• Windows 2000でのPPTPの設定
  
  　さて、ここでは、実際に立ち上げたPPTPサーバーへWindowsから接続するための設定を紹介します。
  
  　まず、
  
  「スタート」→「設定(S)」→「ネットワークとダイヤルアップ接続(N)」→「新しい接続の作成」
  
  　をクリックしてください。
  
  「ネットワークの接続ウィザード」ウィンドウが開きます。

　「次へ」をクリックしてください。

　「インターネット経由でプライベートネットワークに接続する」を選択→「次へ」

　ダイヤルアップなどの接続と、このVPN接続を関連付けたい場合は、
　　「次の最初の接続に自動的にダイヤルする」
　にチェックを入れ、プルダウンから関連付ける接続を選択します。
　関連付けない場合（常時接続環境など）は、
　　「最初の接続にダイヤルしない」
　にチェック入れます。
　チェックを入れたら、「次へ」をクリックします。

　先ほどセットアップした、PPTP サーバーのドメイン名、または、IPアドレスを入力して、「次へ」をクリックしてください。

　ここで、この VPN 接続を使用できる Windows上のユーザーを指定します。
　セキュリティ上、今、Windowsにログインしている本人のみが使えるようにしておいた方がいいでしょう。
　「自分のみ」にチェックを入れて、「次へ」をクリックしてください。

　最後に、この接続に分かりやすい名前を付けて「完了」をクリックします。

　すると、このようなダイアログボックスが立ち上がります。
　ここで、先ほど、PPTPサーバーの「/etc/ppp/chap-secrets」に登録した、ユーザー名とパスワードの組み合わせを入力します。
　便利さからすると、ついつい「パスワードを保存する」にチェックを入れたくもなりますが、、無くした場合のリスクの大きさを考えると、VPNの鍵は厳重に管理されるべきです。
　したがって、ここは、チェックを入れないほうがいいと思います。

　「接続」

　ボタンを押すと、VPN接続が開始されます。

　次回からは、

　「スタート」→「設定(S)」→「ネットワークとダイヤルアップ接続(N)」→

　の中に、先ほど作成した接続が入っていますので、これをクリックしてVPN接続を開始できます。

VPN 接続に成功したかどうかの確認

　成功している場合は、まず、Windows 画面右下に、先ほど作成した接続のネットワーク接続のマークが現れ、パケットが流れるたびに明るく光ります。
　またコマンドプロンプトから「ipconfig」コマンドを実行すると、ppp インターフェースが確認でき、そこには PPTP サｰバー上の「/etc/pptpd.conf」で指定した範囲の IP アドレスが割り振られているはずです。
　そこまで確認できれば、あとは、VPN接続先のローカルネットワーク内の適当なサーバーに

　telnet ip.of.localserver 137
（137番ポートは、NetBIOS の NameService で、Windowsマシンなら、ローカルネットワーク側にのみ、まずほとんど開けているポートです。）

　などなどして、接続できることを確認しましょう。
　ここまで確認できれば、後は、名前解決の問題だけと言ってもいいでしょう。

　もし、Windows側に ppp インターフェースがあるにも関わらず、VPN 接続先のどのマシンのどのポートにも接続できない場合は、PPTP サーバー側の iptables の設定を疑うべきでしょう。

　また、Windows側に ppp インターフェースがない場合は、PPTP接続に失敗しています。ひょっとすると、PPTP サーバー側の iptables の設定の問題か、もしくは、間のルーターでパケットが通過できないのが原因かもしれません。

　特に、個人の方で、ルーターのNAT機能を使っていて、それよりも内側に PPTP サーバーがある場合は、ルーター側のVPNパススルー機能などを使わないといけないかもしれません。
　詳しくは、ルーターの説明書などを参照してください。
　経路的に問題がないという事であれば、PPTP サーバー側で、

# tail --lines 100 /var/log/messages|less

　などを実行し、PPTPDのログを確認の上、設定ファイルを見直してください。




• Windows での名前解決
  
  　VPNで、ローカルネットへのIP直打ちの接続が可能になると、今度は、「\\servername\path\」などのUNCで、Windowsのファイルサーバーのリソースへ接続したくなってくるかもしれません。
  　こういった名前解決については、詳しく語りません。
  　ただ、いくつか選択肢だけあげさせていただきます。
  
  
  • Windows2000 Server の ActiveDirectory に統合する
  • DHCP + BIND でダイナミックDNS サーバーを立てて、PPTP クライアントにもDNSのアドレスを通知し、統合する。
  • すべてのローカルサーバーに固定IPを発行していて、かつ、PPTPD が発行するIPアドレスも固定IPならば、hosts や lmhosts で一時的に対処する
  • WINS サーバーを立てて、PPTP クライアントにもアドレスを通知する。

　本末転倒な選択肢も入れれば、こんなところ＋αでしょうか。

　ひとつ重要なのは、VPNで使用する回線が低速回線の場合、ネットワークへの負荷の大きい名前解決手段は選ばない方がいいということです。特に、ブロードキャストがバンバン飛ぶような方法を H" と組み合わせるなんてのは到底オススメできません。

• リモートメンテナンス
  
  　さて、表題が「VPN メンテナンス経路の確保」ということで、とりあえず目的は達成されたわけですが、メンテナンス手法にまで内容が及ぶことを期待していた人がみえるといけないので、一応、フリーのものをメインに選択肢くらいは挙げておきます。
  
  
  • RealVNC を使う
  • 相手が Linux などなら OpenSSH を使う
    　これなら、ファイル転送はSCP使えばいいですよね。というか、これ使うならVPNいらない気もしますが。
    
  • 相手が WindowsXP なら、リモートデスクトップを使う
  • 相手が Windows2000 Server 以上なら、Windows ターミナルクライアントを使う
  • その他の市販のリモートデスクトップ操作用のソフトを買う
    　一昔前なら、この選択肢がよかったのですが、今は、Windows にもターミナルの機能が統合されましたからねえ・・・・・・
  • telnet 使っちゃう
    　VPN で守られてますから、別に気にせず使っていいでしょう。
  • ftp 使っちゃう
    　VPN で守られてますから、別に気にせず使っていいでしょう。
    
    あと変わりどころだと、以下使ったことありませんが、
    
    
  • VDACC-VNC
    
  • Ultr@VNC

  
  　なんていう選択肢もあるようです。
  　これらの VNC はより高速にするために、特別な Video 周りのドライバを使用しているようです。
  　ちょっとインストール時の危険度が増しそうな気がしますが・・・・
  
  
  　正直、LAN の中にいるのと似た環境ですから、帯域の範囲なら何でもできます。
  　SSH + portfoward な方からすると今さら何を。という話かもしれませんが、VPN では、ネットワーク単位で丸ごと認証でき、それを一箇所で集中管理できるという利点がありますので、台数が多いほど、人が増えるほど管理が楽になっていきます。
  
  　また払い出しIPの固定機能とルーティングを組み合わせると、ネットワークの一部分を貸し出すような、変わったサービスも可能になるでしょう。
  
  　ここでは、基本的な使い方しか紹介しませんでしたが、興味のある方は、いろんな派生の可能性を考えてみてはいかがでしょうか。
  
  

7/7