SSL VPNサービスの詳細

2014/11/21: Android, iOSのメジャーバージョンアップに伴い情報を追加した。

2014/6/20 初版:これまで「VPNサービスについて」中に記載の内容に加筆・修正の上、独立させた。

目次

はじめに

生研の SSL-VPN サーバは、Windows, MacOS X などの PC 系 OS とタブレット・スマートフォン向け OS をサポートしています。

PC 系 OS の場合、条件が整えば WWW ブラウザで専用アドレスにアクセスするだけで VPN 接続が完了します。(クライアントソフトウェアのインストールから接続まで自動的に行われます。) 自動接続が上手くいかない場合でも、クライアントソフトウェアを手動インストールして接続すればよく、特別な設定は不要です。

タブレット・スマートフォン (Android, Apple iOS) では、専用のクライアントアプリを利用して接続を行います。

SSL-VPN で接続するまで

SSL-VPN 接続を開始するには、おおまかに二つの手順があります。

スマートフォン、タブレットの場合は後者の選択肢しかありません。PC の場合、初めて SSL-VPN 接続を行うときはクライアントソフトウェアを入手する必要があるため、前者の方法が必須となります。 (PC でも、2回目以降は、ブラウザを使わずクライアントソフトウェアから接続開始することも可能です。)

ブラウザを使って接続する (Windows, MaxOS X、Linux のみ)

ブラウザで生研VPNサーバにアクセスするだけです。自動的にクライアントソフトウェアをダウンロード、インストールし、SSL-VPN 接続開始まで行います。ただし、環境によっては(注)自動接続に失敗することがあります。

注: 例えば 64bit 版 Windows の上で InternetExplorer 10 または 11 を 64bit モードで動かしている場合、自動接続に失敗します。

自動接続に失敗した場合は、ブラウザ画面の指示に従ってインストーラをダウンロードし、クライアントソフトウェアを手動インストールしてください。そして、クライアントソフトウェアを使ってSSL-VPN接続を開始してください。

自動化は Active-X や Java で実現されているため、事前に Java をインストールしておくと接続しやすいかもしれません。

接続手順

  1. WWWブラウザで https://vpn0.iis.u-tokyo.ac.jp/ にアクセスします。
  2. ユーザ名とパスワードを入力します。
    • Active-X または Java を用いて、環境確認が行われます。
    • (実行許可を求められたら「はい」を選択してください。)
    • (必要に応じてクライアントソフトウェアのダウンロードとインストールが行われます。)
  3. 自動的に処理が進み、SSL VPN 接続が開始されます。

接続成否の確認

ブラウザ画面の進捗状況欄で、Connected の項にチェックがつけば SSL-VPN 接続に成功しています。

SSL-VPN接続状態のブラウザ画面

SSL-VPN 接続に成功した場合、クライアントソフトウェアが自動インストールされています。2 回目以降は、ブラウザを使わず、クライアントソフトウェアを起動してVPN接続を開始しても問題ありません。

VPN 接続の切断はクライアントソフトウェアから行います。

自動接続に失敗した場合の手順

失敗した場合、ブラウザ画面にクライアントソフトウェアのインストーラがダウンロードできるリンクが表示されます。

ダウンロードリンクが示されたところ

  1. リンクをクリックし、インストーラをダウンロードしてください。
  2. インストーラを実行します。
  3. インストーラのウィザード画面に従い、クライアントソフトウェアをインストールしてください。
  4. インストールが完了したら、クライアントソフトウェアを起動します。
  5. クライアントソフトウェアで生研VPNサーバを指定し、SSL-VPN接続を開始してください。
    • 接続先サーバは vpn0.iis.u-tokyo.ac.jp です。

クライアントソフトウェアを使って接続する (Windows, MaxOS X、Linux)

事前にクライアントソフトウェアがインストールしてあることが前提です。

  1. クライアントソフトウェアを起動し、生研 VPN サーバを指定して接続します。ユーザ認証後に SSL VPN 通信可能となります。
    • 接続先サーバは vpn0.iis.u-tokyo.ac.jp を指定します。
    • 認証には生研のユーザ名とパスワードを入力します。

クライアントアプリを使って接続する (Android, Apple iOS)

事前にクライアントアプリがインストールしてあることが前提です。

  1. クライアントアプリを起動し、接続先情報を登録します。(初回のみ)
    • 接続先サーバは vpn0.iis.u-tokyo.ac.jp を指定します。
  2. クライアントアプリで VPN 接続を開始/終了します。
    • 認証には生研のユーザ名とパスワードを使用します。

(詳細は具体的な設定例を参照してください。)

SSL VPN の対応 OS

生研電子計算機室で導入しているVPNサーバ Cisco ASA5510 は以下の OS をサポートしています*1

注釈:

  1. 出典Supported VPN Platforms, Cisco ASA 5500 Series [cisco.com] 英文
  2. 64ビット版の Internet Explorer (IE) では Web を経由してクライアントソフトウェアを自動でダウンロード・インストールする機構がうまく働きません。IE を 32 ビット動作させるか、または Web 画面の指示にしたがって、手動でダウンロード・インストールを行う必要があります。(関連情報 [cisco.com] 英文)
  3. MacOS X 10.5 はサポート対象外となりました。
  4. Android は対応状況がメーカや機種によって異なります。詳細は Cisco 社ドキュメントをご参照ください。
  5. iOS の対応機種と OS 版数の詳細は下表を参照してください。
    機種OS
    iPad AirApple iOS 7.0 以降
    iPad(第3世代以降)Apple iOS 6.0 以降
    iPad 2Apple iOS 6.0 以降
    iPad mini(with Retina display)Apple iOS 7.0 以降
    iPad miniApple iOS 6.0 以降
    iPhone 5C/5SApple iOS 7.0 以降
    iPhone 3GS/4/4S/5Apple iOS 6.0 以降
    iPod Touch(第4世代以降)Apple iOS 6.0 以降

    (参考文書:“iPhone User Guide for Cisco AnyConnect Secure Mobility Client, Release 3.0.x”[cisco.com])

SSL VPN のトラブルシュート

ブラウザアクセス時の不具合 (Windows, MaxOS X、Linux)

その他 (Windows, MaxOS X、Linux)

その他 (Android)

ブラウザでvpn0にアクセスしたが、画面に何も表示されない。

真っ白なページが表示されるだけで、変化も起きない、という状態になることがあります。

画面に何も表示されないところ

典型的な例が、アドレスバーに「https://vpn0.iis.u-tokyo.ac.jp/+CSCOE+/noportal.html」と表示され、ページ内容が空白というものです。

アドレスバーにはnoportal.htmlで終わるURLが示されている

この現象は、「前回、ブラウザを使って SSL-VPN 接続しようとした際に、自動処理の途中でブラウザを閉じて処理を中断する」と、次回以降のブラウザからの接続で発生することがあるようです。

このようなときには:

ブラウザでvpn0にアクセス後、ログイン画面から先に進めない。(ユーザ認証が通らない)

ログインに失敗する場合、まずはユーザ名とパスワードの組が正しいかどうか確かめてください。 (ユーザ名はメールアドレスの@より前の部分です。) 生研Webメールにログインできるようなら、ユーザ名とパスワードの組は合っています。

しかし、ユーザ名とパスワードは正しいのに、何度試してもログイン画面から先に進めないという現象が起きることがあります。ログイン画面で一度ユーザ名やパスワードを間違えてしまうと、それ以降この状態になることがあるようです。

vpn0のログインに失敗したところ

上に示した典型例では、アドレスバーに「https://vpn0.iis.u-tokyo.ac.jp/+CSCOE+/logon.html?a=15&a1=&a2=&a3=&=1」と表示されています。このアドレスまたは類似のアドレスが表示され、何度試してもログインに成功しない場合、この現象に陥っている可能性があります。(ただしこれに限定されません。)

このようなときには:

クライアントソフトウェアのインストールから先に進めない。

次のような進行の場合、クライアントソフトウェアは既にインストールされている可能性が高いです。

  1. vpn0へのログインに成功し、処理が進む。

    クライアントソフトウェアのインストールに進むところ

    クライアントソフトウェアを手動インストールするように促す画面が表示されたところ。

  2. インストーラをダウンロードして実行する。

    セットアップウィザードを起動したところ

    画面は、ダウンロードしたインストーラを起動したところ。

  3. セットアップウィザードにそってインストールを進めようとする。

    ウィザードのメニューに新規インストールが無い

    画面は、セットアップウィザードのメニューが表示されたところ。

    メニューに「Modify」「Repair」「Remove」だけがあり、新規インストールの項目が無い。

このようなときには:

この例のように、インストーラを実行してもセットアップウィザードのメニューに新規インストールの項目が無い場合、クライアントソフトウェアは既にインストールされている可能性が高いと考えられます。(→インストール済かどうかの調べ方。) クライアントソフトウェアを起動して、そちらからVPN接続を開始してください。

クライアントソフトウェアがインストール済かどうか調べたい。

"Cisco AnyConnect Secure Mobility Client" の有無を調べます。OS ごとに、調べる場所はおおよそ次のとおりです。Cisco フォルダが見つかったらその中を探してください。

Windows
スタートメニューや Program Files フォルダを探す。
Mac OS X
Spotlight で "AnyConnect" を検索する。
Finder のアプリケーションフォルダを探す。
LaunchPad で探す。
Linux
GUI のアプリケーション検索で探す。(たとえば Ubuntu なら Unity の Dash から "AnyConnect" を検索する。)
または /opt/cisco/anyconnect/bin に vpnui があれば、これが Cisco AnyConnect Secure Mobility Client です。

セキュリティ警告の画面で、了承のチェックを入れられない。

他アプリとの競合が原因で、チェックを入れられない現象が起きるとの情報を得ています。ただし、問題を起こすアプリの一覧は持ちあわせておりません。悪しからずご了承ください。

Android 5.0 にアップデート後、AnyConnectで接続できない。

最新版に更新して試してみてください。電子計算機室では、Nexus5 + Android 5.0 + Ver.4.0.01110 の組み合わせでAnyConnect の起動ができない(アプリの初期化途中でエラーとなる)こと、Ver.4.0.01156では接続できること、を確認しています。

具体的な設定例

以下に各OSでの設定の例をあげます。

[計算機室発行ドキュメント] » [VPN サービスについて] » [SSL VPNサービスの詳細 (ページトップへ)]