : Windows (ビルトイン)
• 接続名 : 任意の接続名
• サーバ名またはアドレス : VPNサーバのアドレス
• VPNの種類 : 事前共有キーを使ったL2TP/IPsec
• 事前共有キー : 事前に設定した事前共有キーを入力
• サイン イン 情報 の 種類 : ユーザ 名 と パスワード
• ユーザ 名 : 必要 に 応ずる て 入力
• パスワード : 必要に応じて入力
• サインイン情報を保存する : ■ (任意)

ユーザ 名 と パスワード に つい て は 、 この 後 に Windows の 資格 情報 を 使用 し て 接続 する ため 、 今回 は 空白 に し て い ます 。
設定が完了したら、[保存]を選択します。

ネットワークと接続

コントロール パネル より 、 [ ネットワーク と インターネット ] – [ ネットワーク 接続 ] を 選択 し ます 。
作成したVPN接続を右クリックし、[プロパティ]を選択します。

VPN接続のプロパティ

[プロパティ]-[セキュリティ]タブを開きます。

VPN接続のプロパティ

必要に応じて、以下の設定を行います。

• 次 の プロトコル を 許可 する : ●
• Microsoft chap Version 2 ( MS – chap V 2 ) : ■
• Windows のログオン名とパスワードを自動的に使う : ■

ドメインに参加しており、ログインしているドメインユーザを使用する場合は、[Windowsのログオン名とパスワードを自動的に使う]にチェックを入れることで、VPN接続時にユーザ名とパスワードを入力する必要がなくなり、便利です。

VPN 接続

[Windowsスタートメニュー]-[設定]-[ネットワークとインターネット]-[VPN]より、作成したVPNを選択し、[接続]を選択します。

接続完了

作成 し た VPN に [ 接続 済み ] と なっ て いる こと を 確認 し ます 。

アドレス

最後に、コマンドプロンプトを起動し、VPNサーバから設定したIPアドレスがリースされているかを核にします。
今回は、192.168.90.0/25でアドレスを割り当てているので、正常に割り当てが完了しています。
以上で、VPNサーバへの接続確認は完了です。

まとめ

今回 は 、 Windows Server 2022 の 標準 機能 を 使用 し て 、 l 2 TP / IPsec の VPN サーバ を 構築 する 手順 を 記載 し まし た 。
他のブログ等を参考に構築しましたが、VPNの機能だけだと正しくVPN接続ができず、詰まっていました。
VPNの機能と同時にNATを行わないと正しく接続ができないという落とし穴があるため、その点に留意したほうが良いと思います。
VPNといえば、OpenVPNやSoftEtherVPN等が有名ですが、Widnwos Server単体でもVPNサーバは構築することができます。
また 、 Windows Server を 使用 し て いる こと から 、 Windows クライアント と の 親和 性 が 高い 、 別途 radius 等 を 触る なく て も ドメイン ユーザ で VPN を 張れる こと から 、 ユーザ 目線 で 考える と 非常 に 楽 だ と 思う ます 。

おまけ

本ブログではVMwareやWindows、Linuxのインストール手順等も公開しております。
インフラエンジニアとして有益な記事や無益なコンテンツも作成しておりますので、通勤時間や休憩時間、休日のスキマ時間等に合わせて読んでいただけると幸いです。
また 、 Youtube で 解説 動画 is 中 も 鋭意 作成 中 です 。 本 ブログ で 記事 に し て いる もの も 動画 に しよう と 思う て おり ます の で 、 よろしく お 願う いたし ます 。
willserver の note も 開設 し た の で フォロー お 願う し ます 。