SoftEtherで仮想専用ネットワークの構築
SoftEtherで仮想専用ネットワークの構築

=簡単VPNの構築で外出先から保存した動画を鑑賞する術=

 「SoftEther VPN 2.0を個人用途で使用」は →ここから
(04.03.12作成、04.08.12最終)
SoftEtherは登 大遊氏が2003年12月に発表したフリーのVPNソフト。 公式サイトはここ

VPN(Virtual Private Network仮想専用網)とは、汎用的な通信回線を利用して専用ネットワーク
  を実現すること。および、そのためのネットワークシステムのこと。
・大企業などは, 本店と支店との情報をやり取りするために会社専用の回線を設置したりすることがある
 が、これは工事費や維持費などが莫大な金額となってしまうという問題がある。
 そこで、電話回線やインターネットなどの安価な回線を利用し, 情報を暗号化して転送するシステムを
 構築し、回線に関する費用を安くすることを実現したものがVPNである。
 しかし、この種のソフトはUNIX系のものがほとんどで、利用するには高価なソフトと対応機器が必要な上、
 設定が難しく、高度なネットワークの知識を必要とする。
・Windows2000/XP/2003Server付属のソフトでも、VPNパススルー対応のルーターを用意すればPPTP、
 L2TP/IPSecプロトコルを用いたVPNサーバーの設定は可能。 しかし、ブリッジ接続が出来ないので
 PC toLAN接続の構築には、別途VPNルータ(VPNゲートウェイ)の購入が必要。また、クライアント側の
 ファイアウォールにも穴開けが必要なため、導入してない施設での使用はセキュリティ上問題が多い。
 WindowsでGUI利用可能なVPNプロトコルの比較」を参照

SoftEtherはWindows2000/XP/2003Server上で動作し、ファイアウォール越しにプライベートLANを構
築でき、通信の暗号化にはSSL(Secure Socket Layer:128bitRC4互換アルゴリズム)を使用しており
安全性が高い。しかも、専門知識や特別な機器を必要とせず、無料で簡単に構築できてしまうという画
期的なソフトである。

以下、私の環境でのSoftEther Version1.0の使用経験を、ルータやパーソナルファイアウォールの設定
方法も含めて概略する。

SoftEtherの設定:「ブリッジ接続」の場合は桃色で説明。アクセス制限は赤色で記述。
  ネットワークのシステム図
 
1.事前準備へ 2.SoftEtherのインストールへ 3.仮想LANカードの設定 4.ルーターの設定へ 5.ブリッジ接続 へ 6.ルーターの再設定へ 7.仮想HUBの設定へ 8.仮想LANカードの接続へ 9.自宅PC仮想LANカードの設定と接続へ 10.パーソナルファイアウォールの設定へ 2.SoftEtherのインストールへ
クリックすると
ジャンプします
 
*クライアント(自宅)のルーターやPCのパーソナルファイアウォールは特別な設定
  を必要としない。
  

1.事前準備
 1) ブロードバンドのネットワーク環境:
    医院は現在、FTTH(Bフレッツ)に加入。
    ・・・実測下り速度 22〜43Mbps  商品表示に偽りあり!プロバイダが問題か?
    ・・・実測上り速度 11〜29Mbps  ←変動大きく、動画サーバーとしては不満足(;ヘ;)
 2) 医院サーバーPCのルータ用にダイナミックDNSサービスからドメインネーム(DDNSホスト名 )
   を無料で取得。
 3) 各PCにNortonのPersonal Firewall(&AntiVirus)をインストール。

2.SoftEtherのインストール
 仮想LANカードコンポーネントと仮想HUBコンポーネントをともにインストールする。
 (1)仮想LANカードデバイスドライバ (2)仮想LANカードサービス  (3)仮想HUBサービス
  がインストールされる。
 クライアント(自宅)PCは「SoftEther ドライバとサービスの設定」で(3)をアンインストール可能。
3.仮想LANカードの設定(医院PC)

  SoftEther仮想LAN接続のインターネット
  プロトコルのプロパティでIPアドレスを手動
  で設定する。
  動作が混乱しないように、ルーターか
  ら割り振られている実際のIPアドレス
  ファミリーとは別のアドレスを指定する 。
   
4.ルーターの設定(医院)
 1)コレガ BAR SW-4P HGを使用。
 2)SoftEtherが利用するポート(ネイ
  ティブのTCP/7777)を外部に公
  開する。
  仮想HUBサーバーとなるPCのIPア
  ドレスは固定に設定し、これをポー
  トフォワード先に指定する。

 注意:
  ポートフォワード先は仮想LANカードではない。
 なお、クライアント(自宅) のルーターはTCP/7777のポートを開く必要はない !!
システム図へ戻る
5.ブリッジ接続 (医院PC)
 WindowsXPでは、実際の物理的LANカードとSoftEther仮想LANカード
 をブリッジ接続すれば、医院内のLAN接続された機器が外からアクセス
 可能となる。すなわち、PC to LAN接続が構築される
 ただし、Windows2000にはブリッジ接続機能なし。

 [Ctrl]キーを押しながら、ロー
 カルLANカードと仮想LANの
 アイコンをクリックして両方を
 選択した状態にする。
 マウス右クリックして、ブリッ
 ジ接続を選択する。  

 ブリッジ接続されると、ローカ
 エリア接続のIPアドレスは失
 れ、自動的にルーターから
 「ネットワークブリッジ」にIPア
 レスが割り振られる。
システム図へ戻る

6.ルーターの再設定(医院)
 自動で割り振られた「ネットワークブリッジ」のIPアドレスを固定に設定し直して、ポートフォワード
 先に指定し直す。
 参考:一旦ルーターを工場出荷時に初期化してから、IPアドレスを固定し直した方が整理し易い。

システム図へ戻る
7.仮想HUBの設定(医院PC)
 1)SoftEther仮想HUB管理クライアント
  を起動する。
  「このコンピュータ」で接続。


 
 2)仮想HUB管理コンソール(Telnet)
  が起動する。
  管理者パスワードを入力して、
  →(1)を入力して、ユーザー管理
  →(2)を入力して、ユーザー作成
  に進む。
  ユーザー作成ではユーザー名と
  パスワードを指定
  仮想HUB ID:0
  その後のセキュリティオプションは、
  全てEnterキーで無効にして終了。
 *SSLを利用したサーバーを立ち上げる場合
   は、「プロトコル管理」でプロキシ経由接続
   のポート443を変更しておく必要がある。

8.仮想LANカードの接続(医院PC)
 1)SoftEther接続マネージャを起動
  して、「接続の設定」をする。
  ・接続名は「localhost」としておく。
  ・仮想HUBに登録したユーザー名と
   パスワードを入力
  ・使用プロトコルは「TCP/IP接続」
  ・接続先は「localhost 」
  ・ポートは「7777」
 2)localhostを右クリックして自身の
  仮想HUBに接続する。
 3)予期せずマシンの再起動が起った場合に備えて、自身の仮想HUBを右クリックして
  「スタートアップ接続に設定」を選択する。
9.仮想LANカードの設定と接続(自宅PC)

 1)SoftEther仮想LAN接続のIPアドレスは、
  ・医院PCがブリッジ接続していなければ、医院PCで手動設定したIPアドレスのファミリーで指定する。
  ・医院PCがブリッジ接続されていれば、「・・自動的に取得する」に設定する。   
   →接続されると、病院側ルーターからIPアドレスが自動的に割り振られる !!
 2)SoftEther接続マネージャを起動し、  
  ・接続名は医院としておく
  ・仮想HUBに登録されているユーザ
   ー名とパスワードを入力
  ・接続先は医院ルーターのDDNS
    ホスト名を入力。
 3)医院の仮想HUBに右クリック接続する。

10.パーソナルファイアウォールの
  設定(医院PC)
 Norton Personal Firewallを使用
 1)ネットワークの信頼ゾーン:
  LAN内コンピュータ:実際のLAN
  以外にもSoftEther仮想LANカー
  ドアダプタも追加する。
  ただし、ブリッジ接続の場合は
  する必要なし。

 2)SoftHUB.exeのプログラム制御
  通信:TCP/すべての種類とする(TCP/7777のみ許可に限定すると何故かアクセス出来ない!)。
  コンピュータ:LAN内IPアドレスファミリ及び自宅のPCが利用すグロバルIPアドレスのみ
  限定する Win版はNameベースに未対応でDDNSホスト指定は通用しない)。

 =自宅のIPアドレスが変動する場合の対応策=

初めはどのIPアドレスでもアク
セス出来るように、アクセス制
限のない「SoftHUB(全許可)」
を有効にして起動しておく。
自宅からアクセスした後に、
VNCよるPC遠隔操作
「SoftHUB (自宅のみ) 」に
自宅のIPアドレスを入力し、
これのみを有効にして最上
部に変更する。

しかし、Windows版Norton Personal
Firewallは再起動後に元へ戻ってしま
うという怪奇な挙動をする!
結果:
 1)ブロードバンドのWindowsユーザーが施設内・外で自由にデータを利用できる専用のネットワーク
  環境が簡単に構築出来てしまう。これは驚嘆だ!

 2)ブリッジ接続とすれば、自宅PCからMacintoshやLindowsとのファイル交換及びLinkStation
  (LAN接HDD)の共有使用が可能となる !!
 その際、ネットワークブリッジの共有機能を無効にして医院PCとの
 共有不可の状態に設定しておいても可能だ。
 このことは、公開のWebサーバーと私的な仮想HUBサーバーを同時
 ち上げる場合にはセキュリティ的に有用であろうか?

 ネットワークのマウントを速攻表示するには、
  1) VNCを同時に起動しない。 
  2) Firewallソフトを一次停止する。
  3) LANカードを追加使用している場合は、ルーターのIPアドレス
   固定を内臓LANアダプタのみにして、LANカード経由でSoftEther
   を使用しない(仮想LANに IPアドレスが割り振られないことがある) 。 
 

 3)CATVインターネットを使用していると、そのプロバイダーに接続してホームページを更新するに
  は当CATV網内のPCのみで可能と、極めて不便であった。
  ブリッジ接続としてあれば、外部から当CATV網に参加出来るのでこのストレスが解消される !!

 4)Yahoo!メッセンジャーによるインターネットテレビ電話は、ルータを使用すると拡張ビデオモード
  が有効にならない等の不便があり、危ないDMZ(De-Militarized Zone:非武装地帯)でチャットす
  する羽目になってしまう。
  Yahoo!メッセンジャーがどれ程の容量で画像・音声を送受信しているのかは不明だが、本VPNを
  経由して使用しても、明らかな転送速度の低下等実用上の支障は認められなかった。


 5)本ソフトは暗号化して交信するため、配信動画の転送速度が3分の1に落ちてしまう。
  現在病院側の実測上り速度 11〜29Mbpsだが、自宅のCATVの実測下り速度4Mbps前後のた
  め、1.0MbpsのDivX動画の視聴には問題ないが、1.6Mbpsになると時々コマ落ちしてしまう。
  従って、録画保存した映画(MPEG2標準画質 4Mbps)を視聴するためには、ホスト側の上り速
  度は無論、クライアント側下り速度も12Mbps以上は必要ということになる。

 
*Link Stationとは
  バッファロー製のLAN接続型外付けHDDで、NAS(Network Attached Strage)の一種。
  その本態は組み込みLinuxで、内向けSamba/Appleファイル/FTPサーバー機器である。
  「LinkStation/玄箱 をハックしよう」を参照。
*MacのSambaサーバーのカスタマイズ法
 Sambaとは、UNIX系マシンをWindowsネットワークに参加させてファイル/プリントサーバに
 するオープンソース・ソフトウェア。
 MacOSX10.2から標準で搭載されているが、初期設定ではホームディレクトリにしかアクセス
 できない。 そこで以下の如くカスタマイズする。
 Terminalを起動してpicoでsmb.cofを編集:
 1)workgroupをWindowsに統一
 2)ホームディレクトリへのアクセス制限
 3)任意のディレクトリ(フォルダ)を公開



SharePoints(フリーソフト)を利用
すれば、GUIで直感的に共有フォル
ダとアクセス権の設定が可能だ。
 なお、「Windows共有」を開始する場合はパーソナルファイアウォールで、LAN内IPアドレス
 ファミリーのコンピュータのみを許可とする。
結語 :
 1) ごく簡単にVPNが無料で構築出来、遠方のローカルLAN内のファイル共有が可能なので、何処か
   「大穴」が空いてないかと心配になってしまう。
 2) NASに録画保存した映画を視聴するためには、双方ともにFTTHの導入が必要である-y(^o^)..oO○



| Kenのムービー計画へ >動画狂コーナーへ |