VPNサービスについて †

概略説明 (2020年版) †

VPN 接続の方法（概略版） †

電子計算機室推奨の「SSL-VPN」について記載します。

必要なもの

• 「Cisco AnyConnect Secure Mobility Client」という専用ソフトウェア（以下 AnyConnect）
• 生研アカウント
  • 生研アカウントとは「〜@iis.u-tokyo.ac.jp」というメールアドレスの ＠ より前の部分。
  • （注意：「〜@***.iis.u-tokyo.ac.jp」という形式のメールアドレスの場合は生研アカウントではありません。）
  • くわしくは「生研アカウントについて」をご覧ください。(※生研外からは閲覧できません。）

接続方法

• （準備）事前に AnyConnect をダウンロード、インストールしておく
  • PC、Mac, Linux の場合、生研VPNサーバから入手。(※生研アカウントでのログインが必要)
  • Android、iPhone、iPad の場合、各 OS 公式の「ストア」（Play Store, App Store）から AnyConnect アプリを入手。
• （接続）AnyConnect を起動し、生研VPN サーバ (vpn0.iis.u-tokyo.ac.jp) に接続。
  • 接続の都度、生研アカウントでユーザ認証を行う。

そもそも「VPN」 とは †

大雑把な説明です。

• VPN(Virtual Private Network)とは、インターネットを通じて異なる拠点の異なるネットワークを結び、仮想的に一つのネットワークのようにする技術です。
• 簡単に言ってしまえば、自宅や滞在先の端末から生研ネットワークに VPN 接続することで、あたかもその端末が生研ネットワーク内にあるかのように通信が行われる、というものです。
• したがって、VPN を使えば、次のようなご要望に対応できます。
  • 出張中に生研公式wwwサーバの「所内限定ページ」にアクセスしたい。
  • その他、学内ページ専用 Web ページ等の、学内からしかアクセスできないページにアクセスしたい。
    • （ただし、ポリシ的に許可されているものに限ります。）
• ただし、VPN 接続を使っても生研ネットワークの PROTECTED ネットワーク内にあるリソースにはアクセスできません。
  • 「PROTECTED ネットワークとは何か？」については「全学セキュリティファイアウォールについて」をご覧ください。(※生研外からは閲覧できません。）

もう少し詳しく（3つの方式） †

生研計算機室で用意しているVPNサービスには、以下の3つの方式があります。

1. SSL-VPN (AnyConnect) (電子計算機室 推奨)
2. L2TP over IPsec (以下 L2TP)
3. Cisco IPsec (以下 IPsec)

1. SSL-VPN (AnyConnect) †

HTTPSを利用して通信するVPNです。HTTPSはウェブブラウザ等で汎用的に使われるものですので、多くの組織がファイアウォールを通過させます。このためファイアウォールで通信を制限される可能性が低いことが特長で、ややこしい設定変更も不要です。ただし、専用のクライアントソフトウェア(AnyConnect)を使うので、初回だけインストール作業が必要です。

PC、Mac などではAnyConnectのインストールが半自動化されており、生研 VPN サーバに Web ブラウザでアクセスし、簡単な操作をするだけでインストールが完了します。

タブレット・スマートフォン (Apple iOS, Android) の場合は、VPN利用開始前に各 OS 公式の「ストア」から AnyConnectをダウンロード・インストールして下さい。

• AnyConnect の 対応OS

• 生研で配布している AnyConnect (バージョン4.8) がサポートする OS は以下のとおりです。(2020/3/10現在)

  OS	バージョン
  Windows	Windows 10, 8.1 x86(32-bit) and x64(64-bit)
  macOS	10.15, 10.14, and 10.13 (64-bit only)
  Linux	Red Hat 6, 7 & Ubuntu 18.04 (LTS), 16.04 (LTS), and 14.04 (LTS) (64-bit only)

• スマートフォン/タブレット向けの AnyConnect でサポートしているOSは以下のとおりです。(2020/3/10現在)

  OS	バージョン	備考
  Apple iOS/iPadOS	10.3以降	Cisco AnyConnect 4.8 を App store から入手してインストール
  Android	4.x through the latest (as of 18 Dec 2019)	Cisco AnyConnect 4.8.01098 を Google Play Store から入手してインストール

• SSL-VPN (AnyConnect) の使用方法
  • このページ上部のVPN 接続の方法（概略版）に記載。

2. L2TP over IPsec (L2TP) †

Windows 10/8.1 や macOS, OS X, Apple iOS, Android などは標準で対応しています。いくつか特別なプロトコル(UDP 500, 1701, 4500番や ESP:プロトコル番号 50)を使用するため、ファイアウォールの設定を変更しなければならない場合があります。

• L2TP の使用方法

   OSのL2TP接続の設定で、接続先サーバとして vpn0.iis.u-tokyo.ac.jp を指定
   共有キー(シェアードシークレット)を入力
   ユーザ名とパスワードを入力

  共有キーの表示
  (※ Windowsの場合、事前に設定を変更し、PAP認証プロトコルを許可しておく必要があります。)

3. Cisco IPsec (IPsec) †

macOS, OS X, Apple iOS, Android などが対応しています。L2TPと同様いくつか特別なプロトコルを使用するため、ファイアウォールの設定を変更しなければならない場合があります。

• IPsec の使用方法

   OSのCisco IPsec接続の設定で、接続先サーバとして vpn0.iis.u-tokyo.ac.jp を指定
   共有キー(シェアードシークレット)を入力
   ユーザ名とパスワードを入力
   グループ名として、iis-vpn を入力
   ユーザ名とパスワードを入力

  共有キーの表示

補足：VPN接続時の挙動 †

VPN接続時には、端末には 192.168.28. で始まるIPアドレスが割り当てられます。これがアドレス変換されて送信先には 157.82.144.71 からのアクセスにみえます。 (この仕様は、上記3種類のいずれにも共通です。)

接続元のIPアドレスを確認する方法は、「接続元IPアドレスの確認」をご覧下さい。

具体的な接続方法の例 †

以下に各OSでの接続方法を例示します。

• SSL-VPN (AnyConnect)
  ※SSL-VPN接続手順の概要は、ブラウザで「https://vpn0.iis.u-tokyo.ac.jp/」にアクセスし、右下の「Instructions」をクリックするとご確認いただけます（但し、英語版のみ）。
  • Windows 10 (Windows 8.1でも同様)
  • macOS
  • Linux
  • Apple iOS
  • Android
• L2TP
  • Windows 10
  • Windows 8.1
  • macOS
  • Apple iOS
  • Android

※ Cisco IPsec の接続方法例は掲載しておりません。

トラブルシュート †

「Untrusted Server Blocked!」と言われて接続できない †

接続先を IP アドレスで指定していませんか。サーバ名で指定してみてください。

「vpn0.iis.u-tokyo.ac.jp」です。