小さな会社の兼任IT担当者、ネットギア「Insight」で社内ネット環境を整える 第15回

本社オフィスと小規模拠点や従業員宅をVPN接続し簡単にリモートアクセス可能にする

「Orbi Pro WiFi 6」導入で「InsightビジネスVPN」を利用する

「InsightビジネスVPN」のライセンス取得と設定

　2つの拠点でOrbi Proがインターネット接続できたら、InsightビジネスVPNを使ってルーター間のVPN接続を設定しよう。

　前述したとおり、InsightビジネスVPNはInsight Premium／Proプラン向けのオプションサービスだ。Insight Premiumプランの場合、InsightのWebポータルからライセンスをオンライン購入できるようになっている（Insight Proプランの場合はネットギア代理店経由で購入）。

　Insightのポータル画面にログインしたら、画面右上のショッピングバッグアイコンをクリックして、Insightサービス一覧を開く。そのうえで「Business VPN」の「製品の表示」をクリックして、購入画面を開く。

　ライセンス料金は、VPN同時接続クライアントデバイスが最大5台で年額1万6856円。このほか45台、75台、125台、250台ぶんのライセンスパッケージも用意されている。

　購入前に30日間の無料トライアル（接続デバイス最大5台）も用意されているので、ぜひ活用してほしい。まず、Insightのロケーション画面で「Summary」を開くと「Business VPN」のバナーが表示されるので、「詳しくはこちら」をクリックする。

　するとInsightビジネスVPNの簡単な説明と、登録したデバイスが同サービスに対応していること、30日間の無料トライアルが可能であることを記したポップアップ画面が表示される。「Add Router to Business VPN」をクリックして、次の画面に進む。

　Business VPNの画面が表示されたら、まず右上の「＋」アイコンをクリックして、VPNグループを新規作成する。新規作成画面では管理用のVPNグループ名、VPNグループの説明、MTU値、VPN接続時のドメイン名をそれぞれ入力する。VPN接続時のドメイン名は、複数のVPNを設定しており、それぞれにプライベートDNSドメイン名を設定する場合に使用する。今回のVPN接続は1つだけなので、デフォルトの無効設定のままで続ける。

　続いて、このVPNグループのセンター（中核拠点）となるルーターを指定する。今回の場合は本社側に設置したSiteAのルーターだ。

　画面の「Add Central Router」をクリックし、ポップアップ画面でネットワークロケーションとセンターのルーターを指定すると、ルーターに設定されているVLANプロファイル、IPアドレス、サブネットが表示される。VLANはVPN接続した場合の接続先なので、通常は社内ネットワークのVLANを選択することになるだろう。あとはVPNネットワークアドレスを入力して「保存」をクリックする。

　ポップアップ画面が閉じると、SiteAルーターが「Central Route」として登録されているので、続いて「Add New Router」ボタンをクリックして、リモート側（今回はSiteB）を登録する。なお、この時点でBusiness VPNのライセンスを購入するか無料トライアルを開始するかの選択肢が表示されるので、「無料トライアルの開始」を選ぶ。

　リモートルーターの登録画面は、先ほどのセンタールーターの画面とよく似ている。ネットワークロケーションとルーターを指定すると、自動的にVLANやIPアドレス、サブネットが入力される。通常はそのままの設定で問題ないはずだ。

　リモートルーターの設定では「ルーターモード」を選択することになる。ここで「Employee Home（従業員宅）」を選択すると「Router Isolation」と「Agressive Keepalive」の機能を、「Branch Office（支店）」を選択すると「Agressive Keepalive」の機能を有効にすることができる。Router Isolationを有効にした場合は、同一VPNグループにある他のリモートルーターからのアクセスが禁止される。またAgressive Keepaliveは、インターネット回線が不安定で、VPN接続が頻繁に切断されてしまうようなケースで有効にするとよい。今回はBranch Officeを選択し、Agressive Keepaliveを有効にして「保存」をクリックした。

　ポップアップ画面が閉じると、SiteBルーターが「Branch Office」モードで登録されていることがわかる。無料トライアルなので、最大クライアント接続台数（Max Connected Clients）は「5」、またクレジットの状況（Credit Status）は「Trial Active」となっている。

　「次へ」をクリックすると、VPNグループ用のWi-Fi設定画面が表示される。すでに設定してあるSSIDとは別に、ここではVPN接続用のSSIDとパスワードを設定する。今回は「Neji1」というSSIDを設定した。

　ここで設定したSSIDは、VPNグループに所属するすべてのルーターで有効になる。そして、このSSIDにクライアントデバイスを接続すると、トラフィックは自動的にVPN経由でセンタールーターへとルーティングされる。つまり、クライアントデバイスのVPN設定やソフトのインストールなどをする必要がなく、本社と同じSSIDに接続するだけで簡単に社内ネットワークへアクセスできる仕組みだ。

　最後は、VPNに接続できるクライアントデバイスを制限するアクセス制御リスト（ACL）の設定画面だ。MACアドレスとルール（Allow＝接続許可、Deny＝接続拒否）、適用するルーターを設定すれば、VPN経由のアクセスを制限できる。特に制限しない場合は設定する必要はない。

　最後に「保存」をクリックすると設定が各ルーターに反映される。「成功」という画面が表示されたら、VPNの設定作業は完了だ。「View My Business VPN Group」をクリックし、「VPN Health（VPNの接続状態）」が「Healthy（良好）」と表示されていれば、VPNは問題なく稼働している。

VPN接続後のテストアクセス

　VPN構築が完了したので、さっそくテストしてみよう。今回はSiteA（本社側）のOrbi ProにNASを有線接続してあるので、このNASに対してSiteBのクライアントPCからアクセスしてみたい。

　SiteBで、先ほどVPN用に設定したSSID（Neji1）にクライアントPCを接続し、エクスプローラーにNASのローカルIPアドレスを入力する（今回は「\\192.168.1.3」）。NAS上の共有フォルダが表示され、アクセス権限のあるフォルダを開いてファイルをアップロード／ダウンロードすることもできた。

　なおセキュリティ上の理由から、InsightビジネスVPNでは「VPN用SSIDにWi-Fi接続したクライアントのみ」VPNアクセスができるようになっている。リモートルーターに有線接続したクライアントではVPNアクセスができないので、この点は注意してほしい。

（提供：ネットギア）