| 項目 |
内容 |
| 目的 |
インタネットを介してノートPCと自宅のデスクトップPCを接続してよりセキュリティの高いファイルへのアクセス、コピーなどを可能にします。
|
VPNとは |
VPN(仮想プライベートネットワーク)とはアスキーデジタル用語辞典によれば
「インターネットを経由するにもかかわらず、拠点間を専用線のように相互に接続し、安全な通信を可能にするセキュリティ技術。「仮想専用線」「仮想私設網」
などと呼ばれる。コストのかかる専用線の代替になる新しいインフラとして、企業を中心に着実に浸透している。VPNを利用した通信を行なうには、接続点に
VPN機能を備えた専用装置(以下、VPN装置)が必要だが、最近ではルータやファイアウォールにその機能が含まれるものも多い。…」
です。
以下の図では本社ネットワークと支店ネットワークおよびリモートアクセスPCがVPNを構成します。
 |
SoftEtherとは |
SoftEtherのニュースリリースの概略は以下のとおりです。
"SoftEther" とは、"Software Ethernet" (ソフトウェア的なイーサネット) の略語です。Ethernet
は現在ほとんどの LAN で利用されている通信方式であり、これをソフトウェア的にエミュレートすることにより仮想ネットワーク (VPN)
を構築することが可能です。現在、SoftEther ソフトウェアは Windows 2000、Windows XP、Windows Server
2003 に対応しています。
SoftEther は、現在の制限の多い LAN
やインターネット上で、完全に自由な通信を行うために開発された仮想ネットワーク通信ソフトウェアです。SoftEther
の仮想ネットワークにより、離れた場所にあるコンピュータ同士やネットワーク同士を、暗号化されたカプセル化通信により接続することができます。途中にファイアウォールやプロキシ
サーバーが存在する場合も、それらの障壁を回避して通信可能です。
SoftEther を他の VPN システムと比較した際の特徴を簡単に挙げると、以下のようなものがあります。詳細の比較はこちら
| ● |
Ethernet をエミュレートする仮想ネットワークを構成する。 |
| ● |
構築した仮想 LAN と、既存の物理的な LAN の間で ブリッジ接続 を行うことができ、ネットワーク的に 1 つのセグメントとして認識される。 |
| ● |
仮想 LAN カードはカーネルモードで動作し、OS やアプリケーションにとって透過的にアクセス可能であるため、既存のアプリケーションの修正が不要。 |
| ● |
ブリッジ接続を活用すると、離れた場所にあるネットワーク同士を接続することもできる。 |
| ● |
インストール、設定、構築、管理がとても簡単にできる。クライアント側の操作も、アイコンをダブルクリックするだけで接続できるなど、大変わかりやすくなっている。 |
| ● |
ほとんどのファイアウォールや NAT、Proxy を経由して (制限を回避して) 仮想
HUB に接続可能であるため、ネットワーク管理者は既存のファイアウォールに穴を開けるといった、危険な設定をすることなく、SoftEther
を導入できる。 |
| ● |
OS のサービスとして動作するので、コンピュータ起動時に自動的に接続させることが可能である。そのため、SoftEther
越しにサーバーも運営可能である。 |
| ● |
SoftEther はフリーソフトウェアです
|
|
VPNの構成 |
■PVNの構成
プライベートネットワークのPCとノートPCをインタネットを経由してVPNで接続します。
| 仮想Hub |
プライベートネットワーク内のPC1台にSoftEtherの仮想Hubソフトをインストールし、ダイナミックDNS+静的IPマスカレードを使い仮想Hubがインタネットからインタネットドメイン名でアクセスできるようにします。 |
| 仮想LANカード |
VPNを構成するPCにSoftEtherの仮想LANカードをインストールして起動します。OSからはLANカード2枚(仮想LANカードと実LANカード)が見えるようになります。
 |
|
VPNの設定 |
■仮想Hubの設定
仮想Hub設定ツール「SoftEther仮想Hub管理クライアント」を使って以下を設定します。
| 項目 |
設定内容 |
| 仮想Hub設定ツール |
「SoftEther仮想Hub管理クライアント」を起動し対象のPCにログインします。ログインは実IPアドレスまたはドメイン名を使用します。
------------------------------------------------------------
SoftEther 仮想 HUB 管理コンソール 1.00
Copyright (C) 1997-2004 Daiyuu Nobori, All Rights Reserved.
------------------------------------------------------------
http://www.softether.com/
注意: Microsoft Telnet クライアント (telnet.exe) の使用を推奨します。
* Use Shift_JIS. (シフト JIS を使用してください。) |
|
| ユーザの追加 |
仮想HubにアクセスできるユーザIDとパスワードを設定します。
メニュー番号 :2
新しいユーザーを作成します。
ユーザー名 :xxxxxx
パスワード :******
確認入力 :******
仮想 HUB ID :0 *1
ユーザーのセキュリティオプションを設定します。
表示されているセキュリティオプションを有効にする場合は y または 1 を入力します。
無効にする場合は n または 0 を入力します。
何も入力せずに Enter キーを押すと変更されません。
接続を拒否する (無効) :n
セッション再接続を禁止する (無効) :n
DHCP サーバーが割り当てた IP アドレスを強制 (無効) :n
使用可能な IP アドレスを 1 つに制限 (無効) :n
使用可能な MAC アドレスを 1 つに制限 (無効) :n
既存の IP アドレスとの重複を禁止 (無効) :n
既存の MAC アドレスとの重複を禁止 (無効) :n
ブロードキャストパケットを禁止 (無効) :n
DHCP サーバーの動作を禁止 (無効) :n
すぺての DHCP パケットをフィルタリング (無効) :n
セキュリティオプションの設定が終了しました。
セキュリティオプションは 1 つも設定されていません。
ユーザー xxxxxx を作成しました。 |
*1 仮想Hubは256台のハブを仮想的にサポートします。通常はID=0を設定します
|
| 伝送プロトコルの設定 |
カプセル化されたEthernetプロトコルを伝送する上位のプロトコルを設定します。
[メイン メニュー]
0 - 状態表示
1 - ユーザー管理
2 - セッション管理
3 - プロトコル管理
4 - パスワード設定
5 - ログ管理
9 - ログアウト (切断)
メニュー番号 :3
[プロトコル管理]
各接続プロトコルのポート番号を変更できます。
プロトコル番号を選択してください。
0 - TCP/IP 接続 (直接接続)
1 - HTTP プロキシ経由接続
9 - 終了
プロトコル番号 :0
ポート番号 (7777) :7777
ポート番号を変更しました。
ポート番号の設定は、次の SoftEther 仮想 HUB サービスの起動時から有効になります。
(それまでは、変更は適用されません。)
新しいポート番号での受付を開始するには、SoftEther 仮想 HUB サービスを再起動して
ください。
|
|
■仮想LANカードの設定
| 項目 |
設定内容 |
| TCP/IPの設定 |
仮想LANカードのTCP/IPを設定します。仮想LAN側にはDHCPサーバが存在しないので設定は手動になります。ネットワークアドレスは実LAN側と異なる値にします。
|
| 仮想Hubへの接続 |
「SoftEther接続マネージャ」を起動しVPNに接続する各PCで接続先仮想Hubなどの接続情報を設定した後、接続を実行します。
接続が完了したら以下ように「SoftEther仮想LAN接続」が有効になっているのを確認できます。ここまでで設定は一通り完了です。
|
|
| ルータの設定 |
■静的IPマスカレードの設定
インタネット側から仮想Hubにアクセスできるように静的IPマスカレードの設定を行います。設定はルータのマニュアルに従います。 |
結果 |
以外にも簡単にリモートアクセスが可能になりました。
今回はインタネットからプライベートネットワーク内の仮想Hubへは、ダイナミックDNS+静的IPマスカレードでアクセスを可能にしています。ただしこの方法だと接続中にインタネット側のIPアドレスが変化するようなケースでは接続が切れる可能性が大です。この場合再接続すればOKです。なお自動再接続の可否は確認していません。
VPNではリモート側のPCもプライベートネットワーク内のPCとして構成されますのでftp、telnetやマイクロソフトファイル共用などのサービスを利用できます。以下はリモートアクセスによるファイル共用の例です。当然ですが見かけ上はプライベートネットワーク内の共有と何も変わりません。
SoftEtherによるVPNはファイアウォールやプロキシ、NATを抜けられるので簡単にVPNを構成できますが、逆にセキュリティの上からはVPNの原理を理解したうえで正しく使う必要があります。特に会社-自宅間を接続するときなどは会社管理部門の了解を得ることが必須と思われますから注意しましょう。
またVPNと実LANはWinXPなどでサポートしているブリッジ接続によりVPNに接続していないPCも同一ネットワークのPCとしてアクセスが可能になるようです。ただネットワーク管理上、仮想LANから社内のネットワークにブリッジ接続するようなことは絶対避けるべきです。
|
