SoftEther VPN接続でスマートフォンなどのモバイル機器からアクセスできるSoftEther VPN環境を構築するためには、SoftEther VPN ServerパソコンのIPアドレスを固定し、そのパソコンにVPN通信を転送するようにブロードバンドルーターを設定する必要があります。
まず、設定に必要な値を設定シートに記入します。以降の値は例なので自分の環境にあった値に読み替えてください。
ネットワークアドレスは、家族間接続(拠点間接続)を行う可能性も考えてここでは「2」に変更するとして「192.168.2.0」とします。
ブロードバンドルーターのIPアドレスは通常ネットワークの最初なので「192.168.2.1」となります。
家族間接続(拠点間接続)を行わない場合は関係ありませんが、仮想レイヤ3スイッチのIPアドレスは「192.168.2.254」とします。
ここでひとつ問題があります。SoftEther VPN Serverパソコンは固定IPアドレスとしなければなりません。モバイル機器からのアクセスをブロードバンドルーターからパソコンに転送するため、DHCPによる自動割り当てではIPアドレスが変わってしまい困るのです。
通常ネットワークで固定IPアドレスとDHCPによる自動割り当ての両方を使う場合、メインとして使う方を数字の小さい方に割り当てます。
スマートフォンやタブレットも自宅のWi-Fi環境で使うことを考えるとDHCPをメインとした方がよいでしょう。
ここでは、DHCPサーバー開始IPアドレスを「192.168.2.10」、DHCPサーバー割り当て個数を「50」個とします。
これでDHCPによる自動割り当ては「192.168.2.10~192.168.2.59」となり「192.168.2.60」以降は固定IPアドレスとして使えます。
今後、機器が50台以上に増えることも考えて、SoftEther VPN ServerパソコンのIPアドレスは「192.168.2.100」とします。
以上の値を記入すると設定シートはこのようになります。
SoftEther VPN Server設定シート Ver.3.0 作成日:20XX/XX/XX 1.ネットワークアドレス:192.168.2.0 |
ブロードバンドルーターは各家庭で異なりますが、ここではNTT東日本のフレッツ光のRV-S340SEで説明します。
ブロードバンドルーターによって設定する場所が異なりますので、該当するページを探して読み替えてください。
設定ページにアクセスし、左のメニューで「DHCPv4設定」をクリックします。
[DHCPv4サーバ]という項目の中で下記の項目に設定シートの値を入力します。
「リース時間」というのはDHCPでIPアドレスをリースする時間です。通常はパソコンなどからリース時間の延長要求で延長されますが、延長要求が無いままリース時間を過ぎると、別のパソコンに同じIPアドレスをリースします。端末数が多くてIPアドレスが不足しない限り初期値のままでよいでしょう。
値を入力したら「設定」をクリックして完了させます。
左のメニューで「静的NAT設定」をクリックします。
ブロードバンドルーターによっては「静的NAT設定」ではなく「ポートフォワードの設定」や「静的IPマスカレード設定」など項目名が違う場合があります。
また、「静的NAT設定」で「変換対象プロトコル」「変換対象ポート」を指定できない場合は「静的IPマスカレード設定」で設定してください。
ここで示している項目と同じ項目を設定出来るページを探して読み替えてください。
通常は何も設定されていないはずですが、設定されている場合は、設定されていない「エントリ番号」をクリックします。
下記のように設定して「設定」をクリックします。これを3項目について行います。
設定項目は以下のとおりです。「宛先IPアドレス」は「設定シート」を参照して入力します。
エントリ番号 | 1 | 2 | 3 |
優先順位 | エントリ番号と同じ | ||
接続インターフェース名 | メインセッション | ||
宛先IPアドレス | 6.SoftEther VPN Server パソコン IPアドレス:192.168.2.100 | ||
変換対象IPアドレス | 自分のWAN側IPアドレス | ||
変換対象プロトコル | TCP | UDP | UDP |
変換対象ポート | 5555 | 500 | 4500 |
既に設定が存在する場合は、エントリ番号をその分ずらして下さい。
すべてを設定すると、このようになります。
なお、家族間接続(拠点間接続)やパソコンからのSoftEther VPN接続をすることが無いなら、エントリ番号1の5555/tcpは「使用しない」(優先順位:0)にしておいた方がよいでしょう。
SoftEther VPN ServerパソコンのIPアドレスの決定方法とブロードバンドルーターの設定について説明しました。
これでスマートフォンやタブレットからSoftEther VPN接続する場合のSoftEther VPN Server以外の設定は完了したことになります。
SoftEther VPN連載記事:
ネット関係等、ど素人でsoftether関連の解説記事を読んでいて不明点を教えて下さい。
ポート開放についてですが、Serverのリスナー一覧を見るとデフォルトで4つのポート番号が表示されますが、ポート開放は当該のポート番号でなく、500,4500,5555なのでしょうか。セキュリティソフトの設定についても関係が分かりません。
よろしくお願いいたします。
コメントを頂きありがとうございます。
以下、順に説明させて頂きます。
●開放ポート番号について
SoftEther VPN Serverは既定では、
443/tcp
992/tcp
1194/tcp
5555/tcp
がリスナーポートとして設定されています。
VPNの通信には一つのポートがあれば十分なので、この中のどれか一つを使うことに決めればよいことになります。
443は、httpsで、
992は、telnetで、
1194は、OpenVPNで
それぞれ利用されるもので、サーバーを設置しているなら既にルーターでのポート開放が行われている可能性があるため選ばれたと思われます。
逆に考えるとこれらのポートが解放されているサーバーが多いということは、これらのポートへの攻撃も多いことになりセキュリティリスクが高いことになります。
5555はSoftEther VPN特有のポートのため、攻撃者がSoftEther VPNを知らなければ他のポートよりは攻撃されるリスクは低くなります。
そのため記事ではこの4ポートの中から5555/tcpを使うことにしました。
上記4ポートはSoftEther VPN独自プロトコルでの通信に使用しますが、SoftEther VPN Serverには他にも、OpenVPNやMS-SSTP、L2TP/IPsecなど別のプロトコルも搭載しています。
500/udp
4500/udp
これらはスマートフォンとのVPN接続で利用するL2TP/IPsecプロトコルでの通信に必要なポートです。これらのポート番号は決まっており変更することはできないことから、SoftEther VPN Serverの設定画面には記載がありません。
以上から、SoftEther VPN独自プロトコルとL2TP/IPsecプロトコルで通信できるように、
500/udp
4500/udp
5555/tcp
を開放するように設定しています。
●セキュリティソフトについて
一般に入手可能なセキュリティソフトはクライアント用です。
クライアントは必ず通信を開始する側であり、最初に通信相手にパケットを飛ばして通信を始めます。
セキュリティソフトはそのパケットと通信相手から返ってきた応答パケットを見て正常な通信と判断し、以後、相手との通信を通過させます。
しかし、SoftEther VPN Serverとの通信は必ず外部のスマートフォンから始まります。
そのためセキュリティソフトはスマートフォンからのVPN接続と外部からの攻撃との区別がつかず、外部からの通信をすべて遮断してしまいます。
このままではSoftEther VPNでのVPN通信が行えませんので、セキュリティソフトに上記ポートへの通信は正常なVPN通信なので通過させるように予め設定しておく必要があります。
早速のご助言・ご説明ありがとうございました。まだ、当方理解不足なのかルータのポートマッピングをやり直しましたが、クライアントからのテスト(家庭内の別PCなので本来のテストにはならない)ではNATトラバーサルモードでしか繋がらず、Android端末からは接続失敗します。
サーバー側の設定が間違っていれば、NATトラバーサルモードでの接続もできないのでは考え、行き詰っています。
どこをチェックすれば良いのか、ご指導いただければありがたいのですがよろしくお願いします。
コメントを頂きありがとうございます。
テストしている環境について確認させてください。
・テストに使用しているのは、
-SoftEther VPN ClientをインストールしたPC
-L2TP/IPsecで接続設定をしたAndroid端末
の2台
・Android端末はWi-Fiを切ってモバイル回線からテストしている
・PCはWi-Fiを切ってAndroid端末にテザリング接続または内蔵の通信機能を利用して、モバイル回線を使ってテストしている
このような環境で間違いないでしょうか。
家庭内LANからテストするには外部から接続するのとは別の接続設定が必要です。
テストに使用しているのは、
①SoftEther VPN ClientをインストールしたPC(Win10のデスクトップ)で完全なテストにはならないと思いながら、server側の設定が不味ければ繋がらないのではと思いやっています。②Android端末からは、最初に筑波大学のVPNgateに接続して、設定を確認し同様の設定でテストして失敗します。当然、Wi-Fiを切ってモバイル回線でのテストです。ちなみにAndroid端末からは自宅Wi-Fi接続でも失敗します。③もう一つ、SIMカード無しのipadでもAndroid端末同様のテストを行っていますが、失敗します。
本来のテストにならないのは理解できますが、ポートマッピングのテストとしては自宅の家庭内LANからでは無意味でしょうか。クライアントから自宅家庭内LAN接続テストでNATトラバーサルモードで接続したことやポートマッピングを見直せとのワーニングメッセージも無意味でしょうか。
コメントを頂きありがとうございます。
SoftEther VPN Serverの構築とAndroidクライアントの設定方法は、どこの情報を見て行っているのでしょうか。
ネット検索していて見つけた「海外から安全に接続出来る自宅VPNサーバーの立上げ方法」(https://enjoyasia.net/wordpress/configure-vpn-server-at-home#toc3)を読んで面白そうだし、使っていないBACKUP用ノートPCを利用できそうだと思ってインストール、設定し始めたのが切っ掛けですが、上手くいかずネット検索していてSolomon さんのサイトを見つけた次第です。筑波大の「softether VPNプロジェクト」も見ていますが全てを完全に読み込み、理解できそうにもなくネット検索に頼ったりしているのが現状です。
コメントを頂きありがとうございます。
教えて頂いたサイトには簡単にしか説明がありませんが、接続テストには外部ネットワークから行う必要があるとあります。これは守られていますでしょうか。
自分も試したことがありますが、内部LANから接続しようとすると外部アドレスは同じになるため、接続元と接続先が同じアドレスだとうまくいかないようです。
SoftEther VPN ClientからのVPN接続だとNATトラバーサルだけでなく使えるものはDNSだろうとICMPだろうと使おうとしますので、同一LAN内にサーバーが見えている状態だと直接通信している可能性もあり、Android端末との比較にはならないと思います。
またVPN Gateは自宅のネットワーク環境と異なるため、たとえパラメータを変えるだけだとしてもAndroid端末の接続テストにはなりません。
Androidからの接続にL2TP/IPsecを利用している場合はIPv4で接続する必要があります。自宅の回線契約がIPv4とIPv6の両方に対応している場合、DDNSホスト名の指定は、
XXXXX.softether.net
ではなく、
XXXXX.v4.softether.net
で指定します。
また、自宅回線がv6プラスまたはDS-Liteを契約しているとL2TP/IPsecでは接続できません。
これを回避するにはOpenVPNを使うなど別の方法をとる必要があります。
早くにコメントいただいてたのに返事返さず申し訳ありません。
まず、接続テストには外部ネットワークから行う必要があるのは理解できるのですが、簡単にできるのはアンドロイド端末からのWi-Fiを切ってのテスト位で、それもネット情報(筑波大のsoftether資料も含め、種々)を参考にテストしてダメでした。VPN Gateはアンドロイド端末、ipad(Wi-Fi専用)でのテストでどこに何を設定するかの参考にした位です。ipadはフリーWi-Fi箇所で行ったりもしましたが、いずれも接続失敗でした。海外に転勤中の娘の端末からの接続を考え、自宅の自分のPC(server立ち上げ中とは別)にクライアントを立ち上げ設定値の検証中です。これも自宅ネットからではテストとして不可と思いながらPCがデスクトップゆえに参考にそのまま接続テストしたのが現状です。
ご指導・ご指摘頂いたお陰でポートマッピング等は設定できたように思うのですが、server側のどこかに問題が残っているのか上手くいきません。現在、お手上げ状態でしばらく手をつけていません。
ポートマッピング設定後にserver-logの量が多くなり、内容を見ると外国含め種々の個所からアクセスがあるようになりました。serverPCには直ぐに接続が切れるようなメッセージなので大丈夫かなと思っていますが、これも最終的には対処の必要な項目と思っています。
コメントを頂きありがとうございます。
ご返事が遅れて申し訳ございません。
サーバーへの外部からのアクセスが増えているとのことでポートフォワードなどルーターの設定はできているのだと思われます。ログでアクセスされているポートを確認できれば、正しく穴あけができていることになります。
いくつか問題を切り分けてみた方がよいかもしれません。
まず、LAN内部からサーバーへの接続を試してみては如何でしょうか。
LAN内部からテストする場合は、接続先ホストの指定をDDNS名ではなくLAN内のSoftEther VPN ServerのIPアドレスを指定します。
これで接続できない場合は、次の問題が考えられます。
1.サーバー側のポートが開いていない
Windowsならばセキュリティソフトのファイアーウォールを確認する必要があります。
2.認証に失敗している
IPsceのキーやアカウント名、パスワード、接続先仮想HUB名などの指定を確認する必要があります。
これが問題なく接続できるなら、回線を疑った方がよいかもしれません。
VPN Gateにモバイル回線からL2TP/IPsecで接続できるなら、モバイル回線は500/udp、4500/udpを通していることになります。モバイル回線によってはVPNを遮断している場合もあります。
残るは自宅の回線の問題ということになります。
L2TP/IPsecはモバイル端末の標準機能で利用できますが、古い技術で問題もあるため最近は別の方法が推奨されているようです。そのため、別の接続方法を試した方がよいかもしれません。
SoftEther VPN Serverで使えるものとしてはIPv6でも使えるOpenVPNが比較的簡単だと思います。指定しなければIPv4とIPv6の使える方で接続してくれます。
iOS/iPadOSならSSTP Connectがお勧めです。