NETGEAR Insightでオフィスネットワークを簡単に管理しよう 第15回

専用SSIDに接続するだけ、誰でも簡単に社内ネットワークへのVPN接続が可能な仕組み

本社～支店間のVPN接続を簡単にセットアップ「InsightビジネスVPN」

※注：本連載ではNETGEAR Insightの「Insight Premium」プランを利用した場合の手順や画面を紹介しています。

拠点間VPNを簡単に構築できる「InsightビジネスVPN」

　会社の支店や店舗、工場などから、本社の社内ネットワークにアクセスできるようにしたい。そういうニーズは多いはずだ。これを可能にするために、一般的には「拠点間VPN」と呼ばれる仕組みが使われる。拠点どうしをVPN接続することで、同一拠点内にあるLANのように扱えるわけだ。

　ただしこれまでは、拠点間VPNの構築や運用には専門的なネットワークスキルが必要だった。これを誰でも簡単にできるようにしたのが「InsightビジネスVPN」だ。現時点では、ビジネス向けメッシュWiFiシステムの「Orbi Pro」シリーズが対応している。

「InsightビジネスVPN」はOrbi Proシリーズで使える（画像はOrbi Pro WiFi6 AX5400）

　InsightビジネスVPNは、中小規模拠点や従業員の自宅（在宅勤務環境）と本社オフィスとの間で、簡単に拠点間VPNが構築できるよう設計されている。本社側とリモート側では、VPNアクセス用の同じSSIDが共有される。そのため支店への出張や在宅勤務においても、PCのWiFi設定を変えることなくそのまま社内ネットワークに接続できる。とてもシンプルだ。

　なおInsightビジネスVPNは、Insight Premium/Proプランの有料オプションとなっている。ただし、Orbi ProシリーズにはInsight Premium（5年間）/Pro（1年間）の無償ライセンスが付属しており、加えてInsightビジネスVPNも30日間の無償トライアルが提供されている。したがって、まずは追加コストなしで気軽に試すことができる。

Orbi Proのインターネット接続とInsightへの登録

　以下本稿では、これまで作成してきたネットワークロケーションに「本社用（SiteA）」「支店用（SiteB）」という2台のOrbi Proを追加登録して、本社～支社間をInsightビジネスVPNで接続するシナリオを説明していく。InsightビジネスVPNを設定する前に、ネットワークロケーションやSSIDなどの設定が必要なので注意してほしい。

　なお、ネットワークロケーションへのOrbi Proの登録方法については割愛するが（第4回記事を参照）、SiteBのOrbi Proはあらかじめ本社側でInsightに登録してから支店に送付してもよいし、支店側でインターネット接続設定を終えたあとに登録してもよい。

本社／リモート拠点用のOrbi ProをそれぞれInsightに登録

「InsightビジネスVPN」のライセンス購入

　SiteA、SiteBのインターネット接続とInsightへの登録ができたら、InsightビジネスVPNのライセンスを取得して拠点間VPN接続の設定を進めよう。Insight Premiumプランの場合は「Insightクラウドポータル」からライセンスをオンラインで購入できる（Proプランの場合は販売代理店から購入）。

　PCブラウザからInsightクラウドポータルにログインし、画面右上にあるショッピングバッグのアイコンをクリックすると、Insightのオプションサービス一覧が表示される。「Business VPN」の「製品の表示」ボタンをクリックすると、ライセンスの購入画面が開く。

　ライセンスの料金プランは、VPNに同時接続するクライアントデバイス（PCやスマートフォンなど）の台数により分かれている。最大5台の同時接続が可能な「Home Office, Package 1」の年額は1万6856円だ。そのほか45台、75台、125台、250台のライセンスパッケージも販売されている。

InsightビジネスVPNのライセンス販売画面

　ただし、前述のとおりInsightビジネスVPNでは30日間の無料トライアルを提供している。無料トライアルを利用する場合は上述の購入画面ではなく、ログイン直後のダッシュボード画面（「すべてのロケーション」の表示画面）に表示される「ビジネスVPN」バナーの「詳しくはこちら」をクリックしてほしい。ポップアップ画面が表示されるので、「Add Router to Business VPN」をクリックして次の画面に進む。

無料トライアルを利用したい場合はここから進む

　ビジネスVPNの設定画面が表示されたら、「ビジネスVPNグループの追加」をクリックしてグループを新規作成する。作成画面では管理用の「VPNグループ名」と「VPNグループの説明」、また「MTU値」「VPN接続時のドメイン名」が設定できる。ここではVPNグループ名とその説明だけを設定すればよい（「VPN接続時のドメイン名」は、複数のVPNを設定する場合に各VPNのプライベートドメイン名を指定する設定）。

まず「ビジネスVPNグループ」を新規作成する

　続いて、このVPNグループの中心（中央拠点）となるセントラルルーターを指定する画面になる。今回の場合は本社側に設置するSiteAのOrbi Proだ。

　「セントラルルーターの追加」をクリックし、ポップアップ画面でネットワークロケーションとルーターを選択すると、設定済みのVLAN、ルーターのIPアドレスとサブネット、VPNのサブネットの入力項目が表示される。ここで選択するVLANはVPNの接続先なので、通常は業務用の社内ネットワークを選択すればよい。VPNのサブネットは、ルーターのサブネットとは異なるネットワークアドレスを指定する。「保存」をクリックしてポップアップ画面を閉じると、SiteAのOrbi Proが「Central Router」として登録されているはずだ。

　続いて同じVPNグループに、リモート側のルーター（SiteB設置のOrbi Pro）を登録する。なお、この時点でBusiness VPNのライセンスを購入するか無料トライアルを開始するかの選択肢がポップアップ表示されるので「無料トライアルの開始」を選ぼう。

　リモート側のルーター登録では、ネットワークロケーションと追加するルーターを指定すると、自動的にVLANやIPアドレス、サブネットが入力される。通常はそのままの設定で問題ない。

　なお、リモートルーターの設定画面では「Router Mode（ルーターモード）」の選択項目がある。「Employee Home（従業員宅）」を選択すると「Router Isolation」と「Aggressive Keepalive」の機能を、「Branch Office（支店）」を選択すると「Aggressive Keepalive」の機能を有効にできるようになる（今回はBranch Officeを選択した）。Router Isolationは同一VPNグループ内のリモートルーターからのアクセス禁止、Aggressive Keepaliveはインターネット回線が不安定な場合の接続維持機能だ。

　ポップアップ画面を閉じると、SiteBのルーターも登録されている。無料トライアルライセンスの場合、Max Connected Clients（最大クライアント接続台数）は「5」、Credit Status（ライセンスクレジットの状況）は「Trial Active」となっているはずだ。

セントラルルーター（SiteA）、リモートルーター（SiteB）の設定例

ビジネスVPNグループに2つのOrbi Proが追加された

　「次へ」をクリックすると、このVPNグループに接続するためのSSID設定画面が表示される。設定方法は通常のSSIDと同じだが、ここで設定したSSIDにリモート拠点で接続すれば、VPN経由で社内ネットワークに接続できるわけだ。

　最後は、VPNに接続できるクライアントデバイスを制限するアクセス制御リスト（ACL）の設定画面だ。デバイスのMACアドレスや接続許可／拒否（Allow/Deny）、適用先のルーターを設定することで、VPN経由のアクセスが制限できる。

　「保存」をクリックすると、VPN設定が各ルーターに反映される。「成功」という画面が表示されたら、VPNの設定作業は完了だ。「View My Business VPN Group」をクリックし、「VPN Health（VPNの接続状態）」が「Healthy（良好）」と表示されていれば、VPNは問題なく稼働している。実際にVPN経由でアクセスして接続状況を確認しよう。

（提供：ネットギア）