VPNサービスについて

概略説明 (2020年版)

VPN 接続の方法(概略版)

電子計算機室推奨の「SSL-VPN」について記載します。

必要なもの

  • 「Cisco AnyConnect Secure Mobility Client」という専用ソフトウェア(以下 AnyConnect)
  • 生研アカウント
    • 生研アカウントとは「〜@iis.u-tokyo.ac.jp」というメールアドレスの @ より前の部分。
    • (注意:「〜@***.iis.u-tokyo.ac.jp」という形式のメールアドレスの場合は生研アカウントではありません。)
    • くわしくは「生研アカウントについて」をご覧ください。(※生研外からは閲覧できません。)

接続方法

  • (準備)事前に AnyConnect をダウンロード、インストールしておく
    • PC、Mac, Linux の場合、生研VPNサーバから入手。(※生研アカウントでのログインが必要)
    • Android、iPhone、iPad の場合、各 OS 公式の「ストア」(Play Store, App Store)から AnyConnect アプリを入手。
  • (接続)AnyConnect を起動し、生研VPN サーバ (vpn0.iis.u-tokyo.ac.jp) に接続。
    • 接続の都度、生研アカウントでユーザ認証を行う。

そもそも「VPN」 とは

大雑把な説明です。

  • VPN(Virtual Private Network)とは、インターネットを通じて異なる拠点の異なるネットワークを結び、仮想的に一つのネットワークのようにする技術です。
  • 簡単に言ってしまえば、自宅や滞在先の端末から生研ネットワークに VPN 接続することで、あたかもその端末が生研ネットワーク内にあるかのように通信が行われる、というものです。
  • したがって、VPN を使えば、次のようなご要望に対応できます。
    • 出張中に生研公式wwwサーバの「所内限定ページ」にアクセスしたい。
    • その他、学内ページ専用 Web ページ等の、学内からしかアクセスできないページにアクセスしたい。
      • (ただし、ポリシ的に許可されているものに限ります。)
  • ただし、VPN 接続を使っても生研ネットワークの PROTECTED ネットワーク内にあるリソースにはアクセスできません。

もう少し詳しく(3つの方式)

生研計算機室で用意しているVPNサービスには、以下の3つの方式があります。

  1. SSL-VPN (AnyConnect) (電子計算機室 推奨)
  2. L2TP over IPsec (以下 L2TP)
  3. Cisco IPsec (以下 IPsec)

1. SSL-VPN (AnyConnect)

HTTPSを利用して通信するVPNです。HTTPSはウェブブラウザ等で汎用的に使われるものですので、多くの組織がファイアウォールを通過させます。このためファイアウォールで通信を制限される可能性が低いことが特長で、ややこしい設定変更も不要です。ただし、専用のクライアントソフトウェア(AnyConnect)を使うので、初回だけインストール作業が必要です。

PC、Mac などではAnyConnectのインストールが半自動化されており、生研 VPN サーバに Web ブラウザでアクセスし、簡単な操作をするだけでインストールが完了します。

タブレット・スマートフォン (Apple iOS, Android) の場合は、VPN利用開始前に各 OS 公式の「ストア」から AnyConnectをダウンロード・インストールして下さい。

  • AnyConnect の 対応OS
  • 生研で配布している AnyConnect (バージョン4.8) がサポートする OS は以下のとおりです。(2020/3/10現在)
    OSバージョン
    WindowsWindows 10, 8.1 x86(32-bit) and x64(64-bit)
    macOS10.15, 10.14, and 10.13 (64-bit only)
    LinuxRed Hat 6, 7 & Ubuntu 18.04 (LTS), 16.04 (LTS), and 14.04 (LTS) (64-bit only)
  • スマートフォン/タブレット向けの AnyConnect でサポートしているOSは以下のとおりです。(2020/3/10現在)
    OSバージョン備考
    Apple iOS/iPadOS10.3以降Cisco AnyConnect 4.8 を
    App store から入手してインストール
    Android4.x through the latest
    (as of 18 Dec 2019)
    Cisco AnyConnect 4.8.01098 を
    Google Play Store から入手してインストール

2. L2TP over IPsec (L2TP)

Windows 10/8.1 や macOS, OS X, Apple iOS, Android などは標準で対応しています。いくつか特別なプロトコル(UDP 500, 1701, 4500番や ESP:プロトコル番号 50)を使用するため、ファイアウォールの設定を変更しなければならない場合があります。

  • L2TP の使用方法
     OSのL2TP接続の設定で、接続先サーバとして vpn0.iis.u-tokyo.ac.jp を指定
     共有キー(シェアードシークレット)を入力
     ユーザ名とパスワードを入力
    共有キーの表示
    (※ Windowsの場合、事前に設定を変更し、PAP認証プロトコルを許可しておく必要があります。)

3. Cisco IPsec (IPsec)

macOS, OS X, Apple iOS, Android などが対応しています。L2TPと同様いくつか特別なプロトコルを使用するため、ファイアウォールの設定を変更しなければならない場合があります。

  • IPsec の使用方法
     OSのCisco IPsec接続の設定で、接続先サーバとして vpn0.iis.u-tokyo.ac.jp を指定
     共有キー(シェアードシークレット)を入力
     ユーザ名とパスワードを入力
     グループ名として、iis-vpn を入力
     ユーザ名とパスワードを入力
    共有キーの表示

補足:VPN接続時の挙動

VPN接続時には、端末には 192.168.28. で始まるIPアドレスが割り当てられます。これがアドレス変換されて送信先には 157.82.144.71 からのアクセスにみえます。 (この仕様は、上記3種類のいずれにも共通です。)

接続元のIPアドレスを確認する方法は、「接続元IPアドレスの確認」をご覧下さい。

具体的な接続方法の例

以下に各OSでの接続方法を例示します。

※ Cisco IPsec の接続方法例は掲載しておりません。

トラブルシュート

「Untrusted Server Blocked!」と言われて接続できない

TroubleShootingAnyConnect.png

接続先を IP アドレスで指定していませんか。サーバ名で指定してみてください。

「vpn0.iis.u-tokyo.ac.jp」です。

Counter: 5535, today: 16, yesterday: 0

Last-modified: 2020/09/25 (金) 15:58:05 (2d)