[付録] h. 国産VPNソフトで世界を繋ぐ ● 国産VPNソフトで世界を繋ぐ * SoftEther VPN とは ソフトイ−サ(株)と筑波大学との共同研究でオ−プン−スで公開 2014/01/04。 VPN Gate は SoftEther VPN の拡張モジュ−ルとして提供されている、 筑波大学の学術実験プロジ ェクトである。サ−バは世界中に5,000台以上。 Windows 付属のVPNクライアントソフトが利用できる、Windows 7/8/RT。会社のパソコ ンをVPNサ−バにする。クライアント用に明示的にIPアドレスがたくさん必要である。 DMZを別に作って、そこで DHCP でIPアドレスを割り当てるようにしないといけない。 VPN Azure Cloud VPNセッションを中継する。外と中継するサ−バを利用すると社内の VPN Server と通信できる。VPN Azure サ−ビス。 VPN Azure サ−ビスは SoftEther VPN プロトコルか SSTP というプロトコルで通信する。SoftEther VPN のプロトコルとは?。 デジタル証明書が使える。Active Directory も利用できる。 新しい証明書の作成でル− ト証明書(自己署名証明書)を作る。クライアント用のデジタルIDをICカ−ドやUSB ト−クンに入れれば二要素認証として強固なユ−ザ認証がやれる。 * 暗号化の暗号化通信 SoftEther VPN で暗号化トンネルをはる。その中を SSL-VPN 接続させる。 意味はどうな るか。特に意味とかは考えなくてもいいのでないか。FTP や TELNET などと同じく HTTPS のプロトコルのパケットが通るというだけである。だいぶ前にこのような事ができるかと ソフトイ−サの会社に電話して聞いたことがある。その時あっさりできると聞いた。 パソコンの個体認証とかファイル存在チェックとかやる場合、どのパソコンが対象になる のか、ちょっと疑問に思ってしまう。1つのVPN接続で認証し、もう1つのVPN接続 で認証する。これって二要素認証といえるのか。異なる方式の認証を組み合わせることが 二要素認証と言うことなので、同じ認証方式を2つでは二要素認証にはならないはず。 [ 参考 ] 「Software Design」 2014/12, P.59〜83, "第2特集 やさしくわかるVPNの教科書" > VPNで広がる世界 第3章 VPN Gate は国境を越える P.81〜83。 「日経NETWORK」 2014/06, P.80〜85, "スマホで接続! 無料で作るリモ−トアク > セスVPN SoftEther VPN で L2TP を使う"。 * SoftEther VPN の設定 SoftEther VPN Server をインスト−ルする。http://ja.softether.org/ から。リモ−ト アクセスVPNサ−バ−、が一番利用が簡単なようでこれを取得して設定してみる。それ で、ダウンロ−ドするソフトウェアを選択 [SoftEther VPN (Freeware) ▼]、コンポ−ネ ントを選択 [SoftEther VPN Server ▼]、プラット−ムを選択 [Windows ▼]。 これでダ ウンロ−ド可能なファイルがリストされた。一杯出てきたがとりあえず次を選択してみた。 "SoftEther VPN Server and VPN Bridge (Ver 4.15, Build 9546, beta)"。2015-4-05版。 〆SoftEther VPN サ−バ−管理マネ−ジャを起動します [接続] クリックして、パスワ−ド henomohe 〆リモ−トアクセス VPN サ−バ− 仮想 HUB 名:[VPN ] 3文字以上31文字以内 ダイナミックDNS機能 [閉じる] でいいみたい。 ↓ 割当てられているダイナミックDNS ホスト名 "vpn224281307.softether.net" グロ−バル IPv4 アドレス "202.241.128.2" 〆L2TP サ−バ−機能を有効にする(L2TP over IPsec)、IPsec 事前共有鍵:[henomohe] ◎VPN Azure を無効にする 1. VPN 接続を受け入れるためのユ−ザ−の作成 [ユ−ザ−を作成する] パスワ−ド認証で ユ−ザ−名:[softuser1] パスワ−ド:[user1desu] ここまででいったん画面を閉じてソフトも終了してみた。やおらソフトを起動した。ロ− カルブリッジの設定をする、VPNの仮想ネットワ−クとLANの実ネットワ−クを繋ぐ。 Windows OSのスタ−トアップに "SoftEther VPN Client Manager Startup" というのが できていた。これで、パソコンを起動する度に SoftEther の画面が出るようになった。 * どんな使い方になるのか 先ずは同じネットワ−ク内で動作をみてみる。サ−バに DHCP サ−バの設定がある。見た ら 192.168.30.0 だった。 ノ−トパソコンのIPアドレスを見たら 169.254.172.248 が ついていた。それで、どうなるのか。 ノ−トパソコンは元々ものIPではIEはプロキシありでないと外をみれない、デスクト ップは元々ものIPではIEはプロキシなしで外をみれる、ファイアウオ−ルでそう設定 している。それで先ずノ−トパソコンからデスクトップにVPN接続してみる。 パソコン単体を接続してのテストをやった。次にネットワ−クを接続してのテストをした。 VPN Server 内の仮想HUBと物理的なLANカ−ドの間を、 ロ−カルブリッジ接続する。 仮想HUBに接続した VPN Client はロ−カルブリッジ接続先のLANに参加する。 仮想LANカ−ド。固定IPアドレスを振る。向こうのネットワ−クにある DHCP サ−バ からIPをもらう。VPNソフトを入れた Windows Server の DHCPサ−バ。SecureNAT設 定で "仮想DHCPサ−バ機能" を使う、"仮想NAT" は使わない。 ・ノ−トパソコンのIPアドレスを見たら APIPA 機能で 169.254.172.248 が付いていた。 ・localhost(このサ−バ−) SoftEther VPN サ−バ−管理マネ−ジャ、画面にて。 ・[仮想 HUB の管理] をクリック、出た画面の [仮想NATおよび 仮想 DHCPサ−バ−機能]。 ・仮想ホストのネットワ−クインタ−フェ−スの設定 IP アドレス:[192.168.30.1]。 ・仮想 DHCPサ−バ−の設定、リ−ス期限:[7200]秒 >> テストのため 120秒 に。 * SoftEther VPN を試してみる [ その1 ] クライアントのソフトをPC2 にインスト−ルした。 VPN Server VPN Client {ネットワ−クとインタ−ネット ->ネットワ−ク □PC1 ←―――― □PC2 接続} の所に"ロ−カルエリア接続ネットワ−ク" |.1 192.168.1.0 |.2 と並んで SoftEther用のネットワ−クアダプタの ----------------------------- "VPN - VPN Client" ができていた。 ------------------------------------------------- | ◇ VPN - VPN Client | マウス右クリックしてプロパティ | ネットワ−クケ−ブルが接続されていません | の TCP/IPv4 を見たらIPアドレ | × VPN Client Adapter - VPN | スは自動取得になっていた。 ------------------------------------------------- VPN接続する際に "VPN - VPN Client" というネットワ−クアダプタを使う。これにあ らかじめIPアドレスを振っておくか、SoftEther のサ−バの機能の DHCP でIPアドレ スを付けるかということになる。パソコンでの設定の手間をかけないということで、DHCP だろうけど。VPNサ−バを置いたセグメントのIPアドレスがクライアントに付く、付 けることになる。実際の利用ではVPNサ−バはDMZに置くことになる。 [ その2 ] 1) 自社にサ−バを立てて先ずは直接アクセスする。 ブラックリストに載ってなければこっちの方が速くアクセスできる。 VPN Gate を利用す るよりも。先ずはこれでやってみるということかな。 2) 中継サ−バを利用する VPN Gate なる無料サ−ビス クライアントだけ設定すればいいわけだ。社内のパソコンにクライアントの設定をしてイ ンタ−ネット上の中継サ−バにアクセスして、そこからインタ−ネットのどこへでもアク セスする。中継サ−バを利用すると遅くなるとのこと。検閲を実施している国からのアク セスのブロックを回避するため、VPN Gate にアクセスする。 そこからは好きなようにア クセスできることになる。でもこれだけでは社内のサ−バにはアクセスできない。そこか ら自社の SSL-VPN装置にアクセスすれば社内のサ−バにアクセスできる。そういうことだ。 3) UDP ホ−ルパンチング NATトラバ−サル機能がある DMZにサ−バの設置は必要。ファイアウォ−ルの設定が楽である。クライアントとサ− バ双方からインタ−ネット上にある同期サ−バにアクセスする。同期サ−バは SoftEther VPN プロジェクトが用意している。無償で利用できる。 いったん UDP ホ−ルパンチング で接続するとその後は、クライアントとサ−バが直接アクセスする、高速な通信ができる。 4) Windows Azure サ−ビス利用 UDP ホ−ルパンチング が使えない場合にこれをやってみる。 ずっとこの中継サ−バを通 るので遅くなる。プロトコルは SSTP と SoftEther VPN のみ。 * SoftEther VPN の動作確認 [ 動作確認その1 ] << 基本的な動作 >> [[ 名称の略 ]] インタ−ネットへ | SEVs SEVc1 SEVc2 SoftEther VPN Server -> SEV_Server(SEVs) □FireWall □ ▲ ▲ SoftEther VPN Client -> SEV_Client(SEVc) | |.2 |.3 |.4 -------------------------------------- ファイアウォ−ルでLAN側 192.168.1.8や 192.168.1.0 |.8 |.9 192.168.1.9 からインタ−ネット(WAN側) へ SEVc1'△ △SEVc2' のパケットを通す設定をすること。 SoftEther VPN のクライアント SEVc1,SEVc2 から SoftEther VPN のサ−バ SEVs へアク セス。するとサ−バの DHCP 機能でクライアントにIPアドレスが割り当てられる。ここ では 192.168.1.8〜 割り当てられることになる。 そのIPアドレスのパソコンからイン タ−ネットへアクセスするということになる。 [ 動作確認その2 ] Qube3 SSL-VPN NAT SEVs SEVc1 SEVc2 SSL-VPN 装置の設定は □ ◇ ----- □ ▲ ▲ ややこしいのでテスト .3| .2| .1 |UTM|.1 |.2 |.3 |.4 環境の方を合わせる。 -------------------| |----------------------------------- 192.168.2.0 | | |.8 |.9 192.168.1.0 ----- SEVc1'△ △SEVc2' SoftEther VPN のクライアント、VPN接続したパソコンが SEVc1' などで、そこから更 に SSL-VPN 接続する。そして Qube3 にアクセスする。UTM では SEVc1' や SEVc2' から SSL-VPN 装置へしかパケットが行かないようにする。Windows XPまでしか対応しないとい うことで引き上げた SSL-VPN装置が手元にあって、そのままの設定でテストをやってみる。 [ 動作確認その3 ] Qube3 SSL-VPN 透過 SEVs SEVc1 SEVc2 UTM は FortiGate-80C □ ◇ ----- □ ▲ ▲ が手元にあるのでこれ .6| .5| |UTM|.1 |.2 |.3 |.4 を使うことにする。 -------------------| |----------------------------------- 192.168.1.0 | | |.8 |.9 192.168.1.0 ----- SEVc1'△ △SEVc2' 引き上げた SSL-VPN 装置の設定をネットワ−クのテスト環境に合わせるならば、UTMは透 過モ−ドで設置する。ここら辺りまでの設定ができて動作確認ができれば、実際にファイ アウォ−ルに設置する設計もできるだろう。幾つか疑問や課題がみえてくると思う。 UTM は SEVc1' や SEVc2' から SSL-VPN 装置へのみアクセスできるようにしておく。 [ 動作確認その4 ] SEVc1▲ ▲SEVc2 | | / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\ SEVc1 には SEVc1' のIP \________________________/ アドレスが振られた。以降 : 外からアクセスするマシン : □SEVs' の分だけDMZのIPアド : | レスが振られることになる。 --------------------------------- SEVc1' SEVc2' SoftEther VPN 用のDMZ | ■SEVs △ △ を別に作って、多くのIP Server |.1 |.3 |.8 |.9 アドレスの割り当てができ □ FIRE□------------------------------------- るようにするのがいいかも | | 192.168.2.0 知れない。DHCPで割り当て。 ------------------------ FireWall で SEVc1'と SEVc2' から社内のサ−バ Server へアクセスできるように必要な パケットを通す。大方の会社なりはDMZに SoftEther VPN のサ−バを設置して、 この ような構成で利用しているのだろう。ユ−ザ認証はサ−バ内に登録したアカウントをみる。 サ−バの SEVs は Linux でも Windows パソコンでもいい、デスクトップでも仮想マシン でもいい。外からの利用マシンが多くなると明示的にIPアドレスが多く必要である。 [ 動作確認その5 ] SEVc1▲ ▲SEVc2 インタ−ネットから利用す | | る設置設定はこんなように / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\ なるのでないか。VPNを \________________________/ VPNでトンネル。SEVcか : ら SEVs'にアクセス。SEVc : ◇SSL' □SEVs' はDMZにSEVc' というよ : | | うに DHCP でIPアドレス --------------------------------- SEVc1' SEVc2' が割り当てられた仮想的な | ◆SSL ■SEVs △ △ パソコンになる。これから |.1 |.2 |.3 |.8 |.9 SEVc' から SSL のSSL-VPN FIRE□------------------------------------- 装置にアクセスするという | 192.168.2.0 ことになるのでないか。中 ------------------------ 継サ−バを使わない場合。 [ 動作確認その6 ] SEVc1▲ ▲SEVc2 サ−バのパソコンでイサ− | | ネットインタ−フェ−スを / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\ 2つもつ場合はどうなるか。 \________________________/ 既存のDMZのIPアドレ : スを仮想パソコンに使わな : △ △ くてもよくなるのでないか。 : ◇SSL' □SEVs' |.2 |.3 こんな絵になるのでないか。 : | | ---------------- インタ−フェ−スをこうや ------------------------------- .1| 192.168.3.0 って分ける方がパフォ−マ | ◆SSL SEVs■ ンスもよろしいと説明され |.1 |.2 |.3 ている。やはりファイアウ FIRE□------------------------------------- ォ−ルにこうして設置する | 192.168.2.0 のは結構大変な話になる。 ------------------------ ● ある国の検閲とVPNサ−ビス * ある国の暗号化通信の検閲 SSL-VPN 装置の利用がどうも不安定になった。特に中国からの利用がおかしい。ず−っと 使えなくなったパソコンもある。 IEやパソコンのクライアントソフトの ActiveX が悪 さをしているのでないかとか。ひょっとしてと思い Google で調べたらずばり思った通り の記事が出てきた。中国事情に通じた会社の人のブログがヒットした。本当は日経の雑誌 なんかでグレ−トファイアウォ−ルのことなんか取り上げるべきでないのか。皆、困って いるのは一緒なのだから。日経の雑誌に書かれているのはまるで見たことがない。触らぬ 神にたたり無し的なことか。以下その人のブログの要約を記載する。 2014年5月末ぐらいから規制強化になったみたいである。VPNの通信がほとんど使 えなくなった。 Google, Facebook, Twitter, YouTube がその前から使えなくなっていた。 加えて2014年7月位からは LINE が使えなくなった。VPN通信は PPTP と SSL-VPN はほぼダメになった。L2TP だけは生き残っている模様。元々中国から他の国へのSSL-VPN アクセスは中国当局の見解?ではグレ−だった。セッションが日本から中国へ張られるか ららしい。中国から日本への暗号化通信は禁止というか中国当局の許可が必要である。 これからは SSL-VPN でなく L2TP通信ができるよう速やかに準備した方がいいかも知れな い。FortiGate なんかでやれるのでないか。そんでもって L2TP とは何だったか。"IPSec -L2TP/VPN"、"L2TP/IPSec"、"L2TP/IPSec VPN" とも書かれる。L2TP というプロトコルを IPSec で暗号化している。IPSec には IKE1 とIKE2 がある。Windows、Android、iOSには L2TP/IPSec のクライアントのソフトが入っている。L2TP は "3-7.VPNと広域ネットワ −ク, (2)VPNソフト&装置" の記事も参考にされたい。 * あまり対策にはならないけど 中国のグレ−トファイアウォ−ルを回避するVPNサ−ビスを利用する。検索すると一杯 サ−ビスがあることが分かる。有償で月千円ぐらい。無償のもある。個人的に有償サ−ビ スを契約していると聞いた。こうしたサ−ビスでパソコンで中国から先ず日本へVPN接 続し、その上で自社の SSL-VPN装置にアクセスするのである。 中国拠点でも SSL-VPN装置を設置する。中国拠点でも中国内のインタ−ネット接続をする。 これで中国から日本の SSL-VPN装置に接続しないようにする。多分、このやり方が中国進 出企業にとってまっとうな気がする。ともかく中国当局はインタ−ネットにおける中国外 との暗号化通信は規制の対象にしている。確か中国内でも規制がある。 一留の望みでVPNサ−ビスを検討したらどうかと調べてみたら、気になる情報が出てき た。日経ビジネスのサイトの 2015/4/19 の記事、"中国の Great FireWall が盾から矛に 変身、中国当局が好ましくないと判断したサイトを攻撃する矛として利用されるようにな った"。VPNサ−ビスを利用していると攻撃されるかも知れない。 VPNサ−ビスなる有料のサ−ビスがある。月に千円とかで。いたちごっこになる。得体 の知れないサ−ビスを使うより、れっきとした大学が関与して作っている方が確かなので はないか、SoftEther だが。あんまり安いところのサ−ビスだと、逆に筒抜けになってし まうのでないか。なんらかの罠とか。素性の知れたところを選びたい。何でもそうだが。 SoftEther VPN Server を利用する。インスト−ルする。http://ja.softether.org/ から。 しかし中国からはこのサイトへはアクセスができないらしい。ということはそもそもソフ トを取って来ることができない。中国以外の国、日本などであらかじめインスト−ルして おかないと。慎重な言い回しをしている。検閲を実施している国がある、というように。