SoftEther VPNによるVPN環境構築(1)概要

Pocket

パソコンを外出先から使うならTeamViewerが最適です。データだけならクラウドに置いて作業するのが最近の主流です。

しかし、VPN環境を構築すれば情報漏えいの危険性も無く、自宅にいるようにネットワークを使えて大変便利です。

数回に分けてVPN環境を構築する手順について説明します。

SoftEther-VPN-01

記事について

旧サイトでリモートデスクトップ環境構築手段のひとつとして説明したVPN環境構築をVPNとして独立させて記事にしています。

今回は以前の記事の加筆修正に加えて拠点間接続についても説明します。

利用するソフトは無償ソフトである、SoftEther VPNを使います。

基本的には記事に従って設定していけばVPN環境を構築できますが、インターネット回線の入り口であるルーターは各家庭で契約が異なり、ルーターも異なります。すべての機種について説明することはできませんので、説明を理解して自分のルーター設定に読み替えられる程度の知識は必要です。

VPNの利用目的

VPNとはVirtual Private Network、仮想プライベートネットワークの略です。

通常、インターネットは覗こう思えば傍受は簡単にできてしまいます。そんなインターネットで通信を暗号化して傍受できなくして、あたかも専用線のように使えるようにしたネットワークがVPNです。

最近は無線LANルーターやNASなどにVPN機能が搭載され、外出先からスマートフォンやモバイルパソコンを使ってアクセスすることは簡単にできます。

VPN接続すると、あたかも自宅のネットワークに接続しているかのように利用できます。BDレコーダーの予約をしたり、NASのファイルにアクセスすることができます。プリンターがネットワークでつながれていれば印刷も可能です。

しかし、接続した自宅のネットワーク、更にその先に接続したネットワークまで考えるとSoftEther VPNのような汎用VPNサーバーの方が応用が効きます。

その先とは今回説明する地区間接続です。通常、地区間接続とは企業などで離れた拠点間を接続することを意味しますが、一般家庭でも親の家、子供の家、友人の家などのネットワークを接続することで、いろいろな使い方ができるようになります。

今までクラウドに写真を上げて、メールで連絡してクラウドから引いてもらっていた大量の写真のやりとりも、相手のパソコンにコピーするだけです。

FAXで送っていた指示も、相手のプリンターに印刷するだけです。

使い方によっては経費を節約できます。

なお、ネットワークを接続することでプライバシーが無くなることを懸念される場合は、後程説明するVLANを導入することでプライバシーを守ることができます。

SoftEther VPNに関する疑問点

まず、VPN環境を構築するにあたり抱いた疑問点を整理しておきます。

SoftEther VPNのサイトやチュートリアルを見ても、各機能の概要説明はあるのですが、幾つかの疑問点は解消しませんでした。マニュアルも結構量があるので、とりあえずパソコンにインストールしてみましたが使えませんでした。仕方なくマニュアルを読んでみて疑問は解消したのですが、やはり技術者の書く文書は解り難いです。

以下に疑問点とその回答を列挙します。

Q1.ルーターへの穴あけが必要か

必要です。

最近のソフトは、UPnPで自動的に必要なポートの穴あけをルーターに設定してくれるのですが、SoftEther VPNではDDNS、NATトラバーサル、VPN Azure、VPN over ICMP、VPN over DNSなどいろいろな機能を使ってNAT越え、Firewall越えができます。

しかし、これらの機能を使うにはSoftEther VPN ServerとSoftEther VPN Clientの組み合わせである必要があります。

iOS端末やAndroid端末の標準機能であるL2TPでVPN通信を行う場合は、ルーターに穴あけの設定が必要です。

L2TPでは、以下のポート/プロトコルについて穴あけを行います。

  • 500/udp
  • 4500/udp

これらのポート/プロトコルでアクセスがあった場合は、SoftEther VPN Serverがインストールされたパソコンに転送するように設定します。

また、パソコンから接続する場合は中継機器に余計な負荷をかけないように、

  • 5555/tcp
  • (443/tcp)
  • (992/tcp)
  • (1194/tcp)

を転送設定しておいた方がよいでしょう。標準は5555/tcpなので、それだけで十分だと思います。

パソコンから接続する場合にVPN Azureサービスを使う場合は、この設定は不要となりますが、443/tcpを使うのでhttpsで外部にサイトを公開しているなどの場合は使えません。

SoftEther VPNはいろいろな方法でFirewall越えを行うため、企業内の自分のパソコンにSoftEther VPN Serverをインストールして社外から接続するということが簡単にできてしまいます。通常はコンプライアンスで禁止していることが多いのでやらないでください。

Q2.名前解決は、別途必要か

不要です。

インターネットから自宅のネットワークにアクセスする場合、インターネット上での自宅ネットワークの入り口のアドレスを特定する必要があります。アドレスは固定ではなく、その都度、プロバイダーから割り当てられるため、通常、ダイナミックDNSサービスの利用が必須となります。

SoftEther VPNには、ダイナミックDNSサービスが提供されており、<任意名>.softether.netのホスト名を取得出来ます。VPN Azureサービスを利用する場合は、ここで取得した<任意名>で、<任意名>.vpnazure.netというホスト名も同時に取得されます。

ただし、この<任意名>はvpn_server.configファイルに記された一意のbyte keyに紐づいており、vpn_server.configをバックアップしておらずパソコンのストレージが故障したりすると、同じ<任意名>は二度と使えなくなります。

また、保証されたDDNSではありません。より信頼性の高いDDNSが必要なら、別途登録しておいた方がよいでしょう。

ひとつのグローバルIPアドレスに複数のDNS名が紐づいていても問題にはなりません。

Q3.パスワードを複数設定する必要があるのは何故か

SoftEther VPN Serverは、企業など管理権限が分割されている場合にも利用出来るように階層管理となっているためのようです。

まず、SoftEther VPN Serverというプラットフォーム全体の管理者用にパスワードが必要です。そしてネットワーク毎に設置する仮想HUB毎に管理パスワードが必要です。最後に、仮想HUBに接続するユーザー毎にパスワードが必要です。

SoftEther VPNで使用される仮想HUBは、パソコンショップで数千円で売っているHUBのように、ネットワークケーブルを繋げば直ぐに使えるものとは異なり、接続するためにはユーザー認証する必要がある高価なHUBと同じ機能を持ちます。

Q4.仮想HUBなどの名前が変えられない

仮想HUB、仮想レイヤ3スイッチなどはサーバー管理マネージャーでは作成時に設定した名前から変更出来ないようです。

そのため、先々、他の場所のネットワークとの接続を考えるなら、何処のネットワークか分かるような名前にしておいた方が良いでしょう。作り直せばよいのですが、仮想HUBはユーザー設定も含むため、作り直すとなると面倒です。

vpn_server.configを直接編集すれば変更可能ですが、不整合が起きる可能性があります。

Q5.ネットワークアドレスはどうなるのか

自宅のネットワークアドレスと同じになります。

SoftEther VPN Serverで提供されるローカルブリッジや仮想HUBは、右から左、左から右とネットワークパケットを単に転送するだけなので、VPNで接続する機器のアドレスは、自宅のアドレスと同じになります。

また、VPN接続をL2TPで行うiOSやAndroidは、ネットワークアドレスを事前に設定出来ません。そのため、自宅ネットワークを固定アドレスで使用している場合は、DHCPサーバーを立てないとアドレスが取得出来ないので、VPN接続できません。

Q6.SoftEther VPN Serverを別のパソコンに移す場合はどうするのか

SoftEther VPN Serverをインストールしたパソコンが壊れたり、新しいパソコンに置き換える場合は、vpn_server.configをバックアップしておけば大丈夫です。vpn_server.configはSoftEther VPN Serverをインストールしたフォルダーにあります。

まず、修理したパソコンや新しいパソコンにSoftEther VPN Serverをインストールして設定ウィザードは行わず終了させます。

サービスのSoftEther VPN Serverサービスを停止させてからバックアップしておいたvpn_server.configに置き換えてSoftEther VPN Serverサービスを開始させます。

パソコンが交換修理となった場合や新しいパソコンの場合は、ローカルブリッジのLANカードのIDが変わってしまうためローカルブリッジを削除して作り直します。

ローカルブリッジ以外の設定は従来のままです。

まとめ

SoftEther VPNについて簡単に説明しました。

今はクラウド全盛で、自分でVPN環境を用意する必要は無いと言われるかもしれません。

しかし、クラウドは他人に管理を任せることによる情報漏えいの危険性もありますが、常にクラウドに上げたデータや端末は監視されています。VPNソフトやパソコンOS、どこまで信用するかですが、少なくともクラウド運営会社の不注意で漏れたり、公衆無線LAN経由でハッキングされる心配はありません。

設定は多少難しいですが、構築してしまえば使うのは簡単です。個人経営の店舗と自宅などをつなぐといろいろ便利なことも出てくるでしょう。

関連記事:

Amazonで見る
Pocket

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です


*