PPPAC(リモートアクセスサーバ)

PPPトンネルをベースとしたPPPアクセスコンセントレータ(PPPAC)機能を提供します。VPNプロトコルとしてL2TP、SSTP、PPTP、およびPPPoEを使用できます。

表 1. 機能仕様概要
項目
VPNプロトコル L2TP/IPsec, PPTP, SSTP, PPPoE
認証レルム ローカル認証, アカウントリスト認証, RADIUS認証(外部RADIUSとの連携)
認証メソッド CHAP, PAP, MS-CHAPv2, EAP(RADIUS)
表 2. 数的仕様
項目
仮想インタフェース設定数 8
認証レルム設定数 4
ユーザ設定数 ローカル認証 64
アカウントリスト認証 リストファイルごとに256KB(個数制限なし)
RADIUS認証 RADIUSサーバに依存
同時接続数 SEIL/X1 512
SEIL/X2 1024
SEIL/B1 128
SEIL/x86 Fuji 1024
SEIL BPV4 1024
表 3. IPv4/IPv6対応状況
項目 PPTP L2TP SSTP PPPoE
IPv4ネットワークでのVPN接続
IPv6ネットワークでのVPN接続 不可 不可
VPN上でのIPv4通信
VPN上でのIPv6通信 不可 不可 不可 不可
  • PPPoEはプロトコル上、同一のイーサネットリンク内でのみ接続可能です。

リモートアクセスサーバの構成

リモートアクセスサーバは複数の機能要素で構成されます。

認証
接続を許可するリモートアクセスユーザの情報を管理する認証レルムを定義し、ユーザ名やパスワードなどを設定します。
ローカル認証
コンフィグに直接ユーザ情報を設定します。
アカウントリスト認証
ネットワーク上のファイルサーバに設置されたアカウントリストファイルを定期的に自動取得してユーザ情報を更新します。ローカル認証に比べて多くのユーザを管理することができます。
RADIUS認証
ネットワーク上のRADIUSサーバにユーザ認証(Authentication)およびユーザごとの利用統計情報の管理(Accounting)を委任することができます。
クライアント証明書による認証を行うにはRADIUS認証を使用する必要があります。
PPP
リモートアクセスクライアントとIP通信を行うためのトンネルを構成し、ユーザ認証の手段や、アドレス情報の配布内容等を設定します。
仮想インタフェース(PPPAC)
VPN接続を待ち受ける仮想インタフェースを構成します。PPPACインタフェースを対象としてIPパケットフィルタや経路を設定することで、リモートアクセスクライアントとの通信を制御することができます。
VPNプロトコル
ネットワーク上でVPN通信を転送するためのプロトコルを指定し、通信内容の保護方法やセッションの管理方法を設定します。
L2TP/IPsec
L2TP/IPsecは広範なクライアント機器で利用可能なVPNプロトコルです。
L2TPv2によるトンネリングに加え、IPsecによる暗号化を利用でき、 データの機密性の確保、データの整合性の確認、および送信元の認証が可能です。 接続相手の認証はIPsecの事前共有鍵により行います。 また、IPsec NAT Traversalに対応し、NAT環境下からの接続が可能です。
SSTP
SSTPは主にMicrosoft Windowsで利用可能なVPNプロトコルです。
SSTPを利用するにはサーバ証明書を用意する必要があり、証明書を使用してデータの機密性の確保、データの整合性の確認、および接続先サーバの認証が可能です。
SSTPはSSLを使用するため、NATやファイアウォール配下の環境からでも利用可能な可能性が比較的高いプロトコルです。
PPTP
PPTPはL2TP/IPsecやSSTPに比べて設定が容易なVPNプロトコルです。MPPE(Microsoft Point-To-Point Encryption)による暗号化をサポートしており、 暗号化を適用することでデータの機密性が確保されますが、データの整合性(改ざんされていないことの証明)および送信元の認証は行いません。また、NAT環境下から接続する場合は、NAT装置の実装により利用できない場合があります。
注: PPTPはプロトコル上の脆弱性が指摘されており、利用は推奨されていません。
PPPoE
PPPoEは同一のイーサネットリンク上の装置間でPPP接続を行うトンネルプロトコルです。
PPPoEはインターネット接続をサポートするほとんどのコンピュータで使用可能ですが、IPネットワーク経由でPPPoE接続を行うことはできません。暗号化等にも対応していないため、広域LAN等の閉じたレイヤ2ネットワーク上でオーバーラップするような通信路を確保する場合や、通信試験環境における疑似プロバイダサービスを構築する場合などに使用します。

認証

接続を許可するリモートアクセスユーザの情報を管理する認証レルムを定義し、ユーザ名やパスワードなどを設定します。

ローカル認証レルム

コンフィグレーションに直接アカウント情報を設定することで認証レルムを構成します。

  • すべてのローカル認証レルムの合計で 64 ユーザまで登録可能
  • アカウント情報は以下の項目で構成
    • ユーザ名 1〜32文字
    • パスワード 1〜64文字
    • ユーザに割り当てるIPアドレス(Framed-IP-Address)を指定可能。RFC791 の定めるClass A、B、C のアドレスで、かつClassfulネットワークにおけるブロードキャストアドレスではないアドレスを指定可能
    • ユーザに割り当てるIPアドレスに対するネットマスク(Framed-IP-Netmask)を指定可能
    • 割り当てる IPアドレスをユーザが選択するよう設定(user-select) 可能
    • 割り当てる IPアドレスをNASが選択するよう設定(nas-select) 可能

アカウントリスト認証レルム

外部に設置されたアカウントリストを定期的に自動取得して認証レルムを構成します。

  • URLで指定可能なプロトコルは http、https
    • https を使用した場合に、SSLのサーバ認証は行わない
  • リスト取得に時間がかかる場合には、20秒で取得を打ち切る
  • リスト取得が失敗した場合、1分間隔で 10回再取得を試みる。再取得に成功、あるいは10回すべて取得失敗した場合、次回取得は指定された定期取得間隔の時間経過後となる
  • 再取得に失敗もしくはアカウントリストの読み込みに失敗した場合、取得済のリストがあればそれを使用し続ける
  • URL を指定しない設定に変更した場合は、すべてのアカウントに対する認証が失敗する
  • 取得済のリストが存在する時に URL を変更すると、変更後の URL での取得に成功するまでの間は、取得済のリストを使用し続ける。この場合でも、URL を指定しないよう変更した場合には、すべてのアカウントに対する認証が失敗する
  • システム起動後または設定変更後に、最初にリストの取得が成功するまでの間は、認証サーバのエラーとして認証が失敗する

RADIUS認証レルム

ネットワーク上のRADIUSサーバにユーザ認証(Authentication)およびユーザごとの利用統計情報の管理(Accounting)を委任することができます。

表 4. 数的仕様
項目
連携先RADIUS認証サーバの設定数 4
連携先RADIUSアカウンティングサーバの設定数 4
RADIUSリクエスト応答タイムアウト 1~300秒
RADIUSリクエスト再試行回数 1~20回
  • RAIDUSサーバの障害を検知しサーバを切替えることが可能

仮想インタフェース

PPPACインタフェースは、複数のPPPセッションを集約して入出力するインタフェースです。SEILをリモートアクセスVPNサーバとして使用する際に設定します。

特徴

pppac コマンドに設定される、L2TP/IPsec、 PPTP、PPPoE プロトコル設定、IPCP設定、及びauthentication コマンドで設定される認証レルムをこのインタフェースに 結びつけることで、このインタフェースに集約すべきPPPセッションを指定します。

PPPセッションの同時接続数は、設定により機種ごとの上限内で制限することができます。

また、ユーザあたりの同時接続数を制限できます。

注:
  • プロトコル設定と認証レルムの結びつけは、プロトコル設定と認証レルムのユーザ名のサフィックスの組合せが重複しないよう設定する必要があります。 重複した場合、インタフェース名末尾の数字の小さなものが優先されます。
  • 認証レルムのユーザ名のサフィックスは、サフィックスが長いものが優先されます
  • 設定変更から動作に反映されるまで、最大で 8~9 秒要します。

設定範囲

機種 設定可能な値 最大設定数
SEIL/B1 pppac0 - pppac7 8
SEIL/X1 pppac0 - pppac7 8
SEIL/X2 pppac0 - pppac7 8
SEIL/x86 Fuji pppac0 - pppac7 8
BPV4 pppac0 - pppac7 8

PPP

PPPAC機能におけるPPP部についての解説

セッション数上限
機種 上限
SEIL/B1 128
SEIL/X1 512
SEIL/X2 1024
SEIL/x86 Fuji 1024
SEIL BPV4 1024

LCP

  • MRU を設定可能
    • PPPoE は 1200~1492 オクテットで指定。設定を省略した場合 1480
    • PPTP 及び L2TP/IPsec は 1200~2000 オクテットで指定。設定を省略した場合は 1400
    • 設定を省略するとトンネルプロトコル毎に推奨値 (L2TP/IPsec, PPTP は 1400、PPPoE は 1480)となる
  • LCP-Echo/Reply の確認間隔、試行回数、再試行回数を設定可能
  • PFC, ACFC 対応

認証

  • 認証レルムに設定されたユーザからの接続について、PAP(RFC1332)、CHAP(RFC1994)、MS-CHAP-V2(RFC2433)、EAP(RFC3748) を用いて認証可能 (ただし EAP は、認証レルムとして RADIUS を利用する場合に限る)
  • 認証タイムアウト時間を 5~300 秒で設定可能
  • RADIUS 認証を使用する際の Access-Request に含まれるアトリビュートは、Access-Request でセットされるアトリビュートを参照
  • RADIUS 認証で認証を行った場合、RADIUS 認証レルムに RADIUSアカウティングサーバ の設定がなされていれば、RADIUSアカウティング (RFC2866) の Start と Stop を送信する
  • RADIUS アカウティングに含まれるアトリビュートは、Accounting-Request でセットされるアトリビュートを参照

NCP IPCP

  • 割り当てる IPアドレスは、設定されたアドレスプールから割り当てる
  • プールは動的割り当て用と固定割り当て用を指定できる
  • アドレスプールは、最大 16 個登録可能
  • Classful ネットワークにおいてブロードキャストとなるIPアドレスは、割り当てない
  • 認証レルムがPPPユーザのFramed-IP-Addressで固定IPアドレスを指定した場合は、そのアドレスを割り当てる。 Framed-IP-Netmaskが共に指定された場合には、そのネットマスクを使用する。 ただし、該当アドレス範囲が使用中であったり、使用できないアドレスが指定された場合は、PPPの接続を切断する。 固定用プール及び動的プールのどちらにも含まれない場合には、動的割り当てを試みる
  • 認証レルムが PPPユーザの Framed-IP-Address として"ユーザが選択" (user-select, 0xFFFFFFFF) とした場合、 PPPクライアントが提案する IPアドレスを優先して割り当てる。ただし、該当アドレスが動的割り当て用アドレスプールに含まれかつ未使用の場合に限る
  • 認証レルムが PPPユーザの Framed-IP-Address として"ユーザが選択" (user-select, 0xFFFFFFFF) となっている場合でも、 クライアントが提案する IPアドレスを無視する設定が可能
  • 配布するプライマリ DNS サーバ及びセカンダリ DNS サーバを指定可能。
  • 配布するプライマリ WINS サーバ及びセカンダリ WINS サーバを指定可能。
  • DNS中継機能を有効にしている場合には、本機を DNS サーバとして配布可能

CCP MPPE

  • MPPE(RFC3078)使用の有無を設定可能
  • 鍵長、鍵変更モード(ステートフル, ステートレス, 自動)を指定可能
  • ローカル認証を用いる場合、MS-CHAP-V2 で認証した場合に限り使用可能
  • RADIUS認証を用いる場合、認証方法として MS-CHAP-V2 またはEAPを使用し、かつ RADIUSサーバからの応答メッセージに RFC2548 に記載される
  • RADIUSアトリビュート MS-MPPE-Send-Key 及び MS-MPPE-Recv-Key を含んでいた場合に限り使用可能

アイドルタイマー

  • 一定時間以上通信がなかった場合に、強制的に切断する機能
  • アイドルタイマーの有効化、無効化を設定可能
  • タイマの時間として 10 秒~ 86400 秒を設定可能
  • 以下の通信は "通信があった" とみなさない
    • Echo Request または Echo Reply を除く ICMPv4の通信
    • 送信元/送信先のポート番号が、53(Domain)、67(Bootps)、68(Bootpc)、123(NTP)、137(NetBIOS)、520(RIP) のいずかである TCP または UDP の通信
    • IGMP の通信

TCP MSS 自動調整

  • TCP MSS 自動調整機能の有効化、無効化を設定可能
  • 有効にした場合、MSS の値は PPP セッション毎の MRU に基づく調整を行う

経路制御

  • アドレスプール内の未使用アドレスへの通信を抑止するために、アドレスプール相当のネットワークアドレスを対象とするdiscard経路(distance 16)を追加する
  • リモートアクセスクライアントとの接続確立時に、払い出したIPアドレスについてPPPACインタフェースをゲートウェイとするホスト経路を追加する
  • リモートアクセスクライアントに対して経路設定を指示することはできない

その他

  • IPCPで割り当てたIPアドレス以外から受信したIPパケットは転送せず、ネットワークイングレスフィルタにより破棄される
  • clear コマンドで PPP セッションを切断可能
  • IPパケットの転送には、PIPEXと呼ばれる転送モードを用いる

L2TP/IPsec

L2TPでの接続を受け付けるL2TP LNS(L2TP Network Server)機能を提供します。

  • L2TP (RFC2661) に準拠
  • 受け付けるインタフェースを選択可能
  • IPsecでの保護を必須とする、または必須としない設定が可能
  • Hidden AVPには対応しない
  • Proxy LCP AVPおよびProxy Authentication AVPに対応
注:

「拠点A」と「拠点B」でIPsec-VPNを構成し、かつ「拠点A」にてL2TP Network Server(LNS)が動作している(インターネットからのL2TP/IPsec接続を受け付ける)場合、「拠点B」配下のネットワーク内から「拠点A」のLNSに対してL2TP/IPsecで接続することはできません。

  • L2TP/IPsecの接続先が「拠点A」のグローバルアドレスであると、端末からの接続がNAPTを使用するインターネット経由となることにより、「拠点A」にてアクセス元が「拠点B」のグローバルアドレスであるにもかかわらず事前共有鍵が不一致となるため接続が成立しません。

L2TP HELLOによるセッションキープアライブ

接続中のリモートアクセスクライアントの応答状況を監視し、無応答のセッションを切断できます。
キープアライブ仕様
  • セッションを開始すると、HELLOメッセージの送信を開始し、ZLB (Zero-Length Body)メッセージの応答を待つ
  • 応答が得られるまで2秒間隔でHelloパケットを送信する
  • 応答があった場合は監視アップと判定し、次回は60秒後(10~3600秒で設定可能)にHelloパケットの送信を開始する
  • 60秒間(10~300秒で設定可能)継続して応答が無い場合は監視ダウンと判定し、StopCCNメッセージを送信してセッションを終了する

SSTP

SSTPでの接続を受け付けるSSTPサーバ機能を提供します。

Microsoft が開発した Secure Socket Tunneling Protocol(SSTP, MS-SSTP)に準拠します。

  • 受け付けるインタフェースを選択可能
  • Echo の送信間隔を10~3600秒で設定可能。設定を省略すると、60秒間隔となる
  • EchoReply の待ち時間をを10~300秒で設定可能。設定を省略すると、60秒待ちとなる

SSTPの特徴

SSTPは、SSLを利用したVPNプロトコルです。Windows標準(Windows Vista SP1以降に搭載)の仮想ダイアルアップ接続機能を利用することで、 場所を選ばずに簡単で安全なリモートアクセスを行うことができます。

クライアント側の接続環境を問わず、どこからでも社内にリモートアクセスが可能

現在VPNプロトコルとして主流のPPTPやL2TP/IPsecを使ってリモートアクセ スを行う場合、 ルータなどでNATされたネットワーク内で複数PCから同時にVPN接続ができないなど、いくつかの課題がありました。 しかし、SSTPを利用することで従来のインターネット接続環境に加えて、ホテル、無線LANスポットなどのNATされた環境や、 プロキシサーバを経由してインターネット接続を行う環境からでも、確実にVPN接続を行うことできます。

既存のネットワーク設定を変更することなく利用可能

従来、VPN専用プロトコルを利用する場合は、ルータやファイアウォールなどのネットワーク機器に対してVPNプロトコルを通過させるための設定変更が必要でした。 しかし、SSTPはTLS/SSLを利用したHTTPSポートを使用してVPNを行うため、ネットワーク機器の設定変更行う必要がなく、 手軽にSSTPを使ったリモートアクセスを導入することができます。

クライアントPCの設定が簡単

PPTP、L2TP/IPsec などと同様に、Windows標準の仮想ダイアルアップ機能を利用してSSTPを使ったVPN接続を行うため、 クライアントPCに新たにソフトウェアをインストールする必要がなく、簡単な設定だけでリモートアクセスを行うことができます。 また、VPN接続の種類を予め自動に設定しておくことで、簡単にPPTPからSSTPへ移行することができます。

注: SSTPの利用には別途証明書が必要です。

PPTP

PPTPでの接続を受け付けるPPTP PAC(PPTP Access Concentrator)機能を提供します。

  • PPTP(RFC2637) に準拠
  • 受け付けるインタフェースを選択可能
  • MPPE(Microsoft Point-To-Point Encryption)による暗号化を必須とする、または必須としない設定が可能
  • Echo の送信間隔を10~3600秒で設定可能。設定を省略すると、60秒間隔となる
  • EchoReply の待ち時間をを10~300秒で設定可能。設定を省略すると、60秒待ちとなる

PPPoE

PPPoEでの接続を受け付けるPPPoE AC(Access Concentrator)機能を提供します。

  • PPPoE(RFC2516) に準拠
  • 受け付けるインタフェースを選択可能
  • アクセスコンセントレータ名を指定可能。省略すると、待ち受けるインタフェースのイーサネットMACアドレスを通知する
  • サービス名を指定可能。省略すると空文字列を通知する
  • PADI 要求のサービス名が空(any service)で要求された場合に、PADO を応答するかどうかを設定可能
  • PPPoEサーバへの接続は、MACアドレスフィルタのブロック(block)対象端末と設定しても、ブロックされず接続可能

証明書管理

本装置がSSL通信を行う際に使用するX.509サーバ証明書と、そのRSA秘密鍵を管理する機能を提供します。

その他

留意事項

設定変更内容が動作に反映されるまで、最大 8~9 秒要します。