Novell ボーダー マネジャー VPN (IPSEC)で WinRoute Pro を使用する
本マニュアルのセットアップでは、ISP から提供された1つの IP アドレスを共有するために NAT を使用するローカル ネットワークを、VPN 接続に対して Novell ボーダー マネジャー エンタープライズ サーバを使用するリモート ネットワークに接続します。
Novell ボーダー マネジャー VPN クライアントのインストール ディスクで提供された README.TXT には次のように書かれています:
VPN クライアンと VPN サーバの間のパスで NAT を使用することはできません。その理由は、VPNクライアントで IP パケットおよび IPX パケットがカプセル化および暗号化される場合、カプセル化に使用されるソース IP アドレスは VPN クライアントのアドレスになるためです。パケットの IPSEC 認証ヘッダーの計算は、このアドレスとデスティネーション VPN サーバのアドレスに基づきます。したがって、(VPN クライアントまたは VPN サーバの)どちらかのアドレスが NAT によって修正される場合、そのアドレスがデステイネーション VPN サーバに到着した時に計算はエラーとなり、パケットは無視されます。しかし、NAT は TCP、UDP、およびインターネット コントロール メッセージ プロトコル(ICMP)の各パケットのみを処理するため、NAT が IPSEC をドロップすることが起こり得ます。
インターネットを経由して VPN サーバによって保護されたネットワークと安全に通信する必要があるイントラネットにワークステーションがある場合は、(クライアント・ツー・サイトの VPN の代わりに)Novell ボーダー マネジャー エンタープライズ エディション サイト・ツー・サイトの VPN 機能を使用されることをお勧めします。
しかし、Novell ボーダー マネジャー エンタープライズ サーバはホームユーザーにとっては非常に費用がかかります。それに加えて、アクセス中のリモート ネットワーク上のスタティック ルートの拡張セットアップが要求されます。したがって、Novell が上記で提案するソリューションは、NAT を使用するローカル ネットワークを Novell ボーダー マネジャー VPN 経由でリモート ネットワークに接続するユーザーには適していません。
驚くことに、NAT を使用するローカル ネットワークを、WinRoute Pro および Novell ボーダー マネジャー VPN クライアントを使用するリモート ネットワークに接続することができます。この設定によって、リモート コンピューター上で VPN トンネルが確立された時に、ローカル ネットワーク上の任意のコンピューターがリモート ネットワーク上のリソースにアクセスすることができます。リモート ネットワークを設定する必要はありません。
以下は、ローカル ネットワークを設定する手順です。
手順 1: ルータとして使用するコンピューター上に Novell ボーダー マネジャー VPN クライアントをインストールし、設定します。リモート ネットワークに対する VPN 接続が適切に確立され、リモート ネットワーク上のリソースにアクセスできることを確認します。
手順 2: ルータ コンピューターに WinRoute Pro をインストールします。アドミニストレーターズ ガイドの説明に従って、WinRoute Pro を設定し、ローカル ネットワーク上のコンピューターが WinRoute Pro と共に動作するように設定します。通常の設定によって、1つの IP アドレス共有を設定します。ローカル ネットワーク上のすべてのコンピューターからインターネット上のリソースにアクセスできることを確認します。
手順 3: リモート ネットワーク上のリソースにアクセスする必要がある場合は、リモート コンピューター上で Novell ボーダー マネジャー VPN クライアントを起動し、リモート ネットワークにログインします。
WinRoute Pro のアーキテクチャではこれが可能になります。WinRoute Pro は IPSEC 上で動作するため、パケットが仮想ネットワーク アダプタまでルートされる前にアドレス トランスレーションが起こります。したがって、VPN サーバに送信されるパケットには本物のソース IP アドレスがあります。逆のルート上では、仮想ネットワーク アダプタから受信したパケットがアドレス トランスレーション レイヤを通過し、ローカル ネットワーク上の正しいコンピューターまでルートされます。
このセットアップ方法の限界は、VPN のログインをルータ コンピューター上で手動で行う必要があり、VPN サーバで設定した不活動時間後にタイムアウトになるという点です。
全体的に、このセットアップ方法は、NAT をしようするローカル ネットワークを Novell ボーダー マネジャーVPN を使用するリモート ネットワークに接続する低コストで便利な方法を提供します。