VPN Client アドミニストレータ ガイド Release 4.0
VPN の自動開始の設定:Windows の 場合
VPN の自動開始の設定:Windows の場合
発行日;2012/02/03 | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

VPN の自動開始の設定:Windows の場合

vpnclient.ini ファイルでの VPN 自動開始の設定

準備

実行すべき作業

VPNの自動開始の設定の確認

VPN の自動開始の設定:Windows の場合


) この作業を開始する前に、『SAFE: Wireless LAN Security in Depth』をお読みいただくことを強くお勧めします。この資料は、Web サイト http://www.cisco.com/go/safe で参照できます。
この資料では、VPN を使用して無線 LAN の高度な安全策を実現する手順を紹介しています。VPN Concentrator のグループおよびユーザ設定、VPN Client の自動開始の設定、および Aironet の無線設定に関する詳しい手順が示された設定例については、TAC テクニカル ノート「無線 LAN 環境における Cisco VPN Client での自動 VPN 開始の設定」を参照してください。


VPN の自動開始は、VPN Concentrator を使用するオンサイトの無線 LAN(WLAN)環境内で、セキュアな接続を提供します。 自動開始が VPN Client 上で設定されると、VPN Client により次のことが実行されます。

ユーザが PC を起動するか、PC がスタンバイ状態、または休眠状態の後にアクティブになると、VPN Client がすぐにアクティブになります。

自動開始を必要とする IP アドレスが PC に設定されていることを検知します。

ネットワーク用に指定された VPN Concentrator への VPN トンネルを確立し、ユーザに認証を求めて、ユーザのネットワーク アクセスを許可します。

自動開始は、無線環境用に設計されていますが、あらゆるネットワーク環境で使用できます。自動開始は、VPN Client PC が特定のネットワークをベースにして構成されているかどうかにかかわらず、VPN Client が接続を自動開始するための汎用的な手段を提供します。

図 3-1 は、オンサイト WLAN を安全に保護するために VPN を採用した単純なネットワーク構成を示しています。VPN 3000 Concentrator は、ロード バランシングを使用する場合も使用しない場合もありますが、信頼されないネットワークと信頼されるネットワークとの間のゲートウェイを提供します。DHCP サーバは、VPN 3000 Concentrator のいずれの側にも置くことができます。無線 NIC カードを取り付けたラップトップを所有する VPN Client ユーザは、アクセス ポイント(AP)を経由して、キャンパスまたは建物全体にアクセスでき、信頼されない 10.10.10.x ネットワークから信頼される 30.30.30.x ネットワークにトンネル接続できます。ネットワーク管理者は、このような状況において、VPN Client ユーザの大部分が透過的にネットワークに接続できるように自動開始を設定できます。


) 自動開始は、自動開始用のネットワークを含むようにも、含まないようにも設定できます。


図 3-1 自動開始のシナリオ

 

図 3-1 では、30.30.30 という番号が付いた信頼されるネットワーク(有線ネットワーク)が最上位にあり、VPN Concentrator によって他の信頼されないネットワークと分断されています。信頼されないネットワークには、20.20.A.x および 20.20.B.x などの無線サブネットがあります。信頼されないネットワーク上の装置は、VPN トンネルを使用して信頼されるネットワーク上のリソースへアクセスする必要があります。信頼されないネットワーク上の装置に VPN Concentrator への初期 IP 接続を提供するには、DHCP サーバへのアクセスが可能である必要があります。この図では、DHCP サーバの配置は任意となっています。VPN Concentrator で DHCP リレーが有効になっており、DHCP サーバは信頼されていないネットワークと信頼されているネットワークのどちらにも配置できるためです。

ネットワーク管理者が、ネットワーク上のユーザに自動開始を設定するには、VPN Client のグローバル プロファイル(vpnclient.ini)にパラメータを追加します。グローバル プロファイルの作成または使用方法に関しては、「 グローバル プロファイルの作成」を参照してください。

VPN Client GUI を使用して、ユーザは自動開始の有効/無効の切り替え、およびリトライ間隔の変更だけを行えます。これらの機能は、グローバル プロファイルを使用して自動開始が設定されたときに、[オプション]メニューから使用できます。自動開始が設定されてない場合は、これらのオプションは[オプション]メニューに表示されません。VPN Client の自動開始の詳細については、『VPN Client ユーザ ガイド Windows 版』の「VPN の自動開始の使用」を参照してください。

自動開始機能は、任意のベンダーが提供する NIC カードおよびアクセス ポイントを含む WLAN 環境で使用できます。

vpnclient.ini ファイルでの VPN 自動開始の設定

ここでは、VPN Client 上で自動開始をアクティブにするために、vpnclient.ini ファイルを作成、または編集する方法を説明します。

準備

作業を開始する前に、自動開始を設定するために不可欠な次の情報を収集する必要があります。

クライアント ネットワークのネットワーク IP アドレス

クライアント ネットワークのサブネット マスク

ユーザが接続に使用するすべての接続エントリの名前

実行すべき作業

ネットワーク管理者は、自動開始を設定するために、vpnclient.ini グローバル プロファイル ファイルの[Main]セクションに、次のキーワードおよび値を追加する必要があります。

AutoInitiationEnable:自動開始を有効または無効にします。自動開始を有効にするには、1 を入力し、無効にするには、0 を入力します。

AutoInitiationRetryInterval:自動開始接続を再試行する前に待機する時間(分)を指定します。値の範囲は 1 ~ 10 分、または 5 ~ 600 秒です。ファイルにこのパラメータを入力しない場合は、デフォルトの再試行間隔の 1 分になります。

AutoInitiationRetryIntervalType:再試行パラメータ AutoInitiationRetryInterval を分または秒のどちらで表示するかを指定します。デフォルトは分です。

AutoInitiationList:セクション名のリストを提供します。各セクション名には、ネットワーク アドレス、サブネット マスク、および接続エントリ名、およびオプションで接続フラグが含まれています。最高 64 セクション(ネットワーク)エントリを含めることができます。

セクション名は、自動開始リスト内のエントリの名前です(括弧で囲まれています)。

ネットワーク アドレスおよびサブネット マスクは、サブネットを指定します。

接続エントリは、自動開始用に設定された接続プロファイル(.pcf ファイル)を指定します。

接続フラグは(ある場合)、一致した場合に実行すべきアクションを示します。Connect パラメータが 1 の場合、VPN Client は自動開始します。0 の場合は自動開始しません。デフォルト設定は 1 です。このパラメータはオプションです。このパラメータを使用して、特定のネットワーク レンジを自動開始から除外できます。たとえば、Mobile IP と VPN ソフトウェア クライアントがクライアント PC に共存しており、企業サブネット上以外で VPN Client を自動開始したいときなどに使用できます。

一般に、Connect パラメータを使用して例外を設定するとき、除外するネットワーク レンジは自動開始するネットワーク レンジの前に配置する必要があります。さらに重要なのは、vpnclient.ini ファイルに指定された順序でリストが処理されるということです。リスト内に一致するエントリが見つかると、検索が停止し、自動開始するかどうかはそのエントリの Connect の設定により決まります。したがって、Connect = 1 エントリを最初に記述すると、Connect = 0 エントリは見つかりません。

また、ネットワークおよびサブネット マスクの一意性の順にリストにエントリを挿入することも重要です。一意性の高いエントリを最初に置いてください。たとえば、10.10.200.* での一致を指定するネットワーク/マスクを含むエントリは、10.10.*.* での一致を指定するネットワーク/マスクの前に置いてください。そうしないと、10.10.*.* が一致するだけで、10.10.200.* までは到達しません。

以下に、自動開始からネットワークを除外する自動開始リスト エントリの例を示します。

[Franklin]
Network=10.10.200.0
Subnet=255.255.255.0
ConnectionEntry=robron
Connect=0

例3-1 自動開始に関する vpnclient.ini ファイルのセクション

ある営業部長が、営業会議に出席するために会社の 3 つの営業所(シカゴ、デンバー、ララミー)に出張すると想定します。この部長は、これらの営業所で安全でかつ簡単に無線接続を開始したいと考えています。 この場合、vpnclient.ini は、次の例に示すエントリを含んでいます。各ネットワーク セクションに指定されている接続エントリは、そのオンサイト無線 LAN ネットワークに対する個別プロファイル(.pcf)を参照します。

[Main]
AutoInitiationEnable=1
AutoInitiationRetryInterval=3
AutoInitiationList=ChicagoWLAN,DenverWLAN,LaramieWLAN
[ChicagoWLAN]
Network=110.110.110.0
Mask=255.255.255.0
ConnectionEntry=Chicago (chicago.pcf という名前の接続プロファイルを参照)
[DenverWLAN]
Network=220.220.220.0
Mask=255.255.255.0
ConnectionEntry=Denver (denver.pcf という名前の接続プロファイルを参照)
[LaramieWLAN]
Network=221.221.221.0
Mask=255.255.255.0
ConnectionEntry=Laramie (laramie.pcf という名前の接続プロファイルを参照)
 

例3-2 vpnclient ファイルの自動開始セクション(自動開始を除外および包含)

この例では、例外ネットワーク アドレス(さらに特定性の高いネットワーク アドレス)が vpnclient.ini ファイルの最初に記述され、その後、自動開始の接続エントリが記述されています。自動開始の接続エントリには Connect パラメータが不要です。

[Main]
AutoInitiationEnable=1
AutoInitiationRetryInterval=3
AutoInitiationList=NetworkAExceptions,NetworkA,NetworkBexceptions,NetworkB
[NetworkAExceptions]
Network=192.168.0.0
Mask=255.255.255.0
ConnectionEntry=VPNprofileA1
Connect=0
[NetworkA]
Network=192.0.0.0
Mask=255.0.0.0
ConnectionEntry=VPNprofileA2
[NetworkBExceptions]
Network=161.200.100.0
Mask=255.255.255.0
ConnectionEntry=VPNprofileB1
Connect=0
[NetworkB]
Network=161.200.0.0
Mask=255.255.0.0
ConnectionEntry=VPNprofileB2
 

VPNの自動開始の設定の確認

自動開始の設定が正しいかどうかを確認するには、GUI 版の VPN Client を起動し、次の手順を実行してください。


ステップ 1 [オプション]メニューを表示し、[VPN の自動開始]を選択します。

ステップ 2 [VPN の自動開始]ダイアログで、[VPN の自動開始を有効にする]選択されていることを確認します。選択されていない場合には、クリックして選択します。

ステップ 3 [適用]を選択してウィンドウを閉じます。


 

あるいは、コマンドラインから次のコマンドを実行して自動開始の設定を確認できます。

vpnclient verify autoinitconfig

各設定の設定情報とネットワーク エントリのリストが表示されます。