SoftEther VPNによるVPN環境構築(4) ルーターの設定
SoftEther VPN接続でスマートフォンなどのモバイル機器からアクセスできるSoftEther VPN環境を構築するためには、SoftEther VPN ServerパソコンのIPアドレスを固定し、そのパソコンにVPN通信を転送するようにブロードバンドルーターを設定する必要があります。
【PR】
SoftEther VPN Server用パソコンのIPアドレスを決める
まず、設定に必要な値を設定シートに記入します。以降の値は例なので自分の環境にあった値に読み替えてください。
ネットワークアドレスは、家族間接続(拠点間接続)を行う可能性も考えてここでは「2」に変更するとして「192.168.2.0」とします。
ブロードバンドルーターのIPアドレスは通常ネットワークの最初なので「192.168.2.1」となります。
家族間接続(拠点間接続)を行わない場合は関係ありませんが、仮想レイヤ3スイッチのIPアドレスは「192.168.2.254」とします。
ここでひとつ問題があります。SoftEther VPN Serverパソコンは固定IPアドレスとしなければなりません。モバイル機器からのアクセスをブロードバンドルーターからパソコンに転送するため、DHCPによる自動割り当てではIPアドレスが変わってしまい困るのです。
通常ネットワークで固定IPアドレスとDHCPによる自動割り当ての両方を使う場合、メインとして使う方を数字の小さい方に割り当てます。
スマートフォンやタブレットも自宅のWi-Fi環境で使うことを考えるとDHCPをメインとした方がよいでしょう。
ここでは、DHCPサーバー開始IPアドレスを「192.168.2.10」、DHCPサーバー割り当て個数を「50」個とします。
これでDHCPによる自動割り当ては「192.168.2.10~192.168.2.59」となり「192.168.2.60」以降は固定IPアドレスとして使えます。
今後、機器が50台以上に増えることも考えて、SoftEther VPN ServerパソコンのIPアドレスは「192.168.2.100」とします。
以上の値を記入すると設定シートはこのようになります。
| SoftEther VPN Server設定シート Ver.3.0
作成日:20XX/XX/XX 1.ネットワークアドレス:192.168.2.0 |
ブロードバンドルーターの設定
ブロードバンドルーターは各家庭で異なりますが、ここではNTT東日本のフレッツ光のRV-S340SEで説明します。
ブロードバンドルーターによって設定する場所が異なりますので、該当するページを探して読み替えてください。
DHCPサーバーの設定
設定ページにアクセスし、左のメニューで「DHCPv4設定」をクリックします。
[DHCPv4サーバ]という項目の中で下記の項目に設定シートの値を入力します。
- 開始IPアドレス <-- 4.DHCPサーバー 開始IPアドレス:192.168.2.10
- 割当て個数 <-- 5.DHCPサーバー 割り当て個数:50
「リース時間」というのはDHCPでIPアドレスをリースする時間です。通常はパソコンなどからリース時間の延長要求で延長されますが、延長要求が無いままリース時間を過ぎると、別のパソコンに同じIPアドレスをリースします。端末数が多くてIPアドレスが不足しない限り初期値のままでよいでしょう。
値を入力したら「設定」をクリックして完了させます。
SoftEther VPN Server用の穴あけ
左のメニューで「静的NAT設定」をクリックします。
ブロードバンドルーターによっては「静的NAT設定」ではなく「ポートフォワードの設定」や「静的IPマスカレード設定」など項目名が違う場合があります。
また、「静的NAT設定」で「変換対象プロトコル」「変換対象ポート」を指定できない場合は「静的IPマスカレード設定」で設定してください。
ここで示している項目と同じ項目を設定出来るページを探して読み替えてください。
通常は何も設定されていないはずですが、設定されている場合は、設定されていない「エントリ番号」をクリックします。
下記のように設定して「設定」をクリックします。これを3項目について行います。
設定項目は以下のとおりです。「宛先IPアドレス」は「設定シート」を参照して入力します。
| エントリ番号 | 1 | 2 | 3 |
| 優先順位 | エントリ番号と同じ | ||
| 接続インターフェース名 | メインセッション | ||
| 宛先IPアドレス | 6.SoftEther VPN Server パソコン IPアドレス:192.168.2.100 |
||
| 変換対象IPアドレス | 自分のWAN側IPアドレス | ||
| 変換対象プロトコル | TCP | UDP | UDP |
| 変換対象ポート | 5555 | 500 | 4500 |
既に設定が存在する場合は、エントリ番号をその分ずらして下さい。
すべてを設定すると、このようになります。
なお、家族間接続(拠点間接続)やパソコンからのSoftEther VPN接続をすることが無いなら、エントリ番号1の5555/tcpは「使用しない」(優先順位:0)にしておいた方がよいでしょう。
まとめ
SoftEther VPN ServerパソコンのIPアドレスの決定方法とブロードバンドルーターの設定について説明しました。
これでスマートフォンやタブレットからSoftEther VPN接続する場合のSoftEther VPN Server以外の設定は完了したことになります。
SoftEther VPN連載記事:
- SoftEther VPNによるVPN環境構築(1) 概要
- SoftEther VPNによるVPN環境構築(2) ネットワーク環境の検討
- SoftEther VPNによるVPN環境構築(3) ネットワークアドレスの変更
- SoftEther VPNによるVPN環境構築(4) ルーターの設定
- SoftEther VPNによるVPN環境構築(5) SoftEtherVPN Server用パソコンの準備と設定
- SoftEther VPNによるVPN環境構築(6) SoftEther VPN Serverのインストールと設定
- SoftEther VPNによるVPN環境構築(7) iOS端末の設定
- SoftEther VPNによるVPN環境構築(8) Android端末の設定
- SoftEther VPNによるVPN環境構築(9) SoftEther VPN Serverの運用
- SoftEther VPNによるVPN環境構築(10) SoftEther VPN Serverの動作と注意点
- SoftEther VPNによるVPN環境構築(11) TeamViewerによるリモート構築方法
- SoftEther VPNによるVPN環境構築(12) SoftEther VPN Serverの事前テスト方法
- SoftEther VPNによるVPN環境構築(13) IPoEとv6プラス
- SoftEther VPNによるVPN環境構築(14) L2TP/IPsecにおけるIPv6対応
- SoftEther VPNによるVPN環境構築(15) SoftEther VPN ServerのIPv6アドレスの問題
- SoftEther VPNによるVPN環境構築(16) モバイル回線のIPv6対応の確認
- SoftEther VPNによるVPN環境構築(17) v6プラス対策としてのOpenVPN接続(iOS編)
- SoftEther VPNによるVPN環境構築(18) v6プラス対策としてのOpenVPN接続(Android編)
- SoftEther VPNによるVPN環境構築(19) v6プラスでもOpenVPNならIPv4でVPN通信が可能
- SoftEther VPNによるVPN環境構築(20) 「SSTP Connect」、SoftEther VPN独自プロトコルにも対応したモバイルアプリ
- SoftEther VPNによるVPN環境構築(21) TLSサーバー検証をオンにするために必要なこと
ネット関係等、ど素人でsoftether関連の解説記事を読んでいて不明点を教えて下さい。
ポート開放についてですが、Serverのリスナー一覧を見るとデフォルトで4つのポート番号が表示されますが、ポート開放は当該のポート番号でなく、500,4500,5555なのでしょうか。セキュリティソフトの設定についても関係が分かりません。
よろしくお願いいたします。
コメントを頂きありがとうございます。
以下、順に説明させて頂きます。
●開放ポート番号について
SoftEther VPN Serverは既定では、
443/tcp
992/tcp
1194/tcp
5555/tcp
がリスナーポートとして設定されています。
VPNの通信には一つのポートがあれば十分なので、この中のどれか一つを使うことに決めればよいことになります。
443は、httpsで、
992は、telnetで、
1194は、OpenVPNで
それぞれ利用されるもので、サーバーを設置しているなら既にルーターでのポート開放が行われている可能性があるため選ばれたと思われます。
逆に考えるとこれらのポートが解放されているサーバーが多いということは、これらのポートへの攻撃も多いことになりセキュリティリスクが高いことになります。
5555はSoftEther VPN特有のポートのため、攻撃者がSoftEther VPNを知らなければ他のポートよりは攻撃されるリスクは低くなります。
そのため記事ではこの4ポートの中から5555/tcpを使うことにしました。
上記4ポートはSoftEther VPN独自プロトコルでの通信に使用しますが、SoftEther VPN Serverには他にも、OpenVPNやMS-SSTP、L2TP/IPsecなど別のプロトコルも搭載しています。
500/udp
4500/udp
これらはスマートフォンとのVPN接続で利用するL2TP/IPsecプロトコルでの通信に必要なポートです。これらのポート番号は決まっており変更することはできないことから、SoftEther VPN Serverの設定画面には記載がありません。
以上から、SoftEther VPN独自プロトコルとL2TP/IPsecプロトコルで通信できるように、
500/udp
4500/udp
5555/tcp
を開放するように設定しています。
●セキュリティソフトについて
一般に入手可能なセキュリティソフトはクライアント用です。
クライアントは必ず通信を開始する側であり、最初に通信相手にパケットを飛ばして通信を始めます。
セキュリティソフトはそのパケットと通信相手から返ってきた応答パケットを見て正常な通信と判断し、以後、相手との通信を通過させます。
しかし、SoftEther VPN Serverとの通信は必ず外部のスマートフォンから始まります。
そのためセキュリティソフトはスマートフォンからのVPN接続と外部からの攻撃との区別がつかず、外部からの通信をすべて遮断してしまいます。
このままではSoftEther VPNでのVPN通信が行えませんので、セキュリティソフトに上記ポートへの通信は正常なVPN通信なので通過させるように予め設定しておく必要があります。
早速のご助言・ご説明ありがとうございました。まだ、当方理解不足なのかルータのポートマッピングをやり直しましたが、クライアントからのテスト(家庭内の別PCなので本来のテストにはならない)ではNATトラバーサルモードでしか繋がらず、Android端末からは接続失敗します。
サーバー側の設定が間違っていれば、NATトラバーサルモードでの接続もできないのでは考え、行き詰っています。
どこをチェックすれば良いのか、ご指導いただければありがたいのですがよろしくお願いします。
コメントを頂きありがとうございます。
テストしている環境について確認させてください。
・テストに使用しているのは、
-SoftEther VPN ClientをインストールしたPC
-L2TP/IPsecで接続設定をしたAndroid端末
の2台
・Android端末はWi-Fiを切ってモバイル回線からテストしている
・PCはWi-Fiを切ってAndroid端末にテザリング接続または内蔵の通信機能を利用して、モバイル回線を使ってテストしている
このような環境で間違いないでしょうか。
家庭内LANからテストするには外部から接続するのとは別の接続設定が必要です。
テストに使用しているのは、
①SoftEther VPN ClientをインストールしたPC(Win10のデスクトップ)で完全なテストにはならないと思いながら、server側の設定が不味ければ繋がらないのではと思いやっています。②Android端末からは、最初に筑波大学のVPNgateに接続して、設定を確認し同様の設定でテストして失敗します。当然、Wi-Fiを切ってモバイル回線でのテストです。ちなみにAndroid端末からは自宅Wi-Fi接続でも失敗します。③もう一つ、SIMカード無しのipadでもAndroid端末同様のテストを行っていますが、失敗します。
本来のテストにならないのは理解できますが、ポートマッピングのテストとしては自宅の家庭内LANからでは無意味でしょうか。クライアントから自宅家庭内LAN接続テストでNATトラバーサルモードで接続したことやポートマッピングを見直せとのワーニングメッセージも無意味でしょうか。
コメントを頂きありがとうございます。
SoftEther VPN Serverの構築とAndroidクライアントの設定方法は、どこの情報を見て行っているのでしょうか。
ネット検索していて見つけた「海外から安全に接続出来る自宅VPNサーバーの立上げ方法」(https://enjoyasia.net/wordpress/configure-vpn-server-at-home#toc3)を読んで面白そうだし、使っていないBACKUP用ノートPCを利用できそうだと思ってインストール、設定し始めたのが切っ掛けですが、上手くいかずネット検索していてSolomon さんのサイトを見つけた次第です。筑波大の「softether VPNプロジェクト」も見ていますが全てを完全に読み込み、理解できそうにもなくネット検索に頼ったりしているのが現状です。
コメントを頂きありがとうございます。
教えて頂いたサイトには簡単にしか説明がありませんが、接続テストには外部ネットワークから行う必要があるとあります。これは守られていますでしょうか。
自分も試したことがありますが、内部LANから接続しようとすると外部アドレスは同じになるため、接続元と接続先が同じアドレスだとうまくいかないようです。
SoftEther VPN ClientからのVPN接続だとNATトラバーサルだけでなく使えるものはDNSだろうとICMPだろうと使おうとしますので、同一LAN内にサーバーが見えている状態だと直接通信している可能性もあり、Android端末との比較にはならないと思います。
またVPN Gateは自宅のネットワーク環境と異なるため、たとえパラメータを変えるだけだとしてもAndroid端末の接続テストにはなりません。
Androidからの接続にL2TP/IPsecを利用している場合はIPv4で接続する必要があります。自宅の回線契約がIPv4とIPv6の両方に対応している場合、DDNSホスト名の指定は、
XXXXX.softether.net
ではなく、
XXXXX.v4.softether.net
で指定します。
また、自宅回線がv6プラスまたはDS-Liteを契約しているとL2TP/IPsecでは接続できません。
これを回避するにはOpenVPNを使うなど別の方法をとる必要があります。
早くにコメントいただいてたのに返事返さず申し訳ありません。
まず、接続テストには外部ネットワークから行う必要があるのは理解できるのですが、簡単にできるのはアンドロイド端末からのWi-Fiを切ってのテスト位で、それもネット情報(筑波大のsoftether資料も含め、種々)を参考にテストしてダメでした。VPN Gateはアンドロイド端末、ipad(Wi-Fi専用)でのテストでどこに何を設定するかの参考にした位です。ipadはフリーWi-Fi箇所で行ったりもしましたが、いずれも接続失敗でした。海外に転勤中の娘の端末からの接続を考え、自宅の自分のPC(server立ち上げ中とは別)にクライアントを立ち上げ設定値の検証中です。これも自宅ネットからではテストとして不可と思いながらPCがデスクトップゆえに参考にそのまま接続テストしたのが現状です。
ご指導・ご指摘頂いたお陰でポートマッピング等は設定できたように思うのですが、server側のどこかに問題が残っているのか上手くいきません。現在、お手上げ状態でしばらく手をつけていません。
ポートマッピング設定後にserver-logの量が多くなり、内容を見ると外国含め種々の個所からアクセスがあるようになりました。serverPCには直ぐに接続が切れるようなメッセージなので大丈夫かなと思っていますが、これも最終的には対処の必要な項目と思っています。
コメントを頂きありがとうございます。
ご返事が遅れて申し訳ございません。
サーバーへの外部からのアクセスが増えているとのことでポートフォワードなどルーターの設定はできているのだと思われます。ログでアクセスされているポートを確認できれば、正しく穴あけができていることになります。
いくつか問題を切り分けてみた方がよいかもしれません。
まず、LAN内部からサーバーへの接続を試してみては如何でしょうか。
LAN内部からテストする場合は、接続先ホストの指定をDDNS名ではなくLAN内のSoftEther VPN ServerのIPアドレスを指定します。
これで接続できない場合は、次の問題が考えられます。
1.サーバー側のポートが開いていない
Windowsならばセキュリティソフトのファイアーウォールを確認する必要があります。
2.認証に失敗している
IPsceのキーやアカウント名、パスワード、接続先仮想HUB名などの指定を確認する必要があります。
これが問題なく接続できるなら、回線を疑った方がよいかもしれません。
VPN Gateにモバイル回線からL2TP/IPsecで接続できるなら、モバイル回線は500/udp、4500/udpを通していることになります。モバイル回線によってはVPNを遮断している場合もあります。
残るは自宅の回線の問題ということになります。
L2TP/IPsecはモバイル端末の標準機能で利用できますが、古い技術で問題もあるため最近は別の方法が推奨されているようです。そのため、別の接続方法を試した方がよいかもしれません。
SoftEther VPN Serverで使えるものとしてはIPv6でも使えるOpenVPNが比較的簡単だと思います。指定しなければIPv4とIPv6の使える方で接続してくれます。
iOS/iPadOSならSSTP Connectがお勧めです。
Solomonさん、いろいろ指摘頂き返答が遅くなり申し訳ございません。未完成のサーバーを構築完成に向け、指摘された「LAN内部からサーバーへの接続」を試してみました。DDNS名ではなく「LAN内のSoftEther VPN ServerのIPアドレスを指定」が良くわからず、SoftEther VPN Serve構築中のPCのWi-Fiの固定IPを接続先のホスト名に入力して、①SoftEther VPN クライアント、②アンドロイド端末、③ipadでテストしました。
結果、①の別PCのクライアントからは正常に接続され、DHCPからIPも割り当てられました。②は失敗、③は認証で失敗しています。serverlogの確認でも結果に至る動きが確認されており、アンドロイド端末、およびipadでの検証は筑波大のgateに接続できた時のユーザー名、パスワード、事前共有鍵の変更だけでは以前指摘を受けたように検証にならないようです。
サーバーはOKの可能性もあるので、別途クライアントから別回線でテストを計画するつもりです。また、これでダメなら「仮想NATおよび仮想DHCPサーバー機能」の設定を検討してみたいのですが、ネット初心者には危険との指摘があるのでやらない方が良いのかご指導お願いします。
コメントを頂きありがとうございます。
考えられる問題点をご指摘するのを失念しておりました。
問題の原因はSoftEther VPN ServerをWi-Fiで構築しようとしていることです。
SoftEther VPN Serverはすべてソフト上で動作しますが、現実の機器と通信を行うためには仮想HUBと物理ネットワークを接続するローカルブリッジが必須です。
ローカルブリッジが機能するためにはLANカードでプロミスキャスモードが使える必要があります。ところがほぼすべての無線LANカードではプロミスキャスモードが使えません。ローカルブリッジの構成では問題なく機能しているように見えますが、実際には動作していません。
PCの場合はLANに接続できずDHCPでIPアドレスが取得できない場合は、自動的に仮のアドレスを設定します。しかし、ローカルブリッジが機能していないためルーターへのpingなども通らないはずです。
AndroidやiOS/iPadOSでは、LANに接続できずDHCPでアドレスが取得できないとVPN接続に失敗します。
いろいろ検討しているのですが、現状ではWi-FiでのSoftEther VPN Serverの構築は不可能です。必ず有線LANで構築する必要があります。
SoftEther VPN Server PCが有線LANカードを搭載していない場合は、USB接続のLANアダプターを利用してください。
USB接続のLANアダプターを利用する場合は、ローカルブリッジのLANカードの選択に複数のLANカードが表示されます。そのため、必ずUSB接続のLANアダプターを指定してローカルブリッジを構成してください。
有線LANで構築すればDHCPサーバーとも通信できますので、仮想NAT、仮想DHCPは不要です。
Solomon 様
たびたびの指摘ありがとうございます。今回の指摘に関連する件と最近テストした結果についてのご質問をしたいと考えます。
1)まず、ご指摘いただいたSoftEther VPN Serverの構築ですが、対象がノートPCで、LANカードが2つWi-Fi用とイーサーネットケーブル接続用です。PC本体の通信にはWi-Fiを使用しているのでIPアドレス固定用にはネットワーク接続で表示されるWi-FiのIPv4で設定しました。イーサーネットケーブル接続用はケーブルが繋がっていないので×になっています。(ここまでが既に間違っているのでしょうか)
2)構築時のローカルブリッジのLANカードの選択ですが、PCのデバイスマネージャーでは2枚のLANカードと複数ポートが見えるのにローカルブリッジ設定時のLANカード選択にはイーサーネットケーブル接続用が1つ表示されるだけです。故にWi-Fi用は選びようなくイーサーネットケーブル接続用を現在は選択しています。
3)以前、指摘頂いたLAN内部からのテストで接続されたので、外部からのテストをやりました。SoftetherVPNクライアントからの接続テストでserver側のserverlogにはユーザー名も合った形で仮想HUBへの接続を試行、ユーザー認証に失敗します。何度、パスワードの入力をやり直しても失敗するというのはサーバー側の設定に問題があるのでしょうか。
以上の件で、サーバー再構築に対するご指導・ご指摘頂ければありがたいと思います。よろしくお願いします。
コメントを頂きありがとうございます。
まず、前回の回答のようにWi-FiではSoftEther VPN Serverの構築は不可能です。
そのため、Wi-FiのSSIDとパスフェーズは削除して無線LANルーターに接続しないようにしてください。そして内蔵LANを利用する場合はLANケーブルを接続して、有線LANでインターネットに接続できることを確認してください。
これで物理的な問題は解決するはずです。
ソフト的な問題に関しては、小出しで頂く情報から推測して問題を解決するのは難しいので、当サイトで説明している構築手順を連載の最初から読み進めていくことをお勧めします。
1から構築し直す必要はありませんが、ひとつの記事で完結する方法ではなく、できるだけ再現性が高いように段階的に要点を説明しています。そのため、詳細な設定情報を提供して頂かなくても、設定間違いなどに御自身で気付けると思います。
Solomon様
前回、今月5日にコメントして以来となります。その時の指摘を含め何度かテストしました。現在、何とか接続してVPN通信できる条件が見つかりました。ありがとうございました。
前回の指摘に関連する件と最近テストした結果についてのご報告と今後に向けてご質問をしたいと考えます。
1.まず、server側を前回無線のままで構築中にアメリカからテストしてユーザー認証に失敗する件は、クライアントの再インストール時にバグか仕様上なのか分からないですがユーザー認証ロジックがおかしくなる条件があると思えます。私が宅内LAN内でサーバーに直接接続テストした時も生じた現象を思い出しました。自分の設定したパスワードなのに受け付けられず、試行錯誤してパスワードを消してブランクのまま接続して繋がったのです。娘にも同様の方法でアメリカから接続テストを指示してserver側が無線状態でも見かけ上接続完了しました。後で、serverlogを確認しても正常に認証されていました。しかし、筑波大のVPN gate公開サーバーホームページにアクセスしてグローバルIP、「あなたの国は」を確認させるとアメリカからの認識のままでした。
無線LANでの構築は無理とのご指摘に従い、安価なUSBの有線LANアダプターをネットで見つけ購入してテストしました。
2.USB有線LANはローカルブリッジの再構築時に対象LANカードとして表示されたのでUSB有線LANでローカルブリッジを再設定、内蔵の有線LANでインターネット(固定IPアドレス)として再構築テストしました。結果は正常にユーザー認証され、見かけ上は正常に接続されたようですが、無線の時と同様にクライアント側の国をチェックするとアメリカからアクセス認識のままでした。
使用したUSB有線LANアダプターが安価なノーブランド品であり、Fast.comでインターネットアクセススピードテストをしても5メガ強くらいしか出ておらず、実際のインターネットアクセスは内蔵LANを使用しローカルブリッジとして使えないかと考えたのですがだめでした。Softether VPN server設定時の対象としては表示されても機能上はNGだったと考えたほうが良いのでしょうね。
3.遅いUSB有線LANアダプターをインターネットアクセス、ローカルブリッジを有線内蔵LANとしたテストもやりたかったのですが、時差もあり仕事外で日本との間でテストを何度もやりにくかったのでローカルブリッジとインターネット通信とも内蔵有線LANアダプターで設定してやってみました。結果、正常認識して接続できました。
クライアントからの接続はアンドロイド端末やipadからより接続しやすように書いてあり、現在、上記3の条件でSoftetherVPNクライアントでしか繋がっていない状況でserver側の手直し、テストについてコメントを頂ければと思います。
以前のコメントでも書きましたが、バックアップ用の廃棄前のノートPCを利用したもので、費用をかけずに出来ればと思っていたので安価すぎる有線LANアダプターを購入したのが誤りだったのですが、筑波大のマニュアルなど見ても同一LANカードでない方が良いようにされています。日本の動画サイトを見たりするのには別にする必要はあるでしょうか。
以前、いただいたコメントにも「仮想NATおよび仮想DHCPサーバー機能」の設定は不要とのことですが、いろんな国からのアクセスがあることに対するセキュリテイ上の対策には使えないのでしょうか。
コメントを頂きありがとうございます。
●パスワードに関して
パスワードは必ずキーボードから直接入力していますでしょうか。
文字コードはアプリによって異なります。見かけ上は同じに見えても別のアプリなどから「コピー&ペースト」で入力すると違ったコードで入力される場合があります。
●LANカードについて
内蔵有線LANカードをインターネット接続とローカルブリッジとで同時に使えているが、分けたということでしょうか。
SoftEther VPNはすべてソフトで処理していますので、速度が遅いと感じるならパソコンの性能を上げた方が効果的でしょう。
また、通信回線、ルーター、クライアントの性能なども影響するので、LANカードを分離する必要はないと思います。
●セキュリティ対策
「いろんな国からのアクセスがあることに対するセキュリテイ上の対策」とのことですが、その対策としてはルーターの対策強化ぐらいです。
仮想NAT、仮想DHCPはLAN内、VPNにより保護された内部ネットワークでの話ですので、外部からの攻撃対策にはなりません。
●3の状態でのLAN内接続テスト
3の状態で動作しているならLAN内部からの接続設定でiPhone/Androidから接続できるはずです。
このテストが通らないならL2TP/IPsecの設定が間違っていることになります。
通るならモバイル回線契約の問題となります。
Solomon様
7月末にご回答頂いて以来です。御無沙汰しています。SoftetherVPNクライアントからは何とか接続できたことから、アメリカで日本の動画サイトを見ることもできSolomon様の指摘に回答せず申し訳ありませんでした。今回、使っていて生じた点含めコメントさせていただくとともに、再度質問とサポートコメントをお願いします。
1点目のパスワードの件は、必ずキーボード入力しています。コピー&ペースト等は使用していません。SoftetherVPNの場合、再インストール時、パスワードをブランクで認証できるケースを経験しております。ネット上のどこかで見つけ、上手くいったので探したのですが見つかりません。
しかし、今回、娘のPCが壊れ、再インストールでなく新規にSoftetherVPNクライアントを前PCでと同様に構築して自宅のサーバーに接続しましたが何度も失敗を繰り返しました。最終的にパスワードをブランクにして接続できました。
パスワードをブランクで「接続」がクリックできることが不思議ですが、接続できました。役に立たない報告かも知れませんが報告させていただきます。
2点目のLANカードはご指摘の通り、分離せずに設定して問題なく使用できています。
このまま使用していく予定です。
3点目のセキュリテイに関する「仮想NATおよび仮想DHCPサーバー機能」の設定は私が勘違いしていたと思います。通す条件を設定することが他を通さない条件ようにはならないのですね。理解ミスでした。
4点目のAndroid端末とipad端末からの接続はその後、SoftetherVPNクライアントが上手くいったことで取り組んでいなかったのですが、未だ接続に失敗します。娘のPCが壊れた時にやはりipad端末が使えればと思い、Solomonさんのページや同様の件で困っておられる方の情報を探してテストしましたが未だ接続できません。
テストしたのは、ご指摘に従い「L2TP/IPsecの設定」を見直してテストしました。、関係ないと思いながら「L2TPサーバー機能を有効にする」の暗号化されないL2TPにもチェックを入れ、UDPポート1701の開放を行ってテストしてみました。接続失敗でしたがserverlogを確認すると、1701ポートへアクセスはしているようでした。Android端末もipad端末も種々接続を試行しているようですが、最終的に認証エラーになります。
「L2TP/IPsecの設定」の3つ目、「拠点間接続VPNサーバー機能」は試していません。試してみるべきでしょうか。ただ、「サーバー機能の詳細設定」方法が良く分かりません。ルーターはプロバイダのレンタルのNEC製Aterm WG1200シリーズです。
チェックすべき箇所、試してみることがあればご指摘いただいたければ幸いです。
フォーラムに同様の方を見つけましたが、その方も私と同様のケースのようですが失敗後が載っていません。そこではOpenVPNを勧めている人がいたので、OpenVPNも試すべく、サーバー設定に取り組みましたがAndroid端末、ipad端末ともプロファイルのインポートに失敗します。
詳細に御回答を頂きありがとうございます。
本来の目的である動画の再生ができたのなら、当サイトへのコメントは気にしないで結構です。
こちらのドキュメントを見てみると、
2.2 ユーザー認証
https://ja.softether.org/4-docs/1-manual/2/2.2
匿名認証になっているとユーザー名さえ合っていれば、ログインできてしまうようです。
ただ、パスワードを入力するとログインできないということですので、ブランクで認証しているように思えます。
試してみましたがユーザーはパスワード無しでも作成できるのですが、Configを見るとハッシュ値が設定されているので、何かしらのデフォルトパスワードを設定しているのかもしれません。
参考にされたという記事を見てみましたが、ユーザーの作成時に「セキュリティーポリシー」にチェックを入れていますが、これは必要ありません。細かな制限をかける必要がないならチェックを外してください。
また「認証方法」が「パスワード認証」になっていることも確認してください。
モバイル機器からの接続は、やはり古いL2TP/IPsecではなくOpenVPNか、iOS/iPadOSならばSSTP Connectを使った方がよいと思います。
この場合、サーバー証明書が正しく構成されている必要があります。
PCのクライアントで接続できているなら問題ないのですが、どうもお話を伺っている感じでは、サーバーの構築のどこかが正しく構築できていないように思えます。
Solomon 様
私もサーバー構築が完全でないと思っており、一方で折角娘が活用できている状態を壊してしまうのが嫌で、仮想HUBを新規に作成して、モバイル対応等をテストすれば正常動作している方には影響ないのではと考えました。
実際に行ってこちらも未だ出来ていないのですが、途中で正常だった方に接続できなくなってしまいました。SoftetherVPNクライアント側から接続時に証明書が変わっている旨のメッセージが出て、そのまま使用する旨の返答で一度は繋がったのですが、2度目は接続できなかったようです。
新たな仮想HUB下でも正常動作していた方に影響するのでしょうか。
コメントを頂きありがとうございます。
SoftEther VPNで使用している証明書はサーバー証明書と固有証明書で、サーバー証明書は「暗号化と通信関係の設定」のサーバー証明書で設定します。
これはサーバー単位で持つもので仮想HUBを追加しても変わりません。
通常は自動生成される自己署名証明書(通称「オレオレ証明書」)を使いますので、この部分を変更しない限り仮想HUBを追加しても影響はありません。また、L2TP/IPsecでは使用しません。
固有証明書が原因の場合、認証方式に固有証明書認証を使わなければ必要ありません。
固有証明書認証を使っている場合、固有証明書は仮想HUBに登録したユーザーごとに作成する必要があり、接続できていたクライアントにテストのため新しい仮想HUBのユーザーの固有証明書を使えば、以前の環境では接続できなくなってしまします。
これらは、認証方式に固有証明書認証を使った場合ですので、既定のパスワード認証を使っていれば、やはり新しい仮想HUBを作っても影響は無いはずです。