SoftEther で SSTP w/ RADIUS 接続を試す

先日、SoftEther で RADIUS が使えるようになったので、Windows に標準搭載されている SSTP と RADIUS の組み合わせを試してみました。

設定自体は簡単なのですが、ハマりやすい思われる点は以下の2点。

• 信頼されている証明書を使う必要がある
• 認証方式を PAP にしておく必要がある

† 信頼されている証明書を使う必要がある

SSTP は証明書のチェックが厳格なので、適当な証明書を入れいると証明書エラー^*1が出て、接続させてくれません。接続先のサーバ名と証明書の CN が一致していて、証明書ストアにルート証明書が含まれている必要があります。これ自体はブラウザがウェブサーバに接続する際の検証と同様です。

ワイルドカード証明書を持っていれば話は早いですが、お手軽に自己署名の証明書を使っているような場合や、IP アドレスで接続している場合には、接続したい PC それぞれに証明書をインストールする必要があります。

† 認証方式を PAP にしておく必要がある

今回ハマってしまったのはこの部分。「SoftEther VPN Server の SSTP サーバー機能の仕様」にはサポートしている認証方式 PAP and MS-CHAPv2 と書かれていますが、RADIUS で認証するためには平文が必要になるので、認証方式を明示的に PAP にしないと接続できないようです。

これについては Windows のウィザード的なものには設定項目が出てこないので、画像のように自分でプロパティから設定を変更してやる必要があります。ちなみに、デフォルトでは認証方式は MS-CHAPv2 にチェックが入っているはずです。

• ^*1: VPNFAQ027. MS-SSTP 互換サーバー機能で証明書エラーが発生する - SoftEther VPN プロジェクト