SoftEther VPN 2.0を個人用途で使用
SoftEther VPN 2.0を個人用途で使用
 
SoftEtherVPN2.0の改良・変更点 (詳細は公式サイトをご参照下さい)
(05.04.22作成、05.10.10更新)
1) GUI操作によるサーバ設定の改善:
  SoftEther1.0ではサーバー管理のための設定をコンソール画面で行う必要があったが、2.0
  はGUI(グラフイカル・ユーザー・インターフェ−ス)に変わったため、操作が容易になった。
  また、登録ユーザーの管理方法も大幅に改善され、リアルタイムで管理出来るようになった。
2) セキュリティー機能の向上:
  1.0のセキュリティー機能は、ユーザー名とパスワードによる認証のみという簡素なものだった。
  2.0ではNTドメインコントローラーやActive Directoryを利用した認証、さらには証明書認証や
  PKI 認証(「住民基本台帳カード」を使用したユーザー認証)、スマート カードを使用した認証に
  も対応するなど、複数の認証方式が用意された。
  また、高度なセキュリティーポリシーやログ管理機能も搭載され、「管理オプション」による制限
  機能などセキュリティー面は大幅に強化された。
3) 通信パフォーマンスの安定化と高速化:
  1.0では通信パフォマンスが低下することがあったが、2.0では通信速度が大幅にアップした他、
  上り回線と下り回線をそれぞれ独立させ、通信パフォーマンスの安定化が図られた(下図左)。
4) 大規模ネットワーク環境への対応:
  接続できるパソコンの上限や管理できるユーザー数が増えた。
  ユーザー管理を効率化するグループ機能やサーバー同士のネットワークを一体化するカスケード
  接続(下図右、Beta 3.2からはサテライトではVPN Bridge 2.0のみを使用する方式に変更可能)
  や複数のサーバーをグループ化するクラスタリング機能が新たにサポートされた。
  さらに、仮想レイヤ 3 スイッチ機能が搭載され、異なった IP ネットワーク間のIP ルーティングが
  可能となった。


  (ASAHIパソコン05.4.15より引用)
 
以下個人的利用目的で、
SoftEther VPN 2.0 Build 4800 Release Candidate 1 for Windows の使用経験を、ルータや
パーソナルファイアウォールの設定方法も含めてメモした。なお、アクセス制限は赤色で記述した。
1.事前準備
 ネットワーク構成は、サーバーOSをWindows2000とした以外は、1.0で試用した場合と同じ。
 1) ブロードバンドのネットワーク環境:
    サーバーはFTTH(実測上り18Mbps前後)、クライアントはCATV(実測上り4Mbps前後)。
 2) ブロードバンドルータは、コレガ BAR SW-4P HGを使用。
 3) サーバーPCのルータ用にダイナミックDNSサービスからドメインネーム(DDNSホスト名 )を無料で取得。
 4) PCにNortonのPersonal Firewall(&AntiVirus)をインストール。
2.SoftEther VPN 2.0 RC1 for Windowsのインストール
 サーバーPCには、SoftEther VPN Server 2.0(Build 4800 RC1) とSoftEther VPN Client2.0(Build 4800
  RC1)をインストール。
 クライアントPCは、SoftEther VPN Client2.0(Build 4800 RC1)のみをインストール。

3.SoftEther VPN サーバーマネージャ2.0の起動(サーバーPC)
 SoftEther VPN Server Manager 2.0を起動して、「新しい接続設定」ボタンをクリックすると、
 以下のダイアロッグが表示される。
  接続設定名を適当に入力、接続先VPNサーバーをlocalhostに指定し、「管理パスワードを保存しない」
  にチェック。
  OKすると初期画面に戻る。
 接続設定名[VPNサーバ(・・)]をダブルク
  リックすると右画面が表示される
  →そのまま[OK]すると
  [サーバー管理者パスワードの設定]ダイ
  アログが表示されるのでパスワードを設
    しておく。

  →「 VPNサーバーの管理」画面が
   起動する。
4.VPNサーバーの管理

4-1.仮想HUBの作成と管理(サーバーPC)
 「仮想HUBの作成」ボタンをクリックして、「仮想HUBの新規作成」ダイアログで、
  1)仮想HUB名を適切に入力(この名前もセキュリティ上重要)。
  2)セキュリティ設定で管理者パスワードを入力

 新規に作成した仮想HUBを選択して、「仮想HUBの管理」ボタンをクリックすると、
 →「仮想HUBの管理」画面が表示される。
4-2.ユーザーの管理(サーバーPC)
  「ユーザーの管理」ボタンをクリックすると、「ユーザーの管理」画面が表示されるので、
  「新規作成」ボタンをクリックしてユーザー登録を行う。
   1)ユーザー名と本名を入力。
   2)認証方法には、パスワード認証はCHAPに対応してよりセキュアとなったが、今回はさらに堅牢
    な「固有証明書認証」(俗名「SoftEtherチケット」)を利用する。
   3)「証明書作成ツール」をクリックすると「新しい証明書の作成」画面が表示される。
    証明書の種類は、ルート証明書(自己署名証明書)とし、名前・所属・・・・を適当に入力して、
    シリアル番号(16進数)を入力し、OKする。
   4)「証明書と秘密鍵の保存」画面が表示されるので、
    「X509証明書ファイル(CER)と秘密鍵ファイル(KEY)の組み合わせで保存する」を選択する。
    「秘密鍵の保護にパスフレーズを設定する」を選択して、パスフレーズを入力しOKする。
   5)保存ダイアログが表示されるので、ユーザー名を入力して所定の場所に
    保存。
     →このファイルをパスフレーズをメモして、クライアントPCに転送する。

4-3.ローカルブリッジの設定SoftEther仮想HUBと物理的LANカードとをブリッジ接続
  1) 「VPNサーバーの管理」画面の
   「ローカルブリッジ設定」 ボタン
   をクリックする。

  2) 「ローカルブリッジ設定」画面
  「新しいローカルブリッジの定義」
   仮想HUB物理的LANカード
   を選択した後、
   「ローカルブリッジを追加」を
   ックすると動作中と表示。
  →これでサーバー内のLAN接続
    された機器が外からアクセス
    可能となる。 即ち、
    PC to LANが可能。

5.ルーターの設定(サーバー)
 1)コレガ BAR SW-4P HGを使用。
 2)SoftEtherVPN2が利用するポート
  (ネイティブのTCP/8888)を外部
  に公開する。
  仮想HUBサーバーとなるPCのIPア
  ドレスは固定に設定し、これをポー
  トフォワード先に指定する。
  *WindowsXPで物理的LANカードとSoftEther
    仮想LANカードのブリッジ接続をした場合は
    「ネットワークブリッジ」のIPアドレスは変わ
    てしまう為、再設定の必要があったが、
    今回はその様な手間はない。
6.パーソナルファイアウォールの設定(サーバーPC)
 vpnserver.exeのプログラム制御
  通信:TCP/すべての種類とする(TCP/8888のみ許可に限定すると何故かアクセス出来ない!)。
  コンピュータ:LAN内IPアドレスファミリ及びクライアントPCが利用すグロバルIPアドレスのみ
  限定する Win版はNameベースに未対応でDDNSホスト指定は通用しない)。
  →これで、許可していないリモートシステムから vpnserver.exeへのアクセスをブロック出来る。
  なお、「VPNサーバーの管理」画面の「暗号化および通信関係の設定」で、「インターネット接続維持
  機能を使用する」のチェックを取っておかないと、keepalive.se2.softether.com?からの接続を拒否
  する警告が発せられるので煩わしい。

 =クライアント(自宅)のIPアドレスが変動する場合の対応策=
初めはどのIPアドレスでも
アクセス出来るように、ア
クセス制限のない「全許可」
を有効にして起動しておく。
自宅からアクセスした後に、
VNCよるPC遠隔操作
「別宅など制限 」にクライ
アントのIPアドレスを入力
し、これのみを有効にして
最上部に変更する。

7.SoftEther VPN 2.0 クライアント接続マネージャ
7-1.仮想LANカードの設定と接続(クライアントPC)
 SoftEther VPN 2.0 クライアント接続マネージャを起動して、
 1) 「新規仮想LANカードの作成」で、適当な名前(ここではSoftEther2)を付けて、ソフト的にLANカード
   をインストール(エミュレート)する。
 2) 「接続設定の新規作成」を選び、新しい接続設定を作成する。
  ・接続設定は「半二重モード接続」とする。
  ・接続先VPNサーバーの指定では、サーバールーターのDDNSホスト名を入力し、ポート番号8888。
    仮想HUB名は、「仮想HUBの新規作成」で命名した名前を入力する。
  ・ユーザー認証では「標準パスワード認証」ではなく、「クライアント証明書認証」を選択し、「クライア
    ント証明書の指定」をクリックして、
    ユーザー登録時に作成した「X509
    証明書ファイル(CER)」と「秘密鍵フ
    ァイル(KEY)」を呼び込む。この際に
    パスフレーズの入力を求められる。
  ・通信の詳細設定で「高度な通信設定」をクリック
    VPN通信に使用するTCPコネクション数を 6本に設定。
    「半二重モードを使用する」をチェック。
    暗号化と圧縮は初期設定のまま:SSL暗号化通信とし、データ圧縮は使用せず。
 3) 「半二重モード接続」のアイコン部分を右クリックして、「接続」を選択しクリックする。
   →接続すると、仮想LANカーにドはサーバー側ルーターからIPアドレスが自動的に割り振られる !!
   *なお、SoftEther VPN Server2.0は「SecureNAT機能」を搭載しているが、オフに設定。

 なお、クライアント側のルーターやPCのパーソナルファイアウォールは、特に設定をする必要はない。

7-2.仮想LANカードの設定と接続(サーバーPC)
 クライアントPCと同様に設定するが、接続設定名「localhost」で、パスワード認証とする。
 なお、高度な通信設定/接続モードの選択で「ブリッジ/ルータモードで接続」にチェックを入れる必要
 がある。
  但し、1.0ではWindowsXPのブリッジ接続機能(物理的LANカードと仮想LANカードとのブリッジ接続)
  を有効にする為には常時稼動させておく必要があったが、2.0ではその必要は無くなった。


結果:
SoftEther VPN 2.0は、大規模なネットワーク構築も出来るように進化したが、
個人用途での使用具合は、1.0と比較して、
 1) GUI操作によるサーバ設定の改善:断然設定し易くなった。又、仮想HUBの状態やユーザー情報の表
   示が可能となって管理し易くなった。
 2) セキュリティー機能の向上:接続に仮想HUB名を指定する必要が追加された他、「SoftEtherチケット」
   (証明書認証)を使用すれば、セキュリティー強化が期待出来そうだ。
 3) 通信パフォーマンスの安定化と高速化:1.0でも144MbpsとFTTHの最高速度を上回っているので、2.0
   でのスループットの向上を体感出来なかった。

| Kenのムービー計画へ >動画狂コーナーへ |