リモートアクセス Smart Device VPN [ マネージドイントラネット Smart Device VPN システム管理者さま向け ] 2012 年 7 月 2 日 Version 1.3 bit- drive 1/27
目次 1 本マニュアルについて... 3 1-1 概要... 3 1-2 サービスご利用前の注意点... 3 2 基本概念... 4 2-1 基本構成図... 4 3 設定手順... 5 3-1 マネージメントツールへのアクセス... 6 4 Smart Device VPN のユーザ管理... 7 4-1 Smart Device VPN ユーザ管理の変更... 7 4-2 設定の保存... 8 4-3 設定完了を確認... 9 5 事前共有鍵管理... 10 5-1 事前共有鍵 の設定... 10 5-2 有効期限 の設定... 12 5-3 メール通知 の設定... 12 5-4 メール通知の内容... 13 5-5 設定の保存... 14 5-6 設定完了を確認... 14 6 Smart Device VPN の基本設定... 15 6-1 基本設定 の変更... 15 6-2 インターネットアクセス の設定... 16 6-3 DNS の設定... 16 6-4 固定割当 の追加... 17 6-5 設定の保存... 18 6-6 設定完了を確認... 18 7 利用ユーザへの通知... 19 8 接続クライアント管理... 20 8-1 接続ユーザの確認... 20 8-2 接続ユーザの切断... 21 9 ログ管理... 23 9-1 ログの確認... 23 9-2 ログのダウンロード... 24 9-3 ログの表示... 25 9-4 ログの説明... 26 2/27
1 本マニュアルについて 1-1 概要このたびは マネージドイントラネットサービスをご契約いただき ありがとうございます 本マニュアルでは リモートアクセス Smart Device VPN ( 以下 Smart Device VPN という ) のシステム管理者さま向けの各種設定について記載しています Smart Device VPN の運用を始める際 まず本マニュアルをお読みください 1-2 サービスご利用前の注意点 設定の重要性 Smart Device VPN のご利用開始にあたり 本マニュアルに記載されている各種設定が必要となります 未設定であった場合 Smart Device VPN をご利用できませんので 必ず実施してください 3/27
2 基本概念 2-1 基本構成図 Smart Device VPN は 自宅や外出先のスマートデバイス ( タブレット スマートフォンなど ) から インターネット経由で 社内ネットワークのサーバ (Web サーバや メールサーバなど ) へアクセスする機能であり 認証と暗号化により インターネット経由でもセキュアな通信が可能です Smart Device VPN のサービスの基本構成は下図の通りです 1 スマートデバイスリモートアクセスの設定をするスマートデバイスです スマートデバイスに搭載されている VPN 機能を利用し Smart Device VPN サーバ ( 以下 SDV サーバという ) に接続します 2 SDV サーバ bit-drive データセンター内に設置されたお客さま専用の VPN 接続サーバです Smart Device VPN の終端機能を提供します 3 アクセス先サーバお客さまネットワーク内のサーバ ( サービスサーバなどマネージドイントラネットのサーバ群も含 む ) です スマートデバイスからの通信のアクセス先になります 4/27
3 設定手順 Smart Device VPN を利用開始にあたり システム管理者さまにて以下のフローに沿って 各種設定が必要となります Smart Device VPN の各種設定は マネージドイントラネットのマネージメントツールより設定します 基本設定 事前共有鍵の生成 Smart Device VPN ユーザの許可設定 利用ユーザへの通知 利用ユーザの設定 設定完了 利用ユーザの設定 については リモートアクセス Smart Device VPN ユーザマニュアル に記載 しております 管理者さまからご利用になるユーザさまへご指示頂き 設定頂く流れとなっておりま すので こちらのマニュアルをご覧下さい 5/27
3-1 マネージメントツールへのアクセス マネージメントツールは 以下の URL へ web ブラウザからアクセスしてください https://www.mi.bit-drive.ne.jp/ ログインする際に用いる VPN ID ログイン ID パスワード は システム管理者さま宛に送付 しております bit-drive マネージドイントラネットサービス登録内容 をご覧ください 6/27
4 Smart Device VPN のユーザ管理 SDV サーバにログインを許可するため 各ユーザに許可する設定をおこないます ユーザ登録は事前に システム全体 の ユーザ管理 にて登録する必要があります 4-1 Smart Device VPN ユーザ管理の変更 SDV サーバ >Smart Device VPN ユーザ管理 画面を開きます 設定変更 ボタンをクリックします 7/27
許可したいユーザにて Smart Device VPN の許可 を する に設定します 4-2 設定の保存 設定を保存するために 保存 ボタンを押します 8/27
4-3 設定完了を確認 ユーザ設定を保存しました のメッセージが表示されれば 設定は完了です 9/27
5 事前共有鍵管理 スマートデバイスと SDV サーバとの事前共有鍵 (Preshared Key) を生成します 事前共有鍵は有効期間 を決めることができ 有効期限を過ぎると事前共有鍵は自動でサーバから削除されます 5-1 事前共有鍵 の設定 SDV サーバ > サーバ設定 >Smart Device VPN> 事前共有鍵管理 画面を開きます 設定変更 ボタンをクリックします 10/27
設定情報 > 事前共有鍵 に事前共通鍵を入力します 鍵生成 ボタンをクリックすることで自動的に鍵を生成することも可能です 注意事前共有鍵の文字は 8 文字 ~255 文字以内に設定してください スペース 全角文字は無効となります 注意事前共有鍵は全ユーザ共有の鍵となります 事前共有鍵を変更すると接続する全ての端末の設定を変更する必要がございます 11/27
5-2 有効期限 の設定 事前共有鍵の有効期間を設定します 注意有効期限は 無制限 1 ヶ月 3 ヶ月 6 ヶ月 から選択します デフォルトでは 無制限 が設定されています 5-3 メール通知 の設定 有効期限を知らせるためのメール通知の有無を設定します 注意事前共有鍵の有効期限 2 週間前から毎日システム管理者宛に送信されます 12/27
5-4 メール通知の内容 事前共有鍵のメール通知を する に設定した場合は 下記のメールが管理者宛に送付されます なお 事前共有鍵の有効期限 14 日前から期限切れまで毎日メールが送付されます ( 例 ) 事前共有鍵の有効期限が 2012 年 2 月 27 日 ( 月 ) 事前共有鍵の有効期限 7 日前の場合 件名 マネージドイントラネット Smart Device VPN 事前共有鍵有効期限の警告 本文 このメールはマネージドイントラネット (VPN-ID:DGXXXXX) から自動送信されています 現在ご利用の事前共有鍵の有効期限は 2012 年 2 月 20 日 ( 月 ) ( 残り 7 日 ) です 事前共有鍵の有効期間を過ぎますとスマートデバイスからの接続ができなくなります サーバ設定 > Smart Device VPN > 事前共有鍵管理 画面で事前共有鍵を再作成し 新しい事前共有鍵を各スマートデバイスに再登録してください 事前共有鍵の有効期限が切れた場合 件名 マネージドイントラネット Smart Device VPN 事前共有鍵有効期限切れの通知 本文 このメールはマネージドイントラネット (VPN-ID:DGXXXXX) から自動送信されています 現在ご利用の事前共有鍵の有効期限は 2012 年 2 月 27 日 ( 月 ) に切れました 現在スマートデバイスからの接続ができない状態になっています 至急 サーバ設定 > Smart Device VPN > 事前共有鍵管理 画面で事前共有鍵を再作成し 新しい事前共有鍵を各スマートデバイスに再登録してください 13/27
5-5 設定の保存 設定を保存するために 保存 ボタンを押します 5-6 設定完了を確認 設定を保存しました がメッセージ欄に表示されれば 設定完了です 14/27
6 Smart Device VPN の基本設定接続するスマートデバイスに割り当てる情報を設定します 接続したスマートデバイスからインターネットへのアクセスの有無 DNS の割当 IP アドレスを設定することでインターネットアクセスが可能となります 6-1 基本設定 の変更 SDV サーバ > サーバ設定 >Smart Device VPN> 基本設定 画面を開きます 設定変更 をクリックし 基本設定 ( 編集 ) 画面を開きます 15/27
6-2 インターネットアクセス の設定 スマートデバイスから Smart Device VPN 経由でインターネットへアクセス可能と する場合 インターネットアクセス を する に変更します 6-3 DNS の設定 スマートデバイスに設定させる DNS サーバの IP アドレスを入力します 社内サーバにアクセスしたい場合は社内用 DNS サーバの IP アドレスを入力します マネージドイントラネットにて DNS サーバを管理されている場合は SUS( サービスユーザサーバ ) の IP アドレスを入力します 16/27
6-4 固定割当 の追加 割り当てる IP アドレスを固定で割り振ることが可能です 固定で割り振ることにより IP アドレス単位でアクセスさせたいサーバを制限することも可能です Edit Controller の追加ボタンをクリックします ログイン ID 固定割当 IP アドレスを入力します 注意固定割当 IP アドレスは 10.255.224.1~10.255.224.253 の範囲で登録してください 17/27
6-5 設定の保存 設定を保存するために 保存 ボタンを押します 6-6 設定完了を確認 設定を保存しました がメッセージ欄に表示されれば 設定完了です 18/27
7 利用ユーザへの通知 下記設定情報を利用ユーザへ通知します 必要な情報 SDV サーバ IP アドレスログイン ID 及びパスワード事前共有鍵 説明スマートデバイスが接続するセンターサーバのグローバル IP アドレスです マネージメントツール上 ID 000-RA1 で表示されるサーバの システムステータス内 WAN 側 IP アドレス欄の IP アドレスです ご利用ユーザがマネジーメントツールやメールサーバへログインする際のログイン情報と共通です 本マニュアル 6 項で設定した文字列です 上記設定情報は リモートアクセス Smart Device VPN ユーザマニュアル P.5 手順 1 設定情報の入手 に対応するものです 19/27
8 接続クライアント管理 現在 Smart Device VPN で接続しているクライアントの情報を表示します 8-1 接続ユーザの確認 SDV サーバ > 運用管理 >Smart Device VPN ステータス > 接続クライアント管理 画面を開きます 現在 VPN 接続を行っているログイン ID が表示されます 20/27
8-2 接続ユーザの切断 操作 ボタンをクリックします 切断したいログイン ID にて 切断 ボタンをクリックします 21/27
ログイン ID:XXX を切断しました というメッセージが表示されれば切断が完了となります 22/27
9 ログ管理 正常にログインできない場合など ログから原因の切り分けなどが行えます 9-1 ログの確認 SDV サーバ > 運用管理 > ログ管理 画面を開きます Smart Device VPN ログ をクリックします 23/27
9-2 ログのダウンロード ログダウンロード にてダウンロードしたい期間を設定し ダウンロード をクリックします 保存 ボタンをクリックします 保存場所と保存ファイル名を指定し 保存 ボタンをクリックすることで PC に保存できます 24/27
9-3 ログの表示 ログ表示 にて表示したい日時を指定し 表示 ボタンをクリックします ログ内容 項目に指定日のログが表示されます 25/27
9-4 ログの説明 ログは以下の項目で出力されます 日時 VPN-ID プロセス名 [ プロセス ID] ログの詳細 例 ):Feb 14 18:45:59 DGXXXXX-000-RA1 pppd[32413]: PAP peer authentication succeeded for userid 以下に一般的な動作時のログを記載します 下記例では ログの詳細 部分のみ表示しています 認証に成功した場合 PAP peer authentication succeeded for ログイン ID rus_plugin: 10.255.224.1 is acquired by ログイン ID, from 接続元 IP アドレス クライアントの切断要求で終了した場合 LCP terminated by peer (User request) rus_plugin: 10.255.224.1 is released by ログイン ID, from 接続元 IP アドレス Exit. マネージメントツールから強制切断した場合 START terminating connection (login_id, ipv4_address, pid) = ( ログイン ID, 10.255.224.1, 32223) rus_plugin: 10.255.224.1 is released by ログイン ID, from 接続元 IP アドレス END (exit code: 00) Exit. クライアント接続時の認証エラーの場合 ( パスワード違いなど ) PAP peer authentication failed for ログイン ID Feb 14 18:45:59 DGXXXXX-000-RA1 pppd[32413]: Exit. 回線切断で強制切断した場合 Maximum retries exceeded for tunnel トンネル ID. Closing. rus_plugin: 10.255.224.1 is released by ログイン ID, from 接続元 IP アドレス Exit. 26/27
割り振る IP アドレスが無くなった場合 ( 固定登録 + 接続ユーザ数が合計で 253 に達している ) PAP peer authentication succeeded for ログイン ID LCP terminated by peer (No network protocols running) Exit. サーバ側の事前共有鍵がない "l2tp-psk"[97] 接続元 IP アドレス #147: Can't authenticate: no preshared key found for ` 接続元 IP アドレス ' and `%any'. Attribute OAKLEY_AUTHENTICATION_METHOD 事前共有鍵のミスマッチの場合 "l2tp-psk"[116] 接続元 IP アドレス #116: probable authentication failure (mismatch of preshared secrets?): malformed payload in packet i-phone にて 全ての信号を送信する にチェックが入っていない場合 pppd[5103]:unsupported protocol 'Apple Client Server Protocol Control' (0x8235) received 27/27