このページは福井県立大学の田中求之が2006年1月まで運用していた Mac のサーバ運用に関する会議室 「Web Scripter's Meeting」の記録です。情報が古くなっている可能性がありますのでご注意ください。

OS X Server でVPN 2

発言者:美音
( Date Tuesday, November 11, 2003 23:01:20 )


前のトピックが、いっぱいになったので続きです。

さて、検証を依頼していた、OS XでRTX1000にIPsecでVPN接続できるか?
という点ですが、どうやらうまく行ったようです。また、10.2でも、なんとかという
ツールをインストールすれば、IPsecで通信できるようになったとか(今日来たのが
営業なので、話がよくわからないのですが・・)

まぁいろいろ環境等で、変わってきますし、私自身で試したわけではないので
断言はできませんが、望みはありそうです!

重松修 さんからのコメント
( Wednesday, November 12, 2003 00:30:42 )

美音さん、こんにちは。
rsync ですが、Google で検索することをお勧めします。
結構メジャーな機能だと思いますから、たくさん情報は得られると思いますよ。
その上で、Mac に固有な問題があれば、こちらに再度質問されるとよいと思います。
セキュリティについては ssh と組み合わせればよいと思います。


ろばたろう さんからのコメント
( Wednesday, November 12, 2003 00:40:05 )

IPsecで成功の模様とは朗報ですね。
以前調べたVPN関係のリンクを辿りなおしたらClientソフトが激減していた
のでOS純正のクライアントツールで可能になるのは素晴らしいことですね。

前スレッドではOS9系ユーザーが多いということでOS9系のIPsecに道が
開けるかですね。

認証の事前共有鍵などの鍵管理対策、自宅--会社間のアクセス回線冗長対策
などなど新たな課題(リスク)と利用者の利便性、可用性などの(リターン)
の検証がありそうですね。

プライバシーマーク取得ですか!志の高さを感じます。
追ってISMSもやってくる時代だと私は思います。

#どうも検索エンジンのキーワードを意識してタイプしてしまいますなあ。

重松修 さんからのコメント
( Wednesday, November 12, 2003 11:07:44 )

プライバシーマークでふと思いましたが、情報漏洩って、
案外、内部犯が物理的にデータを持ち出すっていうのは要注意ですね。

つい最近もどこかの検察だかの派遣警備員が備品の薬から、
果ては送付された反則金まで掠め取っていたという話ですが、
たとえば、ノートパソコンが盗難に遭うのはよくあるパターンですね。

それ以外にも注意が必要なのは、USB メモリや、盲点としては
iPod へのコピー盗ですね。特に、iPod はあからさまにハードディスクで
ないので、そういう用途が思いつきづらいですが、
ZDNet では店頭でデモを行っている Microsoft Office スイートなどを
iPod にコピーして盗む手口が触れられていたことを思い出します。
同様の要注意デバイスにカメラ付、あるいはメモリカード付携帯電話も
挙げることができますね。

無論、盗まれなくても、「落とす」、「置き忘れる」などのミスもあるので、
それらに対して積極的に対策を講じる必要性を強く感じます。

で、とある会社でプライバシーマークを取得する、ということで
動いているんですが、重要な書類は、添付ファイルにして、
パスワードロックをする、だそうで...。
しかも、たった 3 文字で、全員共用。しかも、会社の英字略。
それを平文でメールしてる始末ですから、もはや処置なし。

というわけで、

 プライバシーマークなんて飾りです、偉い人にはそれが分からんのです!

ということでしょうか。。。

脱線しました。

ろばたろう さんからのコメント
( Wednesday, November 12, 2003 12:39:24 )

重松さんこんにちは。
おっしゃるように情報漏洩とはほとんどが内部から起因していると聞きます。
案外盲点が「理路整然とされた欲しい情報が満載されたもの」、すなわち
印刷であるとも読んだことがあります。
最近はUSBメモリーが社内でも氾濫しておりますので漏洩もお手軽な時代といえ
ます。
勤務先の財務系のPCは「守るべき情報資産」(と偉い人がわかっていない...)
なので、USBデバイスを無効にすべくWindowsNTで(笑)CD-R不可のドライブ
にしてはいます。もちろんファイル共有からの漏洩もあるのでVLAN切りまくり
であります。ノートPCはケンジントンロック。

VPNもその目的は「情報資産を守る」のだと私は思いますが
「操作スキル向上」だけでなく「セキュリティ遵守」を教え込む時代になり
VPNでは「あのね、事前共有鍵があってね...このファイルは重要だから」
という利用者にとっては益々聞きたくない事柄が増えるのかもしれません。
かつ管理者としては利用者の自宅まで管理対象が広がってゆくわけです。

プライバシーマークの取得には「経営者の意思聴取」もあるようなので
飾りとはいえ、企業姿勢のアピールですから、ないよりは...と思います。

「なんで俺のパソコンにログインパスワードがいるのかね?」
私の勤務先ではプライバシーマークの取得にあと100年(笑)はかかりそうです。

転覆してしまいました。

美音 さんからのコメント
( Wednesday, November 12, 2003 16:04:24 )

ろばたろう さん、重松修 さんこんにちわ

私はOS X使っているので、早速rsync活用してみたいと思います。
まずは、調べないと(汗

>プライバシーマークでふと思いましたが、情報漏洩って、
>案外、内部犯が物理的にデータを持ち出すっていうのは要注意ですね。

情報漏えいの70%は、内部からの持ち出しが原因らしいです。特に委託先
からの漏えいが多いそうで、法的にきっちり契約交わすのは無論ですが
外注先選定にPマーク取得済みか否かを考慮する動きが出ています。
かつてのISOのように、持っていないと、将来的に営業が厳しくなる
と上の人たちは考えたようです。
しかし取得は、コンサル入れて、今回のようにサーバー周りやセキュリティ
ポリシーを整えれば、ある程度取得できますが、実は一番大変なのは運用だったり
します。

#まぁ、意識的にセキュリティをイメージさせるのは、いい機会かもしれません。

厳しい所では、USBポートをパテで埋めて物理的にアクセスできなくさせて
いる所や、メールなんかも全てチェックしてる会社等も増えつつあるようです。
そこまではやるつもりはないんですが、便利とセキュリティは裏腹ですね。

話戻ってIPsecですが、OS9での扱いをどうしようか悩んでます。紙系の仕事もあるので
まだOS9がバリバリ動いてます。OS9でIPSecで通信可能なクラアイントツールを
探さないといけません。ふぅー
#アップルばりに、サポートはOS Xからだけにしようか、とも悩む今日この頃・・・

重松修 さんからのコメント
( Wednesday, November 12, 2003 16:42:48 )

OS 9 をどうするかって問題ですが、Mac OS X とのデュアルブートにすれば、
案外簡単に解決しそうですけど。Mac OS X 自身がルータになると思います。
そういう次元の問題ではないのでしたっけ?
# また勘違いをしていそうな気がします。

元の木阿弥の予感が漂ってますが、VPN と SSH (sftp) との違いは、
どのレイヤーで暗号化されているか、ということに過ぎないと思います。
なので、何でもかんでも VPN にする必要はなくて、
rsync 場所に scp (sftp) するように、デザイナーさんには依頼して、
後は、お客さんのところとは、rsync が同期を取る、
これで、目的は達成できると思います。

sftp については、優秀なソフトがいくつかでていて、
特に Active Mounter は Finder で操作ができて、
初心者でも戸惑うことが少ないと思いますし、
Transmit あたりも、使いやすいと感じています。

ろばたろう さんからのコメント
( Wednesday, November 12, 2003 17:04:39 )

>OS9でIPSecで通信可能なクラアイントツール

どうも見当たらないですね。前スレッドでのNetlockくらいなのでしょうか?

L2TPなら以下URLにありますね。(40bit版ならTrial可能)
L2TPのVPNrouterを併設してOS9ユーザを振り向けるというのもありかと。
管理点数が上がってしまうのが難点ですが。

→  TunnelBuilder

eno さんからのコメント
( Wednesday, November 12, 2003 17:06:15 )

OS9でのIpsecクライアントは、もう現状では見当たらないかもしれません
OS9現役の頃でも、使い勝手のよいクライアントはほとんどなく、実績のあるのは
今はCiscoに買収された、コンパチブルシステムのイントラポート2
(Cisco名VPN5000シリーズ)ぐらいだったと思います。
弊社では、コンパチさんのを使用していました。
現在ではCiscoもVPN5000シリーズは販売していなく、後継のVPN3000シリーズは
ご存知の通り、OS9をサポートしていません。

どうしてもOS9を使用しなければならない場合は、クライアント側に
Yamahaのルーターを設置するのが現実的かと思います。
PPTPでよければ、安いyamahaルーターでも VPNが張れるはずです。
IPsecならば、RTX1000あたりが必要になりますか。。。
僕にはこれぐらいしか思いつかないですね。。。役に立ちませんで。

ろばたろう さんからのコメント
( Wednesday, November 12, 2003 17:07:09 )

URLリンクを間違えました。下記でございます。

→  TunnelBuilder

美音 さんからのコメント
( Wednesday, November 12, 2003 18:25:45 )

みなさまありがとうございます。

OS9ユーザってのは、仕事上しょうがない部分もありますが、結構Aquaインターフェイスに
強烈に違和感を持っている傾向があるように思います。
デュアルブートですが、仕事上OSを複数使うってのは、どうも効率が悪い気がします。
まぁVPNを非常手段と捉えるなら、それもありかもしれませんが・・・

なので、現状では、VPNを使いたい人はWin2000/XPを別に用意するか、OS Xにするか
という人に限定しようと思います。個別に自腹でルータを用意する人は稀でしょうから。
また、rsyncによる自動更新システム(?)も併設してなんとか利便性をあげるように
しようかと考えてみます。

otsune さんからのコメント
( Thursday, November 13, 2003 12:13:44 )

http://homepage1.nifty.com/glass/tom_neko/web/web_ipsec.html
Mac OS XでIPsec
で紹介されているPGPnet Mac Classic版はどうですか?

飯嶋 さんからのコメント
( Friday, November 14, 2003 00:59:12 )

たぶんPGPは使い物にならない気がします。IPSecクライアントとして互換性が
高そうなのは,equinuxのVPN Trackerではないでしょうか。デモ版のダウン
ロードもできると思います。でも,Pantherでサポートされちゃったから今後は
どうなるのかな。

→  http://www.equinux.com/us/products/vpntracker/

美音 さんからのコメント
( Friday, November 14, 2003 11:59:55 )

otsune さん飯嶋 さんこんにちわ

有益な情報ありがとうございます!、実は、いろいろあるんですね。
少し検証してみます。

話かわって、昨日、出入りのSIベンダーからの提案が出そろいました。結果
コピーで有名なX社、営業で有名な(?)O社の2社が残り各々検討しました。
で、最終的にX社で決めました。価格などもありますが理由としてはやはり
Mac環境、特性について熟知しているという点につきますね。

O社もコスト的には、最も安かったのですが、開口一番「自社で検証がとれて
いないので、OS X Serverやオープンディレクトリはお薦めできない、代わりに
Windows2003Serverにしらどうか?」と提案してきました。
また、さらに工数を減らすため、うちのSEを動員してくれればもっと安く
出来るとの回答?、それでは責任の所在が曖昧になるし、あえてSIベンダーを
入れる意味が無いと思うんですが(ハコだけ買うんだったら秋葉でもっと安く
買えるし)・・・(汗

しかし、いろいろ聞くと、結局、やった事が無いので、自信が無いとの事の
ようです。まぁ知ったかぶりで、システム組まれるよりは、マシですが・・・

という訳で、来週から、大忙しです。いろいろ教えていただきありがとう
ございました!!、また随時、お聞きするかもしれませんが、よろしく
お願いします

#ある程度、落ち着きましたら、VPNの件を含めて、結果報告しますね!!

飯嶋 さんからのコメント
( Saturday, November 15, 2003 20:07:35 )

ゴミですが...

さすがO社だ!
> OS X Serverやオープンディレクトリはお薦めできない、代わりに
> Windows2003Serverにしらどうか?」と提案してきました

ご報告お待ちしております。

美音 さんからのコメント
( Tuesday, November 18, 2003 17:07:15 )

先日、X社に対して仮発注を行い、O社は落選しました。(^^;)

しかしXserveが納品3週間といわれ、ちょっとスケジュールが延びてしまいました。
とはいえ、VLANのグルーピングなど、やるベキ事はたくさんあります。
大変だぁ

それはさておき・・・
慣れるために、OS X 10.3にアップグレードしました。10.2までは、ダメだった
Windowsネットワークでグループに漢字使っているグループが、あっさり
読めるようになっていてビックリしました。こりゃ便利ですね。


美音 さんからのコメント
( Thursday, December 25, 2003 13:42:28 )

さてさて、先日、納品が行われセットアップしたのですが、肝心のVPNが
うまく接続できません。

クライアントとなる、OS X(10.3)のアクセスログを見るとこんな感じです。
接続はPPTPです。アクセスラインはBフレッツです。

パターン1
Thu Dec 25 06:17:07 2003 : PPTP connecting to server 'XXX.XXX.XXX.XXX' (XXX.XXX.XXX.XXX)...
Thu Dec 25 06:17:08 2003 : PPTP connection established.
Thu Dec 25 06:17:08 2003 : Using interface ppp0
Thu Dec 25 06:17:08 2003 : Connect: ppp0 <--> socket[34:17]
Thu Dec 25 06:17:38 2003 : PPTP hangup
Thu Dec 25 06:17:38 2003 : Connection terminated.
Thu Dec 25 06:17:38 2003 : PPTP disconnecting...
Thu Dec 25 06:17:38 2003 : PPTP disconnected

パターン2
Thu Dec 25 06:22:20 2003 : PPTP connecting to server 'XXX.XXX.XXX.XXX' (XXX.XXX.XXX.XXX)...
Thu Dec 25 06:22:21 2003 : PPTP connection established.
Thu Dec 25 06:22:21 2003 : Using interface ppp0
Thu Dec 25 06:22:21 2003 : Connect: ppp0 <--> socket[34:17]
Thu Dec 25 06:22:51 2003 : LCP: timeout sending Config-Requests
Thu Dec 25 06:22:51 2003 : Connection terminated.
Thu Dec 25 06:22:51 2003 : PPTP disconnecting...
Thu Dec 25 06:22:51 2003 : PPTP disconnected

ネゴシエーションまでは表示されるのですが、その後、接続解除されてしまいます。
ログを見ると、この2パターンのエラーで接続解除されるようです。
業者からの報告ではWindowsXPでは、アクセスできる事を確認したそうです。

これはRTXの設定の問題か、私の環境が悪いのでしょうか?うーむ

美音 さんからのコメント
( Thursday, December 25, 2003 13:44:14 )

2パターンというのは、何回か接続を試みると、この2つのパターンのいずれかで
接続解除されてしまう、という意味です。

eno さんからのコメント
( Thursday, December 25, 2003 18:08:11 )

そう言えば、私も10.3にしてから、PPTP の接続が出来なくて
あわてたことがあります。
#ちょうど沖縄に行っていたときに、会社に接続できなくて、大変でした

私は、アップルのTech Infoにあるこの記事を参照して、接続できるようになりました。

さて、美音さんのログと同じ症状かどうかは
そのときのログが残ってないので、定かではないですが。。
試してみてください。

→  Mac OS X 10.3: 一部のインターネットサービスプロバイダと PPTP 接続できない

美音 さんからのコメント
( Thursday, December 25, 2003 18:54:46 )

eno さん、こんにちわ
早速試してみます。しかし、10.3になって、繋がっていた物が、繋がらなくなるのは
困った仕様ですね。これの操作を一般ユーザーに強いる訳にはいきませんし・・・
どうしたものか・・

美音 さんからのコメント
( Friday, December 26, 2003 11:05:04 )

早速、処置してみましたが、やっぱり同じエラーログで接続できず!
むー!、期待していたサービスだけに、どうしものか!!

こまったー

eno さんからのコメント
( Friday, December 26, 2003 18:24:02 )

美音さん、
 テストして見ました
 10.2で接続成功していた設定で10.3にて、接続失敗したときのログ
Fri Dec 26 17:48:20 2003 : PPTP connecting to server 'XXX.XXX.XXX.XXX' (XXX.XXX.XXX.XXX)...
Fri Dec 26 17:48:21 2003 : PPTP connection established.
Fri Dec 26 17:48:22 2003 : Using interface ppp1
Fri Dec 26 17:48:22 2003 : Connect: ppp1 <--> socket[34:17]
Fri Dec 26 17:48:25 2003 : MPPE required but peer negotiation failed
Fri Dec 26 17:48:26 2003 : Connection terminated.
Fri Dec 26 17:48:26 2003 : PPTP disconnecting...
Fri Dec 26 17:48:26 2003 : PPTP disconnected

アップルの指示通りに設定をかえて、接続成功したときのログ
Fri Dec 26 17:48:45 2003 : PPTP connecting to server 'XXX.XXX.XXX.XXX' (XXX.XXX.XXX.XXX)...
Fri Dec 26 17:48:45 2003 : PPTP connection established.
Fri Dec 26 17:48:45 2003 : Using interface ppp1
Fri Dec 26 17:48:45 2003 : Connect: ppp1 <--> socket[34:17]
Fri Dec 26 17:48:46 2003 : acsp resetci called
Fri Dec 26 17:48:47 2003 : local  LL address fe80::020a:95ff:fexx:xxxx
Fri Dec 26 17:48:47 2003 : remote LL address fe80::02a0:deff:fexx:xxxx
Fri Dec 26 17:48:47 2003 : local  IP address 192.168.1.192
Fri Dec 26 17:48:47 2003 : remote IP address XXX.XXX.XXX.XXX

です。
どうやら、美音さんのログとは違う原因で失敗していたようですね。
RTX1000の設定はどうなっていますか?
WinXPで成功しているのなら、PPTPの設定は問題ないのかもしれませんが
こちらの環境との違いを見つけると、正解が潜んでいるような...

あ、そう言えば、
Rev.7.01系のファームにはバグが未だあるようですので
Rev.7.00系の安定版を使うという手もありでは?
ちなみに弊社では
# RTX1000 Rev.7.00.26 (Thu May  8 21:34:12 2003)
を使っています(ちなみにこれは最新版ではないです)

美音 さんからのコメント
( Sunday, December 28, 2003 12:53:44 )

わざわざ、テストして頂きありがとうございました。
すでに仕事納めしてしまいましたので、RTX1000の設定は年明けにならないと
確認できませんが、確認してみます。

こーいち さんからのコメント
( Monday, January 26, 2004 22:01:06 )

私はRTX1000に自宅のMac 10.3で接続してますよ!すぐに繋がっちゃいました。
さすがは、Macと感心してましたが・・ルーター側の設定に「暗号化していない通信は
切断する」設定をしていると繋がりませんでした。

美音 さんからのコメント
( Tuesday, January 27, 2004 11:32:23 )

こーいちさん、こんにちわ

なるほど、それは貴重な情報です!、正直手詰まり状態で、XserveをVPNサーバに
しようかとも考えていた矢先でしたので・・

でも気になるのは、「暗号化していない通信は切断する」という設定しているとダメと
いうことは、10.3とルータ間は暗号化されてないんでしょうかね?

eno さんからのコメント
( Tuesday, January 27, 2004 23:58:20 )

yamaha監修の本(昨日発売)の中で、MacOSXでのPPTPについて
3ページほど記載があります。
題名
ヤマハルーターで作るインターネットVPN(ISBN4-8399-1319-6)
それによると、
10.2ではPPTP (MSCHAPのみ)
10.3ではPPTP (MSCHAPv2)と L2TPも可能だと記載があります。
「winのVPNクライアントと違って細かい設定変更をいろいろ出来るメニューは
用意されていませんが、ヤマハ製ルーターのPPTPサーバーについて言えば、
何も手を加えずにそのまま接続できるので、特に問題になることはないでしょう」
とあります。
ただ、RTXの場合は、明示的にMSCHAPを指定した方が良いような記述ですが。。。
美音さん、RTX1000の設定、どうなってます?

美音 さんからのコメント
( Wednesday, January 28, 2004 16:12:00 )

eno さん、こんにちわ

うーん、そんな本が出てたんですか、早速買ってみます。設定か・・うーん
見直してみます。

kaku さんからのコメント
( Tuesday, February 10, 2004 23:18:53 )

はじめまして、
10.3.2。でVPNサーバーを立てているのですが
MACからだとつながるのですが
XPからだと はねられてしまいます。
ポイントとかありましたら 教えてほしいのですが