The Cable Guy ‐ 2003 年 10 月

インターネットおよびイントラネットへの同時アクセスのためのスプリット トンネリング

The Cable Guy

The Cable Guy の全コラムの一覧と概要をご覧になるには、ここをクリックしてください。

トピック

クラスレス静的ルート DHCP オプションの使用
Windows Server 2003 の接続マネージャ管理キットの使用
スプリット トネリングのセキュリティ問題
詳細情報

Windows ベースの VPN クライアントが VPN 接続を行う際、VPN クライアントは自動的に VPN 接続の既定ルートを新規に追加し、インターネットをポイントする既存の既定ルートをより高度なメトリックを持つように変更します。新規に既定ルートを追加するということは、VPN 接続を使用して VPN サーバー以外のインターネット上の IP アドレスには到達できないことを意味します。

既定ルートが新たに作成されないようにするには、VPN 接続のプロパティの [ネットワーク] タブでインターネット プロトコル (TCP/IP) を選択し、[プロパティ] をクリックします。次に [詳細設定] をクリックします。TCP/IP 詳細設定の [全般] タブで、[リモート ネットワークでデフォルト ゲートウェイを使う] チェック ボックスをオフにします。この設定は、以下の画面で行います。

cg100301


[リモート ネットワークでデフォルト ゲートウェイを使う] チェック ボックスをオフにすると、既定のルートは作成されませんが、割り当てられた IP アドレスのインターネット アドレス クラスベースのネットワーク ID に対応するルートが作成されます。たとえば、接続プロセス中に割り当てられたアドレスが、10.0.12.119 の場合、Windows 2000、Windows XP、Windows Server 2003 の VPN クライアントは、クラスベースのネットワーク ID 10.0.0.0 (サブネット マスク 255.0.0.0) を作成します。

[リモート ネットワークでデフォルト ゲートウェイを使う] チェック ボックスの設定によって、VPN 接続時の動作が変わります。

  • [リモート ネットワークでデフォルト ゲートウェイを使う] チェック ボックスがオフになっている場合、インターネット ロケーションには到達可能で、イントラネット ロケーションは割り当てられた IP アドレスのアドレス クラスに合致するものは除き、到達できなくなります。

  • [リモート ネットワークでデフォルト ゲートウェイを使う] チェック ボックスがオンになっている場合 (これは既定の設定です)、すべてのイントラネット ロケーションには到達可能ですが、インターネット ロケーションには VPN サーバーとアドレスおよび他のルート経由で使用可能な場所を除き、到達できません。

インターネットに接続されているほとんどの VPN クライアントは通常、イントラネットまたはインターネットのいずれか一方に (両方ではなく) 接続するため、この動作は問題となりません。VPN 接続がアクティブとなっている際に VPN クライアントがイントラネット リソースまたはインターネット リソースに同時アクセスするには、以下のいずれかの操作を行います。

  • [リモート ネットワークでデフォルト ゲートウェイを使う] チェック ボックスがオンの場合、組織のイントラネットを介するインターネットへのアクセスを有効にします。

    VPN クライアントとインターネット ホスト間のインターネット トラフィックは、VPN クライアントが物理的に組織のイントラネットに接続しているかのように、組織のファイアウォールまたはプロキシ サーバーを経由します。インターネット リソースへのアクセスのパフォーマンスに影響が及ぶ場合がありますが、VPN クライアントが組織のネットワークに接続しているので、インターネット アクセスを組織のネットワーク ポリシーによってフィルタ、監視することができます。たとえば、組織の Web プロキシ サーバーがある特定の種類の Web サイトへのアクセスをブロックしている場合、そのような Web サイトは VPN クライアントが組織ネットワークに接続している際にも、ブロックされます。

  • イントラネット内のアドレス指定が単一のクラスベースのネットワーク ID に基づいている場合、[リモート ネットワークでデフォルト ゲートウェイを使う] チェック ボックスをオフにします。

    たとえば、イントラネットでプライベート IP アドレス スペース 10.0.0.0/8 のみを使用している場合、VPN クライアントに接続すると、自動的に 10.0.0.0/8 ルートが作成され、組織のイントラネット上のすべてのロケーションにアクセス可能となります。

  • イントラネット内のアドレス指定が、シングル クラスベースのネットワーク ID に基づいていない場合、[リモート ネットワークでデフォルト ゲートウェイを使う] チェック ボックスをオフにし、以下の解決策のいずれか 1 つを実行します。

  • クラスレス静的ルート DHCP オプション

  • Windows Server 2003 向けの接続マネージャ管理キット

  • VPN クライアント上の CMD ファイル

    これらのメソッドを使用したイントラネット ロケーションへの明示的なルートの提供は、スプリット トネリングと呼ばれます。

クラスレス静的ルート DHCP オプションの使用

Windows 2000、Windows XP、および Windows Server 2003 ベースの VPN クライアントは、DHCPInform メッセージを VPN サーバーに送信し、DHCP オプションのセットを要求します。これは、VPN クライアントが DNS サーバー、WINS サーバーの更新されたリストおよび VPN 接続に割り当てられた DNS ドメイン名を取得するために行われます。DHCPInform メッセージは、VPN サーバーによって組織のイントラネット上の DHCP サーバーに転送され、その応答が VPN クライアントに戻ります。

Windows XP および Windows Server 2003 ベースの VPN クライアントには、要求された DHCP オプションのリストにクラスレス静的ルート DHCP オプションが含まれます。クラスレス静的ルート DHCP オプションを DHCP サーバーに構成した場合、そのオプションにはイントラネットのアドレス スペースを表すルートのセットが含まれます。これらのルートは、リクエストを行うクライアントが DHCPInform メッセージへの応答を受け取る際に、そのクライアントのルーティング テーブルに自動的に追加され、VPN 接続が終了すると自動的に削除されます。

Windows Server 2003 DHCP Server サービスは、クラスレス静的ルート オプション (オプション番号 249) の構成をサポートします。以下の図は、DHCP スナップインのオプションを示します。

cg100302


スプリット トネリングに、クラスレス静的ルート オプションを使用するには、VPN サーバーが接続されているイントラネット サブネットに対応する範囲にこのオプションを構成します。次に、組織のイントラネットの要約されたアドレス スペースに対応するルートのセットを追加します。たとえば、プライベート IP アドレス スペースを組織イントラネットに使用する場合、クラスレス静的ルート オプションは、以下の 3 つのルートを持ちます。

  • 255.0.0.0 のサブネット マスクを持つ 10.0.0.0

  • 255.240.0.0 のサブネット マスクを持つ 172.16.0.0

  • 255.255.0.0 のサブネット マスクを持つ192.168.0.0

クラスレス静的ルート オプションに追加されるそれぞれのルーターの IP アドレスは、VPN サーバーが接続されたイントラネット サブネット上のルーター インターフェイスの IP アドレスに設定する必要があります。たとえば、VPN サーバーがイントラネット サブネット 10.89.211.0/24 に接続され、このサブネット上のイントラネット ルーターの IP アドレスが 10.89.21.1 である場合、それぞれのルートのルーターの IP アドレスを 10.89.21.1 に設定します。

Windows Server 2003 の接続マネージャ管理キットの使用

Windows Server 2003 の接続マネージャ管理キットを使用して、特定のルーターを VPN クライアントに配布される接続マネージャ プロファイルの一部として設定することができます。接続マネージャ管理キットのルーティング テーブルの更新のページで、以下の設定を行うことができます。

  • 組織イントラネットのアドレス スペースを要約するルートのセットを含むテキスト ファイルを追加

  • VPN クライアントによってアクセスでき、組織イントラネットのアドレス スペースを要約する最新のルートを含む組織イントラネット上のテキスト ファイルの場所を Uniform Resource Locator (URL) で指定

また、上記の両方を行うことができます。その場合、プロファイルに含まれるテキスト ファイルのルートが最初に適用され、次に指定された URL のテキスト ファイルのルートが適用されます。

以下の図は、ルーティング テーブルのアップデートのページを示します。

cg100303


ルートを追加、または削除するには、プロファイルおよび指定された URL に含まれる両方のバージョンのルート テキスト ファイルのコンテンツに以下のコマンドを含みます。 (ルート コマンドと同じ構文を使用)

Command Destination mask Netmask default metric default if default

以下の場合 :

  • コマンドadd (ルートの追加) または delete (ルートの削除) となります。

  • 送信先 はルートのネットワーク ID となります。

  • Netmask は、ネットワーク ID を定義する送信先に対応するサブネット マスクとなります。

ルート テキスト ファイルのほとんどのコマンドで default を使用するのが、ゲートウェイ、メトリック、およびインターフェイス パラメータに推奨される値です。default が使用されると、ルート生成時に、VPN クライアント コンピュータから適切な値が使用されます。default 以外の値の使用に関する詳細は、Windows Server 2003 のヘルプおよびサポート センターの「ルーティング テーブルの更新の追加」というタイトルのトピックをご覧ください。

ルート テキスト ファイルによってサポートされるコマンドは他に、remove_gateway があり、これにより、既定のゲートウェイが削除されます。remove_gateway コマンドに追加のパラメータはありません。

たとえば、プライベート ネットワーク アドレス スペースのルートを追加するには、ルート テキスト ファイルに、以下が含まれます。

add 10.0.0.0 mask 255.0.0.0 default metric default if default

add 172.16.0.0 mask 255.240.0.0 default metric default if default

add 192.168.0.0 mask 255.255.0.0 default metric default if default

注 : ルートを追加するには、VPN クライアント ユーザー アカウントにローカル管理者特権が含まれている必要があります。

VPN クライアントでの CMD ファイルの使用

VPN 接続の確立後、VPN クライアント コンピュータ上でコマンド ファイル (.CMD) (バッチ ファイルとも呼ばれています) が作成され、実行されます。コマンド ファイルには、VPN クライアントが接続している組織のイントラネットのルートを追加するルート コマンドのシリーズが含まれます。ルート コマンドは、VPN クライアント コンピュータへの接続中に動的に割り当てられた IP アドレスをゲートウェイ IP アドレスとして使用します。そのため、コマンド ファイルの実行時に、動的に割り当てられた IP アドレスをパラメータとして有効にするようにコマンド ファイルを設定する必要があります。

たとえば、プライベート アドレス スペースにルートを追加するには、以下のコンテンツを含む Example.cmd ファイルが作成されます。

route add 10.0.0.0 mask 255.0.0.0 %1

route add 172.16.0.0 mask 255.240.0.0 %1

route add 192.168.0.0 mask 255.255.0.0 %1

このコマンドを適切に実行するには、VPN クライアント ユーザーは、まず VPN 接続に割り当てられた IP アドレスを決定する必要があります。これは、コマンド ラインで、ipconfig を実行するか、または VPN 接続がアクティブな際に、[ネットワーク接続] フォルダの [VPN 接続] をダブルクリックし、確認することができます。表示される [状態] ダイアログ ボックスで、[詳細] タブをクリックします。VPN クライアントの割り当てられた IP アドレスは、クライアント IP アドレスとして表示されます。以下の図はその例を示します。

cg100304


VPN クライアントの割り当てられた IP アドレスが決定された後、Example.cmd ファイルがその IP アドレスでパラメータとして実行されます。たとえば、割り当てられた IP アドレス 192.168.99.211 を持つ VPN クライアントのために、コマンド ラインで実行されるコマンドは以下の通りです。

example 192.168.99.211

また、Visual Basic など、別の方法を使用し、VPN クライアントの割り当てられた IP アドレスをプログラム的に取得し、ルートを追加することもできます。

注 : ルートを追加するには、VPN クライアント ユーザー アカウントは、ローカル管理者特権が必要です。

スプリット トネリングのセキュリティ問題

VPN クライアント コンピュータがインターネットとプライベート イントラネットの両方に接続され、両方のネットワークにアクセス可能となるルートを持つ場合、悪意のあるインターネット ユーザーが、接続された VPN クライアント コンピュータを悪用して、認証された VPN 接続を介し、プライベート イントラネットにアクセスする可能性があります。これは、VPN クライアント コンピュータの IP ルートが有効になっている場合に起こる可能性があります。IP ルーティングは、Windows XP ベースのコンピュータで HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\Tcpip \Parameters\IPEnableRouter のレジストリ入力を 1 に設定することによって有効となります。(データの種類は REG_DWORD です)

スプリット トネリングを使用する必要がある場合、以下の設定を行うことにより、インターネットから不必要なトラフィックを防ぐことができます。

  • Windows Server 2003 のネットワーク アクセス検疫制御 (Network Access Quarantine Control) を使用して、接続する VPN クライアントで、IP ルーティングを有効に設定しているかチェックし、有効に設定されている場合、IP ルーティングを無効にされるまで VPN アクセスを許可しないでください。詳細は、ネットワーク アクセス検疫制御 (2003 年 2 月Cable Guy のドキュメント) をご覧ください。

  • VPN リモート アクセス ポリシー プロファイル上の IP パケット フィルタを使用して、VPN クライアントから送信されない VPN 接続上の受信トラフィックおよび VPN クライアントが送信先でない送信トラフィックの両方が破棄されます。Windows Server 2003 の Microsoft ルーティングとリモート アクセス サーバーへの接続という既定のリモート アクセス ポリシーには既定で構成されるこれらのパケット フィルタを持ちます。

注 : 上記のメソッドを使用しても、悪意のあるインターネット ユーザーがリモートで VPN クライアント コンピュータを制御した場合、不必要なトラフィックが阻止されません。この状況を防ぐためには、VPN クライアント コンピュータでファイアウォール (Windows XP のインターネット接続ファイアウォールなど) を有効にし、ウイルス対策プログラムをインストールし、最新のウイルス署名ファイルをインストールし、実行するようにしてください。また、これらはネットワーク アクセス検疫制御を使用した場合に、チェックされ、実行することができる設定です。

詳細情報

詳細情報は、次のリソースを参照して下さい。


The Cable Guy の全コラムの一覧と概要をご覧になるには、ここをクリックしてください。



コミュニティの追加

追加
表示: