[1 Gen]SoftEther VPNによるVPN環境構築(1)概要

SoftEther VPN構築(第1世代)
記事内のリンクには広告が含まれている場合があります

パソコンを外出先から使うならTeamViewerが最適です。データだけならクラウドに置いて作業するのが最近の主流です。

しかし、VPN環境を構築すれば情報漏えいの危険性も無く、自宅にいるようにネットワークを使えて大変便利です。

ここでは数回に分けてVPN環境を構築する手順について説明します。

記事について

旧々サイトでリモートデスクトップ環境構築手段のひとつとして説明したVPN環境構築をVPNとして独立させて記事にしています。

今回は以前の記事の加筆修正に加えて家族間接続(拠点間接続)についても説明します。

利用するソフトは無償ソフトである SoftEther VPNを使います。

SoftEther VPN プロジェクト - SoftEther VPN プロジェクト

基本的には記事に従って設定していけばSoftEther VPN環境を構築できますが、インターネット回線の入り口であるルーターは各家庭で契約が違い、ルーターも異なります。すべての機種について説明することはできませんので、説明を理解して自分が使っているルーターの設定に読み替えられる程度の知識は必要です。

SoftEther VPNの利用目的

VPNとはVirtual Private Network、すなわち仮想プライベートネットワークの略です。

通常、インターネット通信は覗こう思えば覗くことは簡単にできてしまいます。そのように無防備なインターネット通信を暗号化して覗くことをできなくして、あたかも専用線のように使えるようにする仕組みがVPNです。

最近は無線LANルーターやNASなどにVPN機能が搭載され、外出先からスマートフォンやタブレットを使ってアクセスすることは簡単にできます。

VPNで接続すると、あたかも自宅のネットワークに接続しているかのように利用できます。BDレコーダーの予約をしたり、NASのファイルにアクセスすることができます。

しかし、接続した自宅のネットワーク、更にその先に接続したネットワークまで考えるとSoftEther VPNのような汎用VPNサーバーの方が応用が効きます。

その先とは今後説明する家族間接続(拠点間接続)です。通常、拠点間接続とは企業などで離れた拠点間を接続することを意味しますが、一般家庭でも親の家、子供の家、友人の家などのネットワークを接続することで、いろいろな使い方ができるようになります。

今までクラウドに写真を上げて、メールで連絡してクラウドから引いてもらっていた大量の写真のやりとりも、時間があるときに相手のNASにコピーしておけば相手はダウンロードすることなくいつでもNASから見ることができます。

FAXで送っていた指示も、相手のプリンターに印刷するだけです。

業務での使い方を工夫することで経費を削減できます。

SoftEther VPNに関する疑問点

まず、SoftEther VPN環境を構築するにあたり、疑問点を整理しておきます。

SoftEther VPNのサイトやチュートリアルを見ると各機能の概要説明はあるのですが、幾つかの疑問点は解消しませんでした。マニュアルも量が多いため、とりあえずパソコンにインストールしてみましたが使えませんでした。仕方なくマニュアルをよく読んで疑問は解消したのですが、やはり技術者の書く文書は難解です。

チュートリアル - SoftEther VPN プロジェクト
SoftEther VPN マニュアル - SoftEther VPN プロジェクト

以下に私が抱いた疑問点とその回答を列挙します。

Q1.ルーターへの穴あけが必要か

必要です。

最近のソフトは、UPnPで自動的に必要なポートの穴あけをルーターに設定してくれるのですが、SoftEther VPNではダイナミックDNS、NATトラバーサル、VPN Azure、VPN over ICMP、VPN over DNSなどいろいろな機能を使ってNAT越え、Firewall越えができます。

しかし、これらの機能を使うにはSoftEther VPN ServerとSoftEther VPN Clientを組み合わせて使用する必要があります。

iOS端末やAndroid端末の標準機能であるL2TPでVPN通信を行う場合は、ルーターに穴あけの設定が必要です。

L2TPでは、以下のポート/プロトコルについて穴あけを行います。

  • 500/udp
  • 4500/udp

これらのポート/プロトコルでアクセスがあった場合は、SoftEther VPN Serverがインストールされたパソコンに転送するようにルーターを設定します。

また、パソコンから接続する場合は中継機器に余計な負荷をかけないように、

  • 5555/tcp
  • (443/tcp)
  • (992/tcp)
  • (1194/tcp)

を転送設定しておいた方がよいでしょう。標準は5555/tcpなので、それだけで十分だと思います。

パソコンから接続する場合にVPN Azureサービスを使う場合は、この設定は不要となりますが、443/tcpを使うのでhttpsで外部にサイトを公開しているなどの場合は使えません。

また、SoftEther VPNはいろいろな方法でFirewall越えを行うため、企業内の自分のパソコンにSoftEther VPN Serverをインストールして社外から接続するということが簡単にできてしまいます。通常は社内規定で禁止していることが多いので絶対にやらないでください。

Q2.名前解決は、別途必要か

不要です。

インターネットから自宅のネットワークにアクセスする場合、インターネット上での自宅ネットワークの入り口となるアドレスを特定する必要があります。アドレスは固定ではなく、その都度、プロバイダーから割り当てられるため、通常はダイナミックDNSサービスの利用が必須となります。

SoftEther VPNにはダイナミックDNSサービスが提供されており、<任意名>.softether.netのホスト名を取得出来ます。VPN Azureサービスを利用する場合は、ここで取得した<任意名>で、<任意名>.vpnazure.netというホスト名も同時に取得されます。

ただし、この<任意名>はvpn_server.configファイルに記された一意のbyte keyに紐づいており、vpn_server.configをバックアップしておらずパソコンのストレージが故障したりすると、同じ<任意名>は二度と使えなくなります。

また、保証されたダイナミックDNSではありません。より信頼性の高いダイナミックDNSが必要なら、別途登録しておいた方がよいでしょう。

ひとつのグローバルIPアドレスに複数のDNS名が紐づいていても問題にはなりません。

Q3.パスワードを複数設定する必要があるのは何故か

SoftEther VPN Serverは、企業など管理権限が分割されている場合にも利用出来るように階層管理となっているためのようです。

まず、SoftEther VPN Serverというプラットフォーム全体の管理者用にパスワードが必要です。そしてネットワーク毎に設置する仮想HUB毎に管理パスワードが必要です。最後に、仮想HUBに接続するユーザー毎にパスワードが必要です。

SoftEther VPNで使用される仮想HUBは、パソコンショップで数千円で売っているHUBのように、ネットワークケーブルを繋げば直ぐに使えるものとは異なり、接続するためにはユーザー認証する必要がある高価なHUBと同じ機能を持ちます。

Q4.仮想HUBなどの名前が変えられない

仮想HUB、仮想レイヤ3スイッチなどの作成時に設定した名前はサーバー管理マネージャーからはから変更出来ないようです。

そのため、先々、他の場所のネットワークとの接続を考えるなら、何処のネットワークか分かるような名前にしておいた方が良いでしょう。作り直せばよいのですが、仮想HUBはユーザー設定も含むため、作り直すとなると面倒です。

vpn_server.configを直接編集すれば変更可能ですが、不整合が起きる可能性があります。

Q5.ネットワークアドレスはどうなるのか

自宅のネットワークアドレスと同じになります。

SoftEther VPN Serverで提供されるローカルブリッジや仮想HUBは、右から左、左から右とネットワークパケットを単に転送するだけなので、SoftEther VPNで接続する機器のアドレスは、自宅のネットワークアドレスと同じになります。

また、SoftEther VPN接続をL2TPで行うiOSやAndroidでは、ネットワークアドレスを事前に設定出来ません。そのため、自宅ネットワークを固定アドレスで使用している場合は、DHCPサーバーを立てないとネットワークアドレスを取得出来ないので、SoftEther VPNで接続できません。

Q6.SoftEther VPN Serverを別のパソコンに移す場合はどうするのか

SoftEther VPN Serverをインストールしたパソコンが壊れたり、新しいパソコンに置き換える場合は、vpn_server.configをバックアップしておけば大丈夫です

vpn_server.configはSoftEther VPN Serverをインストールしたフォルダーにあります。

まず、修理したパソコンや新しいパソコンにSoftEther VPN Serverをインストールして設定ウィザードは行わず終了させます。

サービスのSoftEther VPN Serverサービスを停止させてからバックアップしておいたvpn_server.configで既存のvpn_server.configを上書きしてからSoftEther VPN Serverサービスを再度開始させます。

パソコンが交換修理となった場合や新しいパソコンの場合は、ローカルブリッジのLANカードのIDが変わってしまうためローカルブリッジを削除して作り直します。

ローカルブリッジ以外の設定は従来のまま使えます。

まとめ

SoftEther VPNについて簡単に説明しました。

今はクラウド全盛で、自分でSoftEther VPN環境を用意する必要は無いと思われるかもしれません。

しかし、クラウドは他人に管理を任せることによる情報漏えいの危険性もありますが、常にクラウドに上げたデータや端末は監視されています。VPNソフトやパソコンOS、どこまで信用するかですが、少なくともクラウド運営会社の業務怠慢で漏えいしたり、公衆無線LAN経由でハッキングされる心配はありません。

設定は多少難しいですが、構築してしまえば使うのは簡単です。個人経営の店舗と自宅などをつなぐといろいろ便利なことも出てくるでしょう。

コメント

タイトルとURLをコピーしました