[1 Gen]SoftEther VPNによるVPN環境構築(2)ネットワーク環境の検討

SoftEther VPN構築(第1世代)
記事内のリンクには広告が含まれている場合があります

SoftEther VPNでVPN環境を構築するにあたり、まず自宅のネットワーク環境について確認しておく必要があります。

また、家族間接続(拠点間接続)を考える場合は、その方法についても決めておきます。

自宅のネットワーク環境

以下の説明ではIPv4を前提に説明します。IPv6の環境も整ってきたのですが検証環境が用意できないため今回はIPv4とさせて頂きます。

最近の家庭のネットワーク環境は、だいたいこのような構成になっていると思われます。

光インターネット回線を契約すると「ブロードバンドルーター」をレンタルすることになります。オプションで「Wi-Fiルーター」の機能を付けられるものもありますが、安価で高速な「Wi-Fiルーター」を購入して接続する方が一般的でしょう。

SoftEtherVPN-network-01

こちらは機能を図式化したものです。「Wi-Fiルーター」はルーターと名前はついていますが、通常は有線LANを無線LANに変換するメディアコンバーター(ブリッジ)として機能しているのが一般的です。

「Wi-Fiルーター」は従来の有線LANを無線に変えただけのもので従来の有線LANハブに相当するものです。ただし無線は隣の住戸からも使えてしまうためWPAなどのセキュリティ機能で接続を制限している点が異なります。

SoftEtherVPN-network-02

「ブロードバンドルーター」はいろいろな機能を内蔵していますが、代表的な機能は「ルーター」「DNSサーバー」「DHCPサーバー」です。

「ルーター」機能

「ルーター」は家庭内ネットワークに接続されたパソコンなどからの通信をインターネットに送り、その応答だけを送ったパソコンに返します。ここで応答だけというのは、インターネット側からアクセスされた通信は遮断するということです。この機能のおかげで家庭内ネットワークは安全に使えています。

また、IPアドレスは有限なため枯渇しています。そのため家庭内ネットワークで利用するIPアドレスはローカルネットワーク専用の192.168.aaa.bbbというIPアドレスを使います。ルーターは家庭内ネットワークの192.168.aaa.bbbというIPアドレスとインターネット側のIPアドレスとの変換をNATまたはNAPTという仕組みで行います。

「DNSサーバー」機能

「DNSサーバー」とは名前からIPアドレスに変換する機能です。インターネット上のサイトは必ずaaa.bbb.ccc.dddというIPアドレスを持っており、通信はこのIPアドレスで行われます。しかし、人はIPアドレスで覚えることは苦手なため、対応する名前を付けて覚えます。例えばこのサイトsolomon-review.netも157.112.145.102というIPアドレスを持っています。

IPアドレスは簡単に調べられます。Windowsの場合、コマンドプロンプトで「nslookup サイト名」と打ち込むとIPアドレスが表示されます。この機能を名前解決と言い、名前解決を行うのが「DNSサーバー」です。

ブロードバンドルーターの「DNSサーバー」は直接名前解決を行うのではなく中継を行います。パソコンなどからの名前解決要求をプロバイダーの「DNSサーバー」に問い合わせて回答をパソコンなどに返しています。

そのため家族間接続(拠点間接続)を行った場合に接続先のパソコンの名前解決をルーターの「DNSサーバー」で行うことはできません。

「DHCPサーバー」機能

IPアドレスとはインターネット上のサイトだけではなくネットワークにつながっている機器全てが持っています。パソコンなどを家庭内ネットワークに接続するだけでインターネットと通信できるのは自動的にアドレスが割り当てられるためです。このアドレスの割り当てを行うのが「DHCPサーバー」です。

「DHCPサーバー」によるIPアドレスの割り当ては恒久的なものではなく貸し出し期間の決められたリース扱いです。パソコンなどはネットワークに接続されたときにIPアドレスのリース要求を「DHCPサーバー」に対して行います。「DHCPサーバー」はIPアドレスとリース時間を返します。パソコンはそのIPアドレスを使って通信を始め、リース時間の半分が経過した時点で「DHCPサーバー」にリース時間の延長を要求します。

パソコンは動作している間はIPアドレスのリースが切れないように延長要求を繰り返します。「DHCPサーバー」はリース満了までに延長要求が無かったIPアドレスについて、既にパソコンは稼働していないと判断して別のパソコンにリースします。

「DHCPサーバー」はパソコンからIPアドレスの要求があった時にリースするIPアドレスとともにルーターのIPアドレスと「DNSサーバー」のIPアドレスも返します。これによりパソコンは名前解決をどこへ要求すればよいのか、家庭内ネットワーク以外と通信するにはどこに転送すればよいのかが分かります。

 

以上が家庭内ネットワークにおける「ブロードバンドルーター」の主な動作です。

家族間接続(拠点間接続)の2つの方法

家族間接続(拠点間接続)などする気は無いという場合でも、できればこの部分は読んでおいてください。

SoftEther VPN環境を構築した後でも家族間接続(拠点間接続)は可能ですが、設定を大幅に変更しなければならなくなる可能性があるためです。前もって設定しておけば追加設定だけで家族間接続(拠点間接続)が可能となります。

家族間接続(拠点間接続)の方法は大きく、ブリッジ接続と仮想レイヤ3スイッチ接続の2つがあります。

こちらが「ブリッジ接続」で、

SoftEtherVPN-network-03

こちらが「仮想レイヤ3スイッチ接続」です。(概念図なので物理的な構成とは異なります)

SoftEtherVPN-network-04

単に接続に使っている機能が「ブリッジ」と「仮想レイヤ3スイッチ」との違いに見えますが、大きく違いますので説明します。

ブリッジ接続

ブリッジ接続とは同じネットワークとして接続するということです。同じネットワークなので両方とも192.168.aaa.0というネットワークでつながっています。(ネットワークのIPアドレスは最後の項目を0として表します)

メリット

同じネットワークであるため、BDレコーダーの番組をDLNA経由でパソコンで視聴することもApple TVなどを使ってAirPlayでゲームの中継をすることも可能です。同じネットワークなので片方の家族から他方の家族のネットワークに接続されている機器を自由に使うことが可能となります。

デメリット

前項で説明したようにブロードバンドルーターがネットワークを管理しています。ブリッジで同じネットワークとしてつながるとブロードバンドルーターが2台存在することになります。ブロードバンドルーターは通常192.168.aaa.1というIPアドレスですが、2台存在するため片方を通常とは違うIPアドレスに変える必要があります。

また、DHCPサーバーも2台存在するため同じIPアドレスを違うパソコンに割り当てないように担当するIPアドレス帯域を制限する必要があります。例えば家族(A)のDHCPサーバーは192.168.aaa.10~192.168.aa.19、家族(B)のDHCPサーバーは192.168.aaa.20~192.168.aaa.29などとです。

帯域を制限してもパソコンがIPアドレスのリースを要求した時、どちらが答えるか分かりません。仮に家族(A)のパソコンに家族(B)のDHCPサーバーが答えてしまうと、そのパソコンは家族(B)のブロードバンドルーター経由でインターネットにアクセスすることになります。ブリッジに障害が発生して接続が切れてしまうとそのパソコンは家族(B)のブロードバンドルーターと通信できずインターネットにアクセスできなくなります。

これらの問題からブリッジ接続の場合はDHCPパケットを遮断するかDHCPサーバーを止めて固定IPアドレスを使った方が安全です。固定IPアドレスを使う場合はネットワークに接続する機器をすべて書き出し、IPアドレスを割り振って、そのIPアドレスを1台ごと設定していきます。非常に面倒であることは想像できるでしょう。

更に外出先からスマートフォンなどでSoftEther VPN環境に接続する場合は固定IPアドレスが使えないため、モバイル接続専用にDHCPサーバーを立てる必要があります。

仮想レイヤ3スイッチ接続

仮想レイヤ3スイッチ接続とは、今ある状態のネットワークをそのまま接続することです。ただし、接続するためには予め各家族のネットワークアドレスを重複しないように決めておく必要があります。例えば家族(A)は192.168.aaa.0、家族(B)は192.168.bbb.0などと、aaa、bbbの部分を重複しないように決めておきます。

メリット

ネットワーク構成の変更がブロードバンドルーターのネットワークアドレス変更だけで済みます。家族ごとの管理も今まで通り他の家族を気にせずに行えます。

デメリット

ルーター越え(仮想レイヤ3スイッチ越え)が行えるアプリケーションしか使えません。

BDレコーダーへの予約などは行えますがDLNAでの視聴はできません。家庭用のプリンター、例えばCANON製などは同一ネットワークにあるスマホからしか印刷できません。AirPlayやMiracastも使えません。

基本的にIPアドレスでアクセスできる機器との通信だけが行えます。業務用のプリンターは使えますし、家庭用のプリンターでも設定をIPアドレス指定に変えれば印刷は可能です。NASなどはIPアドレスで指定すればアクセスできます。

AirPlayはルーター越えができないのですが、AirServerというソフトを使うとルーター越えができます。

AirServer Connect - The Most Advanced Screen Mirroring Receiver
AirPlay + Google Cast + Miracast. AirServer Connect can transform a simple big screen or a projector into a universal sc...
‎AirServer Connect
‎AirServer Connect assists you in discovering AirServer on a busy network or when you have multiple subnets / VLANs (but...

どちらを選ぶか

できることに制限の無いのがブリッジ接続です。ただし、ネットワークの設定が煩雑となります。友人同士で接続する場合も、いろいろ申し合わせが必要になります。

仮想レイヤ3スイッチ接続はできることが限られる代わりにネットワークの設定は簡単になります。友人同士で接続する場合もネットワークアドレスの申し合わせだけであとは自由に設定できます。ファイル共有やリモートサポートなどリソースの共有程度なら仮想レイヤ3スイッチ接続で行えます。

今後の記事では仮想レイヤ3スイッチ接続での構築方法を説明します。

設定シートの準備

SoftEther VPN環境を構築するにあたり設定が必要な値がいくつかあります。

それらをメモしておくための設定用紙かテキストファイルを用意してください。設定値の項目一覧はこちらのファイルをダウンロードして頂くか、

アイコン
SoftEther VPN Server設定シート Ver.3.0

SoftEther VPN ServerでVPN環境を構築する場合に使用する設定値を記入するシートです。

こちらの項目を書き写してください。

SoftEther VPN Server設定シート Ver.3.0作成日:20XX/XX/XX
更新日:20XX/XX/XX
作成者:1.ネットワークアドレス:192.168.XXX.0
2.ブロードバンドルーター IPアドレス:192.168.XXX.1
3.仮想レイヤ3スイッチ IPアドレス:192.168.XXX.254
4.DHCPサーバー 開始IPアドレス:192.168.XXX.XXX
5.DHCPサーバー 割り当て個数:XXX
6.SoftEther VPN Server パソコンIPアドレス: 192.168.XXX.XXX
7.SoftEther VPN Server 管理者パスワード:
8.SoftEther VPN Server ダイナミックDNSホスト名:
9.仮想HUB名:
10.仮想HUB 管理用パスワード:
11.IPsec事前共有鍵:
12.仮想HUB ユーザー名:
13.仮想HUB ユーザーパスワード:

まず、ここまでの説明でどのようにSoftEther VPN環境を構築したいのかを決めてください。モバイル機器からの接続方法についてはiOS機器とAndroid機器については説明致します。

家族間接続(拠点間接続)に関しては今回はやらないとしても仮想レイヤ3スイッチ接続を前提として考えておいてください。すなわち接続する可能性のある相手側のことも考えてネットワークアドレスを決めておくということです。

一般的にブロードバンドルーターのデフォルトのネットワークアドレスは192.168.1.0や192.168.11.0などです。それらと異なるネットワークアドレスにしておけば相手側の環境を変更せずに接続できる可能性があります。

また、ネットワーク機器は一般的に192.168.XXX.250以降のIPアドレスを使いますので、ここでは仮想レイヤ3スイッチを192.168.XXX.254としています。

以上のことを考慮して、

  1. ネットワークアドレス:
  2. ブロードバンドルーター IPアドレス:
  3. 仮想レイヤ3スイッチ IPアドレス:

までを記入しておいてください。

まとめ

簡単に家庭内ネットワークと家族間接続(拠点間接続)について説明しました。

ネットワーク用語で分からないことがある場合は調べてみてください。

コメント

タイトルとURLをコピーしました