FAQ - リモートアクセスVPN(PPPAC)

SEILでリモートアクセスVPNを行うには？
SEILはSSL-VPNに対応していますか？
リモートアクセスVPNのユーザ数に制限はありますか？
同一のユーザが複数の端末で同時にリモートアクセスVPNを利用できますか？
リモートアクセスVPNで端末認証を利用できますか？
フレッツ光ネクストでIPv6を使用しリモートアクセスを利用できますか？
データの暗号化はできますか?
圧縮に対応していますか?
スマートフォンとのVPN接続はできますか？
アカウントリストを設置しているサーバに障害が発生した場合、リモートアクセスVPNの認証はどうなるのでしょうか？また、SEILに保持しているリスト情報はどうなるのでしょうか？
外部のリストファイル（アカウントリスト、URLフィルタリスト、MACアドレスリスト）をBASIC認証が設定されたサーバから取得するように設定します。BASIC認証のIDやパスワードに"@"（アットマーク）が入る場合、どのように入力すればよいですか？
SEILのリモートアクセスVPN機能を利用する場合、接続アカウントのAD(Active Directory)連携はできますか？
リモートアクセスVPNを使用する場合、どのプロトコルがお勧めですか？
L2TP/IPsecを使った場合のIPsec/IKEの暗号アルゴリズムは？

Q

SEILでリモートアクセスVPNを行うには？

A

PPPをカプセル化してトンネルする、L2TP/IPsec、PPTP、およびSSTPに対応しています。また、リモートアクセスVPNではありませんがPPPoEサーバにも対応しています。大量のPPPを集約する機能として提供しているため、PPPアクセスコンセントレータ(PPPAC)機能と呼んでいます。

Q

SEILはSSL-VPNに対応していますか？

A

PPPAC機能によりSSTPサーバとして利用できます。

SEILにSSTPでリモートアクセス可能に

Q

リモートアクセスVPNのユーザ数に制限はありますか？

A

使用する認証レルムの種別によって制限が異なります。

ローカル認証レルムでは 64 ユーザが登録可能です。アカウントリスト認証レルムではファイルサイズの制限に従います。アカウントリストの最大サイズは、256K（262,144）バイトです。RADIUS認証レルムではSEILがユーザ数を制限することはありません。

認証

なお、リモートアクセスVPNのご利用ユーザ数の制限としては、登録可能ユーザ数のほかに同時接続セッション数の制限があります。SEIL/X1 では PPPAC 機能全体で 512 セッションです。pppac option session-limit off と設定することで、この制限を解除することができますが、リソースの管理にご注意ください (SEIL/Plus, SEIL/Turboは対応しておりません)。また、 PPPAC インタフェースごと、ユーザーごとに同時接続数を制限をすることも可能です(max-session, user-max-session)。

PPPアクセスコンセントレータ

Q

同一のユーザが複数の端末で同時にリモートアクセスVPNを利用できますか？

A

可能ですが、IPアドレスは動的に割り当てる必要があります。

設定により同一ユーザの同時接続を制限することもできます。

SEIL/X1, X2, B1, x86 Fuji, BPV4：interface <pppac>
SEIL/X4, x86 Ayame, CA10：interface.pppac[]

Q

リモートアクセスVPNで証明書による認証を利用できますか？

A

ユーザ認証方式にEAP(PPP Extensible Authentication Protocol)を使用し、RADIUSサーバと連携することで証明書による認証が可能です。

IKEの鍵交換に用いる認証方式は証明書に対応していません。

Q

フレッツ光ネクストでIPv6を使用しリモートアクセスを利用できますか？

A

L2TP/IPsec はIPv6環境からの接続に対応しています。

PPPアクセスコンセントレータ

Q

データの暗号化はできますか?

A

できます。

MPPE (RC4 40,56,128bit) で暗号化されます。

Q

圧縮に対応していますか?

A

対応していません。

Q

スマートフォンとのVPN接続はできますか？

A

はい。PPTP及びL2TP/IPsecによる接続が可能であることを確認済みです。

ただし、利用する通信網によってVPNプロトコルが使用できない場合があります。詳細はご利用の通信事業者の窓口にお問い合わせください。また、WiFi環境から接続する場合には、ファイアウォール等によりブロックされる場合があります。

リモートアクセスクライアントの設定例

Q

アカウントリストを設置しているサーバに障害が発生した場合、リモートアクセスVPNの認証はどうなるのでしょうか？また、SEILに保持しているリスト情報はどうなるのでしょうか？

A

サーバの障害などでアカウントリストの取得に失敗した場合でも、SEILは最後に取得したアカウントリストの内容を保持しています。その情報を元にして、SEILはリモートアクセスの認証を継続します。

この時、SEILの電源を切ってしまうと保持しているリストの情報は消失します。再起動時にアカウントリストの取得ができないと、メモリ上にアカウント情報が無い状態となるため、再度アカウントリストの取得が可能となるまでの間、リモートアクセスの認証はできなくなります。

Q

外部のリストファイル（アカウントリスト、URLフィルタリスト、MACアドレスリスト）をBASIC認証が設定されたサーバから取得するように設定します。BASIC認証のIDやパスワードに"@"（アットマーク）が入る場合、どのように入力すればよいですか？

A

IDやパスワード部分にURL解釈上問題となる記号が含まれる場合は、URLエンコードに置き換えて入力する必要があります。

例：

項目	文字列
ID	001/user
パスワード	p@ssword
URL	http://example.jp/list.txt

http://001%2Fuser:p%40ssword@example.jp/list.txt

ASCII文字とURLエンコードの対応表

Q

SEILのリモートアクセスVPN機能を利用する場合、接続アカウントのAD(Active Directory)連携はできますか？

A

SEILにはLDAPクライアント機能はありませんので、AD連携(LDAP)はできません。

SEILにはRADIUSサーバを利用して認証レルムを構成するRADIUSクライアント機能がありますので、WindowsサーバにてRADIUSサーバ(IAS)機能を動作させることで、Active Directoryにて管理しているユーザ情報を利用する（認証を統合する）ことが可能です。

Q

リモートアクセスVPNを使用する場合、どのプロトコルがお勧めですか？

A

多くの端末で利用可能なL2TP/IPsecをお勧めします。

Q

L2TP/IPsecを使った場合のIPsec/IKEの暗号アルゴリズムは？

A

L2TP/IPsecの設定を簡易化するため、"ipsec anonymous-l2tp-transport enable"を設定するとL2TP/IPsecの接続に対して既定のアルゴリズムを使用します。使用するアルゴリズムについては下記を参照してください。

L2TP/IPsec簡易設定