0

Windows Server 2008 R2 L2TP の設定

Step:1 はじめに

当サイトの「Windows Server 2008 R2 SSTP の設定」の記事を参考に、SSTP接続に成功していることを前提に説明します。
http://www.abten.net/2014/03/91/

SSTP接続に成功している場合は、L2TPに移行するのは容易です。
SSTP接続はクライアント側の事前準備は少なくて済みますが、IDとパスワードのみでの認証ですので、脆弱なパスワードなどを設定するユーザーがいると不正アクセスの危険が高まります。これに対してL2TP接続は、クライアント側にも証明書または事前共有キーを要求しますので、セキュリティー面で優れています。もっとも、この場合でも脆弱な事前共有キーを設定していると、意味はありません。
本稿では、証明書を使ったL2TP接続について取り上げます。

Step:2 証明書の作成とサーバの設定

サーバ認証証明書を作成した要領で、クライアントで使用する証明書を作成します。
また、サーバ側でL2TP接続用に待ち受けポートの設定を行います。
SSTPの待ち受けポートと同様に、サーバマネージャで、「ネットワークポリシーとアクセスサービス」>「ルーティングとリモートアクセス」を開き設定します。

Step:3 クライアントの設定

Step2で作成した証明書を使用します。
Windowsのマネジメントコンソールを管理者として開き、ルートCAをインポートしたときと同じ要領で、インポートします。
証明書を配置するストアは、ローカルコンピュータの「個人」です。
ユーザーの「個人」にインポートしても接続できませんので、注意しましょう。

次に、VPNの設定をします。
VPN接続のプロパティで、VPNの種類にL2TP/IPSecを選択しましょう。

Step:4 接続できない場合の対処方法

Step3まででL2TP接続が可能になりますが、ネットワーク環境によっては次のエラーが表示されることがありますので、その対処法を記載します。
エラー809

エラー 809:リモート サーバーが応答しないため、使用するコンピューターと VPN サーバー間のネットワーク接続を確立できませんでした。これは使用するコンピューターとリモートサーバー間のネットワーク デバイス (ファイアウォール、NAT、ルーターなど)の1つがVPN接続を許可するように構成されていないことが原因だと考えられます。管理者またはサービス プロバイダーに問い合わせて、どのデバイスが問題を引き起こしているのかを判定してください。

このエラーが表示された場合に注意しないといけないこと。
「1つが」と書かれていますが、原因は「1つ」とは限りません。当然ながらファイアウォールの許可設定も必要ですし、ルーターの設定も必要でしょう。
そして、このエラーメッセージは、自分自身に全く非がないように語っていますが、原因はあなた自身です。
Windows vista および Windows Server 2008 で NAT-T デバイスの内側には、L2TP と IPsec サーバーを構成する方法
クライアントPCからリモートアクセスサーバ(RAS)までの間に、ネットワーク アドレス変換(NAT)が介在していると、このエラーが表示されるようです。
ということで、レジストリを編集しましょう。
レジストリ サブキー:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
レジストリ エントリ:AssumeUDPEncapsulationContextOnSendRule
データ型:DWORD (32 ビット) 値
データの値
0 (ゼロ) の値は、NAT デバイスの背後にあるサーバーとセキュリティ アソシエーションを確立できないように Windows を構成します。これは既定値です。
1 の値は、NAT デバイスの背後にあるサーバーとセキュリティ アソシエーションを確立できるように Windows を構成します。
2 の値は、Windows Vista ベースまたは Windows Server 2008 ベースの VPN クライアント コンピューターとサーバーの両方が、NAT デバイスの背後にあるセキュリティ アソシエーションを確立できるように Windows を構成します。
特に問題がない場合は、”2″を設定しましょう。

以上で、正しく接続できるようになると思います。

エラー810
このエラーが表示された場合は、ローカルコンピュータの証明書ストア「個人」に配置されている証明書に、接続に使用できるものが含まれていない可能性が高いです。
作成した証明書が正しく配置されているか確認のうえ、再度表示される場合は、バックアップをとったうえで、ローカルコンピュータの証明書ストア「個人」に配置されている証明書をすべて削除してみましょう。
削除したあと、もう一度接続しようとすると、次のエラーが表示されるはずです。
エラー766
このエラーが表示された場合は、先ほど削除した証明書のなかの一つもL2TP接続に使用できる証明書がなかったことが確定です。念のためクライアント用に作成した証明書をもう一度インポートしましょう。再度接続を試してみて、エラー810に戻ればインポートした証明書のストアは正しいことが確定しますので、クライアント用の証明書の作成を見直す必要があります。

証明書を削除したのにエラー766が表示されなかった場合は、証明書をインポートするストアを間違えていますし、削除したストアもローカルコンピュータの証明書ストア「個人」ではないでしょう。もう一度配置しようとしているストアを確認してインポートし直す必要があります。

また、最初からこのエラー766が表示された場合も、証明書をインポートするストアを間違えています。もう一度配置しようとしているストアを確認してインポートし直す必要があります。

接続に使用する証明書の取り扱い

クライアントにインポートする証明書は、秘密キーを含まないものでも差し支えありません。
裏を返せば、それだけ証明書の取り扱いには注意が必要ということです。

abten

コメントを残す

メールアドレスが公開されることはありません。