SoftEther(ネットワーク設定) その3

管理マネージャ

SoftEther(VPN Server)の設定はコマンドか管理マネージャから実施します。管理マネージャから設定する方が簡単ですがWindows環境が必要になります。

Windows + SoftEther(管理マネージャ) その2
SoftEther(VPN Server Manager)のダウンロード 公式ページから環境に合ったパッケージをダウンロードします。 対...

ネットワーク構成

公式ホームページはドキュメントが充実していますが、概念の説明が多いので実際に設定を行う際にはかなり戸惑いました。
公式ホームページの説明では大前提としてSoftEther(VPN Server)が中心であり、補完機能として既存のネットワークへの繋ぎ込みの作りになっています。実際は既存ネットワーク環境にSoftEther(VPN Server)環境を繋ぎこむかなんですけどね。

SoftEtherはプログラム内でネットワーク環境を作成するためOSの機能を使わず自己完結できるような仕組みになっています。よって、PPTPやOpenVPNからの乗換えの際には戸惑います。VPNサーバを動かすホスト環境とSoftEtherで構築する環境を分離して考えます。

VPNサーバを動かすホストにネットワークカードを2枚準備します。ホストサーバ使うネットワークカード(NIC#1)とSoftEtherが使うネットワークカード(NIC#2)を分離させます。SoftEther用ネットワークカードはホストに認識させるだけでネットワーク設定は行いません。

SoftEther用ネットワークカードの設定はSoftEther管理マネージャーから後で設定します。

事前準備

ファイアーウォールの設定

通常はSoftEther(VPN Server)をDMZに設置すると思いますので、ファイアーウォールで通過させるポートと転送 (フォワーディング、マッピング) 設定の必要があります。

PCやスマホからのVPN接続で利用するL2TP/IPsec、拠点間をブリッジ接続するL2TPv3の場合は次の通りです。

  • 500/UDP
  • 4500/UDP
  • 1701/UDP

ネットワークルーティング

SoftEther(VPN Server)が新しいネットワークセグメント(192.168.4.0/24)を追加します。既存のネットワーク設定を変更しルーティング情報を更新してください。

# Linux
route add -net 192.168.4.0/24 gw 192.168.1.1
# Cisco
ip route 192.168.4.0 255.255.255.0 192.168.1.1
# Yamaha
ip route 192.168.4.0/24 gateway 192.168.1.1

SoftEther(VPN Server)の設定

次にSoftEther(VPN Server)の設定が必要です。赤色で囲った部分にチェックをいれて「IPsec 事前共有鍵」の初期文字列を変更してください。

SoftEther(VPN Server)の設定

仮想HUBの追加

初期から設定されている仮想HUB(DEFAULT)を利用してもよいですが、新たな名称を作った方が良いと思います。「仮想HUBの作成」ボタンをクリックします。

名称を入力しますが日本語は入力不可です。クライアントがVPN接続する際に利用する文字列なのでアルファベット英数字を利用してください。

SecureNATの設定

仮想HUB(Virtual HUB #1)にSecureNATの設定を追加します。今回はDHCPサーバの設定を行います。

仮想ホスト、DHCPサーバの設定を行います。初期設定が入って入ますので適宜設定を行ってください。

DHCPで設定するクライアントに通知するデフォルトゲートウェイは後で設定するレイヤ3 スイッチのIP(192.168.4.254)を指定し、DNSサーバは社内用を指定してください。

設定後にSecureNATを有効化してください。

ローカルブリッジ設定

先ほど作成した仮想HUB(Virtual HUB #2)とホストの物理ネットワークカード(NIC #2)を紐づけます。

SoftEther(VPN Server)を動かしているサーバが仮想環境で構築されている場合は、仮想環境のネットワーク設定を確認する必要があります。

VMwareで構築された環境の場合

「構成」-「ネットワーク」から対象の「vSwitch」を選択し「セキュリティ」から「無差別モード」を「承諾」にします。

レイヤ3 スイッチ設定

仮想レイヤ3スイッチを作成します。

レイヤ3スイッチに必要な設定(セグメント、ルーティング)を追加します。

これでネットワーク構成が完成です。

SecureNATの仮想NATについて

今回の構成では仮想NATを利用していません。理由は「CIFS(Windows共有)が動かない」からです。仮想NATを有効にするとVPNサーバのNIC#1を使って通信します。PINGやNSLOOKUPを利用して確認したところDNSから情報を取得できるのですが、エクスプローラでは名前解決ができませんでした。

tapデバイスを利用してホスト側でNATさせれば動くような気がしますが現時点では先送りします。

次は L2TP/IPSec設定 の話です。

SoftEther(L2TP/IPsec設定) その4
SoftEther(VPN Server) L2TP/IPsec設定 ネットワーク構成 作成した仮想レイヤ3スイッチ配下のセグメントにV...
スポンサーリンク

シェアする

フォローする

スポンサーリンク