はじめに | ホームVPN 実験室

このサイトの由来とVPNの立ち位置について説明します。

サイトの分離
目標とするもの
VPNとゼロトラスト
まとめ

サイトの分離

このサイトはSolomonレビューから分離したものです。

Solomonレビューではパソコンに関連することとしてネットワークに関することも取り上げています。その中でSoftEther VPNを利用したVPNサーバーの構築を説明しました。

最初は「艦これ」を外出先でもやりたいという理由でした。艦これは当初ブラウザ上で動作するAdobe Flashで作成されていたためiPadのSafariでは動作せず、他のブラウザも提供側のサーバー上のFlashで動作させたものを表示させている状態で動作が安定しませんでした。しかもFlashがクラッシュするとペナルティを課せられるという理不尽なゲーム運営で、Flashを安定して動作させるのはプレイヤーの責任とされていました。

結局、自宅のパソコン上のIEでFlashを動作させ、リモートデスクトップで外出先からプレイするのが最善ということになりました。

Windows Home Server 2011を使っていたのですがプロダクトが終了し、Windowsでリモートアクセスサーバーを立ち上げるためにWindows Serverを購入するのも割が合わないと判断し、他の方法を模索しました。

そして選定したのが、正式版が出る前に使ったことがあるSoftEtherの後継のSoftEther VPN Serverです。VPNサーバーの立ち上げははじめてだったので、詳しく調べながら少しずつ構築していき記事にしました。それが2016年です。実際に構築したのはその2年前なので記事の情報自体は2014年のものでした。

その後、艦これもやらなくなり、別の用途として親の家のネットワーク周りのリモート管理とFAX費用削減を考えて、親の家のネットワークと自分の家のネットワークを接続することを考えました。これも家族間ネットワークの接続ということで記事にしました。それが2017年です。

その間にもネットワーク環境は急速に進化しました。一番の問題はIPv6の普及です。

ある時期からSo-netのネットワークが異常に遅くなり、光回線なのにADSLよりも遅い状態になりました。フレッツNEXTなのでフレッツサイトで速度テストをしても十分なスピードが出ており、原因はSo-net側であることは明確でした。遅い状態は一時的なものではなく数か月続き、プロバイダーを変更しようかと検討したのですがどこも同じ状況のようで諦めていました。

そんな時にSo-netがv6プラスを提供するとのことで早速申し込みました。速度は改善したのですがv6プラスの仕様でVPN接続ができなくなってしまいました。

いろいろ調べて試行錯誤をした結果、OpenVPNまたはSSTP Connectというアプリを使うことでVPN接続をできるようになりました。試行錯誤の過程でIPv6というものを調べていくうちに、VPNサーバー構築でIPv6に触れずに説明するのは問題があると思うようになりました。また、あえて避けていた証明書の問題も取り上げないわけにはいかなくなり、記事を書き直すならプラットフォームもLinuxまで拡大して書き直すことにしました。ただ、Solomonレビュー[redémarrage]でLinuxを扱うのはユーザー層と合わないと思うため、今回、こちらのサイトに分離しました。

目標とするもの

こちらのサイトでお伝えすることは個人または個人事業主を対象としています。それ以上の規模の企業ならSIerにシステム設計を頼むべきです。扱う情報によっては漏洩した場合のことを考えると専門家に頼んだ方が安全ですし、責任の所在も明確になります。

個人や個人事業主にはシステム設計費用や運用・保守費用の捻出は固定費となるため負担が大きいでしょう。構築・運用の手間と漏洩リスク、失うものなどを考慮して、自分で作るか委託するかを選択してください。

こちらのサイトで目標とするものは3点以上の拠点間接続VPN環境です。個別のVPNサーバーへのクライアント接続も含みます。

通常拠点間接続は本社を中心とする支社との接続のようにスター型のものが一般的です。ただ、この方法で個人の家庭間を接続してしまうと不都合があります。例えばA、B、Cの3者間で接続する場合にAをスターの中心に置くと、B-C間での通信でもAの通信帯域が使われてしまいます。十分な帯域があれば問題無いかもしれませんができればAの帯域を使わないことが理想です。そのため、ここで目標とするのはB-C間の通信では直接通信できるようにA、B、Cで不公平が発生しないメッシュ型VPNを目標とします。

拠点間のVPN接続はIPv6のL2接続とします。クライアントからの接続はIPv6またはIPv4でのL3接続とします。モバイル回線ではIPv6に対応しているキャリアが少ないため、その場合はIPv4での接続となります。またモバイル端末はL2接続ができないように制限がかけられているためL3接続となります。

プラットフォームはWindows 10またはWindows 11としますが、サーバー証明書の自動更新のためにLinuxが必要です。WSL2上のLinuxを使うかVPNサーバー自体をLinuxとするか、どちらでも構築できるようにするつもりです。

各拠点内および拠点間の通信はIPv4とします。これはSoftEther VPN Serverに搭載されているL3スイッチの制限です。そもそもIPv6で通信するならVPNトンネルなど作らなくても暗号化通信は可能ですので、そのあたりも含めて検討課題です。

VPNとゼロトラスト

ゼロトラストの本を読むとセキュアな通信と言われてVPNが出てくるようではダメダメだと書かれています。ゼロトラストとは「ネットワークはすべて危険なもの」という認識で「何も信頼しない」ということです。

今までのネットワークは、ファイアウォールで区切られた安全なイントラネットと危険なエクストラネットという認識でした。ファイアウォールに守られたイントラネットではサーバーや各端末のセキュリティがザルでも、安心してネットワークを使えると言ものです。古い考えではなく、今も家庭のネットワークはこの考えで構築されています。VPNも安全なイントラネットと安全なイントラネットとを危険なエクストラネットをVPNトンネルというもので接続することで、安全にイントラネット同士を接続するものです。

では何が問題かというと、攻撃がどんどん高度化して今までの単純なユーザー名とパスワードの認証では簡単に突破されてしまうからです。アクセス先のサーバーもDNS情報を書き換えられることで危険なサーバーに誘導される場合もあります。それらに対抗するための多重認証やサーバー証明書など個別に用意して設定するのは煩雑で難しいものです。また、トラフィックがVPNサーバーに集中するためテレワークなど一気に接続数が増えると処理しきれなくなるという問題もあります。

そこでクラウドの認証プラットフォームに委託し、利用者はそこを経由することで安全にアプリケーションを利用できるというものです。

この方法では、サーバー側は認証プラットフォームとはアプリケーションごとに接続するため、新たなアプリケーションを必要とする場合は新たな接続（契約）が必要となます。すなわち構築したら終わりではなく、認証プラットフォームの利用料と新たな案件の受注という、認証プラットフォームにとっては非常に美味しい商売です。

しかし、個人や個人事業主がやりたいことはそんな大がかりな物ではありません。友人間でのデータ共有、クラウドには置けない重要な情報の共有、海外からの国内テレビの視聴、離れた家族のパソコンのメンテナンスなどです。もちろんIPv6を扱う上でゼロトラストの考え方は無視できません。それでも認証プラットフォームなどクラウド環境を利用するまでもありません。また、クラウドのデメリットもあります。

したがって、ここではあくまでVPNでのセキュアなネットワーク構築を目指します。